アラート:自動脅威検出の理解

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
 

このトピックでは、自動脅威検出の概要を説明します。自動脅威検出は、ESAに導入されるサービスです。行動分析:Suspicious Domains(不審なドメイン)モジュールは、自社のネットワークに接続するドメインの中からマルウェアのコマンド&コントロール サーバの可能性があるドメインを特定するためにHTTPトラフィックを調査します。自動脅威検出では、HTTPトラフィックを調査した後、トラフィックの動作のさまざまな側面(特定のドメインに接続する頻度や規則性など)に基づいてスコアを生成します。これらのスコアが設定された閾値に達した場合、ESAアラートが生成されます。このESAアラートは、インシデント管理のアラートもトリガーします。インシデント管理のアラートには、スコアを解釈して実行すべき改善手順を判断するのに役立つデータが付加されます。 

このバージョンの自動脅威検出は、コマンド&コントロール サーバとの通信を検出するためのスコア計算を提供します。コマンド&コントロール サーバとの通信は、マルウェアがシステムを侵害し、データをソースに転送する時に発生します。多くの場合、コマンド&コントロール型のマルウェアは、ビーコン動作により検出できます。ビーコンは、マルウェアが定期的にコマンド&コントロール サーバと通信し、そのマシンがマルウェアに感染しており、マルウェアが次の指令を待機していることを知らせるものです。セキュリティ侵害のこの段階でマルウェアを捕捉することができれば、感染したマシンにそれ以上の侵害が発生するのを防ぐことができます。このため、「キル チェーン」のクリティカルな段階と考えられます。 

この機能は、マルウェア検出に見られるいくつかの一般的な問題を解決します。

  • シグネチャではなくアルゴリズムを使用する。多くのマルウェア作成者は、シグネチャの作成が非常に困難なポリモーフィック型コードや暗号化コードを使い始めているため、シグネチャ ベースのアプローチではマルウェアを見逃す可能性があります。  自動脅威検出では、行動ベースのアルゴリズムを使用するため、マルウェアをより迅速かつ効率的に検出できます。 
  • 探索の自動化。データを手動で探索するのは効果的ではありますが、マルウェアを検索する手段としては時間がかかりすぎます。このプロセスを自動化することにより、アナリストは時間をより有効に活用できます。 
  • 攻撃を迅速に検出する機能。自動脅威検出は、バッチ処理の後データを分析するのではなく、Security Analyticsが収集するデータを都度解析するため、ほぼリアルタイムで攻撃を検出することが可能です。 

ワークフロー

自動脅威検出の処理はフィルタリング システムと似ています。特定の行動が発生する(または特定の条件が存在する)かどうかをチェックし、その行動または条件が発生している場合、プロセスを次のステップに進めます。 これにより、システムが効率化され、無駄なリソースが解放されるため、脅威ではないと判断されたイベントはメモリに保持されません。 次の図に、簡略化したワークフローを示します。 

1.)HTTPパケットがESAに送信されます。HTTPパケットはDecoderによってパースされた後、ESAホストに送信されます。

2.) ホワイトリストがチェックされます。Context Hubを使ってホワイトリストを作成した場合、ESAは、このリストをチェックして安全なドメインを除外します。イベントのドメインがホワイトリストに登録されている場合、イベントは無視されます。

3.) ドメイン プロファイルがチェックされます。自動脅威検出は、ドメインについて、新しく検出したドメイン(約3日間)かどうか、ソースIP接続が複数あるかどうか、リファラのない接続が多数あるかどうか、レアなユーザー エージェントを使用した接続があるかどうかをチェックします。 これらの条件のいずれかまたは複数に該当する場合、次に、そのドメインへの定期的なビーコンがないかがチェックされます。これらのドメイン プロファイル スコアの詳細については、「自動脅威検出スコアの使用」を参照してください。

4.) ドメインへの定期的なビーコンがないかがチェックされます。ビーコンは、マルウェアが定期的にコマンド&コントロール サーバと通信し、そのマシンがマルウェアに感染しており、マルウェアが次の指令を待機していることを知らせるものです。サイトにビーコン動作が確認された場合は、ドメイン登録情報がチェックされます。 

5.) ドメイン登録情報がチェックされます。Whoisサービスを使用して、ドメインが最近登録されたものか、または期限切れ間近でないかが確認されます。有効期間が非常に短いドメインはマルウェアの顕著な特徴の一つです。 

6.) コマンド&コントロール(C2)でスコアが集計されます。 前述の各要因は、それぞれ個別のスコアを生成し、そのスコアはさまざまなレベルの重要度を示すため重み付けされます。重み付けされたスコアにより、アラートを生成するかどうかが決まります。アラートが生成される場合、集計されたアラートはインシデント管理に表示され、そこでさらに調査することができます。インシデント管理に表示されたアラートは、引き続き関連づけられたインシデントの下で集計されます。これにより、コマンド&コントロール インシデントに生成された大量のアラートを簡単にソートできるようになります。 

アナリストは、アラート サマリー モジュールまたはインシデント管理モジュールで生成されたアラートを表示できます。SecOps を使用している場合は、SecOpsバージョン1.2および1.3でアラートを表示できます。 

 

You are here
Table of Contents > アラート:自動脅威検出の理解

Attachments

    Outcomes