イベントの説明
(なぜか最初の項目が)備考
(参加したいけど枠が埋まっている 場合は、キャンセル待ちで入れておいて下さい。キャンセル待ちが多ければ、同じ内容で再度実施する目安になります。)
今回はハンズオンであるため、以下の参加条件があります。
- Linux系の環境を用意できること。もしくは、cigwinやWSLを使えること
- 以下のコマンドが利用可能であること:sed, grep, sort, uniq, bashやzshなどのshell, (任意: awk
提供するログファイルにいて、参加者本人以外に提供しないこと。
- 本勉強会での利用、勉強会後の自身の学習としての利用のみ、許可します。
- それ以外の「社内や他の勉強会等で流用」「インターネットやSNS等で公開」はしないこと
- 公開しているサーバへの公開アクセス(http)なので問題はないが、念のため。
イベント画像のタイトルは「ログを見る人」です(去年末に撮った)。
Facebookグループ「脆弱性対応研究会」の勉強会になります。 Connpassページは、当勉強会をまとめるグループとなります。
- 参加枠に「 アウトプットする枠 」を設定しています。勉強会で得られた知識を社内やブログなど、どこかにアウトプットしていただく枠です。 (アウトプット先の報告は有ると嬉しいですが、なくても可)
- 参加枠に「 5分LTする枠 」を設定しています。コンピュータ関連の技術であれば、なんでもよいです。話す練習として如何でしょうか。
ログ分析のハンズオンは初めてとなるので、この内容を基に、今後も開催する可能性があります。
会場について
エフセキュア株式会社 様から、会場提供を頂きました。ありがとうございます!
- JR新橋駅 徒歩7分 です。
概要
ログ分析の初歩を、ハンズオン形式でやります。
- 公開サーバ(兼ハニーポット)の httpdのログを見て、分析はどのような観点で、どのようにやるのがよさそうなのか、をハンズオン形式で学ぼうと思います。
- httpd単体のログに絞ることで、初歩的な分析をできるようになります。
- 相関分析等は、やりません。
目的
ログ分析の初歩を、ハンズオン形式でやります。
- 脅威を可視化することとしてSIEMが流行っていますが、そもそもログ分析とは、、というのを考えたい。
- ログ分析は、やっている人 と やっていない人(資料は読んだが手は動かしていない) にかなり別れるような気がするので、実際に手を動かしてもらいたい。
- まずは基礎となる簡単なログ、デフォルトのApache httpd2のログを見てみる。
- (準備がもしできるなら、Windowsでのイベントログも見てみる)
- (参加者から、私はこう考える/こうしている、という知見を得て、本イベントの内容を更新する)
ログを覗く時、ログもまたあなたを覗いている
- 今出ているログをただ見るだけでは、ログもそれなりの情報しか提供してくれません。
- こちらが「何について」「どのように」「どの程度の」ログを欲しいと検討し手求めた時、ログは望みをかなえる情報をくれます。
これからSIEMを入れたいという組織に所属している担当者さんは特に来ていただきたい。
- セキュリティコンサルティング等によりSIEMを導入することは簡単ですが、導入後の運用が難しいです。
- 「導入時に設定したこの指標だけ見ててください」のようなSIEMは、正直SIEMである意味はありません。
- 使いこなすには、使いこなすための知識が必要です。SIEMサービス自体の使い方、ログそのものに対する知識、ログを出しているサービス(httpなど)での脅威や脅威検出の知識、などが必要です。
- そういう、使いこなすための知識、の初歩を得られると思います。それにより、SIEM導入業者のごまかしを見抜くことができたり、導入後に有効に使いこなせるかもしれません。
なお、ログに対する理解を深めるため、この勉強会ではSIEMは使いません。 文字列を操作するコマンドで情報を整理し、分析していきます。
内容
以下のように進めたいと思います。
- ログとは、というお話を僭越ながらhogehugaがさせて頂く
- hogehuga's honypotのログを配布し、一緒に分析をしていく
対象者
脆弱性対応をこれから始めようとしている方、いろいろな考え方を聞いてみたい方、などを想定しています。 初学者向けの想定です。
- 情報システム部や運用部署で、自組織の脆弱性対応をされる方
- 運用サービスの会社で、他組織の脆弱性対応をされる方
- CSIRTっぽいことやることになった方
- 脆弱性情報の収集や検討方法を学びたい方、意見交換したい方
今回はハンズオンなので、以下の準備が必要です。
- Linux系コマンドが実行できる環境
- 事前に配布するログを、インターネット経由で取得できること
コマンドは以下を利用想定です。
- 必須: sort, uniq, sed, geoiplookup, curl, wget
- 任意: awk, python
geoiplookupはそれらしいものを入れておいてください。
- ubuntuなら geoip-binとかgeoip-databaseとかをaptで入れておいてください。
スケジュール
以下のようなタイムスケジュールで進めます。
| 時刻 | 時間 | 内容 |
|---|---|---|
| 09:30- | 30[min] | 開場 |
| 10:00- | 5[min] | 会場説明 |
| 10:05- | 5分間LT | |
| 10:10- | ハンズオン開始 | |
| -11:40 | 今回のまとめ | |
| -11:50 | 会場提供会社様 LT | |
| 12:00 | 完全撤収 |
持ち物
以下のものをお持ちください。
- ハンズオン用のLinuxコマンドが実行できる環境
- 参加確定者に前日までに送るログファイルを、上記に配置
禁則事項
みんなで脆弱性対応について共有していきたい、という趣旨に反することは禁止とします。
- 本勉強会での勧誘行為は禁止します。
- 参加者が嫌がる、不快になる言動は禁止します。状況により退席頂きます。
- 私が所属する会社の社員や関連する方の参加
その他
その場の雰囲気次第ですが、お昼ご飯でも食べましょうか。
勉強会会場を探しています。会場提供可能な方がいらっしゃいましたら、ご連絡ください。
発表者
フィード
2019/06/03 13:03
2019/05/12 12:37
第4回 脆弱性対応勉強会(ログ分析の初歩:ハンズオン) を公開しました!
hogehuga
エンジニアをつなぐ
connpass は株式会社ビープラウドが開発・運営しています