Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【ログ分析勉強会】EDR ログで内部不正を検出できるのか、Copilot に聞いてみた
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Hisashi Hibino
September 26, 2024
Technology
1.5k
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
【ログ分析勉強会】EDR ログで内部不正を検出できるのか、Copilot に聞いてみた
2024/09/26 ログ分析勉強会 vol.5 発表資料
Hisashi Hibino
September 26, 2024
More Decks by Hisashi Hibino
See All by Hisashi Hibino
【Cyber-sec+】経営層を"動かす"ための考え方
hssh2_bin
0
200
【ClickHouseMeetup】LibreChat × ClickHouse プロンプトキャッシュ機能の効果とその仕組み
hssh2_bin
0
91
【ClickHouseMeetup】ClickHouseを活用したセキュリティログ解析AIエージェント『LogEater』とは
hssh2_bin
0
480
【ClickHouseMeetup】JSON データ型はクラウド時代の可変フィールドにどこまで対応できるのか
hssh2_bin
0
150
【インフラエンジニアbooks】30分でわかる「AWS継続的セキュリティ実践ガイド」
hssh2_bin
10
2.6k
【OpsJAWS】踏み台サーバーって何がうれしいんだっけ?
hssh2_bin
14
6.2k
【Cyber-sec+】ログの森で出会ったCloudTrail との奇妙な旅
hssh2_bin
1
780
【OpsJAWS】EC2 のセキュリティの運用と監視について考えてみた件
hssh2_bin
7
1.4k
【SecurityJAWS】時間切れで書き切れなかったOCSFの行く末とは
hssh2_bin
2
2.5k
Other Decks in Technology
See All in Technology
When Platform Engineering Meets GenAI
sucitw
0
170
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
7.5k
Kiro Ambassador を目指す話
k_adachi_01
0
130
Claude Codeをどのように キャッチアップしているか
oikon48
13
8.8k
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
4
770
時期が悪い!それでもRaspberry Piを買って遊んで活用するには / 20260627-osc26do-rpi-jikigawarui
akkiesoft
0
810
10年間のブログ発信を振り返って見えたWebアプリケーションエンジニアとしての軌跡
stefafafan
0
190
不要なレビューをAIにまかせて AIコーディングの環境改善を加速した
shoota
1
270
「勝手に広まる」人気 AI エージェントを爆速で作ろう!(AWS Summit Japan 2026講演資料)
minorun365
PRO
10
2.5k
IaC コードを資産へ:AWS CDK 社内ライブラリと横断展開 / aws-summit-japan-2026
gotok365
10
1.6k
データレイクの「見えない問題」を可視化する
sansantech
PRO
1
200
クラウドファンディング版StackChan 3体(4体)をインタラクティブな体験型作品にして展示もした話 / スタックチャンお誕生日会2026
you
PRO
0
180
Featured
See All Featured
Evolving SEO for Evolving Search Engines
ryanjones
0
220
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.3k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
240
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.5k
Optimizing for Happiness
mojombo
378
71k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
270
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
Faster Mobile Websites
deanohume
310
32k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.9k
KATA
mclloyd
PRO
35
15k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
140
Transcript
EDR ログで内部不正を検出できるのか Copilot に聞いてみた ログ分析勉強会 #5 2024 年 9 月
26 日(木) ログスペクト株式会社 日比野 恒
自己紹介 日比野 恒 - Hisashi Hibino Security Architect CISSP, CCSP,
CISA, PMP, 情報処理安全確保支援士(000999) [執筆] ➢ Elastic Stack 実践ガイド [Logstash/Beats 編](インプレス刊) ➢ AWS 継続的セキュリティ実践ガイド (翔泳社刊) [略歴] ⚫ 2018 年まで 10 年間 IT コンサルティング会社に在籍 ⚫ 2019 年より株式会社リクルートのセキュリティ組織に所属 ログ基盤やクラウドセキュリティに関するプロジェクトを推進 ⚫ 2024 年にログスペクト株式会社を設立し、現在に至る 2
本日伝えたいこと 3 • 内部不正による情報漏洩において どのようなログを活用すると効果 がありそうか • Google Drive に情報を持ち出す
リスクシナリオを例に Defender for Endpoint のログが使えそうか • Defender のログを分析する上で Copilot for Security による自然 言語での問い合わせで内部不正を 見つけられるのか
アジェンダ 4 1. 内部不正とは 2. 内部不正におけるログ活用 3. Copilot を試してみた 4.
