調査:NetWitness Investigateの仕組み

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Investigateは、RSA NetWitness® Suiteのデータ分析機能を提供します。この機能によりアナリストは、パケット、ログ、エンドポイント データを分析し、セキュリティとITインフラストラクチャに対する内部または外部からの潜在的な脅威を特定することができます。

注:バージョン11.1では、エンドポイント データを調査するアナリスト向けに[ホスト]ビューと[ファイル]ビューがNetWitness Suiteに組み込まれました。

メタデータ、メタ キー、メタ値、メタ エンティティ

RSA NetWitness Suiteは、ネットワーク上のすべてのトラフィックを調査および監視します。サービスの1つであるDecoderは、ネットワーク上を移動するパケット、ログ、エンドポイント データを取得、解析、保存します。

Decoderに構成されたParserとFeedは、取得したログおよびパケットをアナリストが調査に使用できるよう、メタデータを作成します。別のタイプのサービスであるConcentratorは、メタデータのインデックス化と保存を行います。

メタデータは、メタ キーとそのメタ値で構成されます。たとえば、ip.srcはメタ キーであり、トラフィックの送信元のIPアドレスには、ip.srcがタグ付けされます。Investigateでデータを表示すると、メタ キー ip.srcとそれにタグ付けされたすべてのIPアドレス(メタ値)が表示されます。標準提供のメタ キーもあれば、管理者が定義したカスタム キーもあります。

メタ エンティティは、バージョン11.1以降で使用できます。メタ エンティティは、他のメタ キーからの結果をグループ化するエイリアスです。メタ エンティティは、同様のメタ キーを単一の使いやすいメタ タイプにまとめます。一部のメタ エンティティはデフォルトで提供されますが、管理者がカスタム メタ エンティティを作成することもできます。アナリストは、Investigateでのクエリ、メタ グループ、列グループ、プロファイルの中でメタ エンティティを使用できます。座標表示チャートはメタ エンティティをサポートしていません。管理者は、ユーザのロールとユーザに適用するクエリ プレフィックスの定義で、メタ エンティティを使用することができます。「Decoder構成ガイド」に、メタ エンティティの作成に関する追加情報と、ルールでの使用方法が記載されています。

たとえば、デフォルトのコア データベース言語には、ソースIP用と宛先IP用に別々のメタ キーが含まれています。標準提供のメタ エンティティの1つであるip.allは、ソースIPと宛先IPを合わせたすべてのIPアドレスを表します。

アナリストは通常、脅威を検出するためにConcentratorに対してクエリを実行します。Concentratorはクエリを処理し、セッションの完全な再構築やRAWログが必要な場合にのみ、Decoderにアクセスします。ESA、Malware Analysis、Reporting EngineもConcentratorに対してクエリを実行し、各Decoderにアクセスすることなく、イベントに関連づけられたすべてのメタデータをすばやく取得して、情報を生成できます。一部の特殊なケースでは、アナリストがDecoderに対してクエリを実行することがあります。

 

注:ハイブリッド アプライアンスでConcentrator機能を実行できますが、大きな帯域幅やEPS(1秒あたりのイベント数)を必要とする大規模な環境では、独立したConcentratorアプライアンスが必要です。Concentratorアプライアンスは、インデックス用にソリッド ステート ドライブを使用するストレージ レイアウトを備えており、これにより、読み取りパフォーマンスを向上できます。

