MA:[サービス]の[構成]ビュー:[全般]タブ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analytics Malware Analysisの[サービス]の[構成]ビュー>[全般]タブの構成設定について説明します。この設定にはMalware Analysisサービスに固有のパラメーターがあります。このタブでは以下の項目を構成できます。

  • データを収集しているコア サービスのプロセス パラメーター。
  • 収集されたデータのリポジトリ。
  • データの解析に使用する静的、コミュニティ、サンドボックスのスコア カテゴリーの設定。

詳細な作業手順については、一般的なMalware Analysis設定の構成.

これは、[全般]タブの例です。

機能

このタブは次の4つのセクションに分かれています: [常時スキャン構成]、[リポジトリ構成]、[その他]、[モジュール構成]です。

常時スキャン構成セクション

この表は、[常時スキャン構成]セクションの機能について説明しています。

                                                                         
パラメータ説明
EnabledSecurity Analytics Coreサービスの常時ポーリングを無効化または有効化します。デフォルトでは、これは選択されていません(無効)。
QueryDecoderがネットワーク トラフィックを解析するとき、マルウェアを含む可能性のあるセッションに、spectrum.consumeという値を持つcontentメタ データ フィールドを作成します。デフォルトでは、Security Analytics Malware Analysisはこの特定のメタ値を持つイベントしか解析を実行しません。クエリーを変更すると、Malware Analysisは異なるタイプのイベントを解析するよう構成できます。
クエリーを変更して、条件をより広範にすると、Malware Analysisで多くのイベントを解析する必要が生じ、遅延が生じたり、パフォーマンスが低下したりする可能性があります。
デフォルトのクエリーは、select * where content='spectrum.consume'です。
Query Expiry通常、Malware AnalysisがSecurity Analytics Coreサービスに対してメタのクエリーを実行すると、数秒で結果が返されます。ネットワークなどが原因でクエリーに応答がない場合、Malware Analysisはここで設定する期限が過ぎた後にクエリーを放棄します。
デフォルト値は3,600秒です。
Query Interval新しいセッション メタおよびファイルのクエリーを実行する間隔です(分単位)。
Meta LimitMalware AnalysisがSecurity Analytics Coreサービスに対してクエリーを実行するたびに、ここで設定するメタ制限を上限に、一定量のメタを取り出します。この設定とクエリー間隔の設定とあわせて、Malware AnalysisのパフォーマンスをSecurity Analytics Coreインフラストラクチャで調整できます。
デフォルト値は25000です。
Time BoundaryMalware Analysisは、ここで設定する時間の境界値以降のセッションを解析します。この設定は、どれだけさかのぼって解析を始めるかを決めるため、新しいMalware Analysisアプライアンスをインストールするときに最も重要となります。境界値となる時間が大きすぎる場合、Malware Analysisが解析する過去のイベントの数が大量になり、リアルタイムのトラフィックが表示されるまでにかなりの遅延が生じる可能性があります。
デフォルト値は24時間です。
Source HostSecurity Analytics Malware Analysisアプライアンスのホスト名。
これは、Malware Analysisが解析用のデータを取得するためにクエリーを実行するサービスのIPアドレスまたはホスト名です。ソース ホストとしてlocalhostは使用しません。
アプライアンスのモデルとSecurity Analyticsインフラストラクチャの構成に応じて、このソース ホストは異なります。
Source PortMalware Analysisは、このポートをリッスンするRESTサービスを使ってSecurity Analyticsインフラストラクチャと通信します。このポート番号は、ソース ホストとして使用されているSecurity Analytics Coreサービスのタイプに固有のものです。これは、Security Analytics Coreサービスのアウトバウンド接続に対応します。
ユーザー名ユーザー名です。デフォルト値はadminです。
Malware Analysisは、データのクエリーを実行するたびにソース ホストに認証を行う必要があります。多くの場合、Malware Analysisが使うアカウントは、Security Analyticsを通してコア サービスにアクセスするために使うアカウントと同じものを使用できます。しかし、Malware Analysis専用にSecurity Analytics Coreサービス上で新しいアカウントを作成することが推奨されています。
User Passwordユーザーのパスワード。デフォルト値はnetwitnessです。
