アラート:自動脅威検出の構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者とアナリストを対象として、自動脅威検出の構成および使用方法について説明します。 

この手順では、ESAで自動脅威検出を構成するために必要な手順を示します。ただし、自動脅威検出を有効にする前に、ESA上には、自動脅威検出、ESAルール、Context Hubなどの多くのインストールと構成が必要である点に注意してください。これらがそれぞれリソースを消費する可能性があるため、自動脅威検出を有効にする前に、ESAのサイジングを検討しておくことが重要です。

前提条件

HTTPパケット データを収集するようDecoderを構成する必要があります。 

HTTP Lua ParserまたはFlex Parserを構成する必要があります。

パフォーマンス最適化のため、Context Hubサービスを有効にします。これによりホワイトリストを作成できます。

手順:自動脅威検出の構成

この手順では、自動脅威検出を構成するために必要な手順を説明します。 

基本的な手順は次のとおりです。

  1. WhoIs設定を構成します。Whoisサービスを使用して、接続先のドメインに関する正確なデータを取得できます。有効なスコア計算を行うには、Whoisサービス設定を構成することが重要です。
  2. Context Hubサービスを使用してホワイトリスト(オプション)を作成します。ホワイトリストを作成すると、通常アクセスされるWebサイトを自動脅威検出のスコア計算から除外することができます。
  3. ESAで自動脅威検出を有効にします。ESAが複数存在する場合は、自動脅威検出を実行するESAごとに有効にする必要があります。 
  4. 24時間かけてウォームアップを行い、インシデント管理のC2ルールを有効にします。 自動脅威検出を使用する場合、スコア計算アルゴリズムのウォームアップのためにおよそ24時間が必要です。24時間後にインシデント管理でC2ルールを有効にします。 

ステップ1:ESAでのWhoIsサービス設定の構成

ESAがWhoIsサービスに接続できるよう設定を構成します。これにより、ESAサービスで自動脅威検出スコアをトリガーするドメインに関する詳細情報を取得できます。 

  1. [Administration]>[サービス]から、ESAサービスを選択し、ic-actns.png>[表示]>[エクスプローラ]を選択します。 
  2. エクスプローラで、[Service]>[Whois]>[whoisClient]をクリックします。
  3. 次の設定を構成します(最初の2つのパラメータのみ修正が必須です。RSAでは、他のパラメータにはデフォルト設定を使用することを推奨します)。
                                                             
パラメータ説明
whoisUserId

必須:  RSA Whoisサーバの認証情報を入力します。これは、RSA LiveユーザーIDと同じです。RSA Liveアカウントを構成していない場合は、構成する必要があります。 

デフォルト値は「whois」です。

whoisPassword

必須:RSA Whoisサーバの認証情報を入力します。これは、RSA Liveパスワードと同じです。RSA Liveアカウントを構成していない場合は、構成する必要があります。 

デフォルト値はnullです。

whoisUrl

オプション:RSA WhoisサービスからWhoisデータを取得するURLを入力します。末尾にスラッシュ(/)が必要です。スラッシュがない場合、リクエストは失敗します。

 デフォルト値はhttps://cms.netwitness.com/whois/query/です。

whoisAuthUrl

オプション:RSAWhoisサービスから認証トークンを取得するURLを入力します。

デフォルト値はhttps://cms.netwitness.com/authlive/authenticate/WHOISです。

whoisAuthTokenLifespanSeconds 

オプション:認証トークンが更新されるまでの時間を秒単位で入力します。

デフォルト値は3300です。 


whoisHttpsProxy

オプション:HTTPリクエストにプロキシが必要な場合は、これをRSA Liveサービスで使用される値と同じ値に設定します。 このパラメータを使用するのは、insecureConnectiontrueに設定されている場合のみです。 

デフォルト値はfalseです。

(有効にするにはESAを再起動する必要があります)。

insecureConnection

オプション: このパラメータをtrueに設定すると、RSA Whoisサービスに対するHTTPリクエストでSSL証明書を無視できます。 

注:RSA Whoisサービスにプロキシ経由でアクセスする場合は、このパラメータをtrueに設定する必要があります。 

デフォルト値はfalseです。

(有効にするにはESAを再起動する必要があります)。

allowedRequests

オプション:Whoisサービスへのリクエスト量の調整を開始するまでに許可するクエリーの数を入力します。このパラメータは、クエリーの間隔を設定するallowedRequestsIntervalSecondsと連携します。たとえば、allowedRequestsを100に設定し、allowedRequestsIntervalSecondsを60に設定した場合、60秒間で100個のリクエストが許可されます。

デフォルト値は100です。

(有効にするにはESAを再起動する必要があります)。

allowedRequestsIntervalSeconds

オプション:allowedRequestsパラメータを設定した場合は、この設定も構成して間隔を決定する必要があります。この値は環境に合わせて調整する必要があります。

 デフォルト設定は60秒です

(有効にするにはESAを再起動する必要があります)。

queueMaxSize

オプション:RSA Whoisサービスに対するリクエストのキューの最大サイズを指定します。

デフォルトは100,000です。

cacheMaxSize

オプション:キャッシュされるWhoisエントリーの最大数を指定します。この制限に達すると、最も使用されていないエントリーが削除されて、新しいエントリーが格納されます。

デフォルトは50,000です。

(有効にするにはESAを再起動する必要があります)。

refreshIntervalSeconds

オプション:更新間隔の秒数を指定します。リクエストされたWhois情報がキャッシュから検出され、そのキャッシュ エントリーが指定された秒数を超えてキャッシュに存在していた場合、そのエントリーはキャッシュから削除され、リクエストは再検索のためにWhoIsサービスのキューに追加されます。(このキャッシュ エントリーは、古くなった情報としてリクエストに返されます)。