調査のトリガー

調査のトリガーの例をいくつか示します。

  • サード パーティから新しいActive Directoryハッキングに関するインテリジェンス情報が送られてきます。[イベント]ビューを開き、そのインテリジェンス情報を使用して、Active Directoryの過去24時間のすべてのRAWログ データに対して検索を実行します。
  • SOCマネージャから、現在話題になっているPokemon Goマルウェアを検索するように依頼されます。[ナビゲート]ビューを開き、セキュリティ ブログで見つけたマルウェアに関連する特定のユーザ エージェントを使用したHTTPセッションを検索するクエリを作成します。
  • インシデント対応者が、特定のホストに関連したいくつかの不自然なインジケータを示すチケットをエスカレーションします。[ホスト]ビューを開き、そのホストを調査してより明確な情報を探します。
  • [ナビゲート]ビューを開き、次のゼロデイ攻撃を探すため、ネットワーク メタデータの調査を開始し、会社の外へ向かう異常な自動化セッションを探します。
  • 解雇されて間もない従業員のユーザ アカウント jarvisに関連した情報を検索するようにSOCマネージャから依頼されます。[ホスト]ビューを開き、過去1週間のデータに対して、そのユーザ名を使用してクエリを実行します。

調査のワークフロー

アナリストは、NetWitness Suiteによって収集されたデータを調査し、NetWitness Suiteダッシュボード上の情報、NetWitness Respondインシデントまたはアラート、NetWitness Suite Reporting Engineによって作成されたレポート、またはサードパーティ アプリケーションの情報を掘り下げて調べることができます。調査の過程で、アナリストは、次の調査ビューをシームレスに切り替えることができます:[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビュー、[ホスト]ビュー(バージョン11.1以降)、[ファイル]ビュー(バージョン11.1以降)、[Malware Analysis]ビュー。

この図は、NetWitness Investigateのサブメニューを示しています。

NetWitness Investigate Submenus

注:ユーザがNetWitness Suiteを使用して調査やマルウェアの解析を実施するには、特定のユーザ ロールおよび権限が必要です。解析タスクを実行できなかったり、ビューを表示できない場合、ロールや権限が不足している可能性があります。

各ビューには、[調査]ビューのサブメニューや他の[調査]ビューからアクセスすることができます。NetWitness Respondの[対応]ビューから[調査]ビューに直接移動したり、[調査]ビューから[対応]ビューやスタンドアロンNetWitness Endpointに直接移動することができます。ユースケースによって、調査の起点が決まります。この表は、さまざまなユースケースの開始ビューに関する一般的なガイダンスを示しています。

                                   
開始場所調査の焦点
[ナビゲート]ビューすべてのメタ キーと、メタ キー別にグループ分けされたログ、エンドポイント、パケットのメタ値。データをピボット分析して結果を絞り込んでから、[イベント]ビューまたは[イベント分析]ビューに移動するか、Malware AnalysisまたはLiveで検索することができます。これは、NetWitness Investigateの[調査]ビューのデフォルトのビューです。(「[ナビゲート]ビューでのメタデータの調査」を参照。)
[イベント]ビューイベントが時系列で表示されます。RAWイベントと関連メタデータを表示したり、再構築を表示したり、イベントとファイルをダウンロードすることがきます。[イベント分析]ビューに移動することができます。(「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照)。
[イベント分析]ビューイベントが時系列で表示されます。ログ、エンドポイント、パケットに関するすべてのメタ キーとメタ値を表示することができます。RAWイベントと関連メタデータを表示したり、再構築を表示して、着目点の特定に役立つヒントを確認できます。[ホスト]ビューに移動したり、スタンドアロンEndpoint Serverに移動したり、Liveで検索したり、外部ルックアップを実行することができます。外部ルックアップでは、調査したいメタ値をインターネット上で検索したり、IPアドレスに関連したパッシブDNS情報を特定したり、URLがブラックリストに登録されているかどうかを確認したり、他のサードパーティ製品とコンテキスト統合することができます。(「[イベント分析]ビューでのRAWイベントとメタデータの分析」を参照。)
(バージョン11.1以降)[ホスト]ビューNetWitness Endpoint Insightsエージェントが実行されているホストが表示されます。ホストごとに、プロセス、ドライバ、DLL、ファイル(実行可能ファイル)、サービス、実行中のAutorun、ログインしているユーザに関連した情報を表示できます。[ホスト]ビューから、[ナビゲート]ビューと[イベント分析]ビューに移動することができます。(「ホストの調査」を参照。)
(バージョン11.1以降)[ファイル]ビュー導入環境のPE、Macho、ELFなどのファイルが表示されます。ファイルごとに、ファイル サイズ、エントロピー、形式、会社名、署名、チェックサムなどの詳細が表示されます。[ファイル]ビューから、[ナビゲート]ビューと[イベント分析]ビューに移動することができます。(「ファイルの調査」を参照。)
[Malware Analysis]ビューMalware Analysisアプライアンスを実行している場合は、ファイルを自動または手動でスキャンして、4種類の分析(ネットワーク、静的、コミュニティ、サンドボックス)の結果を表示できます。ファイルがマルウェアの場合は、[ホスト]ビューに移動して、どのホストがそのファイルをダウンロードしたかを確認することができます。(「Malware Analysisの実施」を参照。)

