Using SOF-ELK® to Speed Up Incident Response

  • Tuesday, 04 Jul 2023 7:00PM SST (04 Jul 2023 11:00 UTC)
  • Speaker: Philip Hagen

SOF-ELK® (Security Operations and Forensics ELK) is a public, fully-configured, appliance-like distribution consisting of components from the Elastic Stack as well a hundreds of parsers and numerous dashboard for various log formats commonly encountered in incident response and security operations work.  It is intended to be a simple “boot-and-use” virtual machine to enable security practitioners to quickly leverage the power of the Elastic Stack without requiring them to undergo the extensive system administration efforts required to install and configure the stack components.  The SOF-ELK platform is used in several SANS courses but a public community edition is also maintained for all practitioners to use in their casework, labs, and educational endeavors via the publicly-licensed content.

In this talk, we'll briefly cover the background of the SOF-ELK platform itself, as well as a brief rundown of what features it provides. We'll also recount a recent case that went from a user's initial report of an error with a web-based content management system to root-cause findings within minutes, despite hundreds of thousands of source records clouding the threat actor's activities. We'll also show some of the platform's addition capabilities and use cases, as well as discuss some future roadmap items still in development.

SOF-ELK® (Security Operations and Forensics ELK)は、Elastic Stackのコンポーネントと、インシデントレスポンスやセキュリティ運用業務で必要とされることの多い様々なログフォーマット用の数百のパーサーと数多くのダッシュボードから構成されており、すぐに利用できるように事前にに設定されたアプライアンスのようなディストリビューションとして公開されています。 SOF-ELKは、起動したらすぐに使えるようなシンプルな仮想マシンを目指しています。Elastic Stackのコンポーネントのインストールや設定などの煩雑システム管理をすることなく、Elastic Stackのパワーを迅速に活用できます。SOF-ELK®プラットフォームは複数のSANSトレーニングコースでもカスタマイズして演習に活用されていますが、汎用的なコミュニティエディションとして、全ての技術者のケースワーク、ラボ、教育のために公開・維持されています。

このWebcastでは、SOF-ELKプラットフォームの背景と機能について簡単に説明します。 また、数十万件のソースレコードが攻撃者の活動をうやむやにしていた中、ウェブベースのコンテンツ管理システムでエラーが発生したというユーザーからの最初の報告から、数分以内に根本原因の発見に至った最近の事例を紹介します。 また、このプラットフォームの追加機能と活用事例を紹介し、現在開発中の将来のロードマップについても説明します。