SSLSecurity Analytics Coreと通信するときはSSLを使用します。Malware Analysisがコア サービスと通信するためにSSL接続を使用している場合、このオプションをオンにします。
デフォルトでは、チェックボックスはオフになっています。
Denial of Service (DOS) PreventionDOS防止機能は、Windows PEのコンテンツを含む2つのエンドポイント間で大量のネットワーク接続を意図的に生成するマルウェアへの防衛手段です。大量の接続が人為的に生成されると、ネットワークを監視しているセキュリティ サービスが処理し解析する必要のあるトラフィック量が急増し、結果的にサービスが機能不全に陥ります。そのようなセッションをこの機能を使って特定することにより、解析処理の対象外とすることができます。
デフォルトでは、チェックボックスはオフになっています。
DOS Session Rate Window Length (Seconds)Malware Analysisは、[DOS Number Sessions per Rate Window]パラメーターと[DOS Session Lockout Time (Seconds)]パラメーターに加え、このパラメーターを使用することでDOS攻撃を特定し、単一のIPアドレスからのセッションを無視する時間を判断します。
DOS攻撃を特定するために、Malware Analysisは、特定のタイム フレーム内に単一のIPアドレスによって確立されたセッションの数を監視します。このタイム フレームは[DOSセッション レート ウィンドウ長(秒)]によって定義します。セッション数が、[DOS Session Rate Window Length]で定義された時間(秒数)内に[DOS Number Sessions per Rate Window]設定を超えた場合、Malware Analysisは、そのアクティビティをDOSの試みとして識別します。その場合、[DOS Session Lockout Time (Seconds)]で指定された期間、該当するIPアドレスからのトラフィックが無視されます。
デフォルト値は60秒です。
レート ウィンドウあたりのDOSセッション数 Malware Analysisは、[DOS Session Rate Window Length (Seconds)]パラメーターと[DOS Session Lockout Time (Seconds)]パラメーターに加え、このパラメーターを使用することでDOS攻撃を特定し、該当するIPアドレスからのセッションを無視する時間を判断します。
DOS攻撃を特定するために、Malware Analysisは、特定のタイム フレーム内に単一のIPソースによって確立されたセッションの数を監視します。このタイム フレームは[DOSセッション レート ウィンドウ長(秒)]によって定義します。セッション数が、[DOS Session Rate Window Length]で定義された時間(秒数)内に[DOS Number Sessions per Rate Window]設定を超えた場合、Malware Analysisは、そのアクティビティをDOSの試みとして識別します。その場合、[DOS Session Lockout Time (Seconds)]で指定された期間、トラフィックが無視されます。
デフォルト値は200セッションです。
DOS Session Lockout Time (Seconds)Malware Analysisは、[DOSセッション レート ウィンドウ長(秒)]パラメーターと[レート ウィンドウあたりのDOSセッション数]パラメーターに加え、このパラメーターを使用することでDOS攻撃を特定し、そのような攻撃を無視する時間を判断します。
DOS攻撃を特定するために、Malware Analysisは、特定のタイム フレーム内に単一のIPアドレスによって確立されたセッションの数を監視します。このタイム フレームは[DOSセッション レート ウィンドウ長(秒)]によって定義します。セッション数が、[DOS Session Rate Window Length]で定義された時間(秒数)内に[DOS Number Sessions per Rate Window]設定を超えた場合、Malware Analysisは、そのアクティビティをDOSの試みとして識別します。その場合、[DOS Session Lockout Time (Seconds)]で指定された期間、トラフィックが無視されます。
デフォルト値は60秒です。
DOS Garbage Collection Interval (Seconds)DOS攻撃をトラッキングするために使用される内部メモリ構造に対し、ガベージ コレクションを実行します。
メモリ使用量が異常に高い場合は、この設定を小さくすることで、使用されていないメモリを解放する頻度を上げることができます。CPU使用率が異常に高い場合は、この設定を大きくすることで、処理のオーバーヘッドを下げることができます(その分、メモリ使用量は大きくなります)。
デフォルト値は120秒です。

リポジトリ構成セクション

Security Analytics Malware Analysisは後で必要になった場合に備えてすべてのファイルを格納します。これらのファイルはユーザー インタフェースからダウンロードするか、いずれかのファイル共有プロトコルからアクセスできます。

