本文の内容は、2024年6月5日に Loris Degioanni が投稿したブログ(https://sysdig.com/blog/wireshark-ethereal-network-analysis-for-the-cloud-soc/)を元に日本語に翻訳・再構成した内容となっております。
著者:Gerald Combs、Loris Degioanni
ITの学位取得に励んでいた、または懐かしい初期のエンジニアリング時期で使ったWiresharkを覚えていますか?なんと、Wiresharkは今でも健在で、当時と同じくらい現役で使われています。そして、もう一つ驚きの事実があります。それは、Wiresharkが今でもオープンソースであることです!貴社のエンジニアリングチームやセキュリティチームはまだWiresharkを使っていますか?もしオンプレミスで活動しているなら、使っている可能性は高いです。信じられないかもしれませんが、Wiresharkはもう有線やケーブルの世界だけのものではありません。FalcoやKubernetesの助けを借りて、クラウドSOCでも活躍しています。
何の話をしているのか分からないという方のために説明しましょう。Wireshark は、ネットワーク上で実行されているトラフィックをリアルタイムでキャプチャーおよびスキャンできる高性能な検出ツールです。次の場合に便利です。
- ネットワーク監視: Wireshark を使用すると、ネットワークトラフィックをリアルタイムで監視し、異常や疑わしいアクティビティを検出できます。
- ネットワークフォレンジック: キャプチャーされたトラフィックを調査して、セキュリティインシデントの調査、攻撃パターンの特定、侵害の範囲の把握を行うことができます。
- プロトコル分析: Wireshark はネットワーク プロトコルに関する詳細な情報を提供し、システムの通信方法を理解し、脆弱性や誤った構成を特定するのに役立ちます。
- セキュリティ監査: Wireshark は、ネットワーク トラフィックを分析することで、ネットワークセキュリティ ポリシーの監査、コンプライアンスの確保、ネットワーク インフラストラクチャーの潜在的な弱点の特定に役立ちます。
最近のクラウド セキュリティではスピードが重要です。これは、脅威をより迅速に発見して対応したいセキュリティチームにとって便利な機能だと思いませんか? オンプレミス環境の SOC では、20 年間使用してきたように、引き続き Wireshark を使用できます。ただし、クラウド SOC でも Wireshark を使用できるようにする必要があります。クラウドでは、リアルタイムのネットワーク検出、分析、および対応が必要です。パケットキャプチャーファイル (PCAP) は、大量の情報を保持しているため、クラウドーネイティブ環境でも依然として重要です。Kubernetes とコンテナを使用してファイルを生成する方法を知っておく必要があります。
Wireshark とオープンソースの脅威管理ツールFalco Talonを使用すると、SOC は検出アラートに関連するコンテキスト化されたパケットキャプチャーの詳細を自動的に受信できます。これにより、非常に面倒な (そして今でも面倒な) 調査プロセスがスピードアップします。しかし、実際には、クラウド攻撃の調査には数分しかかからないため、それほど時間はかかりません。調査が速いほど、修復も早く行えます。
Wireshark は、その汎用性とコスト (無料!) により、セキュリティ専門家にとって貴重な資産となり、ネットワークトラフィックの詳細な可視性を提供し、安全で回復力のあるネットワークインフラストラクチャーの維持に役立ちます。
さらに技術的な詳細を知りたい、またはチームと共有されたい場合には、実務者向けの技術的な説明とワークフローを参照してください。
あなたのチームはパケットを検討していますか? ご参考までに6月15日(土)から米国でSharkFest にが開催されます。 スキルをさらなる新しいレベルに引き上げましょう!