MA:[サービス]の[構成]ビュー:[全般]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、Malware Analysisの[サービス]の[構成]ビュー>[全般]タブの構成設定について説明します。この設定にはMalware Analysisサービスに固有のパラメータがあります。このタブでは以下の項目を構成できます。

  • データを収集しているコア サービスのプロセス パラメータ。
  • 収集されたデータのリポジトリ。
  • データの解析に使用する静的、コミュニティ、サンドボックスのスコア カテゴリーの設定。

詳細な作業手順については、一般的なMalware Analysis設定の構成

これは、[全般]タブの例です。

このタブは次の4つのセクションに分かれています: [常時スキャン構成]、[リポジトリ構成]、[その他]、[モジュール構成]です。

常時スキャン構成セクション

この表は、[常時スキャン構成]セクションの機能について説明しています。

                                                                         
パラメータ説明
EnabledCoreサービスの常時ポーリングを無効化または有効化します。デフォルトでは、これは選択されていません(無効)
QueryDecoderがネットワーク トラフィックを解析するとき、マルウェアを含む可能性のあるセッションに、spectrum.consumeという値を持つcontentメタ データ フィールドを作成します。デフォルトでは、Malware Analysisはこの特定のメタ値を持つイベントしか解析を実行しません。クエリを変更すると、Malware Analysisは異なるタイプのイベントを解析するよう構成できます。
クエリを変更して、条件をより広範にすると、Malware Analysisで多くのイベントを解析する必要が生じ、遅延が生じたり、パフォーマンスが低下したりする可能性があります。
デフォルトのクエリは、select * where content='spectrum.consume'です。
Query Expiry通常、Malware AnalysisがCoreサービスに対してメタのクエリを実行すると、数秒で結果が返されます。ネットワークなどが原因でクエリに応答がない場合、Malware Analysisはここで設定する期限が過ぎた後にクエリを放棄します。
デフォルト値は3,600秒です。
Query Interval新しいセッション メタおよびファイルのクエリを実行する間隔です(分単位)。
Meta LimitMalware AnalysisがCoreサービスに対してクエリを実行するたびに、ここで設定するメタ制限を上限に、一定量のメタを取り出します。この設定とクエリ間隔の設定とあわせて、Malware AnalysisのパフォーマンスをCoreインフラストラクチャで調整できます。
デフォルト値は25000です。
Time BoundaryMalware Analysisは、ここで設定する時間の境界値以降のセッションを解析します。この設定は、どれだけさかのぼって解析を始めるかを決めるため、新しいMalware Analysisアプライアンスをインストールするときに最も重要となります。境界値となる時間が大きすぎる場合、Malware Analysisが解析する過去のイベントの数が大量になり、リアルタイムのトラフィックが表示されるまでにかなりの遅延が生じる可能性があります。
デフォルト値は24時間です。
ソース ホストMalware Analysisアプライアンスのホスト名。
これは、Malware Analysisが解析用のデータを取得するためにクエリを実行するサービスのIPアドレスまたはホスト名です。ソース ホストとしてlocalhostは使用しません。
アプライアンスのモデルとNetWitness Suiteインフラストラクチャの構成に応じて、このソース ホストは異なります。
ソース ポートMalware Analysisは、このポートをリッスンするRESTサービスを使ってNetWitness Suiteインフラストラクチャと通信します。このポート番号は、ソース ホストとして使用されているCoreサービスのタイプに固有のものです。これは、Coreサービスのアウトバウンド接続に対応します。
Usernameユーザ名です。デフォルト値はadminです。
Malware Analysisは、データのクエリを実行するたびにソース ホストに認証を行う必要があります。多くの場合、Malware Analysisが使うアカウントは、NetWitness Suiteを通してCoreサービスにアクセスするために使うアカウントと同じものを使用できます。しかし、Malware Analysis専用にCoreサービス上で新しいアカウントを作成することが推奨されています。
User Passwordユーザのパスワード。デフォルト値はnetwitnessです。
SSLCoreとの通信時にSSLを使用します。Malware AnalysisがCoreサービスと通信するためにSSL接続を使用している場合、このオプションをオンにします。
