Investigation:Malware Analysisの調査の開始

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、Security Analytics InvestigationのMalware Analysisを使用してスキャンされたデータを調査する手順について説明します。

Security Analytics Malware Analysisによるスキャンと解析の結果、セキュリティ侵害インジケーターを含むとフラグ付けされたデータの調査を行うことができます。これには、すべてのタイプのMalware Analysisスキャン(常時スキャン、オン デマンド スキャン、アップロード ファイルのオン デマンド スキャン)が含まれます。常時スキャンは、管理者がMalware Analysisサービスの基本設定で有効に設定する必要があります。

Security Analyticsでは、いくつかの方法でMalware Analysisの調査を開始できます。

最速:Malware Analysisダッシュレットからの即時開始

Malware Analysisの調査を開始する最も迅速な方法は、Security AnalyticsダッシュボードのMalware Analysisダッシュレットに、マルウェアを含んでいる可能性の高いイベントやファイルが表示された場合に、即座に調査を開始することです。これらのいずれかのダッシュレットから、要調査として表示された特定のイベントの解析結果に直接移動できます。

  • 極めて疑わしいマルウェアの上位リスト
  • ゼロデイの可能性が高いマルウェアの上位リスト
  • [高確率IOCとハイスコアのマルウェア]ダッシュレット

[ナビゲート]ビューのメタ値からのオン デマンド スキャン

[ナビゲート]ビューでメタ値を右クリックし、コンテキスト メニューからオプションを選択することによって、Investigationからオン デマンド スキャンを開始できます。スキャンが完了すると、スキャンされたデータをMalware Analysisから確認できます。次のトピックを参照してください:[ナビゲート]ビューからのMalware Analysisスキャンの起動).

特定のRSAサービスの調査

Malware Analysisによるサービスの調査は、[Investigation]>[Malware Analysis]ビューで開始することもできます。特定のサービスに対してMalware Analysisの調査を行う場合は、[Investigation]>[Malware Analysis]ビューでサービスを指定します。

  1. Security Analyticsで[Malware Analysis]ビューが開き、ユーザーが指定したデフォルトのサービスが選択された状態になります。
  2. デフォルトのサービスが指定されていない場合は、調査するMalware Analysisサービスを選択するためのダイアログが表示されます。
  3. [Malware Analysis]ビューでサービスが手動またはデフォルトで選択されている場合は、そのサービスの[イベントのサマリー]と常時スキャン データがSecurity Analyticsによって表示されます。

このトピックでは、Malware Analysisの調査を開始するすべての方法について、手順を説明します。

Malware Analysisダッシュレットからのマルウェア調査の開始

この手順を実行するには、次のいずれかのダッシュレットがUnifiedダッシュボードまたは[Malware Analysis]ビューに表示され、イベントまたはファイルのリストを含んでいる必要があります。ダッシュレットが表示されない場合は、ダッシュレットを追加して構成してください。

  • 極めて疑わしいマルウェアの上位リスト
  • ゼロデイの可能性が高いマルウェアの上位リスト
  • [高確率IOCとハイスコアのマルウェア]ダッシュレット

Malware Analysisの調査をダッシュレットから開始するには、次の手順を実行します。

  1. Security Analyticsにログオンして、Unifiedダッシュボードまたは[Malware Analysis]ビューで前述のいずれかのダッシュレットにアクセスします。以下は、[Malware ゼロデイの可能性が高いマルウェアの上位リスト]ダッシュレットでファイルを表示している例です。

    MwaTopZeroDayFls.png
  2. ダッシュレットで、詳しく解析するイベントまたはファイルをダブル クリックします。イベント リスト内のイベントの詳細な解析またはファイル リスト内のファイルが関連づけられているイベントの詳細な解析が[Malware Analysis]ビューで表示されます。
    MWAnaRes.png

UnifiedダッシュボードのMalware Analysisダッシュレットの構成の詳細については、「Security Analyticsスタート ガイド」の「ダッシュレット」を参照してください。

[Malware Analysis]ビューのダッシュレットに表示される情報を構成し、フィルタリングする方法については、次のトピックを参照してください:[イベントのサマリー]ビューでのダッシュレット データのフィルタ.

