MA:(オプション)ハッシュ フィルタの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analytics Malware Analysisで、ファイルを既知の無害なファイルまたは有害なファイルとしてマークすることができる、ハッシュ フィルタの概要を説明します。ハッシュ フィルタを使用すると、既知の無害または有害なファイルに関するハッシュのリストを管理できます。[ハッシュ]タブで、ファイル ハッシュに基づいて、Security Analytics Malware Analysisのイベント解析を微調整できます。ファイル ハッシュが無害としてマークされている場合、Malware Analysisは次回そのファイル ハッシュを検出したときにファイルを解析しません。ファイル ハッシュが有害としてマークされている場合、Malware Analysisは自動的にそのファイルのCommunityスコアのポイント数を大幅に上昇させます。Malware Analysisは、そのようなファイルの場合でも、新しい情報が利用可能になっている場合があるため、ファイルを解析します。

注:イベントに単一のファイルが含まれており、ファイルのハッシュが無害としてマークされている場合、Malware Analysisによってイベント全体がフィルター処理され、Malware Analysisの結果に表示されません。

ハッシュ リストにハッシュ フィルタを追加するには、次のいずれかの手動による方法を使用できます。

  1. [イベントの詳細]ビューのコンテキスト メニュー:ファイルを右クリックし、コンテキスト メニューで選択したファイルのハッシュを無害(通常)または有害(悪意あり)としてマークすることができます。
  2. [ハッシュ]タブのツールバー:[ハッシュ]タブの[追加]ボタンをクリックし、ファイル ハッシュとファイル サイズを入力し、必要に応じて、信頼できるハッシュとしてマークできます。

監視対象フォルダーからハッシュ リストを一括してインポートすることにより、Security Analytics Malware Analysisへのハッシュ フィルタの追加を自動化する方法もあります。監視対象フォルダからインポートされたハッシュはハッシュ リストには表示されません。一括インポート機能と、Malware Analysisサーバ上で設定された監視対象ディレクトリ(/var/lib/rsamalware/spectrum/hashWatch)を使用して、監視対象フォルダにハッシュ リストをコピーします。リストはシステムに自動的にインポートされます。一括インポートを使用してインポートされたハッシュは、前回までに監視対象フォルダを使ってインポートされたハッシュを上書きします。

ハッシュ リストの表示

ハッシュ リストを表示するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. [サービス]ビューで、Malware Analysisサービスを選択し、>[表示]>[構成]を選択します。
  3. ハッシュ]タブを選択します。
    ハッシュ リストが[ハッシュ]タブに表示されます。いずれかの方法を使用して追加されたファイル ハッシュのみが表示されます。

ハッシュ フィルタへのファイル ハッシュの追加

ハッシュ フィルタにファイル ハッシュを追加するには、次の手順を実行します。

  1. ハッシュ]タブのツールバーで、[追加]をクリックします。
    [ハッシュの追加]ダイアログが表示されます。
  2. ハッシュが信頼済みである場合は、[信頼済み]を選択します。
  3. MD5ハッシュと、バイト単位のファイル サイズを入力します。
  4. 保存]をクリックします。
    ファイル ハッシュがハッシュに追加され、Security Analytics Malware Analysisでハッシュ フィルタを実行するために使用されます。

信頼済みまたは非信頼としてのハッシュのマーク

信頼済みまたは非信頼としてファイル ハッシュをマークするには、次の手順を実行します。

  1. ハッシュ]タブで、信頼済みと非信頼を切り替えるには、ハッシュの[信頼済み]チェックボックスをクリックします。
  2. ツールバーで、[編集内容の保存]をクリックします。

ハッシュ フィルタからのハッシュの削除

ハッシュ フィルタからハッシュを削除するには、次の手順を実行します。

  1. ハッシュ]タブで、ハッシュ フィルタから削除する1つ以上のハッシュを選択します。
  2. ツールバーで、[削除]をクリックします。
    確認を求めるダイアログが表示されます。
  3. ハッシュを削除するには、[はい]をクリックします。
    ファイル ハッシュがグリッドから削除され、Security Analytics Malware Analysisのハッシュ フィルタで使用されなくなります。

ファイル ハッシュの検索

[ハッシュ]タブでは、グリッドに表示されているファイル ハッシュを検索できます。

監視対象フォルダを使用したハッシュ リストのインポート

監視対象ディレクトリからハッシュ リストをインポートするには、ハッシュ リストが指定された形式で記載され、md5でソートされている必要があります。後で説明する形式のファイルをMalware Analysisアプライアンス上のフォルダ(/var/lib/rsamalware/spectrum/hashWatch)にドロップすると、ファイルはローカルのハッシュ データベースに自動的にインポートされます。ファイル ハッシュをSecurity Analyticsにインポートする方法は、この方法だけです。その他の使用例として、システム管理者は監視対象ディレクトリを共有し、このディレクトリにリストをプッシュする特定のプロセスを使用してインポートを実行できます。こうすると、大量のハッシュのインポート処理が簡単になります。

このファイルは、csv形式のファイルで、各行間には空白がないようにする必要があります。ハッシュ リスト内のデータには重複がないようにする必要があります。重複は処理の際に無視されます。重複するハッシュがあると、ログ ファイルに次のメッセージが表示され、ファイルに含まれる重複ハッシュの数が示されます。