一般的に、アナリストの調査の対象となるようなイベントには、他とは異なる特徴を見いだすことができます。アナリストは、何かを突き止めてから、その結果に基づいて次の調査ポイントに移動する必要があるため、多くの調査は、1つのビューで始まって、別のビューで終わります。次の図は、調査のワークフローの概要を示しています。

High-Level Investigate Workflow

メタデータ、クエリ、時間に焦点を当てた調査

アナリストは、インシデント対応ワークフローに追加すべきイベントをハンティングする場合や、別のツールがイベントを生成した後で戦略的な分析を行う場合に、NetWitness Investigateを使用します。[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビューのいずれかを開き、次のように調査します。

  • まず、サービスから特定の時間範囲のデータを取得するクエリを実行し、メタデータを使用してそこからイベントのサブセットをフィルタリングします。フィルタリングされたイベントの1つを再構築または分析し、別のイベントに対しても再構築または分析の処理を繰り返します。
  • 詳細な確認が必要なイベントを見つけた場合、イベントに関連するコンテキストを表示し、インシデントを作成するか、既存のインシデントに追加するかを決定します。イベントをインシデントに追加しない場合は、さらに洞察を進めるため、別のクエリを実行します。つまり、再度ワークフローの先頭から開始します。
  • ネットワーク内の特定のホストでの疑わしいアクティビティまたはファイルに気付いた場合は、[ホスト]ビューと[ファイル]ビューまたはスタンドアロンNetWitness Endpoint Serverで、ホストとそのホストで見つかったファイルに関する追加情報を収集できます。
  • マルウェアを含む可能性があるファイルまたはイベントを見つけた場合は、ファイルのMalware Analysisスキャンを実行するか、Malware Analysisを開いてイベントが表示されたサービスのスキャンを開始することができます。

たとえば、外国との不審なトラフィックを危惧する場合、Destination Countryメタ キーを確認することにより、実際のすべての宛先と通信の頻度を明らかにすることができます。これらの値を詳しく調べていくと、送信元と送信先のIPアドレスなど、トラフィックの特性が分かります。他のメタ データを調べると、この2つのIPアドレス間で交換されているファイルの特性を明らかにできる場合があります。

エンドポイント分析に焦点を当てた調査

アナリストは、[ホスト]ビューと[ファイル]ビューで、IPアドレス、ホスト名、MACアドレスなどのさまざまな属性を使用して、ホストまたは ファイルを調査したり、分析を行います。

