Download to read offline
CrowdStrike Falconと効果的に楽に付き合っていくために
- 1.
- 2.
- 3. 自己紹介 3 株式会社ディー・エヌ・エー システム本部セキュリティ部セキュリティ技術グループ 星本英史 • 2018年1月入社 •担当業務 • 脆弱性診断 • 社内のセキュリティ相談対応 (設計の相談など) • ログ分析基盤構築・運用 • SOC • 前職ではセキュリティ関連の研究開発のようなことをしていた
- 4. DeNAの事業とセキュリティ部 株式会社ディー・エヌ・エー • 資本金 103億9700万円(2019年3月時点) • 従業員数、連結で約2500人 • ゲーム、ヘルスケア、オートモーティブ、スポーツなど複数の事業 • AI関連の事業、研究開発 セキュリティ部 • 技術担当(セキュリティ技術グループ)数人 • 脆弱性診断、チート対策ツール開発、セキュリティ監視等 • SOCの業務は部内では4, 5人が担当 • 専任ではなく、他の業務も行う 4
- 5.
- 6.
- 7. EDR導入以前からの取り組み – ログ監視 7 平常時 不審な挙動を監視,アラート (ELK+Norikra) インシデント発生時 影響範囲特定, 攻撃の証拠を発見できるよう DNS, DPI, FW, AD, AVのログなど検索可能な 状態で一元管理 (ELK stack)
- 8. EDR導入前の悩み 8 アンチウィルスで防げない攻撃 & 防げない攻撃があったときの攻撃の発見しにくさ アンチウィルスでは防げない攻撃も多数 攻撃が継続して侵害が拡大→ Dropしたファイルに検出するものがあると… 攻撃の間接的な証拠にはなりうるが…一度侵入を許すと追跡しにくい 外部に委託しているPenetration Testでもアンチウィルスでの境界防御は突破される アンチウィルスだけでは不十分と認識していた ※ もちろん「EDR導入だけ」で全ては解決しないし、適切なセンサーを適切なところに設置することが必要
- 9.
- 10.
- 11.
- 12.
- 13. EDRによる迅速な対応 数台以上のマルウェア感染の発生した拠点があった • 詳細は伏せます • EDR未導入の拠点でした •ポートスキャンをする挙動のマルウェアを偶然一つ発見したことで発覚 EDRを導入し、以下の機能により、迅速に鎮圧ができました • 不審な振る舞いの検知 • プロセスの可視化 → 攻撃の影響範囲、駆除の成否の可視化 • Real Time Response • 遠隔での詳細な調査 (メモリダンプ、レジストリ、ファイルの取得、.ps実行) • 遠隔での駆除実行 (PowerShellのスクリプトを書いてRTRで実行) 13
- 14.
- 15.
- 16. ユーザーが意図した操作なのかアカウントを取られたのか • センサーの削除に限らず… • ユーザーが意図した操作なのか、アカウントが既にとられていて 攻撃が進行しているのが可視化されているのか? •Crowdstrike Falconだけでわかることもあるし、わからないこともある • 他のログ (例えばDomain ControllerのEventlog) と突き合わせる • 現状、構築済みのEventlogを入れているElasticsearchで検索 • ユーザーに ヒアリングする 16
- 17. Machine Learningがつらい 17 検出のほとんどがSensor/Cloud-Based ML MITREATT&CKのTTPsと紐づくものは、 「こういう攻撃が進行しているかも」という 判断に使える MLとだけ言われても、すごく困る
- 18.
