Amazon Web Services ブログ

AWS サービスのログの可視化やセキュリティ分析を実現する SIEM on Amazon Elasticsearch Service 公開のお知らせ

みなさん、こんにちは。セキュリティ ソリューション アーキテクトの中島です。先日(2020年10月23日)にオープンソースで公開した SIEM on Amazon Elasticsearch Service (Amazon ES) をご紹介します。SIEM on Amazon ES は、セキュリティインシデントを調査するためのソリューションです。AWS のマルチアカウント環境下で、複数種類のログを収集し、ログの相関分析や可視化をすることができます。

SIEM on Amazon ES とは

SIEM は Security Information and Event Management の略で、セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、相関分析によって脅威検出とインシデントレスポンスをサポートするためのソリューションです。Amazon ES は、オープンソースの Elasticsearch と Kibana を大規模かつ簡単でコスト効率の良い方法を使用してデプロイ、保護、実行する完全マネージド型サービスです。Amazon ES の環境に SIEM として必要な機能を実装したのが SIEM on Amazon ES です。

みなさんは、以下のような課題やご要望をお持ちではないでしょうか?

  • Amazon GuardDuty を利用して、悪意のあるアクティビティや不正な動作を継続的にモニタリングしているが、検出した脅威について、原因分析のためにイベント発生元サービスのログを調べることが負担になっている
  • 複数のログからインシデントに関連する一連のログだけを抽出して相関分析をしたい
  • AWS CloudTrail を利用して、ユーザーアクティビティと API 使用状況の追跡のためにログを保存しているが、可視化をしてより深く状況を把握したい

これらの課題を SIEM on Amazon ES では解決することができます。本日(2020年10月26日)現在でログの取り込みに対応している AWS サービスは、AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC) Flow Logs、Amazon GuardDuty、AWS WAF、Elastic Load Balancing、Amazon CloudFront、Amazon Simple Storage Service (Amazon S3)、Amazon Route 53 Resolver です。複数種類のログを横断的に検索する時は、ログのフィールドを正規化して管理することが重要になります。正規化とは複数のログで同じ意味だが異なったフィールド名だった場合に、一つの同じフィールド名にマッピングすることです。対応済みログは正規化をしています。また、IP アドレスには地理情報を付与するエンリッチメントも行っています。この処理によって、例えば送信元IPアドレスを世界地図にマッピングすることもできます。

SIEM on Amazon ESを使ったCluoudTrailのログの可視化の例

siem-sample-dashboard

アーキテクチャ

AWS サービスのログを S3 バケットにエクスポートをすると、自動的に Amazon ES に取り込まれてログ分析ができるようになります。AWS 以外のログも S3 に保存をすると同様の仕組みで Amazon ES に取り込むことができます。

siem-architecture

また、マネージドサービスとサーバーレスだけで実現しており、お客様のシステム運用の負担を軽減することができます。

SIEM on Amazon ES を構成する主な AWS サービス

  • Amazon S3: 収集したログを保管
  • AWS Lambda: ログを分析するための正規化とエンリッチメント
  • Amazon ES: ログの可視化と相関分析

開始方法

デプロイは AWS CloudFormation にて行い、約20分で完了します。Amazon ES を Amazon VPC 内に設置する、あるいはカスタマイズする場合は AWS Cloud Development Kit (AWS CDK) でデプロイしてください。デプロイが終わったら分析対象のログを S3 バケットにエクスポートするだけで、複数種類のログに対する相関分析、作成済みのダッシュボードによる可視化ができるようになります。

今後も SIEM on Amazon ES は対応するログとダッシュボードの種類を増やし、分析機能を拡張する予定です。ぜひご利用して感想を聞かせてください!

セキュリティ ソリューション アーキテクト 中島 章博