セッションの解析、手動でのファイル アップロード、およびMalware Analysisが使用するさまざまなスコア モジュールを有効化し、調整するために必要ないくつかの基本的な設定を構成できます。
また、データ リポジトリによるファイル共有も設定できます。Malware Analysisでは、セッションやファイルの解析に関する3つのモードがあります。3つの選択肢を組み合わせて使用することによって、Malware Analysisでの解析を実行できます。選択項目は次のとおりです。
- コア サービスの常時ポーリング: コア サービスの常時ポーリングを有効化および構成できます。有効化および構成すると、Malware Analysisは、コア サービスで要解析のタグが付けられたセッションを常時ポーリングします。デフォルトでは常時ポーリングは無効化されています。常時ポーリング中に使用するDOS(Denial of Service)攻撃防止を有効化できます。[統合]タブ内のオプションを使用して常時ポーリングしているMalware Analysisサービスへの接続をテストできます。
注:10.3.5以前のMalware Analysisでコア サービスを常時ポーリングのサービスとして追加する場合は、RESTポートを使用します。たとえば、ネイティブのNexGenポート(50005)ではなくRESTポート(50105)を使用して、10.3.5のMalware AnalysisにConcentratorを追加します。
- コア サービスのオン デマンド解析: NetWitness Suiteの調査モジュールから直接、セッションを解析できます。この方法では、Coreセッションを手動で制御し、セッションに含まれるファイルの処理方法(サンドボックスに送信するなど)をより細かく制御できます。解析するファイルのタイプごとに、特定のオプションを指定して、コミュニティやサンドボックスでの解析処理に送信できます。
- 手動でのファイルのアップロード: ローカルやネットワークのディレクトリにあるファイルを手動でアップロードし、解析することができます。アップロードできるファイルの最大サイズを構成できます。
基本設定の表示
基本設定を表示するには、次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- [サービス]グリッドで、Malware Analysisサービスを選択し、
>[表示]>[構成]を選択します。
[全般]タブが開いた状態で、サービスに対する[サービス]の[構成]が表示されます。
常時スキャンの構成
標準的なサブスクリプションのオプションでは、Malware Analysisのファイル処理数は制限されており、サンドボックス処理のためにThreatGrid Cloudに送信できるファイル数は1日あたり1,000個までです。サンドボックスの使用を最適化するため、Malware Analysis構成では、複数の使用方法からMalware Analysisで使うものを選択できます。常時ポーリングを有効または無効に設定できます。
常時ポーリングを構成する際の考慮点は、DOS防止(Denial of Service (DOS) Prevention)パラメータです。デフォルトではこの機能は無効になっています。この機能を有効にする前に、ご使用の環境の設定を慎重に検討する必要があります。
DOS防止が無効になっている場合、Malware Analysisは先入れ先出し方式でキューに入れられたセッションを解析します。DOS攻撃によって急激にキューがいっぱいになり、Malware Analysisがセッションの処理でビジー状態となっている間に、その後のセッションでマルウェア攻撃が発生していることがあります。後のセッション(実際の攻撃)がキューの先頭に到達せず、攻撃が開始されるまで解析されないことがあります。
DOS防止を有効にすると、Malware Analysisは、単一のIPアドレスからのセッションが多すぎる場合にそれをDOS攻撃として処理します。IPアドレスが[レート ウィンドウあたりのDOSセッション数]を超える場合、Malware Analysisは、[DOSセッションのロックアウト時間(秒)]に達するまで、そのアドレスからのセッションを無視します。その後、Malware AnalysisはそのIPアドレスからのセッションの解析を再開します。そのIPアドレスからの無視されたセッションはまったく解析されないため、セッションのロックアウト期間中にマルウェア攻撃がすり抜ける可能性があります。
[DOS Garbage Collection Interval (Seconds)]設定を使用して、Malware Analysisは、指定された秒数後にIPソースのメモリ内ストレージをクリアします。この間隔でアクティビティのほとんどないIPアドレスはメモリからクリアされます。IPアドレスが[DOS Garbage Collection Interval (Seconds)]以上の間隔でアクティブな状態になる場合、Malware AnalysisはそれをDOS攻撃として識別しないことがあります。
