Splunkでいろんなログを取り込めることが分かったが、セキュリティ監視でSplunkをSIEMとして使っていく上でどのようなログを取り込んでいけばいいか、元SOCアナリストとしての経験をもとに備忘として残したいと思います。
はじめに
- ※それぞれの組織によって重視する監視ポイントが違うので、あくまで一例としてとらえてください。
- 自社のさまざまなログデータを使ってセキュリティ監視を強化したいが、どのようなユースケースでの分類をもとに、SIEMへのログ取り込みを計画していけば分からない。
- この記事では、特にSIEMを検知ツールとして使う場合のユースケースについて紹介する
セキュリティ監視におけるSIEMユースケース例
①各種セキュリティソリューションのアラートログ収集
- セキュリティ対策として全て把握しきれないぐらい、多数のセキュリティソリューションを導入している場合があると思います。例) IPS/IDS, UTM, WAF, EPP, EDR, Appliance製品(FireEye, DeepSecurity), CASBなどなど
- SIEMでログ収集を行う際に、各セキュリティソリューションのアラートログは重要なログソース。誤検知も多いが、攻撃の兆候をとらえるのに役立つ
- 各アラートログのSeverity(重要度)が、Critical, Highのアラートを優先して見ていくということもできる
- アナリストがEDRやIPS/IDSのアラートログを起点に、SIEMを使って2次調査(影響調査など)を行なっていくパターンも多い
②セキュリティソリューション以外のデバイスのログ収集
- セキュリティソリューションの検知をすり抜けてくるような攻撃に対しては、SIEMで収集したシステム内のさまざまなデバイスログを使った検知が有効
- 認証/認可関連ログ(Active Directory)、ネットワーク関連ログ(FW, DNS, Proxy)、システムログ(Windowsイベントログ, OSログ)、ユーザーアクティビティ(Webアクセスログ) などさまざまな種別のログソースがある
- 上記のログソースの種別をもとに、Splunkが提供しているセキュリティコンテンツの「Splunk ES Content Update(ESCU)」、「Splunk Security Content」の検知ルールが使える
- 「Splunk Security Content」では、TOP画面でDetectionsをクリックして左側メニューのログソースに対応するDATAMODELをクリック
③エンドポイントの詳細なアクティビティログの収集
- エンドポイントで「EDRのテレメトリ(RAW)データ, WindowsのSystem Monitor (Sysmon)ログ等」を利用
- エンドポイントのプロセス実行やファイルアクセス、レジストリ変更等の詳細なアクティビティログを活用できるので、攻撃者のTTPs「Tactics、Techniques、Procedures(戦術・技術・手順)」に基づいたSIEM検知ルールが実装できる
- エンドポイントのアクティビティログで、先ほどのSplunkが提供しているセキュリティコンテンツの「Splunk ES Content Update(ESCU)」、「Splunk Security Content」の検知ルールが使える
- 「Splunk Security Content」では、TOP画面でDetectionsをクリックして左側メニューのDATAMODELの箇所にあるEndpointをクリック
Webアプリケーションログの収集
- 他には公開Webサーバーのアプリケーションログを使った検知のユースケースがある
- Webアプリケーションのログインログや操作ログ、課金ログを使って、不正行為(Fraud)の監視を行う
- Webアプリケーションログに合わせた独自の検知ルール実装が必要になるパターンがある。難易度は他のユースケースと比べても高いと思う
- どのような操作が不正かを検討して不正検知のパターンを増やしていくので、実装に時間がかかる
SIEMの機能を利用した検知の拡張
- 上記で紹介したユースケース以外に、SIEMの機能を利用した検知を実装できる
- 脅威インテリジェンスデータを利用して、SIEMで取り込んだデータと、侵害の痕跡となるデータ「IoC(Indicator of Compromise)」を突き合わせて、一致するデータがある場合にアラート化
- Splunk Enterprise Securityの機能。Splunk Lanternに脅威インテリジェンスの利用についての記事あり
- 誤検知を減らしつつ、攻撃の確度が高いものだけアラート化するリスクベースアラート
- Splunk Enterprise Securityの機能。Splunk Lanternにリスクベースアラートの実装についての記事あり
- 機械学習アルゴリズムを利用したアラート化
- Splunk Machine Learing Toolkit(MLTK)のAppを利用。概要はこちらのQiita記事がわかりやすかった。「Splunkと機械学習(基礎編)」
さいごに
- さまざまなSIEMユースケースについて紹介したが、まずはやりやすい「①各種セキュリティソリューションのアラートログ収集」や「②セキュリティソリューション以外のデバイスのログ収集」から取り組んでいくステップもありじゃないかと思う
※個人の見解です!!
今日もHappy Splunking!!