脅威インテリジェンスとは?
脅威インテリジェンスは、情報セキュリティの専門家が分析・整理したサイバーセキュリティに関する情報であり、攻撃者の意図や能力、設備などに関する情報を分析・整理することで、脅威の防止や検知に役立つ有益な情報として提供されています。
脅威インテリジェンスの情報は、企業システム内のアクティビティを監視して、潜在的に脅威のある動作を初期の段階から検知あるいは阻止し、攻撃の予防に利用することができます。
以下、脅威インテリジェンスを活用した場合に想定される効果の例です。
- 通信ログから不正アクセスを検知し、システムが乗っ取られるなどの被害の抑制に役立ちます。
- 通信ログからマルウェア感染を検知し、マルウェア感染を発端とするサイバー攻撃の被害の抑制に役立ちます。
- 通信ログを監視し、社内機器が踏み台サーバーとされサイバー攻撃の開始することを阻止するなど、被害拡大の抑制に役立ちます。
SEMの脅威インテリジェンス
Security Event Manager(SEM)は、脅威インテリジェンスのデータ(脅威フィード)を元に、トラフィックに怪しい通信がないか、監視します。
トラフックログの監視で送信元や宛先にブラックリストのIPアドレスまたはドメインが一致する場合にアラート通知します。
フィッシングの試み、マルウェア感染、外部サイバー攻撃などの潜在的セキュリティ問題を自動的に突き止める機能を備えています。
SEMでは、Proofpoint社のEmerging Threatsをサポートしており、インストール後、すぐに利用することができます。
毎日1回、新しいIPやドメインのレピュテーション情報(ブラックリスト)などを、インターネット経由で入手しており、最新の脅威に対応することができます。
アラート用テンプレートやフィルターを用意しており、容易に運用を開始することができます。
また、ダッシュボードに脅威イベントのウィジェットを追加することにより、脅威イベントの発生を可視化して監視することもできます。アラートで脅威を検知後、詳細をログから調査することができます。
脅威を検知するには
以下の検知ルールとフィルターが、すぐに使えるように標準で実装されています。
ルール
SEMは、疑わしいアクティビティのアラートを受け取るために使用できる 3つのルールテンプレートを用意しています。
状況に応じて、これらのいずれかを有効にします。Eメールアラートを受信するユーザーを指定するだけでテンプレートを使用できます。
標準のルール・テンプレート(脅威インテリジェンス)
・Authentication Attempt from Potential Threat from Threat Intelligence Feed
・Potential Malware Infection Detected from Threat Intelligence Feed
・Server Communicating with Potential Threat from Threat Intelligence Feed
日本語訳
・潜在的な脅威からの認証試行(脅威インテリジェンスフィード)
・潜在的なマルウェア感染(脅威インテリジェンスフィード)
・潜在的な脅威とのサーバー通信(脅威インテリジェンスフィード)
フィルター
SEMでは、疑わしいアクティビティを閲覧するために使用できるフィルターを標準で用意しています。Live Event メニューでは、フィルターを使用して、脅威に分類されたログイベントを見ることができます。フィルターから、ルールと自動応答アクションを設定することも可能です。
標準で使用できるフィルターは以下です。
Securityカテゴリ
・Network Event Threats(ネットワークイベントの脅威)
・All Threat Events(全ての脅威イベント)
Authenticationカテゴリ
・Authentication Event Threats(認証イベントの脅威)
Endpoint Monitoringカテゴリ
・Workstation Events with Threats(脅威のあるワークステーションイベント)
ダッシュボードにウィジェットを追加
フィルターを用いて、脅威イベントを監視することができます。ダッシュボードに脅威イベント件数を表示するチャートのウィジェットを追加します。折れ線グラフを作成する場合は、Wedget Typeで[Time Series]を選択します。フィルターは[All Threats Events]を設定します。グラフをクリックしてLive Events にドリルダウンし、イベントの詳細を確認することも可能です。
Historical Eventで脅威を検索
SEMは、トラフックログの監視でブラックリストのIPアドレスやドメインが一致した場合、ログの[isThreat]というフィールド(脅威フィールド)に値(True)を設定します。このフィールドは、ネットワーク関連のイベントまたはイベント グループ(名前に Traffic が含まれるイベントなど)にのみ追加されます。
[Historical Events]タブで「IsThreat」フィールド(脅威フィールド)を検索する手順を説明します。
「IsThreat」の値はTCPTrafficAudit イベントの発生で検知されます。「IsThreat」の値はTCPTrafficAudit イベントの発生時にブラックリストと一致すると設定されます。
SEMのHistorical Eventsのクエリ検索フィールドに、SourceMachineのアドレスを条件に追加し、すべてのイベントをフィルタリングまたは検索できます。以下のサンプルクエリを使用してください。さらに検索結果を絞り込むには、相関条件を追加することもできます。
サンプル クエリ:
TCPTrafficAudit.IsThreat = true AND TCPTrafficAudit.SourceMachine = “xxx.xxx.xxx.xxx”
脅威インテリジェンス フィードを有効にする方法
1.SEMのWebコンソールで、設定ボタン(右上のネジのマーク)をクリックします。
2.[Settings]ページで、[THREAT INTELLIGENCE]タブをクリックします。
3.下記機能のボタンを切り替えて、SEMが脅威インテリジェンスフィードを有効にします。
Allow security event manager to detect threats based on lists known malicious IP addresses.
(日本語訳:Security Event Manager が既知の悪意のある IP アドレスのリストに基づいて脅威を検出できるようにする。)
脅威情報の定期更新
SEMの脅威フィードは、最新の情報に定期的にアップデートします。
脅威インテリジェンスがオンの設定の場合、インターネット経由で毎朝午前3時14分に、脅威インテリジェンスフィードリストを更新します。(※インターネット接続が必要です。)
脅威予測の例
これは、潜在的な脅威とのサーバー通信(脅威インテリジェンスフィード)をルールとして使用した例です。
1.予め設定した検知ルール「潜在的な脅威からの認証試行」が、脅威(isThreat=true)を検知しアラートを発報。
2.管理者はSEMのダッシュボードにてウィジェットを確認し、脅威イベント件数が増えていることを確認。
3.ダッシュボードとLive Eventを確認し、特定のユーザーのログイン失敗が増えていることを確認。
4.イベントログの分析・評価を行い、社内ネットワークへの侵入対策を見直し、FireWallなどのセキュリティを強化した。
まとめ
今回は、サイバー攻撃対策として脅威インテリジェンスを実現する機能を持つSolarWinds Security Event Manager(SEM)をご紹介しました。サイバー攻撃対策として、通信の監視は非常に重要です。ぜひご参考の上、ご活用ください。
メーカー情報(脅威インテリジェンス)
Using the Threat Intelligence feed in SEM
Search IsThreat TCPTrafficAudit Events in SEM HTML5 Console