Decoder:相関ルールの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、相関ルールの概要と、相関ルールを作成するための手順を説明します。

基本的な相関ルールは、セッション レベルで適用され、監視対象の環境で特定のアクティビティが発生した場合、ユーザーにアラートを通知します。Security Analyticsでは、構成可能なスライド タイム ウィンドウに基づいて相関ルールが適用されます。条件が満たされた場合、そのアクティビティに対するアラート メタデータが作成され、アクティビティに関するアラートが表示されます。

サンプル相関ルール

目標:tcp.dstportが存在するセッションのうち、1分以内に、同一のtcp.dstport値のカウントが5より大きいip.srcとip.dstの組み合わせが含まれる一連のセッションが検出された場合に、アラートを発生させます。この目標を達成するには、次のようにルールを作成します。

  • ルール名:IPv6 Vertical TCP Port Scan 5
  • 条件:tcp.dstport exists
  • インスタンス キー:ip.src、ip.dst
  • 閾値:u_count(tcp.dstport)>5
  • タイム ウィンドウ:1分

目標:action==loginおよびerror==failの条件を満たすセッションのうち、5分以内のカウントが10より大きいip.srcとip.dstの組み合わせが含まれる一連のセッションが検出された場合に、アラートを発生させます。この目標を達成するには、次のようにルールを作成します。

  • ルール名:IPv4 Potential Brute Force 10
  • 条件:action='login' && error='fail'
  • インスタンス キー:ip.src、ip.dst
  • 閾値:count()>10
  • タイム ウィンドウ:5分

説明

両サンプルのルールには、同じインスタンス キー(ip.srcとip.dst)が含まれます。相関条件に一致するip.srcとip.dstの組み合わせを検索するために、ip.srcip.dstプライマリ キーとなります。

閾値には、条件判定のためにカウントするメタ タイプとなる関連するキーを含めることができます。最初の例では、閾値で指定された関連するキーはtcp.dstportです。各ip.src/ip.dstペアについてtcp.dstportの一意のインスタンスをカウントしています。2番目の例では、単なるセッション数のカウントであるため、閾値に関連するキーは指定されていません。このシナリオでは、カウントする対象は一意のセッションIDとみなされ、閾値に関連するキーとして暗黙的にsession.idがカウントされます。ここでは、各ip.src/ip.dstペアについて、一意のsession.idをカウントしています。

無効な使用例:ルールが評価する一連のセッションにおいて、タイム ウィンドウ内のカウントとして、同一の値のipv6.dstが5より大きいという条件に合致するip.srcおよびip.dstの組み合わせが存在する場合、アラートを発生させるようなルールです。この場合、関連キーのipv6.dstがIPv6メタ タイプであるため、機能しません。IPv4とIPv6のメタ タイプは、関連キーとして使用することはできません。

手順

[相関ルール]タブへの移動

相関ルールを定義するには、まず[相関ルール]タブに移動します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービスを選択し、Actions menu cropped>[表示]>[構成]の順に選択します。 
    選択したサービスの[構成]ビューが表示されます。
  3. 相関ルール]タブを選択します。

相関ルールの追加または編集

  1. 相関ルール]タブで、次のいずれかを実行します。
  • 新しいルールを追加する場合は、Icon-Add.pngをクリックします。
  • ルールを編集する場合は、ルール グリッドからルールを選択し、icon-edit.pngをクリックします。
    [ルール エディタ]ダイアログが開き、相関ルール パラメータが表示されます。
  1. ルール名]フィールドにルールの名前を入力します。たとえば、このサンプル ルールの作成時には、IPv6 Vertical TCP Port Scan 5とします。
  2. 条件]フィールドに、条件が一致したときにアクションをトリガーするルール条件を記述します。フィールドに直接入力することも、ウィンドウ アクションからメタを使用して条件を記述することもできます。記述したルール条件に構文エラーがあれば、Security Analyticsが警告を表示します。たとえば、サンプルで紹介したルール条件を作成するには、「tcp.dstport exists」と入力します。この条件に一致した場合、セッション データ アクションが実行されます。
    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「 ルールとクエリーのガイドライン 」トピックを参照してください。
  3. 閾値]フィールドで、いずれかの閾値パラメータを使用して、相関セッションを作成するのに必要な最小発生回数を指定し、必要な場合には関連キーも指定します。関連キーでは、IPv4またはIPv6のメタ タイプは指定できません。
  • u_count(associated_key) は指定するキーの一意の値のカウントです。
  • sum(associated_key) は指定するキーの値の合計です。
  • count のみの場合、セッションの数です(関連キーは指定しません)。
  1. インスタンス キー]フィールドで、イベントをトリガーするためのベースとなるキーを選択します。ここには、単一のキーまたは複合キー(カンマで区切った2つのプライマリ キー)のいずれかが指定可能です。
  2. タイム ウィンドウでは期間を指定し、この期間内に閾値の条件が満たされた場合に、相関セッションが作成されます。
  3. ルールを保存しグリッドに追加するには、[OK]をクリックします。
    ルールは、グリッドの最後に追加されるか、コンテキスト メニューで指定した場所に挿入されます。[ペンディング]列にプラス記号が表示されるか、グリッド内でルールの各セルに赤い三角印のフラグが付けられています。
  4. ルールがグリッド内の他のルールと正しい実行順序であることを確認します。必要に応じて、ルールを移動します。
  5. 更新されたルール セットをサービスに適用するには、[適用]をクリックします。

    現在適用されているルールのスナップショットがSecurity Analyticsによって保存された後、更新されたセットがDecoderまたはLog Decoderに適用されます。
You are here
Table of Contents > 必要な手順 > ステップ4:Decoderのルールの構成 > Decoder:相関ルールの構成

Attachments

    Outcomes