ATD:Suspicious Domainsの自動脅威検出の構成

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、管理者とアナリストを対象として、Suspicious DomainsモジュールをNetWitness Suite自動脅威検出用に構成する方法について説明します。自動脅威検出機能では、事前構成済みのESA Analyticsモジュールを使用すると、1つ以上のConcentrator上に存在するデータを分析できます。たとえば、Suspicious Domainsモジュールを使用すると、ESA AnalyticsサービスでHTTPトラフィックを調べ、ご使用の環境に悪意のあるアクティビティが発生している可能性を判別できます。

NetWitness Suiteで使用可能な事前構成済みSuspicious Domainsモジュールには、パケット用のC2(Command and Control)とログ用のC2の2種類があります。Suspicious Domainsモジュールは、イベントのサブセットとそのイベントで実行されるアクティビティを定義して、疑わしいC2ドメインを特定します。

自動脅威検出のESA Analyticsモジュールを導入する前に、多くの潜在的なインストール構成がESAにインストールされている可能性があることに留意してください。これには、ESA Analytics、ESA相関ルール、Context Hubなどが含まれます。これらの各インストール構成によってリソースが占有される可能性があるため、自動脅威検出をESAに導入する前にサイズ設定について検討しておくことが重要です。

前提条件

  • パケット データを使用している場合は、HTTPパケット データ用にDecoderを構成し、HTTP LuaまたはFlex Parserを構成しておく必要があります。
  • Webプロキシ ログ データを使用している場合は、Webプロキシに正しいパーサを使用して適切なLog Decoderを構成しておく必要があります。
  • Webプロキシ ログ データを使用している場合は、最新のログ パーサに更新しておく必要があります。サポートされているパーサは、Blue Coat Cache Flow(cacheflowelff)、Cisco IronPort WSA(ciscoiportwsa)、Zscaler(zscalernss)です。
  • Webプロキシ ログ データを使用している場合は、最良の結果を得るため、すべてのWebプロキシを同様に構成する必要があります(同じタイム ゾーンに設定し、同じ収集方法のシステムログまたはバッチを使用し、バッチを使用する場合は同じバッチ処理頻度を使用します)。
  • ESAホストからWhoisサービス(RSA Live cms:netwitness.com:443と同じ場所)への接続は、ポート443で開く必要があります。これが完了していることを、システム管理者に問い合わせて確認してください。
  • ドメインをホワイトリストに追加するには、Context Hubサービスを有効化する必要があります。

重要:自動脅威検出では、スコア計算アルゴリズムをネットワークのトラフィックに順応させる「ウォーム アップ」期間が必要です。通常のトラフィックでウォーム アップ期間を実行できるように自動脅威検出を構成することを計画する必要があります。たとえば、ほとんどのユーザを含むタイム ゾーンで火曜日の午前8:00に自動脅威検出を開始すると、モジュールで1日の通常のトラフィックを正確に分析できます。

Suspicious Domainsの自動脅威検出を構成する

この処理手順では、ESA AnalyticsのSuspicious Domainsモジュールで自動脅威検出を構成するために必要なステップについて説明します。Suspicious DomainsなどのESA Analyticsモジュールは、手動でESAルールを作成する必要がないという意味で事前構成済みとみなされます。

基本的な手順は次のとおりです。

  1. (ログ用のみ)ログ設定を構成します。ログ用の自動脅威検出を使用する前に、いくつかの設定を構成しておく必要があります。パケット用の自動脅威検出を使用する場合は、このステップをスキップしてください。
  2. Context Hubサービスを使用してホワイトリスト(オプション)を作成します。ホワイトリストを作成すると、通常アクセスされるWebサイトを自動脅威検出のスコア計算から除外することができます。
  3. Whoisルックアップ サービスを構成します。Whoisサービスを使用して、接続先のドメインに関する正確なデータを取得できます。有効なスコア計算を行うには、Whoisルックアップ サービスを構成することが重要です。Whoisサービスがご使用の環境からアクセス可能であることを確認します。
  4. データ ソースをESA Analyticsモジュールにマップします。事前構成済みのESA AnalyticsモジュールをConcentrator、ESA Analyticsサービスなどの複数のデータ ソースにマップすることにより、NetWitness Suite自動脅威検出が高度な脅威を自動的に検出する方法を定義します。
  5. C2のインシデント ルールが有効になっていることを確認し、アクティビティを監視します。Suspicous Domainsモジュールをマップした後は、スコア計算アルゴリズムをウォーム アップするために一定の時間が必要です。ウォーム アップ期間後、インシデント ルールでC2ルールが有効であることを確認し、ルールがトリガーされたかどうかを確認するために監視します。 
  6. インシデント ルールが正しく構成されていることを確認します。対応ビューでインシデントを表示するときは、インシデントがSuspected C&Cでグループ化されていると便利です。