この表は、[リポジトリ構成]セクションの機能について説明しています。

                       
パラメータ説明
Directory Pathすべてのファイルは、Security Analytics Malware Analysisアプライアンスの次のディレクトリに格納されています。
/var/lib/netwitness/spectrum
File Sharing Protocolファイル共有プロトコルの値としてFTP、SAMBA、Noneが可能です。FTPアクセスとSAMBAファイル共有を有効にすると、ユーザーはリモートからSecurity Analytics Malware Analysisに格納されたファイルにアクセスすることができます。これらのファイルにアクセスする場合、認証情報は必要ありません。FTPアクセスに必要なポートはTCP/21です。デフォルトのファイル共有プロトコル設定はNoneです。
Retention (in days)Security Analytics Malware Analysisでは、リポジトリに格納されているファイルを、指定の日数、保持します。ファイルを削除するまでの保持日数を設定できます。デフォルト値は60日です。

その他の構成セクション(10.3 SP2以降)

この表は、その他の構成セクションの機能について説明しています。

               
パラメータ説明
Maximum File Size手動でスキャンできる最大ファイルのサイズを制限します。このパラメーターは、「InvestigationおよびMalware Analysisガイド」の「Malwareスキャン用ファイルのアップロード」に説明されている機能に適用されます。デフォルト値は64 MBです。
その制限をファイル サイズが超えた場合、ファイルのスキャンがSecurity Analyticsによって禁止されます。

モジュール構成セクション

[モジュール構成]セクションでは、静的(Static)、コミュニティ(Community)、サンドボックス(Sandbox)のスコア カテゴリーを構成できます。

静的解析構成

静的(Static)モジュールは、デフォルトで有効になっている唯一のスコア カテゴリーです。この表は、静的解析を構成するためのパラメータについて説明しています。

                               
機能説明
Enabled静的解析を完全に無効化または有効化します。デフォルトでは、これは選択されています(有効)。
Bypass PDFPDFドキュメントの解析を無効化します。デフォルトでは、これは選択されていません。すべてのPDFファイルは静的解析が行われます。
Bypass OfficeOfficeドキュメントの解析を無効化します。デフォルトでは、これは選択されていません。すべてのMS Officeファイルは静的解析が行われます。
Bypass ExecutableWindows PEドキュメントの解析を無効化します。デフォルトでは、これは選択されていません。すべてのWindows PEファイルは静的解析が行われます。
Validate Windows PE Authenticate Settings via Cloud

Authenticode確認のために、Windows PEファイルがRSA-Netwitness Cloudに送信されるかどうかを指定します。デフォルトでは選択されています。

  • 選択されている場合、デジタル署名されているWindows PEファイルは、確認のために(その全体が)ネットワーク経由でRSA-Netwitness Cloudに送信されます。Windows PEファイルがユーザー ネットワークの外部に出るのを防ぐには、このオプションを無効にする必要があります。
  • 選択されていない場合、すべての静的解析はローカルで行われます(Authenticode確認はスキップされます)。この設定に関係なく、PDFとM/S OfficeドキュメントはAuthenticode検証の対象にはならず、静的解析ではネットワークk経由で送信されません。

コミュニティ解析構成

デフォルトで、コミュニティ(Community)モジュールは無効になっており、PDFとMS Officeドキュメントが処理されないようにオプションが選択されています。その目的は、ユーザーが選択しない限り機微性の高いファイルがネットワークから外部に送信されることを防ぐためです。この表は、コミュニティ解析を構成するためのパラメータについて説明しています。

                           
機能説明
Enabled静的解析を完全に無効化または有効化します。デフォルトでは、これは選択されていません(無効)。
Bypass PDFPDFドキュメントの解析を無効化します。デフォルトでは、これは選択されています。PDFファイルは処理されません。
Bypass OfficeOfficeドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Microsoft Officeドキュメントは処理されません。
Bypass ExecutableWindows PEドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Windows PEファイルは処理されません。