デフォルト設定は2,592,000秒(30日)です。

waitForHTTPRequest

オプション:ESAに、Whoisサービスからの応答が返るまで、EPLの実行を完了しないよう要求します。これにより、Whoisデータは常に結果に含まれるようになりますが、ESAはWhoisサービスの応答を最大30秒間待機するため、パフォーマンスに影響する可能性があります。

この設定を構成しない場合、レスポンスが遅い場合には、ESAはWhoisデータなしでイベントの解析を完了し、Whoisデータなしでスコアを計算します。

デフォルト設定はtrueです。 

ステップ2:ドメイン ホワイトリストの作成(オプション)

注:このステップはオプションです。インシデント管理を使用してこれらのインシデントを管理する場合は、インシデントを誤検出としてクローズすることにより、ホワイトリストを作成することもできます。 

この手順は、自動脅威検出を使用する場合に、特定のドメインの脅威スコアをトリガーしないようにするために使用されます。 定期的にアクセスするドメインが、自動脅威検出スコアをトリガーする場合があります。たとえば、気象サービスサイトは、コマンド&コントロール サーバの通信と同様のビーコン動作をとる場合があり、それによって不当に高いスコアがトリガーされる可能性があります。このような状況を、誤検出(False Positive)と呼びます。特定のドメインで誤検出がトリガーされるのを回避するために、ホワイトリストにドメインを追加します。自動脅威検出は、非常に疑わしい行動に対してのみアラートを生成するため、ほとんどのドメインはホワイトリストに登録する必要はありません。ホワイトリストに登録するドメインは、いくつかのホストが接続している正当な自動サービスサイトです。

 

注:Security Analytics構成で使用できるContext Hubサービス インスタンスは1つのみです。Context Hubサービスが別のESAで実行されている場合、Context Hubを実行しているESAに接続できるようESAを構成する必要があります。手順については、「Event Stream Analysis(ESA)構成ガイド」の「別のESAのContext Hubに接続するためのESAの構成」トピックを参照してください。

  1. Context Hubサービスでは、リストを作成して手動でドメインを追加するか、ドメインのリストを含むCSVファイルをアップロードできます。 
    1. [Administration]>[サービス]で、Context Hubを選択します。
    2. Context Hubを選択し、ic-actns.png>[表示]>[構成]を選択します。 
    3. リスト]タブを選択してリストを開き、編集します。 
    4. 左側のペインでをクリックしてリストを追加します。リストの名前を入力してから、右側のペインでをクリックしてドメインを手動で追加します。

注意:ホワイトリストは「Whitelisted Domains」という名前にする必要があります。この名前でない場合、Context Hubはリストをホワイトリストとして処理しません。 

  1. CSVファイルをインポートする場合は、をクリックし、[リストのインポート]ダイアログ ボックスでCSVファイルを選択します。ファイル名は「Whitelisted Domains」である必要があります。区切り文字として、コンマ、LF(改行)、CR(キャリッジ リターン)の中から実際のファイルに合わせて選択します。次に、[アップロード]をクリックします。 
  2. Context Hubサービスで、既存のホワイトリストを変更してドメインを追加または削除することもできます。  
  3. 左側のペインの[リスト]には、既存のドメインのホワイト リストが表示されます。
  4. Whitelisted Domains]をクリックします。ホワイト リストの値が、右側のペインに表示されます。 

  1. ドメインを追加するには、をクリックし、ドメイン名を入力します。
  2. ドメインを削除するには、ドメインを選択し、をクリックします。
  3. CSVファイルをインポートするには、をクリックし、[リストのインポート]ダイアログ ボックスでCSVファイルを選択します。区切り文字として、コンマ、LF(改行)、CR(キャリッジ リターン)の中から実際のファイルに合わせて選択します。次に、[アップロード]をクリックします。 

注:自動脅威検出を有効にする前にホワイトリストを構成して、脅威スコアの計算が開始される前にドメインをホワイトリストに登録することが重要です。 

ステップ3:自動脅威検出の有効化

  1. [Administration]>[サービス]から、ESAサービスを選択し、ic-actns.png>[表示]>[構成]を選択します。 
  2. [詳細]タブをクリックし、[自動脅威検出の有効化]を選択して、[適用]をクリックします。

これで、選択されたESAで自動脅威検出が有効になりました。 

ステップ4:インシデント管理でのC2検出ルールの有効化

インシデント管理でC2検出ルールを有効化します。 

  1. インシデント]>[構成]から、[統合ルール]を選択します。
  2. Suspected Command & Control Communication by Domain]ルールを選択し、ダブルクリックして開きます。 

  1. 有効]をクリックし、[保存]をクリックします。 

 有効にすると、ルールには緑の[有効]ボタンが表示されます。

結果

自動脅威検出を有効にすると、ESAはHTTPトラフィックの解析を開始します。インシデント管理のキューで各インシデントの詳細情報を表示できます。 

次のステップ

ルールを有効にした後、インシデント管理を監視してルールがトリガーされたかどうかを確認します。ルールがトリガーされた場合は、以下のセクションの手順に従って、トリガーされたルールに関連づけられたドメインを調査します。 

自動脅威検出結果の使用

You are here
Table of Contents > 自動脅威検出の使用 > 自動脅威検出の構成

Attachments

    Outcomes