解析結果で実行できるアクションについては、次のトピックを参照してください:イベントの詳細なマルウェア解析の表示.

Malware Analysisの調査の開始(デフォルトのサービスが指定されていない場合)

デフォルトのサービスが指定されていない場合に調査を開始するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[Malware Analysis]を選択します。
    [Malware Analysisサービスの選択]ダイアログが開き、現在のユーザーが使用可能なMalware Analysisホストとサービスが左パネルに、スキャン ジョブが右パネルに表示されます。このスキャン ジョブ パネルには、Unifiedダッシュボードの[Malware Analysis スキャン ジョブ]ダッシュレットと同じ列が含まれています。また、ツールバーと表示オプションもあります。これらについては、次のトピックで説明しています:Investigation:[Malware Analysisサービスの選択]ダイアログ.
    SlctMWASrvc.png
  2. Malware Analysisホストのリストで、ホストを選択します。スキャン ジョブのリストが右パネルに表示されます。
  3. スキャンの解析を開始するには、以下のいずれかの操作を実行します。
    1. スキャンを選択し、[スキャンの表示]をクリックします。
    2. 常時スキャン モードの表示]をクリックします。

デフォルトのサービスの設定またはクリア

[Malware Analysisサービスの選択]ダイアログでは、デフォルトのサービスを設定およびクリアできます。

デフォルトのサービスを設定するには、次の手順を実行します。

  1. [イベントのサマリー]ツールバーでサービス名をクリックします。
    [Malware Analysisサービスの選択]ダイアログが表示されます。
    SlctMWASrvc.png
  2. 使用可能なMalware Analysisサービスのリストでサービスを選択して、DefServ.pngをクリックします。
    選択したサービスがデフォルトになります(ホスト名の前にDefServChk.pngが表示されます)。
  3. デフォルトのサービスをクリアするには、グリッドでデフォルトのサービスを選択し、をクリックします。
    デフォルトのサービスが設定されていない状態になります。

ファイルのアップロードとスキャン

Initiate Malware Analysis Scan権限を持つマルウェア アナリストは、[Malware Analysisサービスの選択]ダイアログで[ファイルのスキャン]オプションを使用して、スキャンするファイルをアップロードできます(「 Malware Analysisスキャン用ファイルのアップロード」参照してください)。管理者は、[サービス]の[システム]ビューで、パケット キャプチャ ファイルをDecoderにアップロードしてMalware Analysisでスキャンできます。この手順の説明は、「DecoderおよびLog Decoder構成ガイド」の「パケット キャプチャ ファイルのアップロード」にあります。

調査の開始(デフォルトのサービスが指定されている場合)

デフォルトのサービスが指定されている場合に調査を開始するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[Malware Analysis]を選択します。
    選択したサービスの常時スキャンに関する[イベントのサマリー]が開き、デフォルトのダッシュレットが表示されます。各ユーザーは、デフォルトのダッシュレットを追加、変更、削除でき、それらのダッシュレット設定は別のスキャン調査時にも保持されます。ユーザーは、次のトピックの説明に従って、デフォルトのダッシュレットをリストアすることもできます:[イベントのサマリー]ビューでのダッシュレット データのフィルタ.
    MWAVw.png

時間パラメータ フィルタを結果に適用

閾値フィルタを適用して、選択したダッシュレットの結果の表示を更新できます。

  1. 異なる時間範囲を選択するには、ツールバーで[常時スキャン モード]または異なるスキャンを選択します。
    ContMode.png
    選択されたスキャンの[イベントのサマリー]が表示されます。
  2. スキャン イベントの時間範囲を変更するには、ツールバーのリストから選択します。次の範囲を選択できます。直近5分、直近10分、直近15分、直近30分、直近1時間、直近3時間、直近6時間、直近12時間、直近24時間、直近2日間、直近5日間、早朝、午前、午後、夕方、終日、昨日、今週、先週、カスタム。 
    TimeRange.png
    結果はすぐに更新されます。
  3. 常時スキャンの表示を更新するには、IconRefresh.pngをクリックします。

