OpenSearchでのログを
使ったインシデント調査
JAWS-UG女子会 小寺 加奈子
2023/3/18

アジェンダ
OpenSerarchってどんなサービス？
OpenSearch SIEM を使おう
インシデント調査してみよう
QAタイム

自己紹介
（株式会社アイディーエス）所属
・仕事：AWSアライアンスリード、
日本、ベトナムでのAWS事業拡大がミッション
・趣味：お琴を弾くこと
・好きなAWSサービス：Cost Exploler
JAWS-UG女子会 小寺 加奈子

OpenSerarchって
どんなサービス？
リソースのデプロ
イ、 管理に費やす時
間を削減できる
フルマネージド
認証、認可、暗号
化、監査、 およびコ
ンプライアンスのた
めの高度な セキュリ
ティが維持されてい
る
潜在的な脅威を体系的に
検出し、機械学習、 アラ
ート、可視化を活用して
対処
Amazon OpenSearch Service は
Amazon ElasticSearch Service の後継サービス
オープンソースの検索・分析エンジンで、
OpenSearchのデプロイ・スケーリング等を容易に行うためのサービス
セキュリティ
データ分析・
オブザーバビリティ
各種リソースを最適化
コスト戦略に集中
各種リソースを最適化
し、 戦略的な作業に注力

ログの分析結果からセキュリティインシデントを発見したい
色々なログ分析があるけれど・・・
Why SIEM？
ログ調査における
脅威のアラートが複数に分散する
調査対象が広範囲になりがち・・
上記の課題解決に役立つ

SIEM とは？
Security Information and Event Management
セキュリティ機器、ネットワーク機器、
その他のあらゆる機器の
データを収集及び一元管理をして、
相関分析によって脅威検出と
インシデントレスポンスをサポートするための
ソリューション

SIEM on Amazon OpenSearch Serviceの概要
セキュリティインシデントを調査するための
ソリューションです。
複数のログをSIEM on Amazon OpenSearch Serviceに集
約し、ログ相関分析及び可視化することができます。

SIEM on Amazon OpenSearch Serviceの概要
他の特徴については以下の通り
・マルチアカウント・マルチリージョンに対応
・AWS サービス専用のログ正規化、ダッシュボード
・脅威インテリジェンスによるログのエンリッチメント
・Amazon Security Lake、AWS Control Tower との連携

インシデント調査をしてみる
各サービスからS3に
ログ出力されるよう事前設定をしておく（※設定方法は割愛）

インシデント調査をしてみる
OpenSearch ダッシュボードの「discovery」から
ログ確認が行える

インシデント調査をしてみる
アラート通知編
ログを事後に確認するのではなく、アラート通知設定もしておく
→ログがルールにマッチしたらアラートをSNS経由で通知

インシデント調査をしてみる
アラート通知編
アラート通信先の設定：SNSから通知設定
[Alerting]から通知先を選択

インシデント調査をしてみる
アラート通知編
監視対象の設定
[Monitors]タブ => [Create monitor]
※正規化したログの時刻には、以下2つが設定可
@timestamp ：ログの発生時刻
event.ingested ：SIEM の受信時刻
・Monitor schedule：SIEMに取り込んだログに対して〇分間隔で
監視するかを設定

まとめ
ログ分析は色々なパターンがありますが、
今日は「SIEM on Amazon OpenSearch Service」の概要を
ご紹介しました！
・EC2⇒CloudWatch⇒Lambda⇒OpenSearch
・EC2⇒CloudWatch⇒Kinesis Data Firehose
上記のパターンなどもありますが、AWSサービス以外のログも
S3に取り込めば、OpenSearch Serviceへ連携できます！！

小寺加奈子
kodera@ids.co.jp
お気軽にお声がけください！
Q＆A