(レポート) Elastic{ON} 2016: Hunting the Hackers: How Cisco Talos is Leveling Up Security #elasticon

はじめに

本記事はElastic{ON} 2016のセッション、「Hunting the Hackers: How Cisco Talos is Leveling Up Security」のレポートです。

スピーカーはCiscoのKate NolanとSamir Sapra。

レポート

・Malware SamplesはDialyで1.5 Million。 ・Daily EmailのうちSpamは86%。 ・Web Protection、Dailyで19.7Billionのブロック。 ・Webリクエストは16Billion/1day、メールは600Billion/1day。 ・Cloud to Core Coverage、TALOS ・解析する対象データ。様々な種類やタイプのデータを解析対象としている。

・検出したExploit kitsのデータをElasticsearchに投入。 ・Exploit kitsの検索クエリのサンプル。

・Honeypotで得ることができたデータ。攻撃者がどんなユーザー名やパスワードでHoneypotにアクセスをしようとしたのかがわかる。

・Honeypotへのアクセスから、どんなユーザー名やパスワードが攻撃者に使われているのか、よく使われる文字列がわかる。 ・Honeypotへのアクセスをelasticsearch + kibanaで可視化。

・その他Elasticsearchに入れているもの。ファイルのメタデータ、スパムメール、IPSの分析結果。

・SSHPSYCHOS。SSHブルートフォースアタック。Rootログインしてきたアクセス元を可視化。

・SSHブルオートフォースによって侵入されればMalwareを外部からダウンロード。

・侵入されたあとのアクションの分析。

・SSHPsychosとElasticsearchの組み合わせで分析。

さいごに

Fireeyeもそうですが、セキュリティのログをelasticsearch + kibanaで可視化ってのはわかりやすくて良いですね。