アラート:自動脅威検出結果の使用

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、自動脅威検出の結果を解釈および使用する方法について説明します。 

インシデント管理で自動脅威検出の結果を表示すると、スコア全体を判定するために使用されるさまざまな要素が示されます。このセクションは、これらのスコアの生成方法とその意味を理解するのに役立ちます。 

脅威検出の結果の理解

自動脅威検出を使用すると、いくつかのスコアを合計して、コマンド&コントロール検出スコアが生成されます。最終的なスコアを構成する要素を理解すると、このスコアのトリガー方法をより的確に把握できます。 

コマンド&コントロール検出のアラートを受信した場合は、インシデント管理モジュールで次のような詳細なアラート サマリーを確認できます。

各アイコンは、合計リスクの計算に使用されたスコアを表します。スコアは重みづけされるため、それぞれのスコアが最終的なスコアに占める比率は異なります。たとえば、最終的なスコアの比率は、ビーコン動作が20%、ドメイン エイジは5%のようになります。

  1. ビーコン動作。コマンド&コントロール検出では、不審なドメインとの極めて規則的かつ定期的な接続を検索します。ビーコン動作では、このソースIPからどれだけ規則的にこのドメイン サーバに接続しているかを示します。 スコアが高い場合は、このソースIPとドメイン間の接続が極めて規則的に行われていることを意味します。 
  2. ドメイン エイジ。多くの場合、コマンド&コントロール サーバは新しいドメインを使用して接続を行うため、ドメインがネットワークの新規ドメインである場合は、コマンド&コントロールのドメインである可能性が高くなります。スコアが高い場合は、このドメインがこのネットワーク上で比較的新しいものであることを意味します。 このスコアは、Whoisサービスから取得されます。Whoisサービスが機能していない場合、またはESAがWhoisサービスに接続できない場合は、アイコンがグレーで表示されます。 接続に問題がある場合やWhoisサービスがnull値または予期しない形式の値を返す場合、デフォルト値を使用してスコアが推定されます。これにより、全体的なスコアの精度が向上します。 
  3. ドメイン有効期限。多くの場合、コマンド&コントロール サーバは有効期限間近のドメインを使用して接続を行うため、ドメインの有効期限が間もなく切れる場合は、コマンド&コントロール サーバである可能性が高くなります。 このスコアは、Whoisサービスから取得されます。Whoisサービスが機能していない場合、またはESAがWhoisサービスに接続できない場合は、アイコンがグレーで表示されます。接続に問題がある場合やWhoisサービスがnull値または予期しない形式の値を返す場合、デフォルト値を使用してスコアが推定されます。これにより、全体的なスコアの精度が向上します。 
  4. レア ドメイン。 レア ドメインは、直近の週に監視対象のネットワークにおいて比較的少数のソースIPから接続しているドメインです。 めったに使用されないドメインは、Google.comなどの頻繁に使用される正当なドメインと比べて、コマンド&コントロール ドメインである可能性が高くなります。
  5. リファラなし。リファラは、リクエストされているリソースにリンクしているWebページのアドレスを識別するHTTPフィールドです。たとえば、職場のWebサイトから銀行のWebサイトにアクセスすると、職場のWebサイトがリファラとして表示されます。人が操作する場合、ほとんどのサイトへのアクセスはリファラを経由するため、スコアが高い場合(つまり、このドメインに接続するIPのうち、リファラのあるIPの割合が低いことを意味します)は、コマンド&コントロール サーバとの通信である可能性が高くなります。 
  6. レア ユーザー エージェント。ユーザー エージェントは、リクエストを送信しているクライアント ソフトウェアを識別します。スコアが高い場合、IPアドレスに関連づけられているユーザー エージェントが一般的に使用されていないことを示します。レア ドメイン スコアと同様に、レア ユーザー エージェントは、コマンド&コントロール ドメインと関連づけられる可能性が高くなります。

 

