イベントログ解析ツールのあれこれ

イベントログ解析ツールのあれこれ雰囲気セキュリティ勉強会 #3 Atmosphere Security #3 1

お約束本プレゼンは、個人の見解であり、所属組織を代表するものでもありません本発表は所属組織に寄与する意図で記載しておりません Atmosphere Security #3 2

目次自己紹介イベントログ解析とはイベントログ解析の際に考えられそうな問題イベントログ解析に使えるツール OSSでのイベントログ解析ツールを調べてみた OSSでのイベントログ解析ツールでどれくらい問題が解決しそうか？まとめ Atmosphere Security
#3 3

自己紹介名前:misQ お仕事:ITエンジニア好きなもの:好き嫌いなもの:嫌い Atmosphere Security #3 4

イベントログ解析とは IT用語辞典 e-Wordsよりイベントログとは、コンピュータシステムに起こった出来事や行われた操作などを時系列に記録したデータ。単にイベントログという場合はWindowsにおけるそれを指すことが多い(イベントログは本定義としておきます) 一旦Windowsに限らず会社内のすべてのコンピュータシステムに起こった出来事や行われた操作などを時系列に記録したデータを考える(便宜上、本発表では「全社システムイベントログ」と記載します) Atmosphere
Security #3 5

日々のイベントログはたくさんある proxyログ Windowsイベントログ(OSがWindowsだった場合) Linuxイベントログシステム関連のログ(syslog) アプリケーション関連のログ(/var/log) ネットワーク装置のログ死活監視のログ etc...... Atmosphere
Security #3 6

インシデント発生したら…… インシデントレスポンスとしての流れとして、まず報告もしくは検知が発生して Point of ContactやSOCに情報がくる。次に何をするかトリアージ: インシデントでの対応優先付け何が大事になるか？事実ベースで確認をする必要がある全社システムイベントログが必要になる Atmosphere
Security #3 7

考えられそうな問題大きく分けてログの「収集」と「解析」の2つがあるログの形式、OS、サーバがバラバラログの集約をすることが必要(収集) ログから怪しい動きを検出しなければいけないシステムの規模によるが非常に膨大(解析) ログを見てもそれが怪しい動きなのかわからない。新しい検知ロジックとかを分かっていないと正しいのかすらわからない状態になる(解析) Atmosphere Security
#3 8

今回のイベントログ解析として使えそうなツールは？商用 Splunk Azure sentinel Sumo Logic OSS 収集についてはFluentdとかElastic Stackなどがあるが、どうやって解析する?
→特に標的となるWindowsのイベントログ解析ツールについて確認してみた Atmosphere Security #3 9

GithubでWindowsのイベントログ(evtxファイル)の解析ツールで Starの多い著名なものを調べてみた DeepBlueCLI: Eric Conradが作成したevtx解析ツール。PowerShell製 PSWinReporting: PrzemyslawKlysが作成。PowerShell製 WELA: Zachary
Mathis(@yamatosecurity)が作成。PowerShell製 APT-Hunter: Ahmed Khlief(@Ahmed_khlief)が作成したevtx解析ツール。Python製 LOGON Tracer: JPCERT/CCが作成。Python製 RustyBlue:Zachary Mathis(@yamatosecurity)が作成。Rust製 Chainsaw:F-Secure @FranticTypingが作成。Rust製 hayabusa:Zachary Mathis(@yamatosecurity)が作成。Rust製 Atmosphere Security #3 10

先ほどのありそうな問題の軸に合いそうなツールは何か？ツール名プログラミング言語データの処理速度実行端末に環境準備が不要？追加での検知ルールは
組み込み可能か？ DeepBlueCLI PowerShell × 〇(※1-1) × WELA PowerShell × 〇(※1-1) △(※1-2) PSWInReporting PowerShell × 〇(※1-1,1-3) - ※1-1: Windows機でPowerShellが端末にあれば実行可能 ※1-2: SIGMA(SIEMシステムへの検知ルール集)を変換して一部ルール化している ※1-3: ADのイベントを監視してADのイベントを通知するツールで監視寄り Atmosphere Security #3 11

ツール名プログラミング言語データの処理速度実行端末に環境準備が不要？追加の検知ルールは組み込み可能か？
LOGON Tracer Python △ ×(※2-1) ×(※2-2) APT- Hunter Python △ ×(※2-1) × ※2-1: Python実行環境が必要 ※2-2: ログオン実施時に出力されるログのみに対応としている Atmosphere Security #3 12

ツール名プログラミング言語データの処理速度実行端末に環境準備が不要？追加の検知ルールは組み込み可能か？ RustyBlue
Rust 〇〇(※3-1) × Chainsaw Rust 〇〇(※3-1) 〇(※3-2) hayabusa Rust 〇〇(※3-1) 〇(※3-2) ※3-1:コンパイルした実行ファイルがあれば環境準備不要 ※3-2:SIGMAというSIEMシステムへの検知ルールレポジトリのyamlを利用している。Chainsawよりhayabusaのほうが2022/02現在対応している構文は多い Atmosphere Security #3 13

様々なツールがあるが、どれが一番良いか？ PowerShell製のツールは他言語に比べ処理が重いという弱点があるが、Windows 端末であれば(制限とかをしていなければ)特に環境を準備せずに利用可能であるというメリットがあるロジックの追加もスクリプトなので気軽にできるかもしれない Python製のツールはPowerShellよりも処理が速く、Pythonの他ライブラリとの連携がやりやすいということでがメリットがある Atmosphere Security #3
14

様々なツールがあるが、どれが一番良いか？(続き) Rust製のChainsawやhayabusaが速度が速くかつSIGMAルールを組み込めることで新たに出てきた攻撃についても検知ロジックを組み込むことが可能 Rustはクロスコンパイルができるので、LinuxやMacでも利用可能ただ、Rust製のツールの共通の弱点としてイベントログが随時追加されるようなストリームデータへの解析には対応していない監視は別途集約して行ったうえで、解析はこれらのツールは行うという形がよさそう Rustは他の2言語に比べて敷居が高い所があるためカスタムするとなると難度は高いかもしれない
Atmosphere Security #3 15

結論:状況と欲しい解析によって適度なもの組み合わせて選択していこう Atmosphere Security #3 16

まとめ今回はイベントログ解析について触れた Windowsイベントログ解析のツールはOSSにも色々あるので試しに使ってみよう OSSの運用はある程度は自己責任で。使わせてもらっているとか応援をしたいというのであればGithubでStarをつけて応援しよう今回はイベントログ解析で解析に必要なデータが全部evtxファイルにある前提で話がすすめたが、Windowsイベントログは初期設定だと解析に必要なデータが全く手に入らない為Sysmonを導入してログの設定を行うことが必要すべてを有効にすると非常に大量のログが出てしまうので、GitHubで公開されているSysmonの設定は以下があるので参考にするとよさそう
https://github.com/olafhartong/sysmon-modular https://github.com/SwiftOnSecurity/sysmon-config Atmosphere Security #3 17

イベントログ解析ツールのあれこれ

イベントログ解析ツールのあれこれ

misQ

More Decks by misQ

Other Decks in Technology

Featured

Transcript