Malware Analysisスコア モジュールのIOC(セキュリティ侵害インジケータ)はすでに構成されています。なぜなら、Malware Analysisの各スコア モジュール(ネットワーク(Network)、静的(Static)、コミュニティ(Community)、サンドボックス(Sandbox)、YARAには、デフォルトのIOC(セキュリティ侵害インジケータ)が用意されており、マルウェアの可能性を調査する際に使用されるためです。
各IOCには、-100(無害)~100(有害)の数値による加重スコアが割り当てられます。IOCがトリガーされると、数値スコアの加重が、解析されるセッションやファイルの合計スコアの計算で考慮されます。該当するすべてのIOCに対する個々のスコアの加重が集計され、各セッションやファイルの最終的なスコアが生成されます。集計されたスコアは、有効なスコアの範囲(-100~100)を超えないように調整されます。
注:IOCに割り当てられるスコアの加重は、常に明示的なスコア値として集計されるわけではありません(トリガーされる各IOCのスコアの加重を単純に加算したものではありません)。IOCのスコアは重要度の加重またはインジケータであり、全体的なスコアの計算で考慮されます。
Malware Analysis用のIOC(セキュリティ侵害インジケータ)の構成設定は、サービスの[構成]ビュー>[セキュリティ侵害インジケータ]タブにあります。以下は、タブの例です。
[コミュニティ(Community)-ファイル ハッシュ: AntiVirus (Primary Vendor) Flagged Fileた]というIOCを例とした場合、IOCのスコアの加重は100に設定できます。ただし、Malware Analysisでは、サンプルを悪意のあるファイルと見なしているプライマリAVベンダーの割合に基づいて、この値を調整します。サンプルを悪意のあるファイルと見なしているベンダーが100%に近くなるほど、スコアの集計時に使用される値が100ポイントに近づきます。割合が下がって0%に近づくと、スコアの集計で使用される100ポイントに対する比率が下がります。
IOCでは、Malware Analysisでネイティブ実装されているロジックを使用します。ロジックを調整することはできません。IOCの調整では、スコアに対するインパクトの増減、信頼性設定の指定、IOCのオンとオフの切り替えのみ行うことができます。標準的なシナリオでは、最終的なスコアを押し上げて偽陽性(false positive)の解析結果の原因となっているIOCについて、限定的にIOCスコアの加重値を下げるように調整します。IOCが一貫して継続的に偽陽性の結果の原因となっている場合は、そのIOC全体を無効にするという極端な調整を行うこともあります。さらに、すべてのIOCを無効にしてから、いくつかを選択して有効にしておくという対応もできます。たとえば、アンチウイルスソフトでの一致を検出した一部のIOCを除き、すべてのIOCを無効にすることができます。このような極端に限定された構成でMalware Analysisを使用して、Malware Analysisで既知のアンチウイルスソフトに一致する結果のみが生成されるようにして、結果を削減することもできます。
この機能は、いくつかの構成オプションがあります。
- IOCを無効にして、IOCが割り当て先のスコア モジュールの一部として評価されないようにします。
- IOCのスコアの加重を調整し、集計されるスコアに対するインパクトを調整します。
- マルウェアの強力な兆候であると判断されるIOCをマークし、Malware Analysisの結果で、これらのIOCをトリガーしたセッションにHC(高確率)フラグを表示します。
- 解析されるファイル タイプごとにスコアや信頼性の設定をカスタマイズします。各IOCには、適用先のファイル タイプがあらかじめ割り当てられています。値は、ALL、PDF、MS Office、Windows PEのいずれかです。ファイル ベースの解析では、最も類似するファイル タイプが割り当てられたIOCが使用されます。たとえば、PDFを解析する場合は、同じIOCでもファイル タイプが[ALL]に設定されたIOCよりも、ファイル タイプが[PDF]に設定されたIOCの方が選択されます。ファイル タイプに一致するものが見つからない場合は、ファイル タイプが[ALL]に設定されたIOCが選択されます。
- ルールの説明を検索して、グリッドに結果を表示できます。
表示されたIOCのモジュールによるフィルタ
表示されたIOCをスコア モジュールでフィルタリングすることができます。4つのビルトイン モジュールのいずれか、またはYARAを指定できます。YARAベースのIOCは、各カテゴリのネイティブIOCによってインターリーブされます。YARA IOCは他のビューでは識別されませんが、モジュール選択リストからYARAを選択してYARAルールのリストを参照できます。
4個のスコア モジュールまたはYARAに対してIOCを表示するには、次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択します。
>[表示]>[構成]を選択します。- [セキュリティ侵害インジケータ]タブをクリックします。
- [モジュール]選択リストで、All、NextGen、Static、Community、Sandbox、Yaraのいずれかを選択します。
モジュールに対して構成されたルールおよび設定が表示されます。
表示したモジュールで変更済みモジュールのみを示すフィルタ
[セキュリティ侵害インジケータ]タブでは、ローカルで変更されたIOCを視覚的に識別できます。IOCが変更されたとき、たとえば、スコアの荷重が変更されたときに、名前は赤で表示され、IOC名に変更マークが付きます。変更マークは++で表示され、IOCを検索するときにフィルタすることができます。
ローカルで変更したIOCのみ表示するには、次の手順を実行します。
- [説明]フィールドに「++」を入力します。
- [検索]をクリックします。
ビューがフィルタリングされ、変更したIOCのみが表示されます。
スコア モジュールでのIOCの有効化と無効化
IOCが無効である場合、そのIOCは属しているスコア モジュールの集計には影響しなくなります。IOCに複数のインスタンス(ファイル タイプだけが異なる)がある場合、特定のファイル タイプに固有のIOCを無効にすると、同じIOCでそのファイル タイプに依存しないIOCがスコアの計算に使用されます。