サンドボックス解析構成

デフォルトでは、サンドボックス(Sandbox)モジュールは無効になっており、MS OfficeファイルとPDFファイルは処理されません。その目的は、ユーザーが選択しない限り機微情報がネットワークから外部に送信されることを防ぐためです。バイパスの設定をしていない対象のファイルでは、ファイル全体が宛先サンドボックス サーバに送信されます(ファイル コンテンツのハッシュだけではありません)。 

この表は、サンドボックス解析を構成するためのパラメータについて説明しています。

                               
機能説明
Enabledサンドボックス解析を完全に無効化または有効化します。デフォルトでは、これは選択されていません(無効)。
Bypass PDFPDFドキュメントの解析を無効化します。デフォルトでは、これは選択されています。PDFファイルは処理されません。選択しない場合、すべてのPDFファイルはその全体が解析用にサンドボックスに送信されます。
Bypass OfficeOfficeドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Microsoft Officeドキュメントは処理されません。選択しない場合、すべてのMS Officeファイルはその全体が解析用にサンドボックスに送信されます。
Bypass ExecutableWindows PEドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Windows PEファイルは処理されません。選択しない場合、すべてのWindows PEファイルはその全体が解析用にサンドボックスに送信されます。
Preserve Original File Name when Performing Sandbox Analysis

10.3 SP2以降で、ファイルをローカル サンドボックスに送信する際のファイル名のハッシュ機能を有効にします。デフォルトではオフになっています。

注:このパラメーターを選択しない場合、Security Analyticsによってファイルがハッシュされます。

GFI Sandbox設定

[GFI Sandbox]セクションでは、GFIによるサンドボックス処理を有効にし、ローカルでインストールしたGFI Sandboxを構成できます。この表は、GFI Sandboxを構成するためのパラメータについて説明しています。

                               
機能説明
Enabled有効な場合、サンドボックス処理はGFIのローカル コピーによって実行されます。デフォルト値は、[無効]です。GFIを有効にした場合、残りのパラメータを構成する必要があります。
Server NameGFI Sandboxサーバ名です。デフォルト値なし。
Server PortGFI Sandboxサーバのポート番号です。デフォルト値は80です。
Max Poll Period送信されたサンプルの処理を待機する時間を指定します。デフォルト値は600秒です。
Ignore Web Proxy SettingsWebプロキシが構成されている環境で、サンドボックスに接続するときにWebプロキシをバイパスするようにSecurity Analytics Malware Analysisに指定します。Security Analytics Malware AnalysisでWebプロキシが構成されていない場合、この設定は無視されます。

ThreatGrid Sandbox設定

[ThreatGridSandbox]セクションでは、ThreatGridによるサンドボックス処理を有効化し、ローカルでインストールしたThreatGridまたはThreatGrid Cloudをサンドボックス解析に使うかどうかを選択できます。

  • ThreatGridのローカル コピーがある場合、ローカル コピーを使うようサンドボックス処理を構成します。
  • ThreatGridのローカル インスタンスを購入およびインストールしていない場合、ThreatGrid Cloudを構成します。

この表では、ThreatGridサンドボックスの構成パラメータについて説明します。

注:このサービスを有効にする前に、ThreatGrid提供のサービス キーを構成する必要があります。  サービス キーは、このサイトから送信されたサンプルが正当であることをThreatGridが認識できるようにします。

                           
機能説明
Enabled有効な場合、サンドボックス処理はThreatGridのローカル コピーまたはThreatGrid Cloudによって実行されます。デフォルト値は、[無効]です。
Service Keyサンドボックス モジュールを有効にする前に、ThreatGrid提供のサービス キーを構成する必要があります。サービス キーは、このサイトから送信されたサンプルが正当であることをThreatGridが認識できるようにします。
URL使用するThreatGridサーバのURL(ローカルでインストールしたThreatGridを使用していない場合)。ThreatGrid Cloudのアクセス先:https://panacea.threatgrid.com
Ignore Web Proxy SettingsWebプロキシが構成されている環境で、サンドボックスに接続するときにWebプロキシをバイパスするようにSecurity Analytics Malware Analysisに指定します。Security Analytics Malware AnalysisでWebプロキシが構成されていない場合、この設定は無視されます。
You are here
Table of Contents > Malware Analysisの参考資料 > [サービス]の[構成]ビュー:[全般]タブ

Attachments

    Outcomes