Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20160720 security-jaws-araki

1,340 views

Published on

Linuxのauditをになうauditdの出力をAWSに送ってKibanaで可視化するまでの手順紹介

Published in: Technology
  • Be the first to comment

  • Be the first to like this

20160720 security-jaws-araki

  1. 1. auditdをAWSで有効活用 アマゾンウェブサービスジャパン 技術本部シニアマネージャ 荒木靖宏
  2. 2. 自己紹介 • 名前 – 荒木 靖宏 • 所属 – アマゾン ウェブ サービス ジャパン株式 会社 – 技術本部レディネスソリューション部 シニアマネージャ 2
  3. 3. • カーネルが、ファイルアクセス、システムコール、 ユーザ実行コマンド等を取得し記録する Linux Audit https://access.redhat.com/documentation/ja- JP/Red_Hat_Enterprise_Linux/6/html/Security_Guide/chap-system_auditing.html
  4. 4. CloudWatch Logs とは  2014年7月にリリースされたロギングサービ ス  OS、アプリケーション等のログアグリゲーショ ン  Amazon CloudWatch LogsをAmazon S3へバッチエクスポートする機能が利用可能 に(2015年12月)
  5. 5. CloudWatch Logs利用イメージ Amazon Linux Ubuntu Server Windows Red Hat Enterprise Linux CloudWatch Logs api call to endpoint アラーム SNS
  6. 6. 方法(auditd→CWLogs) • IAM Role(CWLogs)を有効にしてEC2起動 • awslogsとauditをインストール – # yum –y install audit awslogs • AWS logsを自動起動させる – # chkconfig awslogs on • audit条件を設定 – 例えば/home以下でアドミンユーザのファイルアクセス記録 – # auditctl -a always,exit -F dir=/home/ -F uid=0 -C auid!=obj_uid –F key=root_touch_other
  7. 7. root_touch_other を検出
  8. 8. Amazon Elasticsearch Service • 特徴 ( https://aws.amazon.com/jp/elasticsearch-service/ ) – ElasticsearchのAPIをそのまま利用可能 – AWSのサービスと連携した構成を簡単に構築 例) • CloudWatch Logs -> Lambda -> Amazon ES • DynamoDB Streams -> Logstash -> Amazon ES – 検索ドメインを作成すると同時にKibanaが利用可能 – 日本語解析に対応 • Elasticsearch ICUプラグイン • Elasticsearch Kuromojiプラグイン • 価格体系 ( https://aws.amazon.com/jp/elasticsearch-service/pricing/ ) – Elasticsearchインスタンス時間 – Amazon EBSストレージ ELK(Elasticsearch, Logstash, Kibana)スタックをサポートした マネージドAnalyticsサービス CWLogs Amazon ESData Source
  9. 9. Elasticsearchへストリーミング

×