S-Owl

S(ecurity)Owl

トップ > honeypot > 2018/06/30第4回ハニーポッター技術交流会LT「ハニーポットログの読み方(初級編)」

2018/06/30第4回ハニーポッター技術交流会LT「ハニーポットログの読み方(初級編)」

honeypot lt

2018/06/30に、@morii_socさん主催の第4回ハニーポッター技術交流会にLT参加してきました。

 

もともと、ハニーポットについては、詳しく知ったのは @one_chick さんから話を聞いたのがキッカケです。
また、合わせてこの技術交流会の存在は聞いていて、参加したいと思っていました。
ただ、参加者枠がすぐにいっぱいになる、ということなので、
これは別枠で用意されているハニーポッター枠で参加しよう、と思いました。
その為に、いつかやりたいなと思っていたハニーポット運用に着手しました。
キッカケなんて、そんなものです。
それで、始めてみたら意外と続けられています。

ただ、植えるのに時間がかかり参加希望が出遅れた為、ハニーポッター枠でも補欠になってしまい…。
これはもう参加するにはLT枠に行くしか!ということで初参加でLT枠で参加してきました。

 

LTのネタは、構築系のLTが多い気がしたので、ログ分析の話をしようかな、と思いました。
初めは観測した攻撃の紹介をしようかと思いましたが、森久さんの本に大体書いてあったのと
職場でログのどこから見るべきなのかが分からない、という相談をきっかけに
ログってこんな観点で見ていますよ、というLTにしました。

 

第4回 ハニーポッター技術交流会の資料は以下にあります。
https://hanipo-tech.connpass.com/event/90337/presentation/

自分のLT資料は以下です。
ハニーポットログの読み方(初級編)」
https://speakerdeck.com/sec_s_owl/hanipotutorogufalse-du-mifang-chu-ji-bian


LTの内容は以下でした。
1.「Drupalgeddon2 をハニーポットで観察してみた」(30分) @morihi_soc
2.「その T-Pot 本当に必要ですか?」(15分) @Nao_security
3.「Welcome To Honey Pot World 〜低対話型ハニーポットについて調査してみた〜」 (15分) sec-chick
4.「AWS+T-Pot+WOWHoneypot+ELKでWeb攻撃を観察してみよう」 @graneed111
5.「ハニーポットログの読み方(初級編)」(10分) @Sec_S_Owl
6.「毎日見よう アクセスログ」(10分) @hogehuga

 

参加者の感想曰く、以下の流れでした。
ハニポといえばふつーT-Potだよね
→T-Pot要求スペック高すぎてムリ、軽く安くすます方法
→T-Pot以外のハニポはこんなのがある
→ちなみに金かけてELK使うとこんな感じ
→ログはこう読む
→ログをもっと簡単に読む


参加してみた感想としては、交流会と言えど意外とハニーポッターは少ない?という感じでした。
質問等を見ても、運用者は半数くらい居たとしても、分析者はさらにその半分くらい?という印象。

LACやIIJは定期レポートの中で、よくハニーポットでの観測結果について記載しているため
それらの企業では一般的にやっている為、関係者がいるかとも思っていましたが
企業でやっていれば個人としてやる必要性はないという事かもしれません。

 

発表内容は比較的有意義に感じてもらえたのかなと思います。
それなりの期間、分析を続けていれば身につけられるだろう観点かなと思いますが
取っ掛かりとしては、教えた方が、読めた気に慣れて楽しめると思いますので。
こういう趣味の勉強って、達成感がないと中々続かないと思うんですよね。

 

LTで発表することのメリットは自分の分からないこと、見逃していたことについて、教えてもらえることですね。
User-Agentをキーとしてリクエスト応答を返している、というのをうっかり見逃していたのが分かりました。
確かにマルウェアの解析していても、そういうのあったな、というのが教えてもらって初めて結びついたという。
本当は内容に対してディスカッション出来たらありがたいのですが、
反応を見ていて、観点は概ねズレていないのなという感じと思います。
わりと独学で学んだものだったので、方向性があっている実感を持てて良かったです。
やはりアウトプットしていくことは大事だな、と感じました。

 

資料は公開済で、既に500件程度見てもらえているようです。
仕事で資料を作っていても、興味のある人500人に見てもらえるのは中々ないです。
それで新しい人に覚えてもらったり、ディスカッションできたりするとなると、
考えようによっては非常にコスパが良い気がします。
モチベーションもまた上がって、もっと頑張っていこう、と思いました。
唯一の欠点は個人の趣味の時間の中から捻出しなくてはならないことでしょうか。
今後もハニーポッターとして、あるいはそれに限らず、何かアウトプットしていけるといいな、と思いました。

 

(最終的には資料自体はそのまま社内の勉強会でも流用したため、
 会社の理解を得て仕事の一環と位置付けられると勝ち組な気がしました。)