Malware Analysisで常時ポーリングを構成するには、[常時スキャン構成]セクションで次の手順を実行します。
- [管理]で[サービス]をクリックします。
- [全般]タブの[常時スキャン構成]で、常時ポーリングを構成できます。
- 常時ポーリングを有効にするには、[有効]をクリックします。
- (オプション)クエリのデフォルト値を変更する場合は、[Query Expiry]、[Query Interval]、[Meta Limit]、[Time Boundary]に新しい値を入力します。
- Malware AnalysisがMalware Analysisアプライアンスにクエリを実行して解析用のデータを取得できるよう構成するには[ソース ホスト]および[ソース ポート(NwPort)]を指定します。
- (オプション)Malware Analysisアプライアンスのデフォルトのログオン認証情報を変更する場合は、[Username]と[User Password]を指定します。
- Malware Analysisアプライアンスとコア サービスの間の通信にSSLを使用する場合は、[SSL]を有効化します。
- (オプション)DOS(Denial of Service)防止機能を構成するには、次の操作を行います。
- [Denial of Service (DOS) Prevention]パラメータを有効化します。
- DOS防止のためのセッション制限を設定します。
- Malware Analysisが単一のIPアドレスのセッションをカウントするタイム ウィンドウの秒数([DOS Session Rate Window Length])を指定します。このウィンドウはレート ウィンドウと呼ばれ、該当するIPソースから最初のセッションを受信したときにカウンターが設定されます。デフォルト値は60秒です。
- [DOS Number Sessions per Rate Window]に、レート ウィンドウあたり許可されるセッションの数を指定します。デフォルト値は200セッションです。レート ウィンドウ内でセッション数が上限に達したとき、Malware AnalysisはそのIPアドレスからのセッションを無視します。そのIPからのセッションはまったく解析されません。Malware Analysisは、ロックアウト時間が終了するまでセッションを無視し続けます。
- [DOS Session Lockout Time (Seconds)]にロックアウト時間(この間に該当IPアドレスからのセッションは無視され、解析もされません)を指定します。デフォルト値は60秒です。ロックアウト時間を経過すると、Malware AnalysisはそのIPアドレスからのセッションの解析を再開します。
- [DOS Garbage Collecton Interval (Seconds)]に、NetWitness SuiteがIPソースのメモリ内オブジェクトを削除するまでの、IPアドレスの非アクティブ間隔を指定します。デフォルト値は120秒です。
- [適用]をクリックして変更を適用します。
変更は、Malware Analysisが新しいパケットを受け取るとすぐに有効となります。 - 選択したコア サービスへのMalware Analysisサービスの接続をテストするには、[統合]タブの[常時スキャンの接続テスト]セクションの[接続のテスト]ボタンをクリックします。
手動でのファイル アップロードの構成
手動でのファイル アップロードの最大ファイル サイズを構成するには、次の操作を行います。
データ リポジトリの構成
Malware Analysisでは、アプライアンスに格納できるファイル数に制限があります。データ リポジトリの構成では、ファイル システムの保存期間は60日間です。この設定によって、ファイルがMalware Analysisアプライアンスに保存される期間が決まります。古いファイルが削除された場合、リカバリすることはできません。Malware Analysisは毎日、ファイル システムの保存期間を過ぎたファイルを削除し、ディスク領域を圧迫しないようにしています。
ファイルを定期的に削除するため設定は、ファイル システムの保存期間だけです。使用されているディスク領域の容量に基づいて削除されるわけではありません。この設定を変更する必要がある場合、管理者は、指定された保存日数の間に予想されるディスク領域の使用量に基づいて、保存期間を構成する必要があります。
NetWitness Suiteユーザ インタフェースで表示できるデータ リポジトリのパラメータは次のとおりです。
- リポジトリの場所は/var/lib/netwitness/malware-analytics-server/spectrumです。この値は編集しないでください。
- ファイル共有プロトコル。[File Sharing Protocol]で指定するプロトコルによるアクセスを許可し、Malware Analysisサービスからファイルをコピーできるようにします。
- ファイル保存期間(日数)。
ファイル共有を構成するには、[リポジトリ構成]セクションで次の手順を実行します。
