Deep SecurityのイベントをAWS SNS経由で送付する #DeepSecurity

特集

hiroyuki kaji

2017.01.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちはコカコーラ大好き、カジです。

今回はDeep Security as a Service(DSaaS)で利用可能な、Deep SecurityイベントをAWS SNS経由し送付してみましたので紹介します。 DSaaSで昨年の9月ぐらいに機能追加されていて驚きました。シンプルですがAWS SNSを経由して別なサービスに送付して処理も行えるため、この後に期待できそうです。では早速、構築してみます。

構成図

DSaaSToSNS-00

AWS側の設定

IAMの設定

IAM用のポリシーを新規作成し、SNSのPublish権限の設定します。

ポリシーを作成します。 DSaaSToSNS-policy01

DSaaSToSNS-policy02

IAM用のポリシーを新規作成し、SNSのPublish権限の設定します。 DSaaSToSNS-policy03

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "sns:Publish"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]
}

上記ポリシーを付与したDeep SecurityがSNSを利用する際に使用するIAMユーザを作成します。先ほどのポリシーを付与します。 IAM > ユーザ > 新規ユーザ作成します。 DSaaSToSNS-01

プログラムでしか利用しないため、チェックボックスを入れます。 DSaaSToSNS-02

DSaaSToSNS-03

DSaaSToSNS-04

最後にcsvファイルが生成されますので、ダウンロードし、後のDeep Security側へ設定します。 DSaaSToSNS-05

SNSの設定

Deep Securityから通知を受信し、AWS SNSのTopicを作成します。 通知を今回は簡単な、Eメールアドレスにしています。

DSaaSToSNS-06

作成した、Topic ARNを後のDeep Security側へ設定します。 DSaaSToSNS-07

作成後に表示されている「Topic ARN」をコピーしておきましょう。Deep Securityの設定に利用します。 DSaaSToSNS-08

通知先のEメール先を設定 DSaaSToSNS-09

承諾(Confim)メールが届きますので、クリックして承諾します。メールの本文は以下になります。 DSaaSToSNS-10

DSaaS(Deep Security as a Service)側の設定

管理>システム設定>SIEM>Amazon SNSに先ほど作成したものを設定するだけです。 DSaaSToSNS-11

「Test Credentials and send notification」でテストが可能です。 テスト後以下のようような本文でSNS経由でEメールが届きます。 DSaaSToSNS-12

通知される内容

EC2でeicarファイルをダウンロードして検知した時のSNSの通知となります。 人間が読む場合は、Deep Securityの通知設定の方が適しています。 以下の結果をもとにAWSの別なサービスで処理を行うためにはこちらの方が良いでしょう。

[{"AMTargetTypeString":"N/A","ATSEDetectionLevel":0,"EngineType":536871936,"EngineVersion":"9.85.0.1008","ErrorCode":0,"EventID":xxx,"EventType":"AntiMalwareEvent","HostAgentVersion":"9.6.2.7516","HostID":XXX,"HostOS":"Amazon Linux (64 bit) (4.4.14-24.50.amzn1.x86_64)","HostSecurityPolicyID":203,"HostSecurityPolicyName":"XXXXXXXX","Hostname":"ip-hogehoge.ap-northeast-1.compute.internal","InfectedFilePath":"/home/ec2-user/eicar.txt","LogDate":"201x-xx-xxT08:xx:08.000Z","MajorVirusType":2,"MajorVirusTypeString":"Virus","MalwareName":"Eicar_test_file","MalwareType":1,"Origin":0,"OriginString":"Agent","PatternVersion":"0.000.00","Protocol":0,"Reason":"Default Real-Time Scan Configuration","ScanAction1":4,"ScanAction2":3,"ScanResultAction1":-81,"ScanResultAction2":0,"ScanResultString":"Quarantined","ScanType":0,"ScanTypeString":"Real Time","Tags":"","TenantID":xxxxx,"TenantName":"hogehoge-Inc.co.jp"},{"AMTargetTypeString":"N/A","ATSEDetectionLevel":0,"EngineType":536871936,"EngineVersion":"9.85.0.1008","ErrorCode":0,"EventID":xxx,"EventType":"AntiMalwareEvent","HostAgentVersion":"9.6.2.7516","HostID":XXX,"HostOS":"Amazon Linux (64 bit) (4.4.14-24.50.amzn1.x86_64)","HostSecurityPolicyID":203,"HostSecurityPolicyName":"XXXXXXXX","Hostname":"hogehoge.ap-northeast-1.compute.internal","InfectedFilePath":"/home/ec2-user/eicar.txt","LogDate":"201x-xx-xxT08:xx:09.000Z","MajorVirusType":2,"MajorVirusTypeString":"Virus","MalwareName":"Eicar_test_file","MalwareType":1,"Origin":0,"OriginString":"Agent","PatternVersion":"0.000.00","Protocol":0,"Reason":"Default Real-Time Scan Configuration","ScanAction1":4,"ScanAction2":3,"ScanResultAction1":-81,"ScanResultAction2":0,"ScanResultString":"Quarantined","ScanType":0,"ScanTypeString":"Real Time","Tags":"","TenantID":31981,"TenantName":"hogehoge-Inc.co.jp"}]

まとめ

いかがでしたでしょうか?簡単に送付が行えますね。今後も別サービスと連携してくると利用方法が広がりそうです。 便利なAWS SNSとの連携ですが今後改善に期待する改善点を1つ言うと、現在のところDeep Securityのポリシー毎に送付可否の制御できません。 そのためDSaaSのアカウントの全イベントが全て送付されます。監視下のあるサーバ(ポリシー)の通知だけ受信したい場合に、受け取る側で選別が必要になります。

参考元

トレンドマイクロのドキュメントは以下となります。

Access events with Amazon SNS

AWS

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

臼田佳祐

2024.04.16

インシデントレスポンスのライフサイクルを廻すポイントってなに 【資料公開】 #devio_osakaday1

酒井剛

2024.04.12

Splunk の CIM (Common Information Model) の使い方と CIM 対応 App について理解する

佐久間昇吾

2024.04.06

Exploring WhatsApp Data with Splunk: A Hands-On Guide

HemanthKumar R

2024.04.05