  • [対応]ビューでのインシデントのトリアージでは、重要な情報(ホスト名やファイル名など)を確認したり、コンテキストをハイライト表示します。
  • 調査に移動して、[ナビゲート]ビューを開きます。Endpoint Analysisメタ グループを選択して、作成されたメタデータを確認します。
  • [イベント分析]ビューでメタデータを表示してイベントを分析します。[イベント メタ]パネルで、[ホスト ルックアップ]を選択します。
  • [ホスト]ビューで、ホスト名をクリックし、エンドポイント データ、スナップショット、セキュリティ設定などのサマリを表示します。
  • オン デマンド スキャンを実行して、最新情報を取得します(必要な場合)。
  • 特定のファイル名、パス、ハッシュなどの検索条件を指定して、すべてのスナップショットに対して検索を実行します。
  • プロセス、Autorun、ファイル、ライブラリ、ドライバ、システム情報を確認してさらに調査します。
  • [ファイル]ビューで、いくつかの指標(ファイル名、ファイル サイズ、エントロピー、形式、会社名、署名、チェックサムなど)を使用してファイルをフィルタリングし、[ナビゲート]ビューに移動して、ネットワーク内の他のホスト上に存在するかどうかを確認します。

NetWitness Respondのインシデントとアラートに焦点を当てた調査

NetWitness Respondの[対応]ビューで、インシデントまたはアラートを処理するアナリストは、NetWitness Investigateの[調査]ビュー([ナビゲート]ビュー)でイベントまたはアラートを開いて、より深い分析を実行できます。

  • 通常、インシデント対応のワークフローは[対応]ビューから始まります。このビューでインシデントを調査するアナリストは、NetWitness Investigateでインシデントに関するインテリジェンス情報を収集する必要があります。[対応]ビューから調査を開始すると、定義されたメタ キーを使用してクエリーが実行され、収集されたパケット、ログ、エンドポイント イベントの内容が[ナビゲート]ビューに表示されます。
  • インシデントに関連したイベントを見つけた場合は、NetWitness Respondのインシデントにイベントを追加できます。Investigateで見つかった1つ以上のイベントに基づいて、Respondの新しいインシデントを作成することもできます。

NetWitness Investigate[調査]ビュー

このセクションでは、メイン ビュー(ナビゲート、イベント、イベント分析、ホスト、ファイル、Malware Analysis)ごとの簡単な説明と例を示し、2つの深掘り機能(見つかったデータの追加コンテキストの検索とイベント再構築)を提供するビューを紹介します。

[ナビゲート]ビュー

[ナビゲート]ビューでは、Broker、Concentrator、Decoder上にある収集されたパケット、ログ、エンドポイント イベントのコンテンツにドリル ダウンし、クエリを実行する機能を提供します(ただし、Decoderに対する調査は一般的ではありません)。

  • サービスを選択すると、そのサービスに定義されたメタ キーがクエリされ、メタ値とイベント数が返されます。任意のレベルで値をクリックすると、詳細な結果が表示されます。
  • IPアドレスやホスト名などの特定の構成済みメタ キーの場合は、Context Hubを使用して値に関する追加のコンテキスト情報を検索できます。追加のコンテキストには、インシデント、アラート、値が記載されたその他のソースが含まれます。
  • また、[ナビゲート]ビューでは、データを時系列にビジュアル化することもできます。ここでは、期間を選択してズーム イン表示できます。

次の図は、ナビゲートビューを示しています。

the Navigate view with Context Lookup panel open

[イベント]ビュー

[イベント]ビューには、イベントのシーケンシャル表示と安全な再構築を行えるよう、パケット、ログ、エンドポイント イベントがリスト形式で表示されます。

  • [ナビゲート]ビューで表示しているメタ値の[イベント]ビューを開くことができます。
  • サービスをナビゲートするための十分な権限がない場合、[イベント]ビューはスタンドアロンの[調査]ビューになります。アナリストは、最初にメタデータをドリル ダウンすることなく、NetWitness Suite Coreサービスからのネットワーク、ログ、エンドポイント イベントのリストにアクセスできます。
  • [イベント]ビューでは、イベント情報が3つの標準形式(イベントの簡単なグリッド リスト、イベントの詳細なリスト、ログ ビュー)で表示されます。
  • イベントや関連ファイルをエクスポートしたり、イベントからインシデントを作成することができます。