デフォルトでは、チェックボックスはオフになっています。
Denial of Service (DOS) PreventionDOS防止機能は、Windows PEのコンテンツを含む2つのエンドポイント間で大量のネットワーク接続を意図的に生成するマルウェアへの防衛手段です。大量の接続が人為的に生成されると、ネットワークを監視しているセキュリティ サービスが処理し解析する必要のあるトラフィック量が急増し、結果的にサービスが機能不全に陥ります。そのようなセッションをこの機能を使って特定することにより、解析処理の対象外とすることができます。
デフォルトでは、チェックボックスはオフになっています。
DOS Session Rate Window Length (Seconds)Malware Analysisは、[DOS Number Sessions per Rate Window]パラメータと[DOS Session Lockout Time (Seconds)]パラメータに加え、このパラメータを使用することでDOS攻撃を特定し、単一のIPアドレスからのセッションを無視する時間を判断します。
DOS攻撃を特定するために、Malware Analysisは、特定のタイム フレーム内に単一のIPアドレスによって確立されたセッションの数を監視します。このタイム フレームは[DOSセッション レート ウィンドウ長(秒)]によって定義します。セッション数が、[DOS Session Rate Window Length]で定義された時間(秒数)内に[DOS Number Sessions per Rate Window]設定を超えた場合、Malware Analysisは、そのアクティビティをDOSの試みとして識別します。その場合、[DOS Session Lockout Time (Seconds)]で指定された期間、該当するIPアドレスからのトラフィックが無視されます。
デフォルト値は60秒です。
レート ウィンドウあたりのDOSセッション数 Malware Analysisは、[DOS Session Rate Window Length (Seconds)]パラメータと[DOS Session Lockout Time (Seconds)]パラメータに加え、このパラメータを使用することでDOS攻撃を特定し、該当するIPアドレスからのセッションを無視する時間を判断します。
DOS攻撃を特定するために、Malware Analysisは、特定のタイム フレーム内に単一のIPソースによって確立されたセッションの数を監視します。このタイム フレームは[DOSセッション レート ウィンドウ長(秒)]によって定義します。セッション数が、[DOS Session Rate Window Length]で定義された時間(秒数)内に[DOS Number Sessions per Rate Window]設定を超えた場合、Malware Analysisは、そのアクティビティをDOSの試みとして識別します。その場合、[DOS Session Lockout Time (Seconds)]で指定された期間、トラフィックが無視されます。
デフォルト値は200セッションです。
DOS Session Lockout Time (Seconds)Malware Analysisは、[DOS Session Rate Window Length (Seconds)]パラメータと[DOS Number Sessions per Rate Window]パラメータに加え、このパラメータを使用することでDOS攻撃を特定し、そのような攻撃を無視する時間を判断します。
DOS攻撃を特定するために、Malware Analysisは、特定のタイム フレーム内に単一のIPアドレスによって確立されたセッションの数を監視します。このタイム フレームは[DOSセッション レート ウィンドウ長(秒)]によって定義します。セッション数が、[DOS Session Rate Window Length]で定義された時間(秒数)内に[DOS Number Sessions per Rate Window]設定を超えた場合、Malware Analysisは、そのアクティビティをDOSの試みとして識別します。その場合、[DOS Session Lockout Time (Seconds)]で指定された期間、トラフィックが無視されます。
デフォルト値は60秒です。
DOS Garbage Collection Interval (Seconds)DOS攻撃をトラッキングするために使用される内部メモリ構造に対し、ガベージ コレクションを実行します。
メモリ使用量が異常に高い場合は、この設定を小さくすることで、使用されていないメモリを解放する頻度を上げることができます。CPU使用率が異常に高い場合は、この設定を大きくすることで、処理のオーバーヘッドを下げることができます(その分、メモリ使用量は大きくなります)。
デフォルト値は120秒です。

リポジトリ構成セクション

Malware Analysisは後で必要になった場合に備えてすべてのファイルを格納します。これらのファイルはユーザ インタフェースからダウンロードするか、いずれかのファイル共有プロトコルからアクセスできます。

