Investigation:Malwareスキャン用ファイルのアップロード

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

アナリストがMalware Analysisスキャンのファイルをアップロードする方法は2つあります。

Malware Analysisスキャンを開始する権限を持つマルウェア アナリストは、[Malware Analysisサービスの選択]ダイアログで[ファイルのスキャン]オプションを使用して、スキャンするファイルをアップロードできます。

また、監視対象のファイル共有を使用してスキャン用ファイルをアップロードすることもできます。

ファイルの手動アップロード

このトピックでは、ファイルをアップロードしてオン デマンド スキャンを開始するための手順について説明します。スキャン用にファイルをアップロードすると、Security Analyticsはアップロード ジョブを開始し、ジョブ キューに追加します。ジョブが完了すると、[Investigation]>[Malware Analysis]でスキャンを表示できます。

スキャンするファイルをアップロードするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[Malware Analysis]を選択します。
    [Malware Analysisサービスの選択]ダイアログが表示され、現在のユーザーが使用できるMalware Analysisのホストとサービスが左側のパネルに示されます。
    MWASnJbLst.png
  2. スキャンの表示]をクリックします。
    [マルウェアのスキャン]ダッシュレットが表示されます。
    ScanMw.png
  3. ic-add.pngをクリックします
    ファイル システムのビューが表示され、アップロードするファイルを選択できるようになります。
  4. このリストからマルウェア スキャンを行う1つ以上のファイルを選択し、[開く]をクリックします。
    ファイル名が追加されます。
  5. アップロードするファイルのリストが揃うまでファイルの追加と削除を続けます。
  6. スキャンに名前を付けて、バイパスするファイルのタイプを選択します。これは異なるタイプのファイルを含むzipアーカイブをスキャンする場合に便利な機能です。また、構成済みのデフォルトのバイパス設定を上書きします。
  7. スキャン]をクリックします。
    スキャン ジョブが送信され、正常に送信されたことを示す確認メッセージがSecurity Analyticsによって表示されます。スキャン リクエストが[スキャン ジョブ リスト]ダッシュレットに追加されます。このダイアログのバイパス設定は、Malware Analysisの基本構成のデフォルト設定をオーバーライドします。
  8. ジョブが[Malware Analysisサービスの選択]ダイアログの[スキャン ジョブ リスト]およびUnifiedダッシュボードの[スキャン ジョブ リスト]ダッシュレットに追加されます。
    MwaFileScanJobList.png
  9. 完了時にスキャンを表示するには、スキャンをダブル クリックします。
    選択されたスキャンの[イベントのサマリー]が表示されます。

監視対象フォルダからのファイルのアップロード

監視対象フォルダーからファイルをアップロードするには、Malware Analysisの監視対象のファイル共有にファイルをドロップできます。アナリストは、YARAルール、ハッシュ ファイル、感染したファイルのZIPアーカイブをMalware Analysisで共有できます。

Security Analytics Malware Analysisでは、ファイル共有が監視され、そのファイル共有内の特定のフォルダーに配置されたファイルが自動的にスキャンされます。この機能は以下を行う場合に便利です。

  • /var/lib/rsamalware/spectrum/hashWatchからハッシュ ファイルを一括インポートする。
  • /var/lib/rsamalware/spectrum/yara/watchフォルダーから、ホスト上のIOC(セキュリティ侵害インジケーター)リストにカスタムのYARAルールを追加する。
  • /var/lib/rsamalware/spectrum/infectedZipWatch/watchにある、ウイルスに感染したzipファイルのzipアーカイブからオン デマンド スキャン ジョブを作成する。

アナリストは、要件に従ってファイルをスキャンできるよう準備しておく必要があります。また、ファイル拡張子が正しくなければならず、ファイルをファイル共有内の適切な監視対象フォルダにコピーしておく必要があります。

ハッシュ リストのインポート

監視対象ディレクトリからハッシュ リストをインポートするには、ハッシュ リストが指定された形式で記載され、md5でソートされている必要があります。フォーマットされたファイルを、Malware Analysisホストのフォルダー(/var/lib/rsamalware/spectrum/hashWatch)にドロップすることができ、そのファイルは、ローカル ハッシュ データベースに自動的にインポートされます。これについては、「Malware Analysis構成ガイド」の「ハッシュ フィルターの構成」で説明しています。

監視対象フォルダを使用してハッシュ リストをインポートするには、次の手順を実行します。

  1. インポートするハッシュ リストを/var/lib/rsamalware/spectrum/hashWatchディレクトリにコピーします。
    Security Analytics Malware Analysisによってこのフォルダが自動的に監視され、ここに配置されたファイルが処理されます。
    1. Security Analytics Malware Analysisによって、ハッシュ リスト内のすべてのハッシュがハッシュ フィルタに追加されます。
    2. 処理エラーがある場合は、/var/lib/rsamalware/spectrum/hashWatch/errorに記録されます。
    3. 処理されたファイルは、/var/lib/rsamalware/spectrum/hashWatch/processedにカタログ化されます。
    4. 処理されたファイルはhashWatchディレクトリから削除されません。
  2. ハッシュを一括してインポートした後、システム管理者はcronジョブを使用して以前の処理済みファイルをクリーンアップすることができます。

IOCリストへのYARAルールのインポート

高度なスキルと知識を持つユーザーは、YARAルールを編集してホストに配置することによって、RSA Malware Analysisに検出機能を追加したり、編集したYARAルールをRSA Liveでパブリッシュしたりすることができます。カスタムYARAコンテンツを使用してルールを作成するための前提条件については、「カスタムYARAコンテンツの実装」で詳しく説明します。

ルールの準備ができたら、カスタムYARAファイルを次のMalware Analysisサービスの監視対象フォルダに配置します。
/var/lib/rsamalware/spectrum/yara/watch
ファイルは1分以内に処理されます。
処理されたファイルはSecurity Analyticsによってprocessedフォルダーに移動され、Malware Analysisサービスの[構成]ビュー>[セキュリティ侵害インジケーター]タブに、新しいルールが追加されます。

YARA-IOC.png

スキャン ジョブ リストへのファイルのインポート

境界に配置されているセキュリティ デバイスなどからサンプルを取得し、そのファイルに対する追加の分析を実行するには、ファイルを圧縮して、infectedというパスワードで保護し、Malware Analysisの監視対象フォルダに追加します。この圧縮アーカイブは、監視対象フォルダである/var/lib/rsamalware/spectrum/infectedZipWatch/watchに配置できます。

注:アーカイブの最大サイズは100 MBです。

ウイルスに感染したパスワード保護zipファイルを分析するために、監視対象フォルダーに配置されたアーカイブがMalware Analysisによって処理されます。オン デマンド ジョブが作成され、スキャン ジョブ リストに追加されます。

  1. 管理者としてログオンし、/var/lib/rsamalware/spectrum/infectedZipWatch/watchで、処理するファイルをパスワードinfectedでzipファイルに配置します。
    1、2分で、Malware Analysisがアーカイブを処理し、スキャン ジョブ リストにオン デマンド ジョブを作成します。スキャン ジョブ名はファイル名、ユーザーはfile share、イベント タイプは1となります。アーカイブが/var/lib/rsamalware/spectrum/infectedZipWatch/processedに移動されます。
    104MWAFileSharejob.png
  2. ジョブがスキャン ジョブ リストに追加された後、スクリプトまたはcronジョブを実行し、/var/lib/rsamalware/spectrum/infectedZipWatch/processedのzipファイルをクリーンアップします。
You are here
Table of Contents > Malware Analysisの実施 > Malwareスキャン用ファイルのアップロード

Attachments

    Outcomes