ステップ1. (ログ用のみ)ログ設定の構成

ログ用の自動脅威検出を構成するには、いくつか追加の構成手順を実行する必要があります。

  • サポートされているパーサがLog Decoderで有効化されていることを確認します。
  • RSA Liveから適切なWebプロキシ パーサの最新バージョンを取得します。
  • enVision構成ファイルのマッピングを更新します。パーサ経由で使用可能な新しいメタと連携するようLog Decoderを更新するには、このファイルが必要です。
  • table-map.xmlファイルが正しく更新されたことを確認します。
  • インデックスが正しく更新されたことを確認します。

Log Decoderでパーサが実行されていることを確認するには、次の手順を実行します。

  1. 管理>[サービス]に移動します。
  2. Log Decoderを選択し、Actions icon>[表示]>[構成]の順に選択します。
    [サービスParser構成]セクションに、有効化されたパーサのリストが表示されます。
  3. 適切なWebプロキシ パーサが有効になっていることを確認します。

Log Decoder Configuration for Parsers

RSA Liveから最新のパーサを取得するには、次の手順を実行します。

  1. 構成>[Liveコンテンツ]に移動します。
  2. サポートされているWebプロキシ パーサの1つに対応する検索語を入力します。
  3. 適切なWebプロキシ パーサを選択します(例:Blue Coat ELFF(cacheflowelff)パーサ)。
  4. 注:Webプロキシ パーサでログが正しく行われるよう構成するための手順を実行してある必要があります。

  5. 導入]をクリックします。
    導入ウィザードが開きます。
    Deployment Wizard
  6. サービス]で、サービスとしてLog Decoderを選択します。
  7. 導入]をクリックして、Log Decoderにパーサを導入します。

最新のenVision構成ファイルを取得するには、次の手順を実行します。

  1. 構成>[Liveコンテンツ]に移動します。

  2. 検索のキーワードとしてenvisionと入力します。
  3. 最新のenVision構成ファイルを選択し、[導入]をクリックします。
    Live showing Envision Configuration File
  4. 導入ウィザードの[サービス]で、Log Decoderを選択します。
  5. 導入]をクリックしてenVision構成ファイルをLog Decoderに導入します。

enVision構成ファイルが正しく更新されたことを確認するには、次の手順を実行します。

  1. 管理>[サービス]に移動してLog Decoderを選択し、Actions icon>[表示]>[構成]>[ファイル]タブを選択します。
    table-map.xmlファイルを確認できます。このファイルは、enVision構成ファイルを更新するときに変更されます。
  2. event.timeを検索します。フィールドは次のようになります。"event.time" flags ="None" つまり、event.timeメタはマッピングに含まれています。同様に、fqdnフラグを「None」に設定する必要があります。

index-concentrator.xmlファイルのインデックスの更新を確認するには、次の手順を実行します。

index-concentrator.xmlファイルにevent.timeとfqdnメタの両方が含まれていることを確認する必要があります。

  1. 管理>[サービス]に移動し、Concentratorを選択して、Actions icon>[表示]>[構成]を選択します。 
  2. [ファイル]タブで、index-concentrator.xmlファイルを検索します。
  3. index-concentrator.xmlファイルに次のエントリーが存在することを確認します。ない場合は、Concentratorが適切なバージョンにアップグレードされていることを確認する必要があります。

<key description="FQDN" level="IndexValues" name="fqdn" format="Text" valueMax="100000" defaultAction="Open"/><key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="0" />

Custom Index

ステップ2. ドメイン ホワイトリストの作成(オプション)

