侵入防御の誤検知を減らすためのDeepSecurity運用

侵入防御の誤検知を減らすためのDeepSecurity運用

1. 1. 侵入防御で誤検知をなくすための DeepSecurity運用 Trend Micro Cloud Integrator Consortium classmethod.jp 1 15/09/15 クラスメソッド株式会社 AWSコンサルティング部 森永 大志
2. 2. 会社紹介 クラスメソッドとは classmethod.jp 2
3. 3. クラスメソッド株式会社 classmethod.jp 3
4. 4. Developers.IO classmethod.jp 4
5. 5. Developers.IO classmethod.jp 5 5000本の技術記事 1800本のAWS記事 月間100万PV
6. 6. 自己紹介 森永大志とは classmethod.jp 6
7. 7. 自己紹介 森永 大志 クラスメソッド株式会社 AWSコンサルティング部 ソリューションアーキテクト classmethod.jp 7
8. 8. 誤検知を無くすための運用 運用でなんとかする classmethod.jp 8
9. 9. 侵入防御 ホスト型IDS/IPSやWAFのことを指す。 これとファイアウォールで侵入を防ぐ。 classmethod.jp 9
10. 10. 仮想パッチ ソフトウェアに脆弱性が発見され、公式のパッ チが出る前に攻撃を防ぐための疑似パッチ。 classmethod.jp 10
11. 11. 誤検知 「侵入防御」「仮想パッチ」が正常な通信を遮 断してしまうことがある。 異常な通信を通してしまうのも問題ですが… classmethod.jp 11
12. 12. モード 「侵入防御」には２つのモードがある。 • 防御モード いわゆるIPS。 攻撃と思われる通信を遮断する。 • 検出モード いわゆるIDS。 攻撃と思われる通信を検知する。 classmethod.jp 12
13. 13. おすすめの運用 新しいルールを一定期間「検出モード」で適用 したのちに「防御モード」に切り替える つまり慣熟期間をもうける classmethod.jp 13 から
14. 14. ルールアップデートの頻度 侵入防御のルールアップデートは以下の時間 • 毎月第二水曜日 3:00～8:00 頃 • 毎月第四火曜日 22:00～第四水曜日 5:00 頃 これ以外に緊急のルールアップデートが実施される classmethod.jp 14 緊急の脆弱性に対応したルールアップデート BIND、OpenSSL、Bashなど
15. 15. 侵入防御ルール適用方針 ①新規定期ルールアップ デート配信 ②既存ルールは自動で「防 御モード」へ移行 ③新規定期ルールは「検出 モード」で適用 ④次の定期ルールアップ デートまで「検出モード」 ⑤緊急のルールアップデー トは即時「防御モード」 ⑥レポートで怪しい動きが あれば、そのルールのみ手 動で「防御モード」 classmethod.jp 15
16. 16. 詳細・設定方法 続きはWEBで！弊社ブログをご覧ください。 classmethod.jp 16
17. 17. さいごに せんでん classmethod.jp 17
18. 18. 宣伝！ Re:Inventの振り返り、IoTの話をするイベン ト「Re:Growth」を実施します！ classmethod.jp 18 http://classmethod.connpass.com/event/19500/
19. 19. ご清聴ありがとうございました。 classmethod.jp 19