Help us understand the problem. What is going on with this article?

SOCセンターのモニタリング環境を真似して作ってみる

More than 1 year has passed since last update.

今回はグロービスのIS(情報システム)からお送りするグロービス Advent Calendar 2017 22日目の記事です。

はじめに

グロービスのISも一般的な情シス同様に社内のインフラ・セキュリティ・ヘルプデスク周りの業務を行なっています、
時にはsyslogを謎解きしながらトラシューしますが、辛い…><
syslog取れているものの、もっと活用しなきゃと思いながらシマンテック社の新SOCセンターの記事を見て、
「このモニタリング環境作ったらいいな!」とテンションアゲアゲ!

symantec_soc03.jpg
*画像出典元:サイバー空間を縦横無尽に監視--シマンテックの新SOC

というわけで趣味と実益を兼ねた第一歩としてログ可視化をしてみました。

とりあえずのゴール

  • Firewallからsyslogを収集
  • ログを解析してDenyした通信の送信元を抽出
  • 送信元の地理情報を取得して送信元を可視化(地図上にプロット)

構成

至ってシンプル、とりあえずsyslog設定&Logstash - Elasticsearch - Kibana 一通りインストールします。
kibana000.jpg

logstashでの下ごしらえ(/etc/logstash/conf.d/XXX.conf)

最終的にアクセス元を地図にプロットしたいので、
↓な感じで送信元IPアドレスからgeoipモジュールを使って地理情報を解析します。

filter {
  grok {
    match => { "message" => '%{SYSLOGTIMESTAMP:ts}.+?srcip=%{IPV4:srcip}.+?srcintf="%{WORD:srcintf}".+?action=%{WORD:act}' }
# 適当に送信元情報とactionを抽出
  }

  if [srcintf] != "wan1" {
    drop {}
  }
  if [act] != "deny" {
    drop {}
  }
# 今回は外から通信をDenyしたログだけ使用

  date {
    match => [ "ts", "MMM dd HH:mm:ss" ]
  }

  geoip {
    source => [ "srcip" ]
  }
  if "_geoip_lookup_failure" in [tags] {
    drop {}
  }
# 送信元IPアドレスから地理情報を取得
}

elasticsearchのtemplate設定 (jsonファイル)

elasticsearchでの取り込みデータ型や属性を再定義します。

{
  "template" : "fortideny-*",
  "mappings" : {
    "forti" : {
      "properties" : {
        "srcip" : { "type" : "text" },
        "srcintf" : { "type" : "text" },
        "geoip" : {
          "properties" : {
            "city_name" : {
                "analyzer" : "keyword", # 都市名がスペースで分割されないように変更
                "type" : "text",
                "fielddata" : true }, # 都市名を使ったグラフを作れるように設定
            "continent_code" : { "type" : "text" },
            "country_code2" : { "type" : "text" },
            "country_code3" : { "type" : "text" },
            "country_name" : {
                "analyzer" : "keyword", # 国名がスペースで分割されないように変更
                "type" : "text",
                "fielddata" : true }, # 国名を使って地図プロットやグラフを作れるように設定 
            "ip" : { "type" : "text" },
            "latitude" : { "type" : "float" },
            "location" : { "type" : "geo_point" }, # 型をgeo_pointに変更して地図プロット可能に
            "longitude" : { "type" : "float" },
            "postal_code" : { "type" : "text" },
            "region_code" : { "type" : "text" },
            "region_name" : { "type" : "text" },
            "timezone" : { "type" : "text" }
          }
        },
        "ts" : { "type" : "text" }
      }
    }
  }
}
,

kibanaでVisualize設定

logstashからelasticsearchにデータをexportし、kibanaで可視化します

地図プロット グラフ
screenshot.png screenshot.png

あとはDashboardに貼り付けてあげれば完成です(データはダミー)
screenshot.png

最後に

グロービス Advent Calendar 2017 の他の記事もぜひどーぞ!

kei1
globis
グロービスは 1992 年の創業以来、社会人を対象とした MBA、人材育成の領域で Ed-Tech サービスを提供し、現在は日本 No.1 の実績があります。これらの資産と、さらに IT や AI を活用することで、アジア No.1 を目指しています。
http://www.globis.co.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away