Security Analytics Malware Analysisは、自動化されたマルウェア解析ツールです。特定の種類のファイル オブジェクト(Windows PE、PDF、MS Officeなど)を解析し、悪意のあるファイルである可能性を評価できるように設計されています。Malware Analysisを使用することによって、マルウェア解析を行う際に、収集された大量のファイルに優先順位を付け、悪意のあるファイルである可能性が最も高いファイルから解析作業を実行できます。
Security Analytics Malware Analysisでは、4種類の解析手法を用いてセキュリティ侵害の兆候(本ソフトウェアでは、セキュリティ侵害インジケーターと呼びます)を検出します。
- ネットワーク セッション解析(ネットワーク)
- 静的ファイル解析(静的)
- 動的ファイル解析(サンドボックス)
- セキュリティ コミュニティ解析(コミュニティ)
4種類の解析手法はそれぞれ、他の手法に固有の弱点を補完しています。たとえば、動的ファイル解析では、セキュリティ コミュニティ解析フェーズでは検出されないゼロ デイ攻撃の検出を補完できます。マルウェア解析を1つの手法だけで行わないようにすることで、偽陰性(false negative)対策を強化することができます。
ビルトインのセキュリティ侵害インジケーターに加えて、Security Analytics 10.3以降のMalware Analysisでは、YARAで記述された侵害インジケーターもサポートされます。YARAは、マルウェアの調査担当者がマルウェアのサンプルの特定や分類を行えるようにするためのルール言語です。これにより、IOC(セキュリティ侵害インジケーター)の作成者は、YARAルールを作成してRSA Liveに公開し、RSA Malware Analysisの検出機能を拡張することができます。RSA Liveに公開されたYARAベースのIOCは、サブスクライブしているホストに自動的にダウンロードされ、アクティブ化されて、調査対象の各ファイルに対して実施する解析能力が補完されます。
Security Analytics 10.4以降では、インシデント管理用のアラートをサポートする機能がMalware Analysisに追加されています。
機能説明
次の図は、Security Analytics Coreサービス(Decoder、Concentrator、Broker)、Security Analytics Malware Analysisサービス、Security Analyticsサーバの機能的な関係を示しています。
Malware Analysisサービスは、次の手法を組み合わせてファイル オブジェクトを解析します。
- ConcentratorやBrokerの継続的な自動ポーリング(常時スキャン)。Parserによってマルウェア コンテンツを含んでいる可能性があると識別されたセッションを抽出します。
- ConcentratorやBrokerのオン デマンド ポーリング。マルウェア アナリストによってマルウェア コンテンツを含んでいる可能性があると識別されたセッションを抽出します。
- ファイルのオン デマンド アップロード(ユーザー指定)。
ConcentratorやBrokerの自動ポーリングが有効になっている場合、Malware Analysisサービスは、Security Analytics Coreサービスによって収集および解析されたデータから直接、ネットワーク上の実行可能ファイル、PDFドキュメント、Microsoft Officeドキュメントを継続的に抽出し、優先順位を付けます。Malware Analysisサービスは、ConcentratorやBrokerに接続して、マルウェアの可能性ありとしてフラグが付けられている実行可能ファイルのみを抽出するため、処理は高速で効率的です。この処理は継続的に行われ、モニタリングは必要ありません。
ConcentratorやBrokerのオン デマンド ポーリングを実行する場合、マルウェア アナリストはSecurity Analytics Investigationを使用して、収集されたデータを詳しく調べ、解析するセッションを選択します。Malware Analysisサービスは、この情報を使用して自動的にConcentratorやBrokerをポーリングし、指定されたセッションを解析用にダウンロードします。
ファイルのオン デマンド アップロードでは、アナリストがCoreインフラストラクチャの外部で収集されたファイルをレビューするための手法を提供します。マルウェア アナリストは、Security Analyticsを使用してフォルダーの場所を選択し、1つ以上のファイルをアップロードしてSecurity Analytics Malware Analysisで解析することができます。これらのファイルは、ネットワーク セッションから自動的に抽出されたファイルと同じ手法で解析されます。
解析手法
ネットワーク解析の場合、Malware Analysisサービスは、一般的なマルウェア アナリストと同様に、標準的なファイルの性質から逸脱しているように見える特徴を検索します。数百個から数千個の特徴を調べ、結果を加重スコア システムと組み合わせることによって、疑わしいセッションがハイライト表示されます。ユーザーは、セッション内の異常なアクティビティを示すパターンを、セキュリティ侵害インジケーターとして識別し、さらに詳しい調査を実行することができます。
