本日最後のセッション、
Elasticsearchをセキュリティ用途で使えないかと注目している皆さんにとっては
インパクトある内容だったと思うのが、このセッション。
elasticのNicholas Limさんによる
「Security Use Cases with Elastic Stack」です。
セッション中には、デモを交えた事例が紹介されました。
一つめが、AntiVirusのイベントログを分析することで
ウイルス感染した件数、感染したホスト数、影響を受けたユーザ数などを可視化するものです。
(食らった後の話かー!)
続いて、IDS/IPSのログから、イベントの総数や、攻撃者数、標的数などを可視化するダッシュボード。
また、Firewallのイベントログから、ソースIP、攻撃先IPとポート数などを可視化するダッシュボード。
(いずれも、私たちが作ろうとしているものに近いです、参考になる!)
そしてWatcherを通じて、メールやHipChatに通知を送ることができます。
HipChatとつなぐというアイデアは、星野リゾート様の事例にも出てきましたが
最近はチャットツールもAPI経由でのアクセスが当たり前になってきているので
通知先としてもかなり有効です。
またセキュリティログを分析する際、情報ソースとなるFirewallやミドルウェアは
プロダクトごとにログ形式は異なっており、自前で解析する必要があります。
そこで推奨されていたのが、標準に則ることです。
STIX/CEF/CIM/LEEFなどのセキュリティロギングの標準に従ってログ出力し
その解析をElasticsearchで行うというものです。
私はまだセキュリティ関係は勉強中なので、改めて復習します!(><)
さー、LTやでー!