More Related Content
Similar to Elastic Cloudを利用したセキュリティ監視の事例 (20)
More from Elasticsearch (20)
Elastic Cloudを利用したセキュリティ監視の事例
- 1. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
ElasticON Security
Elastic Cloudを利⽤したセキュリティ監視の事例
(YーSOC︓Yokogawa Security Operation Center)
塩崎 哲夫
横河電機株式会社
デジタル戦略本部 副本部⻑
Nov.5th 2020
- 2. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
Agenda
1
1. 会社概要
2. SOC開発の背景と歩み
3. YーSOCの概要
4. トレーニングとコンサルテーションの事例
5. 外部システムとの連携(ServiceNow)
- 3. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
会社概要 (2019年実績)
- 2 -
横河電機株式会社
Yokogawa Electric Corporation
大正4年(1915年) 9月1日
大正9年(1920年)12月1日
434億105万円
4,044億円(連結)
356億円(連結)
363億円(連結)
147億円(連結)
6.8% (連結)
18,107人(連結)
58.4% (連結)
商 号
創 ⽴
設 ⽴
資 本 ⾦
売 上 高
営 業 利 益
経 常 利 益
当 期 純 利 益 ※
開 発 投 資 ⽐ 率
従 業 員 数
⾃ ⼰ 資 本 ⽐ 率
※親会社株主に帰属する当期純利益
計測6.1%
航機その他2.2%
制御
91.7%
事業別売上高
⽐率
中東・
アフリカ 555
日本 1,265
東南アジア・極東
660
インド 153
ロシア
195
中南米 90
北⽶ 327
地域別売上高
(億円)
(2019年度実績)中国 473
欧州全域
326
横河電機 株式会社 会社概要
プラント制御のシステムを中心に世界62カ国に拠点を展開。
- 4. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
製品・サービス概要
- 3 -
横河電機 DXへの取り組み
制御システムなどのオペレーショナルテクノロジー(OT)と情報技術(IT)とを融合させ、
インテリジェントな工場を支えるサポートサービス提供をめざす。
- 5. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
SOC自社開発の背景と歩み
外部にIDSの監視を委託していたが、
IDS監視だけではサイバー攻撃の特
定や検知が難しかった。
海外の売上⽐率が⾼く、Globalにシ
ステムを展開しているが、各拠点毎
に様々なセキュリティ製品が導入され
ており、監視体制も統一されていな
かった。
DXサービスの推進において、自社内
でもサイバーセキュリティのノウハウを
蓄積する必要が出てきた。
しかし、自社でセキュリティ監視基盤
(SEIM)の導入・運用ができるかリ
ソース⾯でも不安もあった。
4
1. 2018年秋から全社統合監視基盤を検討。
2. 2019年1月~3⽉︓東京とシンガポールを対象
に、Elastic CloudのPoCを実施。ログの収集や
転送時間、アラートの分析などSOCの要件の整
理とElastic Cloudの効果測定を実施。
3. 2019年4月~︓ Elastic Cloudとコンサルティン
グサービスを契約。バンガロールでSOC開発体
制を揃え、トレーニングを受講しながら進める。
4. 2019年︓主要拠点(⽇本、欧州、北⽶、シン
ガポール、中東、インド)の監視を⽴ち上げる。
並⾏して、監視・検知アプリの開発改善、他社
Cyber Threat Intelligenceとの連携を図る。
5. 2020年︓監視範囲を合計15箇所に拡大
(中国、ロシア、南米、台湾、フィリピン、インド
ネシアなど)。ServiceNow のITSMとの連携
を⾏う。
- 6. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
横河電機のIT インフラの イベントやセキュリティログを収集.(PCs, IDS, AD / DHCP / DNS, Mail, Cloud)
疑わしい通信やイベントを機械学習のジョブとPython スクリプト, Watcher、そしてCyber threat intelligence
(PA Autofocus / VirusTotal) で検知、分析。
自動検知プログラムを開発し、自動的なアラート通知を実施.
各地域のセキュリティ担当者と対処方法について定期的な会議を実施.
