MA:スコア モジュール

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analytics Malware Analysisでは、ネットワーク、静的解析、コミュニティ、サンドボックスの4つのカテゴリーで、セッションとそのセッション内のファイルを解析し、スコアを計算します。各カテゴリーは、多くのルールやチェックで構成されており、1~100のスコアを計算するために使用されます。スコアが高いほど、悪意のあるセッションである可能性が高くなり、より詳しい追加調査を行う必要があります。

Security Analytics Malware Analysisでは、警告やインシデントに至るまでの一連のイベントの履歴を簡単に調査することができます。ネットワークで特定のタイプのアクティビティが発生していることが分かっている場合は、関連性の高いレポートのみを選択し、データ コレクションの内容を調べることができます。スコア カテゴリーやファイル タイプ(Windows PE、PDF、Microsoft Office)に基づいて、各スコア カテゴリーの動作を変更することもできます。

データ ナビゲーションの手法に慣れたら、次のような方法でより詳細にデータを調べることができます。

  • 特定のタイプの情報を検索する。
  • 特定のコンテンツを詳しく調査する。

ネットワーク、静的解析、コミュニティ、サンドボックスのカテゴリー スコアは、個別に保持およびレポートされます。個別のスコアに基づいてイベントを表示したときに、1つのカテゴリーでマルウェアが検出された場合には、詳細な解析が必要です。

ネットワーク

最初のカテゴリでは、各Security Analytics Coreコア ネットワーク セッションを調査して、マルウェアと疑われるセッションがあるかどうかを判断します。たとえば、既知の安全なサイトから、適切なポートとプロトコルを使用して、通常の(悪意のない)ソフトウェアをダウンロードするアクティビティは、問題なしと見なされます。この条件セットのスコア計算で使用される要素の例として、次のようなセッションがあります。

  • 脅威Feed情報に合致するような内容を含んでいる
  • 既知の悪質なサイトに接続する
  • 高リスクと見なされているドメインや国(.ccドメインなど)に接続する
  • 標準以外のポートで既知のプロトコルを使用する
  • 難読化されたJavaScriptを含んでいる

静的解析

2番目のカテゴリーでは、実行ファイルが悪意のある動作をする可能性を予測するために、セッション内の各ファイルについて難読化の兆候を解析します。たとえば、ネットワーク ライブラリにリンクされているソフトェアは、不審なネットワーク アクティビティを実行する可能性が高くなります。この条件セットのスコア計算で使用される要素の例として、次のようなものがあります。

  • XORエンコードされていることが検出されたファイル
  • EXE以外の形式で組み込まれていることが検出されたファイル(GIF形式で組み込まれていることが検出されたPEファイルなど)
  • リスクの高いインポート ライブラリにリンクしているファイル
  • PE形式から著しく逸脱しているファイル

コミュニティ

3番目のカテゴリーでは、セキュリティ コミュニティで蓄積されたインテリジェンスに基づいてセッションやファイルのスコアを計算します。たとえば、主要なアンチウイルス(AV) ベンダーによって、フィンガープリントやハッシュが有害か無害かがすでに分かっているファイルは、その情報に従ってスコアが計算されます。また、ファイルのスコア計算では、ファイルの配信元が有害と指定されているか無害とされているかといったセキュリティ コミュニティのインテリジェンスも考慮されます。

コミュニティ スコアは、ユーザー環境のAVソフトウェアがファイルを悪意のあるファイルとしてフラグを設定しているかどうかも示します。ただし、そのAV製品によってシステムが保護されていることを保証するわけではありません。

サンドボックス

4番目のカテゴリーでは、実際にソフトウェアをサンドボックス環境で実行することによって、ソフトウェアの動作を調べます。ソフトウェアを実行してその動作を観察することにより、既知の悪意のあるアクティビティを識別してスコアを計算できます。たとえば、再起動のたびに、自動起動してIRC接続するように自身を構成するソフトウェアは、既知の不正な動作をしないファイルよりもスコアが高くなります。

You are here
Table of Contents > Malware Analysisの動作の概要 > スコア モジュール

Attachments

    Outcomes