(レポート) Elastic{ON} 2016: Hunting the Hackers: How Cisco Talos is Leveling Up Security #elasticon

(レポート) Elastic{ON} 2016: Hunting the Hackers: How Cisco Talos is Leveling Up Security #elasticon

Clock Icon2016.02.18

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

本記事はElastic{ON} 2016のセッション、「Hunting the Hackers: How Cisco Talos is Leveling Up Security」のレポートです。

スピーカーはCiscoのKate NolanとSamir Sapra。

DSC_0090

レポート

・Malware SamplesはDialyで1.5 Million。 ・Daily EmailのうちSpamは86%。 ・Web Protection、Dailyで19.7Billionのブロック。 ・Webリクエストは16Billion/1day、メールは600Billion/1day。 ・Cloud to Core Coverage、TALOS ・解析する対象データ。様々な種類やタイプのデータを解析対象としている。

DSC_0092

・検出したExploit kitsのデータをElasticsearchに投入。 ・Exploit kitsの検索クエリのサンプル。

DSC_0093

・Honeypotで得ることができたデータ。攻撃者がどんなユーザー名やパスワードでHoneypotにアクセスをしようとしたのかがわかる。

DSC_0094

・Honeypotへのアクセスから、どんなユーザー名やパスワードが攻撃者に使われているのか、よく使われる文字列がわかる。 ・Honeypotへのアクセスをelasticsearch + kibanaで可視化。

DSC_0095

・その他Elasticsearchに入れているもの。ファイルのメタデータ、スパムメール、IPSの分析結果。

DSC_0096

・SSHPSYCHOS。SSHブルートフォースアタック。Rootログインしてきたアクセス元を可視化。

DSC_0097

・SSHブルオートフォースによって侵入されればMalwareを外部からダウンロード。

DSC_0098

・侵入されたあとのアクションの分析。

DSC_0099

・SSHPsychosとElasticsearchの組み合わせで分析。

さいごに

Fireeyeもそうですが、セキュリティのログをelasticsearch + kibanaで可視化ってのはわかりやすくて良いですね。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.