- [ファイル共有プロトコル]をクリックし、[FTP]または[SAMBA]を選択します。
- ファイルが削除される前にリポジトリに保持される日数を指定します。
- [適用]をクリックします。
変更はすぐに有効となります。
スコア モジュールの調整
[モジュール構成]セクションではMalware Analysisのコンポーネントを次のように構成できます。
- 3つのスコア モジュール(静的(Static)、コミュニティ(Community)、サンドボックス(Sandbbox))のいずれかまたはすべてを完全に無効にします。スコア モジュールを無効または有効にする場合には、各スコア モジュールが検出する対象を良く理解してから行うようにしてください。
- Malware Analysisは、Microsoft Office、Windows PE、PDFの各ファイルを含むセッションに、Malware Analysisサービスで調査するためのタグを付けます。Malware Analysisで、Windows PE、Microsoft Office、PDFドキュメントを完全に無視するように構成できます。必要に応じて、コアの設定を調整してこれらのファイルを無視するように設定します。これにより、Malware Analysisでの調査対象のタグが付けられなくなります。
スコア モジュール調整の適用例を次に示します。ルール グループを設定したり、システム パフォーマンスを解析したりする場合に、PDFドキュメントは解析せずに、Microsoft OfficeとWindows PEドキュメントは解析するなど、さまざまなシナリオをテストできます。このシナリオを3つのスコア モジュールのそれぞれでテストできます。テストの結果、システム パフォーマンスが向上した場合は、それらの情報や経験を活用できます。
静的解析のスコアの構成
静的(Static)解析のスコアを構成するには、[モジュール構成]セクションで次の手順を実行します。
- デフォルトでは、静的解析モジュールは有効になっています。静的(Static)解析をすべて有効または無効にするには、[Enabled]チェックボックスで設定します。
- セッションでPDF、Microsoft Office、Windows PEのファイルの解析を構成するには、[PDFのバイパス]、[Offoceのバイパス]、[実行プログラムのバイパス]のチェックボックスのいずれかを選択します。
- デジタル署名されたWindows PEファイルのAuthenticode検証に対するユーザ環境設定を構成するには、[クラウド経由のWindows PE認証設定の検証]チェックボックスをオンにします。デジタル署名されたWindows PEファイルが検証のためにRSA Cloudに送信されないようにする場合は、このチェックボックスをオフにします。
無効化した場合、(Authenticode検証をスキップして)すべての静的解析がローカルで実行されます。この設定に関係なく、PDFドキュメントとMS OfficeドキュメントはAuthenticode検証の対象ではないため、静的解析の実行中にネットワーク通信が行われることはありません。 - [適用]をクリックします。変更はすぐに反映されるため、Malware Analysisが新しいパケットを受けとった時から有効になっています。
コミュニティ解析のスコアの構成
コミュニティ(Community)モジュールを有効にすると、セキュリティ コミュニティでは、処理が可能なタイプのすべてのドキュメントを解析します。これは、ネットワーク セッションとファイルの属性を、RSA Cloudに送信することによって実現されます。RSA Cloudは、情報を処理するために、必要に応じて、セキュリティ コミュニティ パートナーへの外部接続を行う場合があります。
ファイルのコンテンツが解析のためにコミュニティに送信されることはありません。その代わりに、ファイルのMD5/SHA-1ハッシュが送信され、アンチウイルスソフトを使用した検出とブラックリストへの登録に使用されます。同様に、この処理の一環として、セッション メタ情報も取得および解析されます。URLやドメイン名などのメタ要素が調べられ、既知の不正なURL/ドメインなどを識別するためにRSA Cloudに送信されます。
コミュニティ解析を有効にして、処理するドキュメント タイプを制限できます。ファイルのコンテンツ(ハッシュを除く)がネットワークの外部に送信されるリスクはありません。
注:処理が行われるRSA Cloudへのアクセスを取得するには、Malware AnalysisサービスをRSAカスタマ サービスに登録する必要があります。これを行うには、[統合]タブ内のオプションを使用するか、またはRSA Customer Careに連絡する、という2つの方法があります。
コミュニティ(Community)解析のスコアを構成するには、[モジュール構成]セクションで次の手順を実行します。
- コミュニティ(Community)解析をすべて有効または無効にするには、[Enabled]チェックボックスで設定します。デフォルト値は、[無効]です。
