Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM
Search
freee
June 06, 2024
1
2.5k
OpenSearch SIEMのためのSOAR / SOAR for OpenSearch SIEM
freee
June 06, 2024
Tweet
Share
More Decks by freee
See All by freee
品質の高速フィードバックへの取り組み / Commitment to Fast Quality Feedback
freee
3
820
組織作りに「プロダクト開発のエッセンス」 を取り入れ、不確実性に向き合い続ける / Incorporating the “essence of product development” into organizational development and continuing to face uncertainty
freee
0
1.4k
LGBTQ__support_WOMEN_女性として働くということ_DEI
freee
2
430
QAエンジニア_Summer Internship説明会(26卒)
freee
0
220
権限管理基盤の開発とQAの今 / Authority Management Infrastructure Development and QA Now
freee
1
2.5k
国籍と専門性を超えてのコラボレーション / Collaboration across nationalities and specialties
freee
1
2.4k
デザインリサーチの広げ方 〜XDの姿勢・態度・思考〜 / How to Expand Design Research 〜˜XD's Attitude, Attitude, and Thinking
freee
1
2.4k
グローバルなQAエンジニア・・・ってナニ!? / Global_QA_Engineer..._What_s_that.pdf
freee
1
2.4k
ぶきっちょPMによるfreeeのカルチャーとプロダクトのつながりについて / The Connection Between Freee's Culture and Product by a Clumsy PM
freee
1
2.4k
Featured
See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
26
4.1k
The Power of CSS Pseudo Elements
geoffreycrofte
71
5.3k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Side Projects
sachag
452
42k
Into the Great Unknown - MozCon
thekraken
31
1.4k
The Cult of Friendly URLs
andyhume
77
6k
What's new in Ruby 2.0
geeforr
342
31k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.6k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Designing for Performance
lara
604
68k
Transcript
OpenSearch SIEMのためのSOAR WaTTson / imariku 2024年5⽉31⽇
2022年新卒入社。credentialを slackに書くな高校校歌の人。 2 WaTTson PSIRT 2022年7月入社。前職は普通の バックエンドエンジニア。SIEMの 運用やNetwork Firewall導入 などを担当。
imariku PSIRT
PSIRT • Product Security Incident Response Team インシデント 発生の予防 インシデント
の早期検知 インシデント の早期解決 Design Doc レビュー 脆弱性診断 教育・啓発 SIEM・SOAR セキュリティ インシデント対応 静的解析
freeeが提供しているプロダクト • バックオフィス業務の効率化 • Webアプリ モバイルアプリ ……
プロダクトの構成 AWS Cloud Virtual private cloud (VPC) Protected subnet Public
subnet Internet gateway ALB NAT gateway EKS worker node Private subnet RDS
セキュリティ:不審なアクセスを検知・ブロック AWS WAF • Web Application Firewall • Layer 7
• ALBやCloudFrontにアタッチ IGW ALB WAF Internet Instance IPS IDS/IPS • Intrusion Detection System/ Intrusion Prevention System • Layer 3〜4 • パケットの中身を見る
SIEM • Security Information and Event Management • 多種多様なログを一元管理 •
各種ログを横断して分析 SIEM VPC flow log Cloudfront ALB WAF IPS Application
SIEM on AWS OpenSearch Service • OpenSearchを使ったSIEMソリューション • https://github.com/aws-samples/siem-on-amazon-opensearch-service •
S3 bucketなどに入れたログをAWS LambdaでOpenSearchに格納
SIEM on AWS OpenSearch Service • OpenSearch Dashboardで一覧できる https://opensearch.org/docs/2.4/dashboards/discover/index-discover/
SIEM on AWS OpenSearch Service • OpenSearch Dashboardで一覧できる https://github.com/aws-samples/siem-on-amazon-opensearch-service/blob/main/docs/images/dashboard-awswaf.jpg
SOAR • Security Orchestration, Automation and Response • 統合・自動化したインシデント対応 WAF
Alert ルールは RateLimit? アクセス元は 日本国内? WAF/ALBの 関連ログ収集 複数のルール で検知? Blacklist に登録 誤検知の 可能性は? IPSなどの 関連ログ収集 機械的に処理できる部分は 自動化したい!
SIEM次郎(しむじろう) • SIEM→Slack通知→Jiraチケット起票の自動化 AWS Cloud ECS SIEM Slack アラート投稿 Bolt
for Python Jira チケット起票 自動アサイン トリアージ データ取得 要対処なら ボタン押下 担当者が 対処にあたる
SIEM次郎(しむじろう) • SIEM→Slack通知→Jiraチケット起票の自動化
freee auto-blacklist • 明らかな攻撃元については自動でブラックリストに追加 • SIEMへのログ格納は少しラグがあるのでS3 bucketのトリガーで実行 WAF S3 bucket
Lambda Black list 追加 expired を削除 ECS トリガー Slack トリガー CloudWatch Events Blacklistを WAF ruleに反映 DynamoDB
さらに先へ • 現状のSIEMからのアラートは全て ルールベース ◦ 自動的に検知できない部分は人手で調査 • 機械学習を使って、より高度な攻撃を 検知したい ◦
ログに記録された内容を元に特徴量ベクトル を計算して、クラスタリング • 現在絶賛開発中!
None