アイコンは、異なる色で表示されます。色によってリスク レベルを視覚的に示します。詳細については、次の表を参照してください。

                           
アイコン意味
灰色データが利用できないため、スコアが生成されていません。Whoisサービスが無効になっているか、特定のスコアの生成に使用できるデータがない場合に表示される可能性があります。 
スコア インジケーターは弱です。 
オレンジスコア インジケーターは中です。
スコア インジケーターは高です。 

次のステップ

脅威スコアを表示した後に実行するパスは以下の3つです。

  • ドリル ダウンして詳細を表示。 スコアごとに、スコアを構成する要素が複数あります。これらの詳細は、[イベントの詳細]ページで表示できます。
  • Investigationモジュールでドメインを調査。[Investigation]画面に移動して、ドメインおよび関連するインシデントの詳細を確認することができます。
  • ホワイトリストにドメインを追加。詳細を確認して、そのドメインが脅威ではないと判断した場合は、ホワイトリストに追加することを推奨します。これにより、そのドメインでは脅威検出スコアがトリガーされなくなり、スコアの精度を調整するのに役立ちます。

スコアをドリルダウンして詳細を確認

各イベント スコアには、ドメインとの通信がマルウェアによるものかどうか、またマルウェアの場合は攻撃の重大度を判断できるように、詳細なデータが付加されています。前述のスコアごとに、各イベントの詳細にさらに詳しい情報が含まれます。

これらの詳細情報にアクセスするには、次の手順を実行します。

  1. インシデント]キューから、インシデントをダブルクリックして[インシデント詳細]を表示します。
  2. アラートの詳細]セクションで、アラートをダブルクリックします。
  3. イベントの詳細]ページが開きます。

 このページに、イベントの詳細が表示されます。各項目の上にカーソルを移動すると、その項目のデータに関する説明が表示されます。スコア範囲、スコア計算時の発生回数、ビーコニング期間、Whois登録データの情報などの詳細情報を確認できます。 

 たとえば、以下のイベントの詳細からは、レア ドメイン スコアが100(最高スコア)であること、このドメインにはIPが1つしか関連づけられていないこと、前の週の発生回数が24回であったことが分かります。   

Investigationモジュールからのドメインの調査

[アラートの詳細]から、Investigationsモジュールを開いてドメインの詳細にドリル ダウンすることもできます。これを行うには、[アラートの詳細]でic-actns.png>[宛先ドメインの調査]をクリックします。そこから、イベントの前後の日付を検索して他に何が発生しているか確認し、イベントに関するその他の詳細を表示できます。 

誤検出の削減

 定期的にアクセスするドメインが、自動脅威検出スコアをトリガーする場合があります。たとえば、気象サービス サイトは、コマンド&コントロール サーバの通信と同様のビーコニング動作をとる場合があり、それによって不当に高いスコアがトリガーされる可能性があります。このような状況を、誤検出(False Positive)と呼びます。イベントを調査した後に、誤検出であることが判明した場合は、誤検出としてマークすることができます。これによりドメインがホワイトリストに追加されます。ホワイトリストにドメインを追加すると、自動脅威検出スコアはトリガーされません。 

注:SecOpsまたは別のチケット ソリューションを使用している場合は、Context Hubサービスを使用してホワイトリストにドメインを手動で追加できます。次のトピックの「ステップ2:ホワイトリストの構成」を参照してください。自動脅威検出の構成

手順 

  1. インシデント詳細]ページで、特定のインシデントを誤検出としてマークして、自動的にホワイリストに追加することができます。  
    1. インシデント管理]で、誤検出スコアをトリガーしたインシデントを選択します。ic-actns.png>[インシデントの編集]をクリックします。
      インシデントの編集]ダイアログ ボックスが表示されます。 
    2. インシデントの編集]ダイアログ ボックスで、[ステータス]フィールドをクリックし、[クローズ-False Positive]を選択します。これによって、ドメインがホワイトリストに追加され、インシデントが閉じます。 ホワイトリストにドメインが追加されると、自動脅威検出スコアが発生しても無視されます。 

 

You are here
Table of Contents > 自動脅威検出の使用 > 自動脅威検出結果の使用

Attachments

    Outcomes