常時スキャンの結果に閾値フィルタを適用

[高確率IOCとハイスコアのマルウェア]ダッシュレット、[メタ ツリーマップ]ダッシュレット、[スコア ホイール]ダッシュレット、[イベント タイムライン]ダッシュレットの各インスタンスに、新しい閾値フィルタを適用できます。

スキャンに適用されるスコアをカスタマイズするには、ツールバーで次の手順を実行します。

  1. [設定]>[閾値フィルタの適用]を選択します。
    [閾値フィルタの適用]ダイアログが表示されます。
    AppThrsFiltDg.png
  2. 表示されるイベントの数を制限して、一定の数を上回るスコアのイベントのみを表示するには、次の手順を実行します。
    1. [静的]、[ネットワーク]、[コミュニティ]、[サンドボックス]の各スライダー バーでスライダーをドラッグします。
    2. 閾値を適用するダッシュレットを選択するには、適切なチェックボックスを選択します。
    3. Apply]をクリックします。

新しいバイパス設定でのオン デマンド スキャンの削除または再実行

Malware Analysisサービスの[サービス]の[構成]ビューで指定されているものとは異なるバイパス設定でオン デマンド スキャンを削除または再実行できます。

オン デマンド スキャンの表示中にスキャンを削除するには、次の手順を実行します。

  1. [アクション]>[スキャンの削除]を選択します。
    スキャンの削除を確認するよう求められます。
  2. はいをクリックします。
    選択したスキャンが削除されます。

現在のスキャンに別のバイパス設定を適用する方法

  1. [アクション]>[スキャンの再実行]を選択します。
    [マルウェアのスキャン]ダイアログが表示されます。
    ScnfrMlwr.png
  2. 新しいスキャンで使用するバイパス設定を選択して、[スキャン]をクリックします。
    Malware Analysisはキャッシュをリセットして、新しいスキャンのためにファイルを再送信し、Security Analyticsはスキャンをジョブ キューに追加します。
  3. ジョブが完了したら、該当するジョブの[表示]リンクを選択します。
    選択されたスキャンの[イベントのサマリー]が表示されます。

ファイル リストの表示

Malware Analysisの[イベントのサマリー]と各チャート(イベント タイムライン、メタの内訳、メタ ツリーマップ、スコア ホイール)から、イベントに関するファイルのリストを 表示できます。

ファイル リストを表示するには、次のいずれかを実行します。

  • [イベントのサマリー]で、[処理されたファイル]、[PEファイル]、[Officeファイル]、[PDFファイル]の[合計]行または[高確率]行に表示されているファイル数をクリックします。ファイル リストが表示されます。
  • いずれかのチャート ダッシュレットで、右上隅にある[ファイル]フィールドの横の番号をクリックします。
    MWAScrWhl.png
    選択したドリル ダウン ポイントのファイル リストが表示されます。
    Files List.png

ファイル リストでは、ファイル名またはMD5ファイル ハッシュでファイルを検索したり、2つのソート基準でリストを昇順または降順にソートしたり、ファイルをダウンロードしたりすることができます。次のトピックを参照してください:リスト フォームでのスキャン ファイルおよびイベントの調査.

[イベントのサマリー]に戻るには、[サマリーに戻る]をクリックします。

イベント リストの表示

Malware Analysisの[イベントのサマリー]と各チャート(イベント タイムライン、メタの内訳、メタ ツリーマップ、スコア ホイール)からは、イベント グリッドに表示するイベントを選択できます。

イベント リストを表示するには、次のいずれかを実行します。 

  • [イベントのサマリー]で、[合計]行または[高確率]行に表示されている、作成されたイベントの数をクリックします。イベント リストが表示されます。
  • いずれかのダッシュレットで、右上隅にある[イベント]フィールド横の番号をクリックします。
    MWAScrWhl.png
    選択した時間帯のイベント リストが表示されます。
    MWAEventLst.png
You are here
Table of Contents > Malware Analysisの実施 > Malware Analysisの調査の開始

Attachments

    Outcomes