Y-SOC (Yokogawa Security Operation Center) 概要
- 7. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
Monitoring Scope:
シシンガ
ポール
日本
北⽶欧州 中東 インド2南米KBC
韓国
インド1
インド
ネシア
フィリピン中国
ロシア
台湾
Main Functions
- Log Collection & enrichment
- Visualization
- Detection & Analysis
Cyber Threat Intelligence
- 8. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
Y-SOC statistics
7
Security log analytics platform (Firewall, IDS, AD, DNS, DHCP, Email gateway,
Endpoint security, Cloud app security, WAF, O365)
Data Ingestion rate: ~ (500 – 600 million) logs/day
Data Ingestion size: ~ (250 - 300) GB/day
Frequently accessed data: last 7 days
Infrequently accessed: Last 60 days
Uptime SLA: 99.95% (Elastic Cloud)
Data replication: 2 (1 Primary & 1 Replica)
Hot Retention period: 30 days or 40 GB/index (whichever is earlier)
Warm Retention period: 60 days (with potential to increase)
- 9. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
Key points to establish Elastic SEIM
8
1. Log hearing
(Security devices
and data
generation/day)
2. Basic Design
(Elasticsearch
cluster size,
storage capacity
etc)
3. Logstash
server, Beats
agent
deployment
4. Common schema
(ECS)
5. Logstash pipeline
configurations (log
parser)
6. Standard
dashboard design
7. User Role
Privilege Design
- 10. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
System structure - Visualization
Dashboards are layered to subdivide the whole data and identify the cause of anomalies
- 11. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
5. Monitoring enhancement
IOC IP from CTI IOC URL from CTI
+
IOC Domain from CTI
+ +
Compare IOC with logs
Threat feed matching analysis and Detection rules
Matching of Threat Intelligence feeds to log information
Alert
<JPCERT/CC などの資料を参照に検知ルールを作成>
⾼度サイバー攻撃への対処にログの活用と分析方法
ログを活用したActive Directoryに対する攻撃の検知と対策
• AD Lockout Events, Multiple failed attempt, Audit poly change, Reply attack, etc.
• PC Script for untreated threat, Credential dumping (MITRE T1003:mimikatz.exe,pwddump.exe)
• DNS Malicious TOR / darkweb access
• IDS Threat event related to spyware, virus and vulnerability
- 12. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
System structure - Detection & Analysis
Alert Index
脅威のカテゴリと脅
威レベルのマトリクス
とから重要度を判断。
設置された分析エ
ンジンが異常を自
動検知。
アラート 情報はAlert Indexに収
集され email でY-SOC teamに
通知。
Y-SOC アナリストは個々のア
ラートを分析し誤検知かどう
か判断する。
誤検知ではない場合、Y-SOC
アナリストは、各地域の CSIRT
メンバーに調査を依頼する。
①
②
③
④
- 13. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
Training courses & Elastic consultation
12
• Elasticsearch Engineer 1 (link)
• Elasticsearch Engineer 2 (link)
• Data Analysis with Kibana (link)
• On demand trainings (link)
• Elastic consultation during
• 設計支援(クラスタ設計、ログ収集方式)
• デプロイ支援(Logstash, メッセージ翻訳)
• 自動アラート通知(Watcher, Jenkins, link)
• 運用支援(ストレージ管理、インデックス管理)
松本さんNicholasAsjadSiu
- 14. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
ServiceNow integration: Phase 1
During phase 1 implementation, ServiceNow support
incident workflow of security through its ITSM module.
Incident lifecycle management
ITSM
Y-SOC
SEIM
- 15. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
ServiceNow ITSMコネクタを利⽤して
Elastic SIEMと統合して、セキュリティインシ
デントのライフサイクル管理を実施。
14
Elastic SIEM and ServiceNow ITSM integration
この統合により、アナリストはElastic SIEMアプリを使用して脅威や運用上の問題を調査し、
フォレンジック証拠と関連コメントを付記し、ServiceNowインシデントを作成。
関係するチームに割り当て、対応状況を管理。
- 16. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
今後の強化
15
脅威分析エンジンの継続的な改善
ServiceNowとの連携強化(ITOM, SecOps)
マルチクラウドの監視強化(WAF, K8s, Application Container)
IT/OTセキュリティ監視の強化(MITRE ATT&CK ICS)
MS O365セキュリティとの連携(Defender ATP, MCAS)
Proactive な監視防御
3極体制での監視
- 17. | Document Number | Nov 5, 2020 |
© Yokogawa Electric Corporation
The names of corporations, organizations, products and logos herein are either registered trademarks or
trademarks of Yokogawa Electric Corporation and their respective holders.
他社との情報交換を募集してます。
Tetsuo.Shiozaki@Yokogawa.com
16