京SEC 第5回勉強会に参加したよ

前回はruby会議とかぶった上に休日出勤によってruby会議すらいけなかったという悲惨な状況でしたが今回は無事参加。
今回のお題はlogについてその有用性と問題点について考えてみるというものでした。ログファイルというものの利点は可読な過去が分かる情報リソースであること。欠点は必要な情報が分かりづらく編集ができるというところ。
こいうったログファイルの特徴を抑えた上でどのような情報をセキュリティに利用できるかを考える必要があります。そこでログにおいて重要な項目をまとめた5か条(現在刷新中で7か条になっている)というのがSANSから発表されています。これらとセキュリティの3か条のCIAとのバランスを考えてどういった情報を重点的に扱うかというのを決定するのがいいかなというのが結論かなと。
あとはそのログをどうやってみるかということ。基本的にFailはIDS等でうまく処理できるパターンが多いので実は大量の成功ログの中から問題点を発見するという作業の方が多いようです。ということで次回はsplunkを使ってグラフ等logのVisualizeについてやるそうです。
せっかくlogの話になってるしIDSでできることとかで調べてセッションとかやってみたいなとかちょっと思ってます。問題は現状で時間あるかな・・・来月は来月でひどい予定になってたりするしw