次の図は、[イベント]ビューを示しています。

the Events view

[イベント分析]ビュー

[イベント分析]ビューは、アナリストがイベント内のパケット、テキスト、ファイルを表示できる対話型のツールで、特定のタイプの情報を視覚的に確認できます。パケット、テキスト、ファイルなどの再構築のタイプに応じて、異なる情報が関連付けられます。

  • ファイルを表示するときは、ローカル ファイル システムにzipアーカイブでファイルをエクスポートできます。
  • [テキスト]ビューからログをダウンロードし、[パケット]ビューからパケットをエクスポートすることができます。

次の図は、[イベント分析]ビューの例です。

example of the Event Analysis view

[ホスト]ビュー

[調査]>[ホスト]ビューには、エージェントがインストールされたすべてのホストが表示されます。デフォルトで、ホストは最後のスキャン時間の順に表示され、リストの一番上に最も最近スキャンされたホストが表示されます。ドリル ダウンしてホストの詳細を調査するための機能が提供されます。

次の図は、[ホスト]ビューの例です。

Hosts View

このビューでは、次のタスクを実行できます。

  • 調査対象のホストを絞り込むためのホストのフィルタリングとソート
  • CSVファイルへのホスト属性のエクスポート
  • 選択したホストのスキャンの開始または停止
  • ホストの詳細のドリル ダウン
  • 特定のホストを調査するため[ナビゲート]ビューまたは[イベント分析]ビューへ移動
  • ホストの削除

注:導入環境でNetWitness Endpoint 4.4.0.2以降を使用している場合は、4.4.0.2エージェントがインストールされているホストが表示され、エージェントのバージョンを使用して識別することができます。これらのホストを調査する方法の詳細については、「NetWitness Endpoint 4.4.0.2以降のホストの調査」を参照してください。

ホストの詳細を表示するには、ホスト名をクリックします。次の画面が表示されます。

Host Details View

このページでは、次の操作を実行できます。

  • すべてのスナップショットの検索(検索フィールドとして、ファイル名、ファイル パス、ファイルSHA-256チェックサムを使用できます)。
  • 複数のスナップショットの表示。デフォルトで、最新のスナップショットに関するデータが表示されます。
  • 次のタブで追加のホスト情報を表示:概要、プロセス、Autorun、ファイル、ドライバ、ライブラリ、システム情報。
  • 選択されたホストの特定のスナップショットから、すべてのカテゴリのエンドポイント データをJSON形式でエクスポート。

[ファイル]ビュー

[ファイル]ビューには、導入環境で見つかったファイルのリストとそれらの関連プロパティが表示されます。デフォルトで、ファイルは初回確認時刻の順に表示されます。メモリにロードされた次のファイル タイプの情報がスキャンにより収集されます。

  • Portable Executable(PE)ファイル(Windows)- exe、dll、sysファイルです。各ファイルのプロパティとして、チェックサム、コンパイルの詳細、ファイル内に存在するさまざまなセクション、インポートされたライブラリ、証明書の詳細(署名者、拇印、会社名)を表示できます。

  • Macho(Mac)- アプリケーション バンドル、dylib、カーネル拡張機能です。各ファイルのプロパティとして、チェックサム、ファイル内に存在するさまざまなセクション、インポートされたライブラリ、証明書の詳細(署名者、拇印、会社名)を表示できます。
  • ELF(Executable and Linkable Format)(Linux)- 各ファイルに、チェックサム、ファイル内に存在するさまざまなセクション、インポートされたライブラリに関する情報が含まれています。各ファイルのプロパティとして、チェックサム、ファイル内に存在するさまざまなセクション、インポートされたライブラリを表示できます。

次の図は、[ファイル]ビューの例です。

Files View

[ファイル]ビューでは、次のタスクを実行できます。

  • 調査対象を絞り込むためのファイルのフィルタリングとソート
  • 特定のファイルを調査するため[ナビゲート]ビューまたは[イベント分析]ビューへ移動
  • CSVファイルへのファイルのエクスポート

