(レポート) Elastic{ON} 2016: Hunting the Hackers: How Cisco Talos is Leveling Up Security #elasticon

はじめに

本記事はElastic{ON} 2016のセッション、「Hunting the Hackers: How Cisco Talos is Leveling Up Security」のレポートです。

スピーカーはCiscoのKate NolanとSamir Sapra。

DSC_0090

レポート

・Malware SamplesはDialyで1.5 Million。
・Daily EmailのうちSpamは86%。
・Web Protection、Dailyで19.7Billionのブロック。
・Webリクエストは16Billion/1day、メールは600Billion/1day。
・Cloud to Core Coverage、TALOS
・解析する対象データ。様々な種類やタイプのデータを解析対象としている。

DSC_0092

・検出したExploit kitsのデータをElasticsearchに投入。
・Exploit kitsの検索クエリのサンプル。

DSC_0093

・Honeypotで得ることができたデータ。攻撃者がどんなユーザー名やパスワードでHoneypotにアクセスをしようとしたのかがわかる。

DSC_0094

・Honeypotへのアクセスから、どんなユーザー名やパスワードが攻撃者に使われているのか、よく使われる文字列がわかる。
・Honeypotへのアクセスをelasticsearch + kibanaで可視化。

DSC_0095

・その他Elasticsearchに入れているもの。ファイルのメタデータ、スパムメール、IPSの分析結果。

DSC_0096

・SSHPSYCHOS。SSHブルートフォースアタック。Rootログインしてきたアクセス元を可視化。

DSC_0097

・SSHブルオートフォースによって侵入されればMalwareを外部からダウンロード。

DSC_0098

・侵入されたあとのアクションの分析。

DSC_0099

・SSHPsychosとElasticsearchの組み合わせで分析。

さいごに

Fireeyeもそうですが、セキュリティのログをelasticsearch + kibanaで可視化ってのはわかりやすくて良いですね。