前回の 脆弱性対応勉強会#4 ログ分析の初歩;ハンズオン の改変版です。

• 分析を行う前の、ログの必要性や保管方法などの話を増強します
• 時間的にハンズオンはしませんが、apache httpd2のログで、分析の初歩を提示します。

前回は大幅に時間が足りず、ハンズオンがほぼできなかったので、今回は明示的にはやりません。

• やりたい人は何らかの方法でリクエスト下さい。

Facebookグループ「脆弱性対応研究会」の勉強会になります。 Connpassページは、当勉強会をまとめるグループとなります。

• Facebook「脆弱性対応研究会」
• Connpassグループ「脆弱性対応研究会」

会場について

初利用なので私もよく分かりません。オシャレ系？っぽいです。

• https://www.instabase.jp/space/8840426640
• 東京メトロ銀座線 神田駅 徒歩1分
• 381ビルというコンクリート打ちっぱなしのマンションの２F
• デザイナーズマンションで、ビル名が書かれておりません。部屋番号は201号室です。

概要

ログ分析の初歩をやるための、ログの必要性や保管方法等について説明します。

• ログとは？
• ログの必要性
• どの程度保管すべきなのか
• どこに保管すべきなのか
• 何を出力すべきなのか
• 一般的にどのようにされているのか

以下の資料を使います。

• 脆弱性対応研究会のgithub

目的

近年、ログ保管の重要性は高まってるので、これを後押ししたい。

• 脅威を可視化することとしてSIEMが流行っていますが、そもそもログ分析とは、、というのを考えたい。
• ログ分析は、やっている人 と やっていない人(資料は読んだが手は動かしていない) にかなり別れるような気がするので、実際に手を動かしてもらいたい。→けど今回は実施せず
• まずは基礎となる簡単なログ、デフォルトのApache httpd2のログを見てみる。
• (参加者から、私はこう考える/こうしている、という知見を得て、本イベントの内容を更新する)

ログを覗く時、ログもまたあなたを覗いている

• 今出ているログをただ見るだけでは、ログもそれなりの情報しか提供してくれません。
• こちらが「何について」「どのように」「どの程度の」ログを欲しいと検討し手求めた時、ログは望みをかなえる情報をくれます。

これからSIEMを入れたいという組織に所属している担当者さんは特に来ていただきたい。

• セキュリティコンサルティング等によりSIEMを導入することは簡単ですが、導入後の運用が難しいです。
• 「導入時に設定したこの指標だけ見ててください」のようなSIEMは、正直SIEMである意味はありません。
• 使いこなすには、使いこなすための知識が必要です。SIEMサービス自体の使い方、ログそのものに対する知識、ログを出しているサービス(httpなど)での脅威や脅威検出の知識、などが必要です。
• そういう、使いこなすための知識、の初歩を得られると思います。それにより、SIEM導入業者のごまかしを見抜くことができたり、導入後に有効に使いこなせるかもしれません。

なお、ログに対する理解を深めるため、この勉強会ではSIEMは使いません。 文字列を操作するコマンドで情報を整理し、分析していきます。

対象者

脆弱性対応をこれから始めようとしている方、いろいろな考え方を聞いてみたい方、などを想定しています。 「初学者向け」の想定です。

• 情報システム部や運用部署で、自組織の脆弱性対応をされる方
• 運用サービスの会社で、他組織の脆弱性対応をされる方
• CSIRTっぽいことやることになった方
• 脆弱性情報の収集や検討方法を学びたい方、意見交換したい方

情シスの方には有用だと考えています。

スケジュール

以下のようなタイムスケジュールで進めます。

お時間有れば、お昼ご飯を近くで取りましょう。

(その後 個人的には、横浜のスカイスパに行く予定です)

持ち物

必須持ち物は、ありません。

• WiFiはありません。
• 適当にtweetして頂いて構いません

禁則事項

みんなで脆弱性対応について共有していきたい、という趣旨に反することは禁止とします。

• 本勉強会での勧誘行為は禁止します。
• 参加者が嫌がる、不快になる言動は禁止します。状況により退席頂きます。
• 私が所属する会社の社員や関連する方の参加。強制キャンセルの上、当日は追放しますね。

その他

勉強会会場を探しています。会場提供可能な方がいらっしゃいましたら、ご連絡ください。

• 10分程度の会社アピール時間を用意します。