[Malware Analysis]ビュー

[Malware Analysis]ビューは、特定の種類のファイル オブジェクト(Windows PE(Portable Executable)、PDF、MS Officeなど)を解析し、悪意のあるファイルである可能性を評価できます。

  • [Malware Analysis]ビューは直接開くことができます。または、コンテキスト メニュー アクションを使用すると、[ナビゲート]ビューから、現在のドリルダウン ポイントでメタ値からマルウェアのスキャンを実行することができます。
  • マルウェア解析を行う際に、複数レベルのスコア モジュールを活用すると、収集された大量のファイルに優先度を付けて、悪意のあるファイルである可能性が最も高いファイルの解析作業を重点的に実行できます。

次の図は、[Malware Analysis]ビューを示しています。

example of the Malware Analysis Summary of Events

イベントのコンテキスト情報

[ナビゲート]ビューと[イベント]ビューでは、[コンテキスト ルックアップ]パネルに、Context Hubに定義されたイベントの構成要素(IPアドレス、ユーザ、ホスト、ドメイン、MACアドレス、ファイル名、ファイル ハッシュ)に関する詳細情報が表示されます。

  • イベントの洞察を深めるため、イベントの構成要素のデータは、関連するインシデント、アラート、カスタム リスト、Archerの資産情報、Active Directoryの詳細、NetWitness Endpoint IIOCなどから入手することができます。
  • データ ポイントをクリックして[ナビゲート]ビューに戻ることができます。

次の図は、[ナビゲート]ビュー内の[コンテキスト ルックアップ]パネルを示しています。

the Context Lookup panel in the Navigate view

注:NetWitness Endpointのコンテキスト ルックアップは、NetWitness Endpoint 4.4.0.2以降のホストでしか使用できず、NetWitness Endpoint 11.1のホストでは使用できません。

イベントの再構築

NetWitness Investigate[調査]ビューの中の、次の3つのビューからイベントを再構築することができます:[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビュー。さらなる調査が必要なイベントを検出した場合は、イベント本来の形式と同様の形式で安全にイベントを再構築することができます。イベントのレンダリングでは、お使いのシステムやブラウザに対する悪影響を制限するため、イベントに含まれる可能性がある動的またはアクティブなコードの使用を制限しています。以前に表示されたイベントを表示するときのパフォーマンスを向上させるため、キャッシュが使用されます。各アナリストには再構築データ用に個別のキャッシュがあり、自身のキャッシュにある再構築イベントにのみアクセスできます。

[イベント]ビューまたは[ナビゲート]ビューのイベント再構築には、イベントに関するrawデータ、メタ キーとメタ値がリスト形式で表示されます。

  • 再構築の画面で次ページに移動すると、次のイベントの再構築が同じ形式で表示されます。
  • データのタイプ(メタ データ、テキスト、16進数、パケット、Web、メール、ファイル、自動選択される最適な再構築)に合わせてさまざまな方法を使用してイベントを再構築することができます。
  • パケット キャプチャ ファイルをエクスポートしたり、ファイルを抽出したり、イベントのメタ値をエクスポートすることができます。次の図は、イベントの再構築の例です。

the Event Reconstruction view

[イベント分析]ビューには、rawデータ、メタ キーとメタ値を含む、対話形式のイベント再構築が表示されます。対話形式のオプション:

  • ヘッダーとペイロード内の情報をハイライト表示したり、デコードします。
  • 一般的なファイル シグネチャを識別します。
  • 特定のメタ キーまたはメタ値の場所を再構築の中から検索できます。
  • イベントとファイルをエクスポートできます。

次の図は、[イベント分析]ビューの再構築の例です。

example of a reconstruction in the Event Analysis view

You are here
Table of Contents > NetWitness Investigateの仕組み

Attachments

    Outcomes