総括
1. 内部不正とは
本書における定義 6 • 本資料における内部不正の範囲は以下のように定義する。 1. 内部従事者(役員・従業員・派遣・常駐の業務委託者)による不正行為 2. 人為ミスによる誤送信・誤設定(公開設定など)は対象外とする 3. 機密性・完全性・可用性のうち、機密性に対する毀損(情報漏洩)を対象とする
4. メインはログの話なので、ここでは技術的対策を対象とする
内部不正とは 7 • 「内部不正による情報漏洩」は IPA が毎年公表している情報セキュリティ 10 大脅威の常連である。 出典: 日本プライバシー認証機構ブログ
2024年版情報セキュリティ10大脅威(過去順位の推移)
漏洩リスク: 高 漏洩リスク: 中 サーバサイド 内部不正における情報漏洩 8 • 社内で厳重に管理されている機密情報を右側に持ち出せるほど情報漏洩のリスクは高まる。 (アクセス制御や通信制御などの予防策で右側に出せないように制御することでとリスクは低減される)
データベース ファイルサーバ オンプレ/クラウド クライアントサイド 業務端末 従業員/委託 (内部不正者) 社内LAN/VPN接続 外部サービス 自宅環境 外部記憶媒体 自宅 NAS ダウンロード 書き出し 私的クラウド環境 アップロード 漏洩リスク: 低 個人所有の環境 外部へ持ち出し
主な流出経路(MITRE Insider Threat TTP Knowledge Base v2.0を参照) 9 ユースケース 通信方向
論理/物理 ネットワーク サービス種別1 サービス種別2 ツール 送信手段 ドメイン 情報漏洩 社内から送信 社外アクセス ネットワーク 物理接続 スマホで撮影 インターネット ローカルネット パブリック プライベート 個人向け 法人向け ブラウザ Web Web ブラウザ以外 Mail 上記以外 ブラウザ Web Web ブラウザ以外 Mail 上記以外 共有 占有 共有 占有 クラウド間連携 社外からのアクセス(基本的には IP フィルタなどで予防する) USB などのケーブル接続で外部記憶媒体に書き出す 自宅 NAS、自宅プリンタ、Bluetooth 接続、Airdrop 接続など 自前で構築した公開システム クラウドサービスの機能でデータ連携 SSH、RDP、FTP など Google Driveなど Messenger アプリなど Y!メール、GMail宛など ※1 ※1 ドメインの共有とは、Google Drive のようにどの契約でもドメイン名が同じもの ドメインの占有とは、Box(エンタープライズ版)のように契約によってドメインが異なるもの
内部不正対策はなぜ難しいのか 10 • 正規のアクセス権を持っているため、予防策の基本であるアクセス制御は対策にならない。 また外部攻撃と違い、ログでの業務での正しい操作と不正行為による操作の見分けが明確に定義しづらい。 検知ロジックを 定期実行する 検知した メッセージを 確認する
ダッシュボード のサマリーから 概況を把握する ドリルダウンで 詳細状況を把握 する 周辺ログの中身 を確認する (時間幅を広げ る、IDを絞るな ど) 自動 手動 結果を判定する (誤検知/違反) 検知精度が低い場合 この作業でスキルと工数が必要になる 下記のような環境の場合は、さらにログによる検出が難しくなる傾向がある • 業務の生産性や利便性を重視し、予防策による制御が緩い • 会社で利用できるツールが多岐にわたる(複数のオンラインストレージツールの併用など) • 兼務業務が多く担当する業務範囲が多岐にわたる(1人で複数部署の業務を担当)
2. 内部不正におけるログ活用
内部不正におけるログの果たす役割 12 • 単にログと言っても内部不正におけるシーンによって、ログの用途や使い方が異なる。 牽制 監査 監視 ✓ セキュリティ対策のうちの予防策に属する。 ✓
ログを取得し、定期的にモニタリングをしていることを就業規則やセキュリティ教育の中で 啓蒙することで内部不正する気を起こさせないための対策となる。 ✓ セキュリティ対策のうちの検知策に属する。 ✓ 内部不正は外部攻撃と異なり、正常操作と異常操作の見極めが難しい性質があり 監視ロジックが組みにくいため、不審な操作がないかを定期的にログを目検でチェックする。 ✓ セキュリティ対策のうちの検知策に属する。 ✓ 会社として許可していない違反操作が明らかな場合には監視ロジックを開発し ログを使ってリアルタイムに検知するように監視システムで実施する。 追跡 ✓ こちらはセキュリティ対策ではなく影響調査での活用となる。 ✓ インシデントの事後対応として、「誰が」「いつ」「何を」「どのようにして」持ち出したのか インシデント影響を把握するためにログを活用する。
内部不正対策で利用されるログ製品 13 • 「サーバに保存されているデータをアクセスする部分」と「PCから外部に送る部分」に大きく区分される。 (ログでの検知は、外部送信に関する PC 操作ログや通信ログを監査するか、不審な操作を UEBA/ITM で監視するケースが多い) サーバサイド
