このトピックでは、データ アナリストがRSA Analytics Warehouseのデータを活用して、IOC(セキュリティ侵害インジケータ)の解析や特定をどのように行えるかについて説明します。Warehouseに格納されたセッションおよびログ データの解析は、データ サイエンス手法を用いて行うことができます。サイバー脅威インテリジェンス アナリストは、セキュリティ侵害を示す早期の兆候をレポートで確認できます。パケット データに対して、次のWarehouse Analyticsモデルがサポートされています。
- Suspicious Domains(不審なドメイン)
- Suspicious DNS Activity(不審なDNSアクティビティ)
- Host Profile(ホスト プロファイル)
ETL(抽出、変換、ロード)ジョブ
ETLジョブは、Warehouseでバックエンド プロセスを実行してデータを事前処理し、そのデータをモデルが使用できるようにします。ETLジョブは、毎日指定した時刻にパケット データに対して自動的に実行されます。このバージョンでは、パケット データはモジュールによって処理されます。ETLジョブの出力は、Suspicious Domains(不審なドメイン)、Suspicious DNS Activity(不審なDNSアクティビティ)、Host Profile(ホスト プロファイル)の各モデルの入力として使用されます。すべてのモデルの最新のジョブをLiveからインポートする必要があります。
ETLジョブを初めて実行すると、過去14日間(UTCタイム ゾーン)からのデータが処理され、それに続いてその前日(UTCタイム ゾーン)からのデータが処理されます。ETLジョブをこれ以外の日付範囲で実行するには、「テスト ジョブ」オプションを使用します。
注:ETLジョブを使用して、検出可能なレポートを生成することはできません。ETLジョブが最初に失敗した場合は、「テスト ジョブ」を使用して、その時間範囲のデータを再処理できます。
Suspicious Domains(不審なドメイン)
Suspicious Domains(不審なドメイン)モデルは、悪質または不審なドメインをその通信動作に基づいて特定します。このモデルには、データ駆動型の、自動化されたリアクティブな手法が使用されます。他のシグネチャ ベースのソリューションでは見過ごされがちなリスクの高いアクティビティを特定できるように設計されています。このモデルは、ドメインの動作を記述したプロファイルを生成し、確率に基づくリスク評価手法をそれらのプロファイルに適用することで、最も疑わしいドメインを検出します。判定されたスコアを活用し、ネットワーク内で悪質なアクティビティに利用されている可能性の最も高いドメインを特定することができます。
次の情報を含むレポートを表示できます。
- リスクの高い宛先ドメインのリストおよび異常性レベルに基づく全調査対象ドメインのランク
- 高リスクである理由をドメインごとに説明する包括的なレポート
- ドメインごとのリスク スコア
- ドメインの統合リスク スコア(すべてのドメインと比較し、接続に関する機能を多面的に解析することによって求められるスコア)
この情報を基に、より踏み込んだ調査を行ったり、該当する接続をブロックしたりすることができます。さらに、セキュリティ ポリシーに対する変更を提案し、同様の接続を将来にわたって回避することが可能です。独自のドメイン ブラックリストをローカルに作成することもできます。そのリストを使用してインシデントを調査したり、今後同じような悪質なドメインに組織の資産から接続しないよう、新しいセキュリティ ポリシーを定義したりすることができます。
Suspicious DNS Activity(不審なDNSアクティビティ)
Suspicious DNS Activity(不審なDNSアクティビティ)モデルは、ボットネットに共通する特定のDNS通信パターンに基づいて悪質なドメインを特定できます。悪質なドメインはIPアドレスが絶えず変化します。このモジュールは、自動化された手法によって、こうした悪質なホスティング パターンを示すドメインを特定します。このようなパターンは、ボットネットだけでなく、ロード バランシングされたホストやCDN(コンテンツ配信ネットワーク)にも見られます。このモデルは、それらを正しく見分け、悪質なドメインだけを検出できます。ドメインが特定されれば、リクエストを行うホストを探し出し、ネットワークへのアクセスをブロックすることができます。
次の情報を含むレポートを表示できます。
- 疑わしいFast-Flux DNSを示すドメインとそのリスク スコアのリスト。
- 関連するCDN通信のグラフと、そのドメインがFast-Fluxパターンを示しているかどうかを表すスコア。
Host Profile(ホスト プロファイル)
Host Profile(ホスト プロファイル)は、内部ホストごとにHTTP、HTTPS、DNSの全アクティビティをネットワーク データから収集し、集約するモデルです。このモジュールでは、ホストごとのさまざまな使用パターンを高速に調査することができます。調査には、いくつものクエリーと手動による比較が必要となりますが、そこで生じる可能性のある疑問点に対し、アナリストは答えを見出すことができます。
表示されるレポートには、色分けされたヒート マップが使用され、ビーコン トラフィックのリスクをホスト別に把握することができます。トラフィックに関する情報を詳しく示したチャートも用意されています。
レポートの生成後、次のタスクを実行できます。
- ブラックリストを使用してアラートを生成する一方、ホワイトリストを使用して、無害のIPまたはドメインを無視する。
-
発生したアラートからセキュリティ インシデントを作成し、速やかに対策を講じる。
- サード パーティのヘルプ デスク システムにインシデントを統合し、改善プロセスをトラッキングする。
- RSA Archer eGRCと統合してインシデント管理と改善を図る。
- Investigationモジュールを使用して根本原因を特定する。
