AWS VPC Traffic Mirroringを使って​ Fraud監視をスタート!​

© 2021 SPLUNK INC. AWS VPC Traffic Mirroringを使って Fraud監視をスタート! Security-JAWS 【第20回】 勉強会 2021年2月18日(木)

ForwardLooking Statements This presentation may contain forward-looking statements regarding future events, plans or the expected financial performance of our company, including our expectations regarding our products, technology, strategy, customers, markets, acquisitions and investments. These statements reflect management’s current expectations, estimates and assumptions based on the information currently available to us. These forward-looking statements are not guarantees of future performance and involve significant risks, uncertainties and other factors that may cause our actual results, performance or achievements to be materially different from results, performance or achievements expressed or implied by the forward-looking statements contained in this presentation. A discussion of factors that may affect future results is contained in our most recent annual report on Form 10-K and subsequent quarterly reports on Form 10-Q, copies of which may be obtained by visiting the Splunk

© 2021 SPLUNK INC. 横田 聡 ご無沙汰です。 ２年ぶりのSecurity-JAWS！ シニアセールスエンジニア CISSP GMON Splunk Services Japan 合同会社 twitter@odorumurphys qiita@odorusatoshi 新作 ↓

© 2021 SPLUNK INC. 今日は、不正ログイン（Fraud）のお話 本日のテーマ 不正ログイン 脆弱性/改ざん 参照元：情報セキュリティ10大脅威 2021 https://www.ipa.go.jp/files /000088289.pdf

© 2021 SPLUNK INC. Splunkを使ったFraud監視のポイント あらゆるサービスに対するFraud (詐欺行為、不正手段) の監視に活用 サービスログイン試行 被 害 の 影 響 範 囲 サービスログイン後のなりすまし利用 (Credential Stuffing) (Account Take Over) ②不正送金(又はAML) 会員系Web サービス ①不正ログイン • ブルートフォース攻撃 • リバースブルートフォース攻撃 • パスワードリスト攻撃 ③不正利用 • 不正ポイント利用（〇〇ポイント） ④その他不正利用 • 不正請求（保険金の請求） • 不正医療費請求（薬の不正提供） • クレジットカード不正利用 etc 時間の経過

分析の要。認証イベントのフィールド © 2021 SPLUNK INC. アプリケーションログにて出力保存できていますか？ TimeStamp Browser City Country OS Response SrcIP Type UserId 2020-09-10T08:29:59.975Z Chrome 8 Tokyo Japan Mac OS X Pass 203.xxx.xxx.xxx SignIn xxxxxx-6766742b420c 2020-09-10T08:12:46.333Z Chrome 8 Tokyo Japan Windows 10 Pass 203.xxx.xxx.xxx SignIn xxxxxx-0fe731727ea5 2020-09-10T08:11:35.177Z Chrome 8 Tokyo Japan Mac OS X Pass 203.xxx.xxx.xxx SignIn xxxxxx-edf222878482 2020-09-10T08:10:09.440Z Chrome 8 Tokyo Japan Windows 10 Fail 203.xxx.xxx.xxx SignIn xxxxxx-a759d6ad74ab 2020-09-10T07:53:04.002Z Chrome 8 Chiba Japan Mac OS X Fail 60.xxx.xxx.xxx SignIn xxxxxx-3b4aeba6eb7e Browser OS(Device) Status SrcIp UserId

裏技:Splunk Streamでhttp通信をキャプチャ © 2021 SPLUNK INC. 「Webアプリケーションの改修(ログ出力設定)が困難なためネットワークでどうにかしたい！」 デプロイ方法１: SPANポートを使用した構成 (推奨) エンドユーザー Internet Firewall TAP or SPAN Servers デプロイ方法２: ホスト上でインラインに動作させる エンドユーザー Internet Firewall Physical or Virtual Servers Universal Forwarder Splunk_TA_stream Splunk Indexers Search Head Splunk Indexers Linux Forwarder Splunk_TA_Stream Search Head

常時SSL(https)の通信をどうやってモニターするの？ © 2021 SPLUNK INC. Application Load BalancerなどでSSL終端している環境であればhttpプロトコルとしてキャプチャ可能 Web サーバ https://www.mangoschips.net TCP:80 UDP: 4789 Availability Zone (1) TCP:443 Forwarder サーバ eth1 eth0 TCP:80 Application Load Balancer Am azon Route 53 Web サーバ UDP: 4789 TCP: 9997 Splunk サーバ TCP: 8088 Availability Zone (2) security group AWS Certificate Manager Amazon Kinesis Firehose AWS WAF Webサーバ • Amazon Linux2 • Apache:2.4.46 • PHP:5.4.16 • MySQL:5.7.32 Community Server 収集データ • AWS WAFアラート（HEC経由） • stream:httpデータ（VPC Traffic Mirroring経由）

© 2021 SPLUNK INC. 本日のデモ：WAFアラート調査 & Fraudセキュリティ監視 取得推奨データ 公開Webサイト CDN Firewall L/B Internet IDS/IPS WAF Webサーバ ・アクセスログ or WireData(http) WAFアラート調査 認証サーバ ・アプリログ (認証ロ グ) or WireData(http) Webアプリ サーバ ・アプリログ （取引ログ） Fraudセキュリティ監視 GCP Azure クラウドサービス監視 Root Loginチェック ・SQL Injection検知時のレンスポンス内容のチェック ・アラートとForm内容の突き合わせチェック etc ・サービス提供外国からの認証チェック ・異なるsrcから同一アカウントへの認証チェックetc IAM認証失敗チェック S3バケットpublic公開チェック etc

これからはじめるFraud対策ハンズオン! Fraud対策の基礎を学ぶ2日間のワークショップを開催。 両日参加する方は両ページからそれぞれ登録お願いします。 Day1: Webサービスにおける不正ログインの調査 Day2: トランザクションデータを用いた偽造カードの調査（with 機械学習） Day1: 3/17用 申し込みQRコード http://splk.it/39ulArD Day2: 3/18用 申し込みQRコード http://splk.it/3qZuX8p © 2021 SPLUNK INC.

© 2021 SPLUNK INC. 参考記事 AWS VPC Traffic Mirroringを使ってFraud監視をスタート! • • https://qiita.com/odorusatoshi/items/40a0bf66d8078e1f6b35 Splunk Streamを使って http通信のWire Dataを可視化 • • https://qiita.com/odorusatoshi/items/1a9efe222ba6e8c4c454

© 2021 SPLUNK INC. Thank You!