この表は、[リポジトリ構成]セクションの機能について説明しています。

                       
パラメータ説明
Directory Pathすべてのファイルは、Malware Analysisアプライアンスの次のディレクトリに格納されています。
/var/lib/netwitnessnetwitness/spectrum
File Sharing Protocolファイル共有プロトコルの値としてFTP、SAMBA、Noneが可能です。FTPアクセスとSAMBAファイル共有を有効にすると、ユーザはリモートからMalware Analysisに格納されたファイルにアクセスすることができます。これらのファイルにアクセスする場合、認証情報は必要ありません。FTPアクセスに必要なポートはTCP/21です。デフォルトのファイル共有プロトコル設定はNoneです。
Retention (in days) Malware Analysisでは、リポジトリに格納されているファイルを、指定の日数、保持します。ファイルを削除するまでの保持日数を設定できます。デフォルト値は60日です。

その他の構成セクション(10.3 SP2以降)

この表は、その他の構成セクションの機能について説明しています。

               
パラメータ説明
Maximum File Size手動でスキャンできる最大ファイルのサイズを制限します。このパラメータは、「調査およびマルウェア解析ガイド」の「Malwareスキャン用ファイルのアップロード」に説明されている機能に適用されます。デフォルト値は64 MBです。
その制限をファイル サイズが超えた場合、ファイルのスキャンがによって禁止されます。

モジュール構成セクション

[モジュール構成]セクションでは、静的(Static)、コミュニティ(Community)、サンドボックス(Sandbox)のスコア カテゴリーを構成できます。

静的解析構成

静的(Static)モジュールは、デフォルトで有効になっている唯一のスコア カテゴリーです。この表は、静的解析を構成するためのパラメータについて説明しています。

                               
機能説明
Enabled静的解析を完全に無効化または有効化します。デフォルトでは、これは選択されています(有効)。
Bypass PDFPDFドキュメントの解析を無効化します。デフォルトでは、これは選択されていません。すべてのPDFファイルは静的解析が行われます。
Bypass OfficeOfficeドキュメントの解析を無効化します。デフォルトでは、これは選択されていません。すべてのMS Officeファイルは静的解析が行われます。
Bypass ExecutableWindows PEドキュメントの解析を無効化します。デフォルトでは、これは選択されていません。すべてのWindows PEファイルは静的解析が行われます。
Validate Windows PE Authenticate Settings via Cloud

Authenticode確認のために、Windows PEファイルがRSA-Netwitness Cloudに送信されるかどうかを指定します。デフォルトでは選択されています。

  • 選択されている場合、デジタル署名されているWindows PEファイルは、確認のために(その全体が)ネットワーク経由でRSA-Netwitness Cloudに送信されます。Windows PEファイルがユーザ ネットワークの外部に出るのを防ぐには、このオプションを無効にする必要があります。
  • 選択されていない場合、すべての静的解析はローカルで行われます(Authenticode確認はスキップされます)。この設定に関係なく、PDFとM/S OfficeドキュメントはAuthenticode検証の対象にはならず、静的解析ではネットワークk経由で送信されません。

コミュニティ解析構成

デフォルトで、コミュニティ(Community)モジュールは無効になっており、PDFとMS Officeドキュメントが処理されないようにオプションが選択されています。その目的は、ユーザが選択しない限り機微性の高いファイルがネットワークから外部に送信されることを防ぐためです。この表は、コミュニティ解析を構成するためのパラメータについて説明しています。

                           
機能説明
Enabled静的解析を完全に無効化または有効化します。デフォルトでは、これは選択されていません(無効)。
Bypass PDFPDFドキュメントの解析を無効化します。デフォルトでは、これは選択されています。PDFファイルは処理されません。
Bypass OfficeOfficeドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Microsoft Officeドキュメントは処理されません。
Bypass ExecutableWindows PEドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Windows PEファイルは処理されません。

サンドボックス解析構成

デフォルトでは、サンドボックス(Sandbox)モジュールは無効になっており、MS OfficeファイルとPDFファイルは処理されません。その目的は、ユーザが選択しない限り機微情報がネットワークから外部に送信されることを防ぐためです。バイパスの設定をしていない対象のファイルでは、ファイル全体が宛先サンドボックス サーバに送信されます(ファイル コンテンツのハッシュだけではありません)。