データベース ファイルサーバ オンプレ/クラウド クライアントサイド 社内LAN/VPN接続 外部サービス 自宅環境 外部記憶媒体 自宅 NAS 個人所有の環境 PC 操作ログ PC 操作ログ クエリログ アクセスログ 外部へ持ち出し 業務端末 従業員/委託 (内部不正者) UEBA/ITM (監視) 例: Exabeam, Proofpoint ITM 例: CASB(Netskope, Zscaler) プロキシ/SWG(Palo Alto, 旧ProxySG) M365 メールボックス監査ログ 例: SKYSEA Client View, MaLion LANSCOPE Endpoint Manager Proofpoint ITM 例: PISO, Oracle AVDF 例: ALog, ELC Analytics ダウンロード 書き出し 私的クラウド環境 アップロード 通信ログ メールログ
社内環境 外部攻撃の監視ツールが有効活用できるのではないか 14 • ランサムウェア攻撃も内部侵入し、外部へ情報を持ち出すという導線なので、内部不正と同じ経路になる。 (ゆえに、ランサムウェアによる不審な挙動を検知する EDR 製品のログを活用することで内部不正による挙動も検出できるのではないか) サーバサイド データベース
ファイルサーバ オンプレ/クラウド クライアントサイド 業務端末 社内LAN/VPN接続 攻撃者環境 C2サーバ 攻撃者 ❶ マルウェア感染 (不正プログラムによる遠隔操作) ❷ ダウンロード (不正取得) ❸ アップロード (情報流出) EDR EDR ログ ファイアウォール 外部へ持ち出し
Defender for Endpoint のログを使ってみる 15 • Defender for Endpoint のログを内部不正対策にも活用できるのではないか?という仮説に至った。
# ログ種別 スキーマ名 説明 1 検知したアラートに関するログ アラートと動作 AlertEvidence 2 検知したアラートに関する重要度、脅威の分類などの情報 アラートと動作 AlertInfo 3 ウイルス対策やエクスプロイト保護などによって検知されるイベントを含む、複数のイベントのログ デバイス DeviceEvents 4 端末上の証明書検証イベントから取得した署名済みファイルの証明書情報 デバイス DeviceFileCertificateinfo 5 ファイルの作成や変更、その他ファイルシステムに関するイベントログ デバイス DeviceFileEvents 6 DLL ファイルの読み込みイベントに関するログ デバイス DeviceImageLoadEvents 7 OS 情報を含む端末に関する情報 デバイス DeviceInfo 8 端末上のユーザーログオンやその他の認証イベントに関するログ デバイス DeviceLogonEvents 9 ネットワーク接続とそれに関連するイベントのログ デバイス DevicenetworkEvents 10 端末のネットワーク(NIC, IPアドレス, MACアドレスなど)に関する情報 デバイス DeviceNetworkInfo 11 プロセスの作成とそれに関連するイベントのログ デバイス DeviceProcessEvents 12 レジストリエントリの作成と変更に関するイベントのログ デバイス DeviceRegistryEvents データ種別 ログ 情報 ログ 情報 ログ ログ 情報 ログ ログ 情報 ログ ログ
3. Copilot を試してみた
Microsoft Defender Portal リスクシナリオとログ分析環境 17 • Defender for Endpoint のイベントログに対して、Copilot
for Security を使って自然言語で問うてみる。 Copilot for Security 内部不正行為者 (Windows PC) ファイルアップロード(情報流出) 9/13 03:08 – 03:11 【リスクシナリオ】 Windows PC には EDR(Defender for Endpoint) がインストールされている。 Windows PC から Chrome ブラウザを使って私用に 利用している Google Drive のフォルダに大量のファ イルをアップロードする。 Advanced Hunting 分析担当 内部不正の兆候は起きていないですか? どのようなクエリを投げれば良いですか? マイドライブ > my-test-data01 FileName: PXL_xxx ×100 KQLクエリ 問い Defender for Endpoint ログ転送
Copilot for Security で問い合わせてみる 18 ❶ まずは緩めに聞いてみる ❷ 返されたKQLクエリを実行するも「該当事象なし」