- 19. やりたいこと • 他のログ (例えばDomainControllerのEventlog) と突き合わせる • 同じ内容のフィールドはフィールド名や型を合わせるなどして SQLでJOINするとかで検索できるようにしたい! • DeNAはオンプレからクラウドへの移行中である • HDFS + Presto? Hive? → オンプレはNO! → Amazon S3 + Athena! • ユーザーへの通知等自動化 • これは聞かないとわからない!というアラートの負荷を減らしたい/通知の仕組みが欲しい • Cloud/Sensor-Based MLの過去に判定済みのイベントをやっつける • まずは静的な特徴に基づくものから (ハッシュ値でやっていく) • 続いて、振る舞いの類似性 (ThreatGraph API, Jaccard係数での類似判定とかで頑張る) • 他にも課題があって、標準の機能のカスタム通知が使いにくいのでカスタム通知の仕組みも作っ ているのだけど、時間に余裕がなさそうなので今日は話しません 19
- 20.
- 21. アーキテクチャ (現在稼働中) 21 EC2 instance contents falconbeat (独自実装) subscribestream ほぼ未加工のJSON 正規化 & データの種類ごとに Prefixを分けて保存 Kinesis Firehose Detection イベント Audit イベント 自動判定のルールの実装 (Lambda) 自動判定に 必要なデータ (DynamoDB) FalconのAPIを叩いて FP/TPなど判定 Slackへの通知へ(省略) data catalog crawler Glueupdate Athena (SQL Engine) 検索 セキュリティ部 エンジニア
- 22. 統合されたログの検索 22 data catalog crawler Glueupdate Athena (SQL Engine) 検索 セキュリティ部 エンジニア EC2instance contents falconbeat (独自実装) Capture server Packetbeat Windows server Winlogbeat EC2 instance contents fluentd Kinesis Analyticsを使った リアルタイムアラートの 仕組みも構築している S3へのログの集約 L3より上のレベルで解析されたパケットと EventlogがS3に集約される状態を構築した Athenaで全て統一した仕組みで低コスト、 効率的なログ検索基盤を運用できるか? 構築・検証中
- 23.
- 24.
- 25. 既知のFP/TPのイベントの判定自動化 25 EC2 instance contents falconbeat (独自実装) 自動判定のための データが入っている DynamoDB Crowdstrike Falconの APIを叩いて自動的に FP/TP等のstatusを変更する Lambda APIGateway GASで 夜間にデータを投入 弊社 セキュリティ部 エンジニア False Positive判定など 判定に必要な情報を書き込む
- 26. 既知のFP/TPのイベントの判定自動化 26 EC2 instance contents falconbeat (独自実装) 自動判定のための データが入っている DynamoDB Crowdstrike Falconの APIを叩いて自動的に FP/TP等のstatusを変更する Lambda APIGateway GASで 夜間にデータを投入 弊社 セキュリティ部 エンジニア False Positive判定など 判定に必要な情報を書き込む
- 27.
- 28. 今後の運用・業務改善の方針と製品への期待 今後の運用改善の方針(アナリストの負荷を小さくするために!) • 社内で利用できるあらゆるログの統一された検索・分析基盤の構築 (onAWS) • 端末所有者への通知とコミュニケーションの効率化を継続 • 振る舞い検知の類似性の判定、ステータスの変更の自動化 製品への期待 • Falcon Discover、Event Searchの機能のAPI提供 • 使えそうな or 使える機能なのに、APIがないから他システムとの連携,自動化困難 • Mac OS対応を進めてほしい 28
- 29. Falcon Discover 29 アセット情報の可視化・検索 • 横断的なアプリケーションの検索 •例えば Tactic & Technique: Exploitation for Client Execution の検出があったとき • Adobeの製品など狙われやすいアプリケーションの脆弱性を突かれていることが明 らかになったとき • 他に同じアプリケーションの同じバージョンを使っている端末がある? (対応の必 要な範囲の特定) • ホストを絞って、ホストごとに動いているアプリケーションのリストアップもできます • ただし、Mac OSに対応していません…
- 30. Falcon Discover ログオン試行の可視化・検索 • DomainAdministratorとしてのログオン、Domain Userとしてのログオン、Local Userとし てのログオンなど検索・可視化できる • 不正にログオンされていないか?という調査をするときに使える 30