Elasticセキュリティの検知エンジンを使うと、誤検知のノイズを回避しながら脅威を検知できます。また、実際の事例を交えながら、相関付けと機械学習で脅威検知を自動化する手法をご紹介します。

1. 1
ElasticON Security
Koji 河村
Education Engineer, Elastic
脅威検知を自動化する

2. アジェンダ
脅威検知を自動化
データジレンマのおさらい1
Elastic プリビルトプロテクション3
検知方針4
オープンな検知リポジトリ5
検知エンジン2

3. 5 1B 5
データドメイン
担当者はホスト、クラウ
ド、ネットワークデバイ
ス、アプリ性能、ユーザ
などを分析
1日のイベント件数
多くの組織では 1日平均
10億のイベントが発生
SOC アナリスト
セキュリティオペレー
ションセンター SOC
の規模は様々だが多く
は五名未満
データジレンマ

4. Elastic Agent をご活用ください！

5. 5
データを収集
組織を防御

6. アジェンダ
脅威検知を自動化
データジレンマのおさらい
3
4
5
検知エンジン
1
2
Elastic プリビルトプロテクション
検知方針
オープンな検知リポジトリ

7. 検知エンジン
検索と同じくらい簡単。
• Elasticsearch のスピードとスケールで既
知、未知の脅威を検知
• クエリ KQL/DSL 、マシンラーニング、閾
値、などなどを利用して簡単に脅威検知を
自動化!
• 200の 無償 プロテクション;
オープンに開発

8. 8
デモ #1
検知エンジン

9. 9

10. 3
4
5
1
2
アジェンダ
脅威検知を自動化
データジレンマのおさらい
Elastic プリビルトプロテクション
検知方針
オープンな検知リポジトリ
検知エンジン

11. 200 無料 のルール。 オープン に開発。
attack.mitre.org

12. プリビルトプロテクション
データドメイン毎
55%
Windows, Linux, MacOS

13. MITRE ATT&CK™ ナレッジベース
attack.mitre.org

14. プリビルトプロテクション
脅威検知 と SecOps
27%
Defense Evasion

15. 15
デモ #2
ルールメタデータ

16. 16

17. ...but my data is special...
<random security professional>

18. 18
デモ #3
ルールの編集と例外

19. 19

20. 20
データを収集
組織を防御

21. 3
4
5
1
2
アジェンダ
脅威検知を自動化
データジレンマのおさらい
Elastic プリビルトプロテクション
検知方針
オープンな検知リポジトリ
検知エンジン

22. Elastic の検知エンジニアリングへのアプローチ
github.com/elastic/detection-rules/.../PHILOSOPHY.md
● 集合知による 実際の経験に基づく
● カスタムツールよりも 振る舞い にフォーカス
● データソースに依存しない ロジックを実装
● 偽陽性 を避けつつ陽性を正しく検知

23. 振る舞い vs インジケータ
● 各々のインジケータでなく テクニックを強調
○ 一般化した検知ルールを記載するようになる
○ オーバーフィッティングのリスクを避ける
○ MITRE ATT&CK® と似た思想
● 必要なら 例外を定義する
○ 正確無比な振る舞い検知が難しい場合
https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
github.com/elastic/detection-rules/.../PHILOSOPHY.md

24. ツールではなく、振る舞いを検知する
✖ インジケータ ✔ 振る舞い
process.name:mimikatz.exe or
process.command_line:*sekurlsa*
event.module:sysmon and
event.code:10 and
winlog.event_data.TargetImage:
lsass.exe
github.com/elastic/detection-rules/.../PHILOSOPHY.md

25. Elastic Common Schema (ECS の利用
github.com/elastic/ecs
● 共通のフィールド名と型のセットを定義
● カテゴライズフィールドと値を列挙し同様のイベントをまとめる
● ニーズと共に成長できる拡張性を持って設計する
● ECS は Elastic スタック全体で利用されている

26. データソースに依存しないロジックを記述
✖ 各ソースに特化 ✔ 標準 ECS フィールド
src:10.42.42.42 or
client_ip:10.42.42.42 or
apache2.access.remote_ip:
10.42.42.42 or
context.user.ip:10.42.42.42
source.ip:10.42.42.42
github.com/elastic/detection-rules/.../PHILOSOPHY.md

27. 偽陽性を避けつつ陽性を正しく検知
● システムプロセスの作成、編集 Windows サービス
○ ATT&CK technique T1543 subtechnique 003
● システムサービス: サービスの実行
○ ATT&CK technique T1569, subtechnique 002
github.com/elastic/detection-rules/.../PHILOSOPHY.md

28. ✖ 曖昧すぎる ✖ 偽陽性が大量発生
process.name:sc.exe process.name:sc.exe and
process.args:(create or config)
偽陽性を避けつつ陽性を正しく検知
github.com/elastic/detection-rules/.../PHILOSOPHY.md

29. ✖ 簡単に回避できる ✖ 簡単に回避できる
process.command_line:
"sc *create * binPath*"
process.name:sc.exe and
process.command_line:
"* create * binPath*"
偽陽性を避けつつ陽性を正しく検知
github.com/elastic/detection-rules/.../PHILOSOPHY.md

30. ✖ オーバーフィット ✔ FP / TP の程よいバランス
process.name:sc.exe and
process.args:(create or config)
and process.parent.name:cmd.exe
process.name:sc.exe and
process.args:(create or config)
and (process.args:* or
not user.name:SYSTEM)
https://github.com/elastic/detection-rules/issues/47
偽陽性を避けつつ陽性を正しく検知
github.com/elastic/detection-rules/.../PHILOSOPHY.md

31. ✔ Good FP and TP
balance
process.name:sc.exe and
process.args:(create or config)
and (process.args:* or
not user.name:SYSTEM)
攻撃者の意図をコマンドラ
イン引数で推測
ラテラルムーブメント
権限エスカレート
偽陽性を避けつつ陽性を正しく検知
github.com/elastic/detection-rules/.../PHILOSOPHY.md

32. 3
4
5
1
2
アジェンダ
脅威検知を自動化
データジレンマのおさらい
Elastic プリビルトプロテクション
検知方針
オープンな検知リポジトリ
検知エンジン

33. github.com/elastic/detection-rules
コミュニティ & コラボ
• 開発者主体の精神で悪意ある振る
舞いを検知
ルール
• 全 Elastic セキュリティユーザがルー
ルに関われる
コントリビュートガイド
• イシューの作成、PR 送信、フィロソ
フィーなどなど!
開発者向けツール
• ルール作成用インタラクティブ CLI
• 構文チェック、 ECS スキーマ、メタ
データチェッカー等
パブリック
リポジトリ!

34. 無料のクラウドで試す:
ela.st/security-trial
ちょっと見てみる:
demo.elastic.co
Slack でつながる:
ela.st/slack
Elastic セキュリティコミュニティに是非ご参加ください

35. Thank You
Search. Observe. Protect.