再度 Copilot for Security に問い合わせてみる 19 ❸ 対象イベントをアラート検出したものに限定していたため デバイスのイベントログを対象にするように指示してみる ❹
またも「該当事象なし」
しつこく Copilot for Security を詰めてみる 20 ❺ ファイル名が Google Drive
となっているものを検索しても 何も該当しないのは当然なため、懲りずに詰めてみる ❻ 変わらず「該当事象なし」
もう Copilot for Security に嫌われる覚悟で... 21 ❼ 追加で3回の質問を投げかけてみたもの 回答ができなくなってしまったため ここで諦めることにする
最終的には自力で調査してみた 22 • Copilot for Security が回答できなくなったため、自力で KQL クエリを書いてログ調査した。 1.
ファイル操作のアクション種別の集計 === DeviceFileEvents | where Timestamp between (datetime(2024-09-12T18:05:00Z) .. datetime(2024-09-12T18:11:59Z)) | summarize count()by ActionType | sort by count_ desc -> ActionType が “FileUploaded” や “FileDownloaded” のログはなかった。 2. ファイル操作ログ === DeviceFileEvents | where Timestamp between (datetime(2024-09-12T18:00:00Z) .. datetime(2024-09-12T18:59:59Z)) | where FileName contains "PXL" | summarize count()by FileName | sort by count_ desc -> ファイル名にPXLという文字列を含むファイルの操作は一切ログに出ていなかった。 3. Google Drive との通信ログの URL ごとの集計 === DeviceNetworkEvents | where Timestamp between (datetime(2024-09-12T18:00:00Z) .. datetime(2024-09-12T18:59:59Z)) | where RemotePort == 443 | where RemoteUrl contains "google.com” | summarize count()by DeviceName, RemoteUrl | sort by count_ desc -> 該当するログはなかった。大半のログが ”RemoteUrl” の値が空になっていた。
4. 総括
まとめ 24 • 以下、総括です。 ✓ EDR は OS のバックグラウンドで動作しているプロセスの不審な動作を検出するツールであるため 人間によるフォアグラウンドの動作(アクティビティ)をログに記録するようにはできていない。
✓ ランサムのような外部攻撃は EDR で検出できるが、内部不正の予兆検出は難しく アクティビティの監視は従来通り PC 操作ログ(Skysea や Proofpoint など)で実施する必要がある。 ✓ Copilot for Security は頑張ってくれたが、期待する回答はできなかった。 (今回のユースケースは見つけられないという回答を返してくれるようになると調査が捗る)
None
【参考】内部不正対策で参考にしているドキュメント 26 • 情報セキュリティの内部不正対策を検討する際、必須で参考にしているドキュメント類です。 1. 組織における内部不正某ガイドライン(出典: IPA) https://www.ipa.go.jp/security/guide/insider.html 2. MITRE
Insider Threat TTP Knowledge Base(出典: MITRE) https://mitre-engenuity.org/cybersecurity/center-for-threat-informed-defense/our-work/insider-threat-ttp-knowledge-base/ 3. 「内部不正による情報セキュリティインシデント実態調査」報告書(出典: IPA) https://www.ipa.go.jp/archive/security/reports/economics/insider.html 4. 2023年度「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書(出典: IPA) https://www.ipa.go.jp/security/reports/economics/ts-kanri/20240530.html