2013-08-09 09:46:00,674 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing - /var/lib/rsamalware/hashWatch/test.csv
2013-08-09 09:47:56,619 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.services.file.hash.HashServiceImpl - Skipped 21 Duplicate Hashes Already on File
2013-08-09 09:48:06,638 [jobExecutor-2(HashFileWatch)] INFO com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed - /
var/lib/rsamalware/hashWatch/test.csv

デフォルトのファイル形式のハッシュ リストの例を以下に示します。


[BeginFileExample]
392126E756571EBF112CB1C1cdEDF926,98865,True
0E53C14A3E48D94FF596A2824307B492,2226,True
176308F27DD52890F013A3FD80F92E51,42748,False
9B3702B0E788C6D62996392FE3C9786A,32768,False
937ADE76A75712B7FF339403B4FCB5A6,4821,False
B47139415F735A98069ACE824A114399,1723,False
E6CAF205E602CFA9A65663DB1A087874,704,False
680CA0BCE1FC7BC4136ADF4E210869C5,2075,False
[EndFileExample]


Security Analyticsの構成ファイル(/var/lib/rsamalware/spectrum/conf/hashFileWatchConfig.xml)では、ハッシュ リストのインポート プロセスで使用される形式およびオプションを指定します。構成ファイルのリストを以下に示します。

<config>
<enabled>true</enabled>
<distributedCacheEnabled>true</distributedCacheEnabled>
<watchDirectory>/
/var/lib/rsamalware/hashWatch</watchDirectory>
<processedDirectory>/
var/lib/rsamalware/hashWatch/processed</processedDirectory>
<erroredDirectory>/
var/lib/rsamalware/hashWatch/error</erroredDirectory>
<md5Col>0</md5Col>
<fileSizeCol>-1</fileSizeCol>
<isTrustedCol>1</isTrustedCol>
<isTrust>false</isTrust>
<ignoreFirstLine>false</ignoreFirstLine>
<frequencyInMinutes>1</frequencyInMinutes>
<isGzipCompressed>false</isGzipCompressed>
</config>
                                    
説明
<md5Col>0</md5Col>各エントリーのmd5ハッシュの場所。デフォルト値は位置0、つまり最初の位置です。
<fileSizeCol>1</fileSizeCol>各エントリーのハッシュ サイズの場所。デフォルト値は位置1、つまり2番目の位置です。ハッシュ サイズがcsvファイルに含まれていない場合は、この値を-1にする必要があります。
<isTrustedCol>2</isTrustedCol>各エントリーの信頼済みパラメータ列の場所。デフォルト値は位置2です。信頼済みパラメータがcsvファイルに含まれていない場合は、この値を-1にする必要があります。
<isTrust>false</isTrust>各エントリーの[信頼済み]パラメータに対するデフォルト値はfalseです。
<ignoreFirstLine>false</ignoreFirstLine>ハッシュ内のヘッダの有無。デフォルト値はfalseです。ハッシュにヘッダがある場合は、この値をtrueに設定する必要があります。
<frequencyInMinutes>1</frequencyInMinutes>Security Analyticsによる監視対象ディレクトリ内のチェックの間隔。デフォルト値は1分間です。
<isGzipCompressed>false</isGzipCompressed>ハッシュはGzipを使用して圧縮されます。デフォルト値はfalseです。ハッシュがGzipで圧縮されている場合、この値はここでtrueに設定する必要があります。

ハッシュ リストがインポートされた場合、ログのエントリーは次のようになります。

2013-04-11 03:22:00,597 [jobExecutor-9(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
2013-04-11 03:22:00,600 [jobExecutor-9(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processed -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv

ファイルのロードに問題がある場合、ログのエントリーは次のようになります。

2013-04-11 03:17:00,597 [jobExecutor-4(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv
... Verbose log
2013-04-11 03:17:00,632 [jobExecutor-4(HashFileWatch)] INFO  com.netwitness.malware.core.scheduler.jobs.HashFileWatch - Error Processing -  /var/lib/rsamalware/spectrum/hashWatch/simpleHash.csv


監視対象フォルダを使用してハッシュ リストをインポートするには、次の手順を実行します。

  1. インポートするハッシュ リストを/var/lib/rsamalware/spectrum/hashWatchディレクトリにコピーします。
    Security Analytics Malware Analysisによってこのフォルダが自動的に監視され、ここに配置されたファイルが処理されます。
    Security Analytics Malware Analysisによって、ハッシュ リスト内のすべてのハッシュがハッシュ フィルタに追加されます。
    処理エラーがある場合は、/var/lib/rsamalware/spectrum/hashWatch/errorに記録されます。
    処理されたファイルは、/var/lib/rsamalware/spectrum/hashWatch/processedにカタログ化されます。
    処理されたファイルはhashWatchディレクトリから削除されません。
  2. ハッシュを一括してインポートした後、システム管理者はcronジョブを使用して以前の処理済みファイルをクリーンアップすることができます。
You are here
Table of Contents > 基本的な設定 > (オプション)ハッシュ フィルタの構成

Attachments

    Outcomes