HAQM Web Services ブログ
AWS サービスのログの可視化やセキュリティ分析を実現する SIEM on HAQM Elasticsearch Service 公開のお知らせ
みなさん、こんにちは。セキュリティ ソリューション アーキテクトの中島です。先日(2020年10月23日)にオープンソースで公開した SIEM on HAQM Elasticsearch Service (HAQM ES) をご紹介します。SIEM on HAQM ES は、セキュリティインシデントを調査するためのソリューションです。AWS のマルチアカウント環境下で、複数種類のログを収集し、ログの相関分析や可視化をすることができます。
SIEM on HAQM ES とは
SIEM は Security Information and Event Management の略で、セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、相関分析によって脅威検出とインシデントレスポンスをサポートするためのソリューションです。HAQM ES は、オープンソースの Elasticsearch と Kibana を大規模かつ簡単でコスト効率の良い方法を使用してデプロイ、保護、実行する完全マネージド型サービスです。HAQM ES の環境に SIEM として必要な機能を実装したのが SIEM on HAQM ES です。
みなさんは、以下のような課題やご要望をお持ちではないでしょうか?
- HAQM GuardDuty を利用して、悪意のあるアクティビティや不正な動作を継続的にモニタリングしているが、検出した脅威について、原因分析のためにイベント発生元サービスのログを調べることが負担になっている
- 複数のログからインシデントに関連する一連のログだけを抽出して相関分析をしたい
- AWS CloudTrail を利用して、ユーザーアクティビティと API 使用状況の追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい
これらの課題を SIEM on HAQM ES では解決することができます。本日(2020年10月26日)現在でログの取り込みに対応している AWS サービスは、AWS CloudTrail、HAQM Virtual Private Cloud (HAQM VPC) Flow Logs、HAQM GuardDuty、AWS WAF、Elastic Load Balancing、HAQM CloudFront、HAQM Simple Storage Service (HAQM S3)、HAQM Route 53 Resolver です。複数種類のログを横断的に検索する時は、ログのフィールドを正規化して管理することが重要になります。正規化とは複数のログで同じ意味だが異なったフィールド名だった場合に、一つの同じフィールド名にマッピングすることです。対応済みログは正規化をしています。また、IP アドレスには地理情報を付与するエンリッチメントも行っています。この処理によって、例えば送信元IPアドレスを世界地図にマッピングすることもできます。
SIEM on HAQM ESを使ったCluoudTrailのログの可視化の例
アーキテクチャ
AWS サービスのログを S3 バケットにエクスポートをすると、自動的に HAQM ES に取り込まれてログ分析ができるようになります。AWS 以外のログも S3 に保存をすると同様の仕組みで HAQM ES に取り込むことができます。
また、マネージドサービスとサーバーレスだけで実現しており、お客様のシステム運用の負担を軽減することができます。
SIEM on HAQM ES を構成する主な AWS サービス
- HAQM S3: 収集したログを保管
- AWS Lambda: ログを分析するための正規化とエンリッチメント
- HAQM ES: ログの可視化と相関分析
開始方法
デプロイは AWS CloudFormation にて行い、約20分で完了します。HAQM ES を HAQM VPC 内に設置する、あるいはカスタマイズする場合は AWS Cloud Development Kit (AWS CDK) でデプロイしてください。デプロイが終わったら分析対象のログを S3 バケットにエクスポートするだけで、複数種類のログに対する相関分析、作成済みのダッシュボードによる可視化ができるようになります。
今後も SIEM on HAQM ES は対応するログとダッシュボードの種類を増やし、分析機能を拡張する予定です。ぜひご利用して感想を聞かせてください!
セキュリティ ソリューション アーキテクト 中島 章博