Embed Size (px)
Citation preview
実用的な大規模ネットワークのディフェンス
あるいは
「Eierlegende Wollmilchsau」の保護
私は誰でしょう?
名前: トラヴィス・ケアロック
職業: =>の技術者
気が付けば IT とセキュリティを仕事にしてもう 15 年以上・・・
node
Goals
• ネットワークトラフィックの探索
• アラートを引き起こすネットワークトラフィック規則
• フォレンジック的証拠と長時間解析
IPs? Rx/Tx?Ports?
真実はどこからやってくるのか?
•矛盾はない?
•独立性はある?
•簡単に壊せる?
•信頼性は?
•保持ポリシーは?
timestamp
data transfer
“src_ip”
“’dst_ip”
Integer
IP
道具箱の中は何?
Shoulder of Giants.
• Animate of me on should of ES.私
elasticsearch
を書くと
is
Whatthe
target?
何が接続してきた?
何に?
わからない
SD
Automate自動化
10.0.0.50:23463 -> 10.1.1.255:3306
Current View of the World
過剰検知-より良いクエリのデザイン
-遮断-ポリシーとガイドライン
-追加サービス
すべての異常が同じように発生するわけではない
アラートはどうでしょうか?
フィードバック・サイクルで考えてみよう
外部サービスに問い合わせよう
クエリツール
経緯アラートの管理と検索
ヘルプ
ダッシュボードの生成
でもそれって上手く動くの??
Questions
私の目標は何でしょうか?
真実はどこからやってくるのでしょうか?
どのツールが目的に最適なのでしょうか?
異常とは何でしょうか?
私はアラートを関連付けているのでしょうか?
ユーザの経験に関する事は?
システムは堅牢なのでしょうか?
すべてのデータを充分に活用できているのでしょうか?
あなた!
name: travis carelock
twitter: @l3d
email: [email protected]
pgp: 463E B548 F3B1 F879 4589 6505 E417 7480 D1A4 A990
private: [email protected]
pgp: 4CFC 8E69 4A07 59F2 4508 8A39 0AFA 9CC3 2D65 031E
otr: [email protected]
fingerprint: 40FCAFD7 FAA097B6 29BE95CE 6740E37E 0790E295
只今社員募集中!
Web: http://soundcloud.com/jobsEmail: [email protected]
聴いてくれてありがとう!Special Thank You to Code Blue and the Organisers!
