ハニーポットのログ、毎日アクセスログを见よう
- 3. お前誰よ ■ Twitter: @hogehuga ■ 趣味 – 職業分類上、コンサルタントです。 – 趣味の似非リサーチャー ■ 今は業務が忙しくて… ■ インシデント情報収集分析が好き – バイクだよ ■ CBR250RR, CrossCAB,V-Twin Magna ■ 神戸の勉強会に、バイクでよく行く – Love 四川麻婆豆腐、激辛料理 – Vuls ■ https://vuls.io/ ■ https://vuls-github.slack.com/ – IoTSecJP ■ http://ruffnex.net/iotsecjp/ ■ https://iotsecjp.slack.com/
- 4. 本発表の対象 ■ 対象者 – これからハニーポッターになろうという人 – 自分みたいに、ショボい (??ω?`) ハニーポッター – 帰宅後に、家でPCを開くのが苦痛な人 – ログ転送したKibanaとか、重くてiPhoneで見れねーんだよ、な人 ■ 対象外の人 – プロの人、経験豊富な人 – 毎日帰宅後にPCを開くのが苦痛じゃない人 – 目grepの達人
- 5. ハニーポッターになろう ■ ハニーポッターになるためにやることは? – ハニーポットを… ■ 設置先を検討する ■ 設置する ■ メンテナンスする ■ ログを見て分析する ■ 分析結果を公開する ■ この中で一番面倒かつ時間がかかるのは「ログを見て分析する」こと – 継続力を試される ■ 自慢じゃないが、すぐ飽きるよ – そもそも見る環境が必要 ■ PCでないと、快適に見れない。家帰ってまでPC触りたくないよ – T-Pot、お前だよ!iPhoneじゃ見れないことが多いんだよ! 普通に、サーバ運用ですね。 ログに関しては、運用レポート相当。
- 6. ハニーポッターと挫折の部屋 ■ 興味あるから、植えてみよう – WOWHoneyPotとか入れるの楽やん – T-Potとか、フルセットのハニポが簡単導入だ! ■ 植えて最初のうちは – 作ったんだしログ見よう – 初めて見た!面白い! – Kiabanaやsshログイン、面倒だけど面白い! ■ そして迎える、マンネリ – ログ見るために準備するのめんどくさい – いつものログでしょ? ■ いつの間にか、ハニーポットレスになる – 面倒だから、もういいや(??ω?`)
- 8. 挫折要因と対策 ■ ログの確認/分析以外は、一度設置したら放置でも問題ないことが多い。 – 一度設置したら、動かさないほうが良いかも ■ グローバルIPによって傾向が違うことが多い – 気が付いたらバージョンアップする/自動アップデート ■ OSは自動アップデート、ハニポなら cronで git pull ■ むしろ、放置の人も多いのでは? ■ ログを見るの、面倒じゃね? – 「見に行く」「取りに行く」という行為が面倒 ■ Pushさせる、自動化する – 家でPC開きたくないよ = iPhone/Android で何とかできんの? – Kibanaとか、PCで見るべきでしょ ■ iPadならまだしも、iPhone Xとかのサイズだと、ね
- 9. 生活の一部にハニポを取り込もう! ■ Pull型の情報はめんどくさい – ログとかを、まとめてPushすればいいんじゃない ■ PCで見ないと、見づらいよね – GUIベースではなく、テキストベースの情報配信がよさそう – iPhone等で見れるようにしたいね 定時にログをまとめて送ってくれるシステムがいい! →寝る前にログを見る習慣 こういうのに向いてるのがあった。LogWatchだ! ■ いろいろいじらないとだめね – 長いリクエストは、端折られる – SSHのログ処理が残念 – メールかよ!
- 10. それ、Slackでいいじゃない ■ Slack、使ってますよね? – iPhoneやAndroid用のアプリがあり、操作性はそこそこ良い – Slackに届けば、スマホにPush通知が出て、気づく ■ 受動的に、スマホを持っていれば情報が届く – メールと違い、スレッド管理やインタラクティブにアクションしやすい – WebHookでテキスト飛ばせばいいので、ボットは不要 ■ EndpointはSlackとして、送るデータをどうしよう – 適当に自分でまとめたのを、WebHookで送ればいい。自由だ。 – おおよそ1日分のログを送り付ける、のがよいかも ■ 最初のうちは、日々の傾向等を知るために毎日見たほうがよいのでは? ■ 慣れてきたり、ログ集約方法が固まったら、変えればいいよ ■ ログ保存は? – Slackの有料プラン(独り利用)なら 1000円以下 – 検索もできる!
- 11. ショボい (??ω?`) の作ったよ ■ dailyLogCheck – https://github.com/hogehogehugahuga/dailyLogCheck ■ 適当に、その日一日のログから以下を集計してSlackに送るためのセット – SourceIP/ASN集計 – UserAgent集計 – Request集計 – (マージしてないけど、sshの集計) 内容自体は比較的どうでもよくて、ログを毎日見ることで異変に気付ける(?)体質訓 練になるのでは。 Readmeに、GEOIPLOOKUP必要と書いてない…等 不足情報等あるので、自分で改造!PR推奨!
- 12. まとめ ■ 「趣味の」ハニーポッターの挫折要因は、ログを見る部分ではないか? – 見るコストを下げよう ■ Pushさせる ■ いつも使うツールに送る(メールは経験上、だめだ) – Slackに送るといいんじゃない ■ 気づいたことをその場でThreadに書いたりできる ■ 情報収集等に利用できる (RSSのインテグレーションがある) – 情報元を集約できる – ショボい とりあえず実装 を出したから、改造して楽しめばよいのでは ■ 初めてなら、こんなのでも十分。 ■ 機能不足を感じたら、SIEMへステップアップ