Malware Analysisサービスでは、ネットワーク上で検出した疑わしいファイルに対して静的解析を実行し、それらのオブジェクトに悪意のあるコードが含まれているかどうかを判断できます。コミュニティ解析では、ネットワーク上でマルウェアとして検出されたデータは、RSA Cloudにプッシュ送信され、RSA独自のマルウェア分析データや、SANS Internet Storm Center、SRI International、米国財務省、VeriSignといった組織からのFeedを使って確認されます。サンドボックス解析では、サービスは主要なSIEM(Security Information and Event Management)ホストやThreatGrid Cloudなどにもデータを送信して解析できます。
Security Analytics Malware Analysisでは、業界のリーダーやエキスパートとの提携によるユニークな解析手法が提供されており、そのテクノロジーによってSecurity Analytics Malware Analysisのスコア システムを充実させることができます。
Security AnalyticsサーバからMalware Analysisサービスへのアクセス
Security Analyticsサーバでは、Security Analytics Malware Analysisサービスに接続し、タグ付けされたデータをインポートして、より詳細な解析をSecurity Analytics Investigationで実行することができます。解析は3つのサブスクリプション レベルに基づいて実行されます。
- 無料サブスクリプション:Security Analyticsを利用中のすべてのユーザーが利用可能な、ThreatGrid解析用の無料の試用版キーによるサブスクリプションが提供されます。このレベルでは、Malware Analysisサービスでの処理数が、1日あたり100個のファイル サンプルに制限されています。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり5件に制限されています。1つのネットワーク セッションに100個のファイルが含まれている場合、1つのネットワーク セッションを処理すると、処理数の制限値に達します。100個のファイルを手動でアップロードした場合でも、処理数の制限値に到達します。
- 標準サブスクリプション:Malware Analysisサービスへの送信回数は無制限です。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり1000件まで可能です。
- エンタープライズ サブスクリプション:Malware Analysisサービスへの送信回数は無制限です。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり5000件まで可能です。
スコアリング手法
デフォルトでは、セキュリティ侵害インジケーター(IOC)は、業界のベスト プラクティスを反映するように調整されています。各IOCには、-100(無害)~+100(有害)の範囲のスコアが割り当てられます。解析中に、IOCのスコアによって、サンプルがマルウェアである可能性が示されます。Security Analyticsでは、IOCの設定をチューニングでき、マルウェア アナリストは割り当てられたスコアを変更したり、IOCの評価を無効にしたりすることができます。アナリストは、デフォルトの設定を使用するか、特定のニーズに合わせて設定をチューニングするかを柔軟に選択できます。
YARAベースのIOCは、ビルトインのIOCに混合されます。各ビルトイン カテゴリーのIOCとインタリーブされ、ネイティブのIOCと区別されません。[サービス]の[構成]ビューでIOCを表示するとき、管理者は、モジュール選択リストからYARAを選択することで、YARAルールを一覧表示できます。
Security Analyticsに格納されたセッションは、セキュリティ侵害インジケーターをさらに解析するために、Security Analytics Investigationの表示および解析機能をすべて利用できます。Investigationで表示した場合、YARAのIOCは、Yara rule.というタグで、ビルトインのネイティブIOCと区別されます。
導入
Security Analytics Malware Analysisサービスは、Security Analyticsサーバ上または専用RSA Malware Analysisホストの共存サービスとして導入されます。
専用Malware Analysisホストには、Security Analytics Coreインフラストラクチャ(他のBrokerやConcentrator)に接続するオンボードのBrokerが搭載されています。この接続の前に、Malware Analysisサービスがデータを取得する元になるConcentratorとBrokerに接続されているDecoderに、必要なParserとFeedを追加する必要があります。 これにより、疑わしいデータ ファイルが抽出用にマークされます。これらのファイルは、RSA Liveコンテンツ管理システムを通じて入手することができ、コンテンツにはmalware analysisというタグが付けられています。
