20230318 opensearch

OpenSearchでのログを使ったインシデント調査 JAWS-UG女子会　小寺　加奈子 2023/3/18

アジェンダ OpenSerarchってどんなサービス？ OpenSearch SIEM を使おうインシデント調査してみよう QAタイム

自己紹介（株式会社アイディーエス）所属・仕事：AWSアライアンスリード、日本、ベトナムでのAWS事業拡大がミッション・趣味：お琴を弾くこと・好きなAWSサービス：Cost Exploler JAWS-UG女子会　小寺　加奈子

OpenSerarchってどんなサービス？リソースのデプロイ、管理に費やす時間を削減できるフルマネージド認証、認可、暗号化、監査、およびコ
ンプライアンスのための高度なセキュリティが維持されている潜在的な脅威を体系的に検出し、機械学習、アラート、可視化を活用して対処 Amazon OpenSearch Service は Amazon ElasticSearch Service の後継サービスオープンソースの検索・分析エンジンで、 OpenSearchのデプロイ・スケーリング等を容易に行うためのサービスセキュリティデータ分析・オブザーバビリティ各種リソースを最適化コスト戦略に集中各種リソースを最適化し、戦略的な作業に注力

ログの分析結果からセキュリティインシデントを発見したい色々なログ分析があるけれど・・・ Why SIEM？ログ調査における脅威のアラートが複数に分散する調査対象が広範囲になりがち・・上記の課題解決に役立つ

SIEM とは？ Security Information and Event Management セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、
相関分析によって脅威検出とインシデントレスポンスをサポートするためのソリューション

SIEM on Amazon OpenSearch Service の概要セキュリティインシデントを調査するためのソリューションです。複数のログをSIEM on
Amazon OpenSearch Serviceに集約し、ログ相関分析及び可視化することができます。

SIEM on Amazon OpenSearch Service の概要他の特徴については以下の通り・マルチアカウント・マルチリージョンに対応・AWS サービス専用のログ正規化、ダッシュボード
・脅威インテリジェンスによるログのエンリッチメント・Amazon Security Lake、AWS Control Tower との連携

インシデント調査をしてみる各サービスからS3にログ出力されるよう事前設定をしておく（※設定方法は割愛）

インシデント調査をしてみる OpenSearch ダッシュボードの「discovery」からログ確認が行える

インシデント調査をしてみるアラート通知編ログを事後に確認するのではなく、アラート通知設定もしておく →ログがルールにマッチしたらアラートをSNS経由で通知

インシデント調査をしてみるアラート通知編アラート通信先の設定：SNSから通知設定 [Alerting]から通知先を選択

インシデント調査をしてみるアラート通知編監視対象の設定　[Monitors]タブ => [Create monitor] ※正規化したログの時刻には、以下2つが設定可 @timestamp ：ログの発生時刻
event.ingested ：SIEM の受信時刻・Monitor schedule：SIEMに取り込んだログに対して〇分間隔で監視するかを設定

まとめログ分析は色々なパターンがありますが、今日は「SIEM on Amazon OpenSearch Service」の概要をご紹介しました！・EC2⇒CloudWatch⇒Lambda⇒OpenSearch ・EC2⇒CloudWatch⇒Kinesis
Data Firehose 上記のパターンなどもありますが、AWSサービス以外のログも S3に取り込めば、OpenSearch Serviceへ連携できます！！

小寺加奈子 [email protected] お気軽にお声がけください！ Q＆A

20230318 opensearch

20230318 opensearch

Sunny Cloud

More Decks by Sunny Cloud

Other Decks in Technology

Featured

Transcript

OpenSearchでのログを使ったインシデント調査 JAWS-UG女子会　小寺　加奈子 2023/3/18

アジェンダ OpenSerarchってどんなサービス？ OpenSearch SIEM を使おうインシデント調査してみよう QAタイム

自己紹介（株式会社アイディーエス）所属・仕事：AWSアライアンスリード、日本、ベトナムでのAWS事業拡大がミッション・趣味：お琴を弾くこと・好きなAWSサービス：Cost Exploler JAWS-UG女子会　小寺　加奈子

OpenSerarchってどんなサービス？リソースのデプロイ、管理に費やす時間を削減できるフルマネージド認証、認可、暗号化、監査、およびコ

ログの分析結果からセキュリティインシデントを発見したい色々なログ分析があるけれど・・・ Why SIEM？ログ調査における脅威のアラートが複数に分散する調査対象が広範囲になりがち・・上記の課題解決に役立つ

SIEM とは？ Security Information and Event Management セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、

SIEM on Amazon OpenSearch Service の概要セキュリティインシデントを調査するためのソリューションです。複数のログをSIEM on

SIEM on Amazon OpenSearch Service の概要他の特徴については以下の通り・マルチアカウント・マルチリージョンに対応・AWS サービス専用のログ正規化、ダッシュボード

インシデント調査をしてみる各サービスからS3にログ出力されるよう事前設定をしておく（※設定方法は割愛）

インシデント調査をしてみる OpenSearch ダッシュボードの「discovery」からログ確認が行える

インシデント調査をしてみるアラート通知編ログを事後に確認するのではなく、アラート通知設定もしておく →ログがルールにマッチしたらアラートをSNS経由で通知

インシデント調査をしてみるアラート通知編アラート通信先の設定：SNSから通知設定 [Alerting]から通知先を選択

インシデント調査をしてみるアラート通知編監視対象の設定　[Monitors]タブ => [Create monitor] ※正規化したログの時刻には、以下2つが設定可 @timestamp ：ログの発生時刻

まとめログ分析は色々なパターンがありますが、今日は「SIEM on Amazon OpenSearch Service」の概要をご紹介しました！・EC2⇒CloudWatch⇒Lambda⇒OpenSearch ・EC2⇒CloudWatch⇒Kinesis

小寺加奈子 [email protected] お気軽にお声がけください！ Q＆A