- セッションでPDF、Microsoft Office、Windows PEのファイルの解析を構成するには、[PDFのバイパス]]、[Offoceのバイパス]、[実行プログラムのバイパス]の3種類のチェックボックスのいずれかを選択します。
- [適用]をクリックして変更を保存するとすぐに反映され、Malware Analysisが新しいパケットを受信した時から変更が有効になっています。
サンドボックス解析のスコアの構成
デフォルトでは、サンドボックス モジュールは無効になっており、MS OfficeファイルとPDFファイルは処理されません。その目的は、外部のネットワークに機微情報を送信するかどうかをユーザが指定するようにするためです。ドキュメント タイプの処理が除外されていない場合、(ハッシュだけではなく)ファイル全体が宛先のサンドボックス サーバに送信されます。
加えて、サンドボックス解析を実行するときに元のファイル名を保存することを選択できます。
注:[サンドボックス解析の実行時に元のファイル名を保持]パラメータを指定しない場合、NetWitness Suiteはファイルをハッシュ化します。
サンドボックス モジュールを有効にする場合、サンドボックスの処理で、ローカルのGFI Sandbox、ローカルのThreatGrid Sandbox、またはCloudバージョンのThreatGrid Sandboxのいずれかを指定する必要があります。CloudバージョンのThreatGrid Sandboxは、ThreatGridによって直接提供されます。アクティベーション キーをThreatGridから取得し、[ThreatGRID]タブで構成します。
GFI Sandbox設定
ローカルにインストールされたGFI Sandboxを使用するには、GFIを有効にし、GFI Sandboxサーバのサーバ名とサーバ ポートを指定する必要があります。[最大ポーリング期間]と[ポーリング間隔]によって、送信したサンプルの処理が終了するのを待機する時間と、ステータスを確認する頻度(秒単位)を指定します。[Webプロキシ設定を無視]オプションを選択することにより、サンドボックスに接続するときにMalware AnalysisにWebプロキシ設定をバイパスするように設定することができます。Malware AnalysisでWebプロキシが構成されていない場合、この設定は無視されます。
ThreatGrid Sandbox設定
注:ThreatGridのスコアを有効にする場合には、このサイトから送信されたサンプルがThreatGridによって正当と認識されるようにするため、ThreatGridから提供されたサービス キーを構成する必要があります。NetWitness Suiteを使用してThreatGrid APIキーを登録してから、ローカルにインストールされたThreatGrid SandboxまたはThreatGrid Cloud Sandboxを有効化して構成できます。次の詳細タスクを参照してください。ThreatGrid APIキーの登録
[Webプロキシ設定を無視]を選択することにより、サンドボックスに接続するときにMalware AnalysisにWebプロキシ設定をバイパスするように設定することができます。Malware AnalysisでWebプロキシが構成されていない場合、この設定は無視されます。
サンドボックスのスコアを構成するには、[モジュール構成]セクションで次の手順を実行します。
- サンドボックス解析をすべて有効または無効にするには、[有効]チェックボックスで設定します。デフォルト値は、[無効]です。
- セッションでPDF、Microsoft Office、Windows PEのファイルの解析を構成するには、[PDFのバイパス]、[Offoceのバイパス]、[実行プログラムのバイパス]の3種類のチェックボックスのいずれかを選択します。
- 有効なサンドボックス ベンダーを構成します。3つのオプションが用意されています。
- ローカルにインストールされたGFI Sandboxのインスタンスを使用するには、GFI Sandboxサーバのサーバ名とサーバ ポート、[最大ポーリング期間]と[ポーリング間隔]を指定し、オプションで[Webプロキシ設定を無視]チェックボックスをオンにします。
- ローカルにインストールされたThreatGridのインスタンスを使用するには、ThreatGridスコアを有効にして、ThreatGridサービス キーを指定し、必要に応じて[Ignore Web Proxy Settings]チェックボックスをオンにします。
- ThreatGrid Cloudを使用するには、まずThreatGrid APIキーを登録する必要があります。その後でThreatGridスコアを有効化して、ThreatGridサービス キーを指定し、ThreatGridサーバのURL(https://panacea.threatgrid.com)を入力します。必要に応じて、[Webプロキシ設定を無視]チェックボックスをオンにします。
- [適用]をクリックします。
変更はすぐに有効となります。