この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
本記事はElastic{ON} 2016のセッション、「Hunting the Hackers: How Cisco Talos is Leveling Up Security」のレポートです。
スピーカーはCiscoのKate NolanとSamir Sapra。
レポート
・Malware SamplesはDialyで1.5 Million。 ・Daily EmailのうちSpamは86%。 ・Web Protection、Dailyで19.7Billionのブロック。 ・Webリクエストは16Billion/1day、メールは600Billion/1day。 ・Cloud to Core Coverage、TALOS ・解析する対象データ。様々な種類やタイプのデータを解析対象としている。
・検出したExploit kitsのデータをElasticsearchに投入。 ・Exploit kitsの検索クエリのサンプル。
・Honeypotで得ることができたデータ。攻撃者がどんなユーザー名やパスワードでHoneypotにアクセスをしようとしたのかがわかる。
・Honeypotへのアクセスから、どんなユーザー名やパスワードが攻撃者に使われているのか、よく使われる文字列がわかる。 ・Honeypotへのアクセスをelasticsearch + kibanaで可視化。
・その他Elasticsearchに入れているもの。ファイルのメタデータ、スパムメール、IPSの分析結果。
・SSHPSYCHOS。SSHブルートフォースアタック。Rootログインしてきたアクセス元を可視化。
・SSHブルオートフォースによって侵入されればMalwareを外部からダウンロード。
・侵入されたあとのアクションの分析。
・SSHPsychosとElasticsearchの組み合わせで分析。
さいごに
Fireeyeもそうですが、セキュリティのログをelasticsearch + kibanaで可視化ってのはわかりやすくて良いですね。
15
