このセクションでは、Malware Analysis監査ログの機能と構成手順の概要を説明します。Malware Analysisでは、構成されたスコア モジュールの閾値に基づいて監査アラートを生成できます。解析中のセッションで、ファイルの解析スコアが構成された閾値に達するか、閾値を超えると、監査アラートが生成されます。この閾値の設定によって、セッション/ファイルがマルウェアである可能性が高いと判断されるスコアの場合に、自動的にアラートを生成できます。
アラートは、SNMP、Syslog、ファイル エントリーの形式として構成できます。さまざまな監査形式をサポートすることにより、外部システムで必要な監査イベントを取り込むことができます。
セッション解析の監査に加えて、次のようなイベントによって監査アラートがトリガーされます。
- ユーザ ログインの成功と失敗
- システム構成設定の変更
- サーバ再起動
- サーバのバージョン アップグレードやインストール
Malware Analysisの監査の構成設定は、[サービス]の[構成]ビュー>[監査]タブにあります。
監査の閾値の構成
閾値を設定する目的の1つは、解析するセッション/ファイルについてアラートを生成するのに必要な基準を指定することです。監査を有効にしている場合、スコアが計算された各ファイル/セッションを調べて、各スコア モジュールのスコアが構成された監査の閾値以上であるかどうかが確認されます。これに該当する場合、構成された監査アラート形式(SNMP、Syslog、ファイルなど)を使用してアラートが生成されます。たとえば、[SNMP]を構成し、[コミュニティの閾値(Community Threshold)]を90に設定することによって、コミュニティ(Community)スコア モジュールでスコアが90以上のすべてのセッション/ファイルについてSNMPトラップが生成されます。すべての閾値が90に設定されている場合は、ネットワーク、静的、コミュニティ、サンドボックスの各スコア モジュールでセッション/ファイルのスコアが90以上にならない限り、アラートは生成されません。
監査の閾値を構成するには、次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択し、
>[表示]>[構成]を選択します。
- [サービス]の[構成]ビューで、[監査]タブをクリックします。
-
[監査の閾値]セクションで、次の手順を実行します。
-
各スコア モジュール、コミュニティ、静的、ネットワーク、サンドボックスの閾値を、次のいずれかの操作で設定します。
- スライダで、ハンドルをクリックしていずれかの方向にドラッグします。
- 値フィールドで、0~100の範囲の数値を入力します。
- (10.3 SP2のオプション)特定の条件に合致した場合にメッセージを記録し、有効なすべての監査方法で通知を行うトリガーを1つ以上選択します。
-
[適用]をクリックします。
- 閾値の設定は、すべての有効な監査方法について直ちに有効になります (SNMP、ファイル、Syslog)。
- 記録されたメッセージは、有効化されているすべての監査方法で送信されます (SNMP、ファイル、Syslog)。
-
Incident Managementアラートの構成
Incident Managementアラートを有効にした場合、Malware Analysisアラートを監査して、Incident Managementワークフローにフィードすることができます。
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択し、
>[表示]>[構成]を選択します。
- サービスの[構成]ビューで、[監査]タブを選択します。
- [Incident Managementアラート]セクションで、[有効]チェックボックスをオンにして、[適用]をクリックします。
アラートはすぐに有効になります。
SNMP監査の構成
SNMP(Simple Network Management Protocol)は、IPネットワーク上のサービスを管理するためのプロトコルです。SNMP監査が有効になっている場合、Malware Analysisは監査イベントをSNMPトラップとして構成済みSNMPトラップ ホストに送信できます。スコアとイベントIDに加えて、アラートにはすべてのセッション メタと生成されたメタ データが含まれます。これは、サード パーティ システムにイベント データを送信する必要がある場合に便利です。
SNMP監査を構成するには、次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択し、
>[表示]>[構成]を選択します。
- サービスの[構成]ビューで、[監査]タブを選択します。
- [SNMP監査]セクションにある[Enabled]チェックボックスでSNMP監査をオンにします。
- SNMPサーバ名とポートを構成します。
- SNMPのバージョンとトラップを送信するためのトラップOIDを構成します。
- Malware Analysisコミュニティと、トラップ送信時の再試行とタイムアウトのパラメータを構成します。
- [適用]をクリックします。
SNMP監査の設定はすぐに反映されます。
ファイル監査の設定の構成
ファイル監査が有効になっている場合、監査ログ ファイルは、Malware Analysisホーム ディレクトリに保持されます。このログ ファイルはデフォルトでは次の場所にあります。
/var/lib/netwitness/malware-analytics-server/spectrum/logs/audit/audit.log.
個々のログが最大ファイル サイズに達すると、そのファイルはアーカイブされ新しいログが作成されます。これらの監査ログのサイズと数は、いずれも構成可能です。
注意:Malware Analysisアプライアンスのディスク領域を圧迫しないようにするため、最大ファイル サイズとアーカイブ ファイル数が大きくなり過ぎないようにします。
ファイル監査の設定を構成する方法
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択し、
>[表示]>[構成]を選択します。
- サービスの[構成]ビューで、[監査]タブを選択します。
- [ファイル監査]セクションにある[Enable File Auditing]チェックボックスでファイル監査をオンにします。
- (オプション)[アーカイブ ファイル数]と[最大ファイル サイズ]を設定します。
- [適用]をクリックします。
ファイル監査の設定はすぐに反映されます。
Syslog監査設定の構成
Syslog通知サーバを有効にした場合、RFC 5424 Syslogプロトコルを使用して監査を行うことができます。SOX、PCI DSS、HIPAAなどの多くの規制では、組織が包括的なセキュリティ対策を実装することが要求されています。多くの場合、これらの対策には、さまざまなソースからのログの収集と解析が含まれます。Syslogは、さまざまなオープン ソースや独自システムからのログを元にレポート作成や解析を行う場合に、ログを統合するための効果的な形式であることが証明されています。
スコアとイベントIDに加えて、Syslogにはすべてのセッション メタと生成されたメタ データが含まれます。これは、サード パーティ システムにイベント データを送信する必要がある場合に便利です。
Syslog監査設定を構成するには、次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択し、
>[表示]>[構成]を選択します。
- サービスの[構成]ビューで、[監査]タブを選択します。
- [Syslog監査]セクションにある[Enabled]チェックボックスでSyslog監査をオンにします。
- ターゲットSyslogプロセスが実行されているホストと、Syslogプロセスがリッスンしているポートを構成します。
- 送信するSyslogメッセージのファシリティ、エンコーディング、形式、最大長、タイムスタンプの設定等を構成します。
注:(オプション)Syslogアラートに付加するID文字列を構成します。
CEF形式の追加の考慮事項については、「CEF形式のカスタム アラートの作成」を参照してください。
-
[適用]をクリックします。
Syslog監査の設定はすぐに反映されます。