背景
現代のサイバーセキュリティ運用センター(SOC)は、主に2つの要素に大きく依存しています。それは、デスクトップ、ノートPC、サーバーOS上で稼働するエージェントベースのセキュリティソリューションと、SIEM(Security Information and Event Management)またはXDR(eXtended Detection and Response)と呼ばれる脅威分析システムです。しかし、サイバーセキュリティ業界には依然として2つの大きな課題が存在します。
1つ目は、ほとんどのセキュリティソリューションがOSレベルおよびそれ以下のレイヤーにおける脅威検出が不十分である点です。この部分が攻撃の温床となり得るにもかかわらず、対策が遅れがちです。
2つ目は、脅威分析システム自体が、セキュリティベストプラクティスに準拠した堅牢な防御を欠いていることが多く、その結果、セキュリティ侵害が発生する可能性があります。
こうした課題に対応するため、私たちはオープンソースのSIEM/XDRであるWazuhをベースとしたソリューションを開発しました。これは、Linuxカーネルの実行時モニタリングを含む新たな次元の可視性を提供するVED(Virtual Execution Domain)との統合により、CIS準拠などの追加セキュリティ機能とともに、強固な保護を実現するものです。
現在、このHardened SIEM/XDRはAWS上で利用可能であり、簡単に統合・展開が行えます。また、オンプレミス環境への導入をご希望の方にも対応可能です。ぜひ、お気軽にお問い合わせいただき、当ソリューションがどのように御社のサイバーセキュリティを強化できるかをご確認ください。
チュートリアル
Wazuh サーバーの起動方法
AWS上で Hardened SIEM/XDR サーバーを購読・起動するには、以下の手順に従ってください。
AWSアカウントにログインし、AWS Marketplaceにアクセスします。
検索バーに「Hardened SIEM/XDR」と入力し、表示された製品の中から該当するものを選択します。
「Subscribe(サブスクライブ)」ボタンをクリックして、製品の利用を開始します。
サブスクライブが完了すると、製品の詳細ページにリダイレクトされます。
製品詳細ページで「Launch(起動)」ボタンをクリックして、サーバーの起動プロセスに進みます。
「Configure Instance Details(インスタンスの詳細設定)」セクションで、インスタンスタイプやOS、セキュリティグループなどの構成オプションを選択します。
「Security Group(セキュリティグループ)」のセクションでは、サーバーに使用するセキュリティグループを指定してください。Hardened SIEM/XDRサーバーが必要とするポートへのインバウンドトラフィックを許可するよう設定を確認してください。
「Launch(起動)」ボタンをクリックして、サーバーを起動します。
サーバーが起動して稼働を開始したら、SSHクライアントまたはWebブラウザを使って接続できます。
Wazuhサーバーの初期パスワードは、SSHでシステムにログインすることで取得可能です。
その後、取得したユーザー名とパスワードを使用して、FirefoxやChromiumなどのWebブラウザからWazuhのWeb UIにアクセスできます。
エージェント
サーバーを起動し、Wazuhエージェントをデプロイします。
Wazuhサーバー
ご注意ください:各エージェントのIPアドレスをファイアウォールのホワイトリストに追加する必要があります。これは、サーバーを保護するための効果的な対策です。
約30秒ほど待つと、Web UI上でエージェントのステータスが表示されるはずです。
VEDが持つ、SIEM/XDRの監視対象をLinuxカーネルの実行時まで拡張し、特権昇格・コンテナエスケープ・ルートキットといった脅威に対抗する能力は、極めて強力な強化要素です。
この機能を組み込むことで、VEDはカーネル内部の潜在的なセキュリティ脅威に対して包括的な可視性と検知能力を提供できます。
これにより、システムは高度な攻撃や不正アクセスへの事前防御が可能となり、全体のセキュリティ体制が大きく強化されます。
参考文献