この表は、サンドボックス解析を構成するためのパラメータについて説明しています。

                               
機能説明
Enabledサンドボックス解析を完全に無効化または有効化します。デフォルトでは、これは選択されていません(無効)。
Bypass PDFPDFドキュメントの解析を無効化します。デフォルトでは、これは選択されています。PDFファイルは処理されません。選択しない場合、すべてのPDFファイルはその全体が解析用にサンドボックスに送信されます。
Bypass OfficeOfficeドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Microsoft Officeドキュメントは処理されません。選択しない場合、すべてのMS Officeファイルはその全体が解析用にサンドボックスに送信されます。
Bypass ExecutableWindows PEドキュメントの解析を無効化します。デフォルトでは、これは選択されています。Windows PEファイルは処理されません。選択しない場合、すべてのWindows PEファイルはその全体が解析用にサンドボックスに送信されます。
Preserve Original File Name when Performing Sandbox Analysis

10.3 SP2以降で、ファイルをローカル サンドボックスに送信する際のファイル名のハッシュ機能を有効にします。デフォルトではオフになっています。

注:このパラメータを選択しない場合、NetWitness Suiteによってファイルがハッシュされます。

GFI Sandbox設定

[GFI Sandbox]セクションでは、GFIによるサンドボックス処理を有効にし、ローカルでインストールしたGFI Sandboxを構成できます。この表は、GFI Sandboxを構成するためのパラメータについて説明しています。

                               
機能説明
Enabled有効な場合、サンドボックス処理はGFIのローカル コピーによって実行されます。デフォルト値は、[無効]です。GFIを有効にした場合、残りのパラメータを構成する必要があります。
Server NameGFI Sandboxサーバ名です。デフォルト値なし。
Server PortGFI Sandboxサーバのポート番号です。デフォルト値は80です。
Max Poll Period送信されたサンプルの処理を待機する時間を指定します。デフォルト値は600秒です。
Ignore Web Proxy SettingsWebプロキシが構成されている環境で、サンドボックスに接続するときにWebプロキシをバイパスするようにMalware Analysisに指定します。Malware AnalysisでWebプロキシが構成されていない場合、この設定は無視されます。

ThreatGrid Sandbox設定

[ThreatGridSandbox]セクションでは、ThreatGridによるサンドボックス処理を有効化し、ローカルでインストールしたThreatGridまたはThreatGrid Cloudをサンドボックス解析に使うかどうかを選択できます。

  • ThreatGridのローカル コピーがある場合、ローカル コピーを使うようサンドボックス処理を構成します。
  • ThreatGridのローカル インスタンスを購入およびインストールしていない場合、ThreatGrid Cloudを構成します。

この表では、ThreatGridサンドボックスの構成パラメータについて説明します。

注:このサービスを有効にする前に、ThreatGrid提供のサービス キーを構成する必要があります。サービス キーは、このサイトから送信されたサンプルが正当であることをThreatGridが認識できるようにします。

                           
機能説明
Enabled有効な場合、サンドボックス処理はThreatGridのローカル コピーまたはThreatGrid Cloudによって実行されます。デフォルト値は、[無効]です。
Service Keyサンドボックス モジュールを有効にする前に、ThreatGrid提供のサービス キーを構成する必要があります。サービス キーは、このサイトから送信されたサンプルが正当であることをThreatGridが認識できるようにします。
URL使用するThreatGridサーバのURL(ローカルでインストールしたThreatGridを使用していない場合)。ThreatGrid Cloudのアクセス先:https://panacea.threatgrid.com
Ignore Web Proxy SettingsWebプロキシが構成されている環境で、サンドボックスに接続するときにWebプロキシをバイパスするようにMalware Analysisに指定します。Malware AnalysisでWebプロキシが構成されていない場合、この設定は無視されます。
You are here
Table of Contents > Malware Analysisの参考情報 > [サービス]の[構成]ビュー:[全般]タブ

Attachments

    Outcomes