■第5回 ハニーポット技術交流会メモ
同会に参加させていただきましたので、伺った内容のメモを残します。
ここのメモは、プレゼンの中で話された内容です。後述の公開されている資料と合わせてご覧ください。
誤り等がありましたらご指摘いただけると幸いです。
★おことわり
発表の一部に会場限りの情報があり、質疑にもそれに関係したものがありましたが、それはここでは伏せています。
○お礼
発表の前に、その資料の公開予定をお伝えいただくようお願いしましたが、急なお願いにも関わらず、発表者の皆さまは快くお伝えいただきました。
おかげさまで発表内容のメモに集中できました。ありがとうございました。
●参考
第5回 ハニーポット技術交流会
https://hanipo-tech.connpass.com/event/97575/
発表資料
https://hanipo-tech.connpass.com/presentation/
日時:2018年9月29日(土) 午前10:00-12:00
会場:Sansan株式会社 表参道本社
●「ハニーポットの育てかた」(30分) @morihi_soc
ハニーポットは趣味でやってる。
ブログ等は参考になる。自分とは環境や監視場所等が異なるので、勉強になる。
ぜひ続けてほしい。
Dionaeaのアップデートが一時期止まっていたことがあった。2014年頃。
HeartBleedの脆弱性が残っており、攻撃を受けていた。ハニポ情報のみなので大騒ぎにはならなかった。
pastebinは登録しなくても投稿できるが、あとで投稿内容を削除できるように、登録はしておいた方がよい。ハニポ運用を停止した時とかのためにも。
IDSのアラートは人の目に優しくない。
→SnorbyはSnortやSURICATAよりもいい感じ。
〇質疑応答
見破られたハニポはあったか。そのきっかけは?
→sshハニポの話。攻撃者がsshハニポにログイン後、そのシステムの情報(CPU、システム名等)を確認した直後、ログアウトすることがあった。見破られた、と判断した。
●「脆弱性診断とハニーポット」(10分) @railreku
ファジング本を技術書典でだしてたりする。
ハニポはやらなきゃはじまらない...。
dirbというスキャナーを使ってオリジナルスキャンパターンを作ってみたら、顧客から喜ばれた。
●「HTTPハニーポットを作ってみた」(10分) @ninoseki
三鷹の通信会社のCSIRTのお仕事。
Rubyで作った。githubでsleep_warmという名前で公開している。
RackはWebアプリケーションインタフェースのこと。
Logz.io
デフォルト200 OKを返すのは...?(聞き取れずわからなかった)
〇質疑応答
「WOWHoneypotにはテストがない」、の「テスト」とは具体的にどういうこと?
→いわゆるunitテストのこと。
ハニポのソースコードのクラスやメソッドのすべてを動作確認できているか、を確認すること。
カバレッジとは? なんのカバー?
→ソースコードのカバー率のこと。
●「GCPの無料枠を使ってデータ分析基盤を作ってみた」(10分) @runble1
俺たちが作るべきものはハニポと分析基盤!
ELKはそこそこお金がかかる。
今回はGCPを使ってみた。無料枠が大きいから!
GCEのf1-microは永年無料。
ハニポも動かせる。
StackDriver Logging
無料枠: 30日間保存されるログが50GBまで。
GCEのログを取得できる
BigQuery ← これがすごい!
無料枠: クエリ使用料1TB/月 ← これを超えるようなログができることはまず、ない。
ログスキャンは数MBでも数GBでも同じように数秒かかる。速いのか遅いのかよくわからん。
Google Apps Script + Spreadsheet ← これも使える
BigQuery、DataStudio、App...が使いこなせてない
解析対象にしたWordPressのブログのログは、どれを解析するのか指定することができる。
GCPはSQLの中に、ユーザ定義を入れることができる。
●「継続的にログを見るための、ツール比較」(未定) @hogehuga
logwatchは古のツール。ハニポのログ監視には適していない。
ログを見に行くのはしんどい。プッシュしてくれるのが楽。
ELKはプッシュしてくれるが、アラート扱いになるので適さない。
User-Agentはマイナーなものを見たいのが心情である。
LogWatchはログが長いと「...」で省略されてしまうため、内容がわからないことがある。これが不満な点。
Logz.ioのダッシュボードはiPhone Xではうまく見られない。全体スクロールしたいのにログがスクロールしてしまう。
みなさん、次は発表側になりましょう!
●「splunkによるHoneypot監視」(10分) sec-chick
Splunkとは、様々なデータ収集と監視に使われるツール
Splunkにそのままログを食わせただけだとなんのログかよくわからなくなってしまう。
Splunkで改善したこと
httpログのpathに特徴があることが多いため、pathが見られるようにした。
SURICATAのデフォルト設定ではあまり検知しないので効果が出ていない。
詳しい人は教えてください。
情報をシェアすることでハニポの輪を広げていきましょう!