たとえば、ファイル タイプが[ALL]と[Windows PE]である同じIOCがある場合、このIOCの[Windows PE]のインスタンスを無効にすると、[ALL]のインスタンスのIOCがスコアの計算に使用されます。Windows PEについてはIOC全体を無効にし、他のファイル タイプについてはIOCを有効のままにするには、後で示すように、IOCの[Windows PE]インスタンスのスコアの加重値を0に設定します。これによって、Windows PEファイルについてIOCは有効のままですが(ただし、加重は0であるため、解析結果には表示されません)、他のファイル タイプには影響しません。残りのファイル タイプでは、引き続きIOCの[すべて]のインスタンスが使用されます。
IOCを有効または無効にして、スコア モジュールでの計算に使用されないようにするには、次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択し、その行の>[表示]>[構成]を選択します。
- [セキュリティ侵害インジケータ]タブをクリックします。
- [モジュール]選択リストで、All、Community、Network、Sandbox、Static、またはYaraのいずれかのスコア モジュールを選択します。
モジュールに対して構成されたルールおよび設定が表示されます。 - 次のいずれかを実行します。
- 有効にするルールの選択チェックボックスをオンにします。
- 1つ以上のルールを選択し、ツールバーの[有効化]または[無効化]をクリックします。
- ページに表示されているすべてのルールの有効と無効を切り替えるには、列タイトルの[有効]チェックボックスをクリックします。
- スコア モジュールのすべてのルールを有効または無効にするには、ツールバーの[すべて有効化]または[すべて無効化]をクリックします。
- このページに対する変更を保存するには、ツールバーの[保存]をクリックします。
注:設定が変更されたルールには、隅に赤い三角印が表示されます。保存する前に別のルールのページに移動すると、このページへの変更はすべて失われます。
IOCのスコア加重の調整
IOCのスコアの加重を調整すると、構成されているモジュールの集計スコアに対するIOCの全体的なインパクトが増減します。IOCの全体的なインパクトを増減するには、加重を変更します。
- -100~-1の範囲の値は、解析中のセッションやファイルがマルウェアである可能性が低いことを示します(-100は最も可能性が低い)。
- 1~100の範囲の値は、解析中のセッションやファイルがマルウェアである可能性が高いことを示します(100は最も可能性が高い)。
- 値を0にすると、IOCは有効なままですが、IOCは集計されたスコアに影響しなくなり、解析結果に表示されなくなります。値を0に設定することにより、同じIOCの他のファイル タイプのルールによるスコア計算は変更せずに、IOCのファイル タイプ固有のインスタンスを無効にすることができます。
スコアの加重を調整するには、次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- Malware Analysisサービスを選択します。
- ツールバーで、[表示]>[構成]を選択します。
- [セキュリティ侵害インジケータ]タブをクリックします。
- [モジュール]選択リストで、All、Network、Static、Community、Sandbox、またはYaraのいずれかのスコア モジュールを選択します。
モジュールに対して構成されたルールおよび設定が表示されます。 - 次のいずれかを実行します。
- スコア スライダーを左または右にドラッグして、スコアの加重を小さくするか、または大きくします。
- 表示されているスコアの加重値をクリックし、新しい値を入力します。
- このページに対する変更を保存するには、ツールバーの[保存]をクリックします。
注:設定が変更されたルールには、隅に赤い三角印が表示されます。保存する前に別のルールのページに移動すると、このページへの変更はすべて失われます。
IOCの高確率フラグの設定
[高確率]設定は、マルウェアが存在する可能性が非常に高いインジケータとして特定のIOCにフラグを設定する方法として使用されます。例として、[Community - File Hash: AntiVirus (Primary Vendor) Flagged File]というIOCについて、このIOCは偽陽性 (False Positive)である可能が低く、マルウェアの存在を正しく検出している可能性が高いことを示すフラグを設定することができます。IOCに高確率フラグを設定することにより、Malware Analysisの結果をフィルタし、1つ以上の高確率ルールが含まれているセッションのみを表示するように制限できます。このようにすることで、表示される結果はより小さなサブセットに限定され、その信頼性の精度が向上します。高確率のIOCに限定せずに結果を表示すると、グレーな結果を確認することもできます。これにより、偽陰性(false negative)が発生する可能性を低くした結果を得ることができます。このような利用から、信頼性のレベルに基づいて結果をフィルタするかしないかについては、NetWitness Suiteワークフローではいずれも有効な使用例と言えます。
高確率フラグを設定するには、次の手順を実行します。
- [セキュリティ侵害インジケータ]タブで、[モジュール]選択リストからスコア モジュールを選択します。All、Network、Static、Community、Sandbox、Yaraから選択します。
モジュールに対して構成されたルールおよび設定が表示されます。 - フラグを設定/解除するルールの横にある[高確率]チェックボックスをクリックします。
- このページに対する変更を保存するには、ツールバーの[保存]をクリックします。
注:設定が変更されたルールには、隅に赤い三角印が表示されます。保存する前に別のルールのページに移動すると、このページへの変更はすべて失われます。
IOCのデフォルトの設定へのリセット
- [セキュリティ侵害インジケータ]タブで、[モジュール]選択リストからスコア モジュールを選択します。All、Network、Static、Community、Sandbox、Yaraから選択します。
モジュールに対して構成されたルールおよび設定が表示されます。 - 現在のページのすべてのルールをデフォルトの設定にリセットする場合は、ツールバーの[リセット]をクリックします。
- 選択したスコア モジュールのすべてのルールをデフォルトの設定にリセットする場合は、ツールバーの[すべてリセット]をクリックします。
- このページに対する変更を保存するには、ツールバーの[保存]をクリックします。