ATD:NetWitness Suiteの自動脅威検出

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness® Suite自動脅威検出は、事前構成済みのESA Analyticsモジュールを使用して特定のタイプの脅威を特定します。ESA Analyticsモジュールは、数学的計算を使用して追加情報でイベントを拡充するアクティビティ オブジェクトのパイプラインです。ESA AnalyticsモジュールはESA Analyticsサービス内に配置されています。ESA Analyticsサービスは、QBA(クエリ ベース アグリゲーション)を使用して、Concentratorからモジュールのフィルタされたイベントを収集します。モジュールが必要なデータのみが、ConcentratorとESA Analyticsシステム間で転送されます。

ESAホストで実行できるESAサービスは2つあります。

  • Event Stream Analysis(ESA相関ルール)
  • Event Stream Analytics Server(ESA Analytics)

最初のサービスは、ESAルールからアラートを作成するEvent Stream Analysisサービスです。これはESA相関ルールとも呼ばれ、手動で作成するか、Liveからダウンロードします。2番目のサービスはESA Analyticsサービスで、自動脅威検出に使用されます。ESA Analyticsサービスでは自動脅威検出に事前設定されたモジュールが使用されるため、自動脅威検出を使用するためにルールを作成またはダウンロードする必要はありません。

NetWitness Suite自動脅威検出では現在、パケット用のC2(Command and Control)とログ用のC2の2つの不審なドメイン モジュールが使用可能です。

各ESA Analytics モジュールのデータ要件は異なるため、自動脅威検出のモジュールを導入する前にすべてのモジュール固有の要件が満たされていることを確認してください。

不審なドメインに対する自動脅威検出

Suspicious Domains(不審なドメイン)モジュールは、自社のネットワークに接続するドメインの中からマルウェアのコマンド&コントロール サーバの可能性があるドメインを特定するためにHTTPトラフィックを調査します。不審なドメインに対するNetWitness Suite自動脅威検出では、HTTPトラフィックを調査した後、トラフィックの動作のさまざまな側面(特定のドメインに接続する頻度や規則性など)に基づいてスコアを生成します。これらのスコアが設定された閾値に達した場合、ESAアラートが生成されます。このESAアラートは、[対応]ビューに転送されます。[対応]ビューのアラートには、スコアを解釈して実行すべき改善手順を判断するのに役立つデータが付加されます。 

自動脅威検出の不審なドメイン モジュールは、コマンド&コントロール サーバとの通信を検出するためのスコア計算を提供します。コマンド&コントロール サーバとの通信は、マルウェアがシステムを侵害し、データをソースに転送する時に発生します。多くの場合、コマンド&コントロール型のマルウェアは、ビーコン動作により検出できます。ビーコンは、マルウェアが定期的にコマンド&コントロール サーバと通信し、そのマシンがマルウェアに感染しており、マルウェアが次の指令を待機していることを知らせるものです。セキュリティ侵害のこの段階でマルウェアを捕捉することができれば、感染したマシンにそれ以上の侵害が発生するのを防ぐことができます。このため、「キル チェーン」のクリティカルな段階と考えられます。 

NetWitness Suite自動脅威検出は、マルウェアの検索時に発生するいくつかの一般的な問題を解決できます。

  • シグネチャではなくアルゴリズムを使用する。多くのマルウェア作成者は、シグネチャの作成が非常に困難なポリモーフィック型コードや暗号化コードを使い始めているため、シグネチャ ベースのアプローチではマルウェアを見逃す可能性があります。NetWitness Suite自動脅威検出では、行動ベースのアルゴリズムを使用するため、マルウェアをより迅速かつ効率的に検出できます。
  • 探索の自動化。データを手動で探索するのは効果的ではありますが、マルウェアを検索する手段としては時間がかかりすぎます。このプロセスを自動化することにより、アナリストは時間をより有効に活用できます。 
  • 攻撃を迅速に検出する機能。自動脅威検出は、バッチ処理の後データを分析するのではなく、NetWitness Suiteが収集するデータを都度解析するため、ほぼリアルタイムで攻撃を検出することが可能です。 

不審なドメイン モジュールのワークフロー

NetWitness Suite自動脅威検出の処理はフィルタリング システムと似ています。特定の行動が発生する(または特定の条件が存在する)かどうかをチェックし、その行動または条件が発生している場合、プロセスを次のステップに進めます。これにより、システムが効率化され、無駄なリソースが解放されるため、脅威ではないと判断されたイベントはメモリに保持されません。次の図に、シンプルな不審なドメイン モジュールワークフローを示します。 

C2ワークフロー

1.) パケットまたはログがESAに送信されます。HTTPパケットまたはログはDecoderまたはLog Decoderによってパースされた後、ESAホストに送信されます。

2.) ホワイトリストがチェックされます。Context Hubを使ってホワイトリストを作成した場合、ESAは、このリストをチェックして安全なドメインを除外します。イベントのドメインがホワイトリストに登録されている場合、イベントは無視されます。

3.) ドメイン プロファイルがチェックされます。自動脅威検出は、ドメインについて、新しく検出したドメイン(約3日間)かどうか、ソースIP接続が複数あるかどうか、リファラのない接続が多数あるかどうか、レアなユーザ エージェントを使用した接続があるかどうかをチェックします。 これらの条件のいずれかまたは複数に該当する場合、次に、そのドメインへの定期的なビーコンがないかがチェックされます。

4.) ドメインへの定期的なビーコンがないかがチェックされます。ビーコンは、マルウェアが定期的にコマンド&コントロール サーバと通信し、そのマシンがマルウェアに感染しており、マルウェアが次の指令を待機していることを知らせるものです。サイトにビーコン動作が表示されている場合は、ドメイン登録情報がチェックされます。 

5.) ドメイン登録情報がチェックされます。Whoisサービスを使用して、ドメインが最近登録されたものか、または期限切れ間近でないかが確認されます。有効期間が非常に短いドメインはマルウェアの顕著な特徴の一つです。 

6.) コマンド&コントロール(C2)でスコアが集計されます。上記の要因のそれぞれで個別のスコアが生成され、重みづけされてさまざまなレベルの重要性を示します。重みづけされたスコアは、アラートを生成するかどうかを決定します。アラートが生成される場合、集約されたアラートが[対応]ビューに表示され、そこでさらに調査することができます。[対応]ビューに表示されたアラートは、引き続き関連づけられたインシデントの下で集計されます。これにより、コマンド&コントロール インシデントに生成された大量のアラートを簡単にソートできるようになります。 

アナリストは[対応]ビューでアラートを表示できます。

パケットとWebプロキシ ログでの不審なドメインの自動脅威検出

RSA NetWitness Suiteは、パケットとWebプロキシ ログのいずれかを使用して、不審なドメインの自動脅威検出を実行する機能を提供します。パケット データはNetWitness Suiteインストールへのワイヤなしで直接ストリーミングして分析できますが、インストールでWebプロキシを使用する機能がある場合は、使用すると便利です。一部のインストールではネットワーク変換またはSSL暗号化を使用するため、パケット レベルで監視する場合、発信接続の実際のソースIPはマスクされる可能性があります。Webプロキシを使用すると、その監視対象のトラフィックの実際のソースIPアドレスをトラッキングできるだけでなく、SSLトラフィックを利用し復号する機能のメリットを受けることができます。

パケット用の不審なドメイン(パケット用のC2)とログ用の不審なドメイン(ログ用のC2)は両方とも同じ結果を生成する必要があります。結果の観点から、別々に使用する利点はありません。

You are here
Table of Contents > NetWitness Suiteの自動脅威検出

Attachments

    Outcomes