この手順は、自動脅威検出を使用する場合に、特定のドメインの脅威スコアをトリガーしないようにするために使用されます。定期的にアクセスするドメインが、自動脅威検出スコアをトリガーする場合があります。たとえば、気象サービス サイトは、コマンド&コントロール サーバの通信と同様のビーコン動作をとる場合があり、それによって不当に高いスコアがトリガーされる可能性があります。この動作を誤検出と呼びます。特定のドメインで誤検出がトリガーされるのを回避するために、ホワイトリストにドメインを追加します。自動脅威検出は、非常に疑わしい行動に対してのみアラートを生成するため、ほとんどのドメインはホワイトリストに登録する必要はありません。ホワイトリストに登録するドメインは、多数のホスト接続がない正当な自動サービス サイトです。

注:10.6.xからの移行では、以前の自動脅威検出ホワイトリスト(ホワイトリストに登録されたドメイン)が[リスト]タブに表示される場合、domains_whitelistに名称変更するとSuspicious Domainsモジュールで使用することができます。

  1. domains_whitelist:という名前で、Context Hubのドメインにホワイトリストを作成します。
    1. 管理>[サービス]に移動して、Context Hubサーバ サービスを選択し、[表示]>[構成]>[リスト]タブを選択します。
      [リスト]タブにContext Hubの現在のリストが表示されます。
      Context Hub Server service View > Config > Lists tab
    2. [リスト]パネルでAdd iconをクリックしてリストを追加します。[リスト名]フィールドに、domains_whitelistと入力します。モジュールが認識するようにこの名前を使用する必要があります。
      List tab showing domains_whitelist created
  2. 手動でリストにドメインを追加するか、ドメインのリストを含む.CSVファイルをインポートします。
    フル ドメインを入力するか、特定のドメインのすべてのサブ ドメインを含めるようにワイルド カードを使用することができます。たとえば、*.govと入力すると、すべての政府機関のIPアドレスをホワイトリストに登録することができます。ただし、[a-z]*.govなど、その他の正規表現関数を使用することはできません。これは、*.govの使用により、www.irs.govなどの文字列全体がリプレースされるためです。
    1. ドメインを手動で追加するには、[リスト値]セクションでAdd iconをクリックしてドメインを追加します。
    2. ドメインを削除するには、ドメインを選択し、Delete iconをクリックします。
    3. .CSVファイルをインポートするには、[リスト値]セクションでImport iconをクリックし、[リスト値のインポート]ダイアログで.CSVファイルに移動します。区切り文字として、コンマ、LF(改行)、CR(キャリッジ リターン)の中から実際のファイルに合わせて選択します。[アップロード]をクリックします。 
  3. 保存]をクリックします。
    domains_whitelistが[リスト]パネルに表示されます。アナリストは、対応ビューとInvestigationの他の部分からこのリストに追加できます。詳細については、「Context Hub構成ガイド」を参照してください。

ステップ3. Whoisルックアップ サービスの構成

ESA構成ガイド」の「Whoisルックアップ サービスの構成」を参照してください。

ステップ4. ESA Analyticsモジュールへのデータ ソースのマップ

ESA構成ガイド」の「ESAデータ ソースのAnalyticsモジュールへのマップ」を参照してください。

ステップ5. [Suspected Command & Control By Domain]ルールが有効化されていることの確認とルールの監視

[インシデントのルール]で[Suspected Command & Command Control by Domain]ルールを確認します。

  1. 構成>[インシデントのルール]>[統合ルール]に移動します。
  2. [Suspected Command & Control Communication by Domain]ルールを選択し、ダブルクリックして開きます。
    Enable Incident Rule
  1. 有効]が選択されていることを確認します。

有効にすると、ルールには緑の[有効]ボタンが表示されます。

結果

自動脅威検出のESA Analytics Suspicious Domainsモジュールのマッピングを導入したら、ESAはHTTPトラフィックに関する分析の実行を開始します。対応ビューで各インシデントの詳細情報を表示できます。

ステップ6. インシデントがSuspected C&Cでグループ化されていることの確認

対応ビューでインシデントを正しくグループ化するためには、Group By条件をDomainに設定します。

  1. 構成>[インシデントのルール]>[統合ルール]に移動します。
  2. Suspected Command & Control Communication by Domain]ルールを選択し、ダブル クリックして開きます。 
  3. Group By]フィールドが[Domain]に設定されていることを確認します。

    これによりアラートが集計され、「Suspected C&C」のインシデントが作成されます。

次のステップ

対応ビューを監視してルールがトリガーされたかどうかを確認します。詳細については、「NetWitness Respondユーザ ガイド」を参照してください。

You are here
Table of Contents > 不審なドメインに対する自動脅威検出の構成

Attachments

    Outcomes