『実践セキュリティ監視基盤構築』

まとめ

セキュリティ監視基盤における論点の抽出、言語化すげーというのがまずあり。

具体的なアプローチとして、仕組みの安全性のために、Regoのエコシステムを活用している。

多少無理してRegoを使っているようにも見えるけど、私のRegoの理解度が浅いからかもしれない。

各ツールのタグベース実装の柔軟性が勉強になった。

ログ収集

スケジューラの作成はコードには含まれていない

タグを頼りに、たとえばhourlyなものならhourlyなスケジューラを作って、hatcheryの実行時オプションとしてhourlyを実行できるようにしている

スケジューラは実行時間毎に作る想定（ログ毎ではなく）

実装とコンフィギュレーションをいっぺんに済ませている

下地にフレームワークがあるので、オレオレ実装になりにくい

なるほど

ログ変換と書き込み

コンセプト

Regoでログの種別を判定

BiqQueryのスキーマを更新するためにbqsというツールを利用

一番難しいかも

アラート検知

コンセプト

BigqueryのSQLでおおまかに抽出、Regoで細かい評価

こちらもタグベースでワーカーの定義をまとめる仕組み

アラート対応

コンセプト

ルールをalert（受け入れ）とactionに分けて、どちらもRegoで記述

同一案件間での情報共有すっごい

アラートの attrs で属性値を追加する際に persist というフィールドに true を指定することで、その値はデータベース（Firestore）に保存され、同じ namespace をもつアラートが発生した際には保存された値が取得されて attrs に追加されます。これによってアラート間でのデータ連携が可能になります。

受け入れで後続に流すデータを絞り込むのがちょっと面倒くさい。まるごと後続に渡しちゃってもいいのでは