Investigation:分割されたセッションからのイベントの結合

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

アナリストは、セッション サイズが原因で分割されたセッションを[イベント]ビューで特定し、そのようなセッション フラグメントを結合して、セッション全体を1つのクエリー結果として[イベント]ビューに表示することができます。分割されたセッションを再結合すると、[イベント]ビューから実施する単一のセッションのパケットのエクスポートには、すべてのセッション フラグメントが含まれます。

バージョン10.4以前のDecoderは、デフォルトのセッション サイズを32 MBに設定しています。セッションが32 MBの制限を超えると、Decoderはセッションを分割し、後続のパケットはすべて新しいセッションとして処理されます。つまり、Decoderは、実際のネットワーク セッションを複数のDecoderセッション フラグメントに分割します。分割されたセッションは、元の大きなネットワーク セッションのフラグメントであるという前提なしにパースされます。このため、セッション フラグメントは、ソース アドレス、宛先アドレス、ポートが逆方向に設定されたり、アプリケーション プロトコルが特定できないセッションとして処理されたりする場合がありました。また、セッションが分割されているために、すべてのセッション フラグメントを1つのクエリー結果として表示することや、すべてのセッション フラグメントを含む単一のパケット エクスポート ファイルを作成することが困難でした。

Security Analytics 10.5以降では、Decoderの機能拡張により、セッション フラグメントの処理が次のように改善されました。

  • コンテキストを考慮したセッション フラグメントのパース。
  • セッション フラグメントの強調表示。
  • セッション フラグメントの検索。
  • すべてのパケットを1つのPCAPにエクスポート。

コンテキストを考慮したセッション フラグメントのパース

Security Analytics 10.5以降では、Decoderは、構成された最大セッション サイズ(32 MB)または構成されたタイムアウト(60秒)に基づいてセッションを分割する前に、セッションのパースを完了します。パースが完了した時点で、パース結果には適切なアドレス方向とアプリケーション プロトコルが含まれます。その結果を後続のすべてのセッション フラグメントに追加することにより、元の論理的ネットワーク セッションとの一貫性を確保します。 

注:必要なDecoder構成の変更はすべて、10.5にアップグレードするときに行われます。ただし、セッション フラグメントの検索を実行するには、tcpおよびudpソース ポート メタ(tcp.srcportおよびudp.srcport)にフル インデックスが作成されている必要があります。これは、10.5より前のバージョンのデフォルトの構成ではありません。このため、セッション フラグメントの検索が可能となるのは、Decoderを10.5にアップグレードした後に収集したセッションに限定されます。

セッション フラグメントの強調表示

各セッション フラグメントには、session.splitメタが追加されます。各セッション フラグメントのsession.splitメタの値は、そのフラグメントの前にあるフラグメントの数を示します。[イベント]ビューでセッションを表示する際、イベント リスト ビューおよび詳細リスト ビューでは、session.splitメタによってセッション フラグメントであることを確認できます。

セッションの分割は、Decoderに構成されたassembler.size.maxまたはassembler.timeout.session(セッション間のレーテンシー)に達すると発生します。最初のセッション フラグメントは0で、それ以降のタイムスタンプのセッション フラグメントには1から順に番号が設定されます(1、2、3など)。session.splitメタは、前のセッション フラグメントの数を示しますが、値が0の場合は、必ずしも後続のセッション フラグメントが存在するとは限りません。また、最大セッション サイズを超える前にセッションのパースが完了した場合は、セッションの最初のフラグメントにsession.splitメタが存在しない可能性もあります。

セッション フラグメントを表示すると、パースに必要な最大セッション サイズとセッション タイムアウトを判断して、分割されたセッションを再度1つに結合することができます。たとえば、32 MBのフラグメントが4つある場合は、128 MBを超える最大セッション サイズをテスト用のDecoder(通常は、メインの本番サービスから切り離された仮想マシン構成)に構成する必要があります。この手順は、セッション タイムアウトに基づいてすべてのフラグメントを検索する手順と同じです。次の図は、分割されたセッション情報がハイライト表示されているイベント リストビューおよびイベント詳細ビューを示しています。

注:以下の画面イメージを取得した環境では、最大セッション サイズは12 MBに構成されています。

listview-highlight.png

detailsview-highlight.png

session.splitメタデータは、詳細ビューでは必ずアドレスとポート メタの直後に表示されます。追加のメタとして非表示になることはありません。

この機能拡張により、次の操作をすぐに行うことができます。

  1. ネットワーク セッションの中から分割されたセッションを特定する。
  2. 1つのセッション フラグメントから、元のネットワーク セッションのすべてのセッション フラグメントを表示する。
  3. ネットワーク セッション全体のパケットを1つのPCAPファイルとしてエクスポートする。

フラグメントの検索と結合

[イベント]ビューから、[再フォーカス]>[セッション フラグメントを検索]コンテキスト メニュー オプションを使用して、セッション フラグメントを見つけることができます。Security Analyticsは、選択したセッションのソース アドレス、宛先アドレス、ポートを使用してクエリーを作成し、現在の時間範囲内でそのクエリーと一致するすべてのセッションを表示します。 

セッション フラグメントを検索するには、次の手順を実行します。

  1. [Investigation]>[イベント]ビューで、ソース アドレス、宛先アドレス、ポートの値(ip.srcip.dstipv6.srcipv6.dsttcp.srcporttcp.dstportudp.srcportudp.dstport)またはsession.split値のいずれかを右クリックします。
    コンテキスト メニューが表示されます。
    findfragments.png
  2. [再フォーカス]>[セッション フラグメントを検索]または[新しいタブで再フォーカス]>[セッション フラグメントを検索]を選択します。
    現在の時間範囲に存在する特定の1セッションのセッション フラグメントがイベント リストに表示されます。選択したオプションに応じて、再フォーカスは現在のビューに表示されるか、新しいタブに表示されます (例の中で、時間範囲として「すべてのデータ」を選択している場合がありますが、本番システムでの使用は推奨されません)。
    EvListVwCropped.png
  3. 必要な場合は、時間範囲を調整して、現在の時間範囲の前後に存在する可能性があるすべてのセッション フラグメントを表示します。時間の境界の近くでフラグメントが発生した場合、特に最初に表示されるフラグメントのsplitの値が0(または、なし)でない場合は、時間範囲を広げる必要があることが分かります。また、最後に表示されるセッションのパケットを調査すれば、セッションが継続しているかどうかを判断できます。次に例を挙げます。
    1. 明らかに最初のフラグメントではないもの、たとえば10:30~10:35の時間範囲に、1、2、3、4のフラグメントが見つかった場合は、フラグメント0が存在するはずです。時間範囲の開始を早めると(この例では10:25)、追加のフラグメントを見つけることができます。
    2. 最後のフラグメントのセッション サイズが最大セッション サイズ(この例では12 MB)に近い場合は、それ以降の時間(この例では10:40)を含めるように時間範囲を広げ、追加のフラグメントを探します。
      ネットワーク セッションのすべてのセッション フラグメントを1つのイベント リストに表示すると、リストが複数ページにまたがることがあります。
  4. (オプション)すべてのセッション フラグメントのパケットを1つのPCAPファイルにエクスポートするには、[アクション]>[すべてのPCAPのエクスポート]を選択します。
    PCAPがダウンロード中であることを示すメッセージが表示されます。ダウンロードが完了すると、PCAPファイルには、分割されたネットワーク セッションの全体が含まれています。
Previous Topic:イベントの調査
You are here
Table of Contents > 調査の実施 > イベントの調査 > 分割されたセッションからのイベントの結合

Attachments

    Outcomes