NSX Network Detection and Response アプリケーションによって検出されたキャンペーンは、複数のプロパティによって特徴付けられます。
次に示すのは、キャンペーンのプロパティとその定義です。
プロパティ名 |
説明 |
---|---|
名前 |
キャンペーンを一意に識別するキャンペーン ID。 |
ホスト |
キャンペーンの影響を受けるホスト。 |
脅威 |
キャンペーンで検出された脅威。 |
攻撃ステージ |
検出されたアクティビティに対応する攻撃者のライフサイクルのフェーズ。詳細については、攻撃ステージについてを参照してください。 |
所要時間 |
キャンペーンに関連するアクティビティが確認された時間間隔。 |
攻撃ステージについて
攻撃ステージとは、NSX Network Detection and Response アプリケーションによって検出されたアクティビティに対応する攻撃者のライフサイクルの各フェーズです。
攻撃者モデルとは、攻撃者がエンタープライズ ネットワーク内に侵入して操るために実行する可能性のあるアクションを記述したものです。NSX Network Detection and Response アプリケーションでは、MITRE の Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) モデルを使用して、攻撃者の行動を記述します。このモデルでは、攻撃者が使用しうる方法を、攻撃ライフサイクルのさまざまなステージに対応する多数の戦術カテゴリにグループ化します。
システムでは、検出された各イベントに関連付けられているアクティビティを特定の攻撃ステージに関連付け、そのライフサイクルに沿ってキャンペーンの進行状況を示すことがあります(異なった攻撃フェーズで発生したアクティビティは、特定の攻撃ステージに関連付けられないことがあります)。現在、次の攻撃ステージが使用されています。
攻撃ステージ名 |
説明 |
---|---|
配信 |
攻撃者がペイロードをターゲットに送信するステージ。一般的な配信メカニズムは、リモート エクスプロイト、ドライブバイ ダウンロード Web ページ、悪意のある USB やその他のリムーバブル ドライブなどです。 |
悪用 |
攻撃者のペイロードがターゲット ネットワークに展開されるステージ。その結果、ターゲット ネットワークにある 1 つ以上のデバイスが侵害され、攻撃者の制御下に置かれます。 |
コマンドとコントロール |
攻撃者が制御下に置いているターゲット ネットワーク内のシステムと通信し、それらのシステムに対する「ハンズオン キーボード」リモート アクセスを実質的に取得するステージ。 |
認証情報へのアクセス |
ターゲット環境内で使用されるシステム、ドメイン、またはサービスの認証情報にまつわるアクセス権または制御権を攻撃者が取得するステージ。攻撃者は通常、ユーザー アカウントと管理者アカウントからの正当な認証情報の取得を試行して、なりすましたり、新しいアカウントを作成したりします。 |
検出 |
攻撃者がターゲット環境に関する詳細情報の探索を試行するステージ。攻撃者は多くの場合、ネットワークにあるデバイスで自己の目的に利用できるものをさらに特定しようとします。 |
ラテラル ムーブメント |
攻撃者がリモート システムへのアクセス権と制御権を取得して、ターゲット ネットワーク全体にわたって移動するステージ。 |
コレクション |
攻撃者がデータ抽出前にターゲット ネットワークから情報を特定して収集するステージ。 |
データ抽出 |
攻撃者がターゲット ネットワークからファイルや情報を削除するステージ。 |
相関ルールについて
インシデントは通常、それに対応する悪意のあるアクティビティや攻撃が関連していることを示すエビデンスがあると、キャンペーンにグループ化されます。
このような相関ルールは NSX Advanced Threat Prevention クラウド サービスで実行されているため、NSX リリース サイクルとは関係なく改善したり拡張したりできます。また、相関ルールのリストや、ルールにある特定の動作は、時間の経過とともに変わることがあります。
現在サポートされている相関ルールは次のとおりです。
アノマリ イベント
このルールでは、NSX Suspicious Traffic 機能による検出イベントと、影響が大きい感染タイプのイベントとを相関させます。たとえば、NSX Suspicious Traffic 機能によるアノマリ イベントは、同じホストでの影響が大きいネットワーク イベントと同時に発生します。
データ抽出
このルールでは、感染タイプのイベントが先行するデータ抽出イベント同士を相関させます。たとえば、コマンドとコントロールのネットワーク イベントの後に、データを抽出していることがわかっているネットワーク イベントが続きます。
ファイル転送(ハッシュベース)
このルールでは、悪意のあるファイル転送同士を相関させます。たとえば、同じ悪意のあるファイルがネットワークの複数のホストにダウンロードされた場合、ルールでは、それらの転送をすべて侵入と相関させます。悪意のあるファイル転送の類似性は、転送されたファイルの SHA-1 ハッシュに基づいて判断されます。
ファイル転送(分析タグベース)
このルールでは、悪意のあるファイル転送同士を相関させます。たとえば、同じ悪意のあるファイルがネットワークの複数のホストにダウンロードされた場合、ルールでは、それらの転送をすべて侵入と相関させます。悪意のあるファイル転送の類似性は、ファイルの分析タスクに関連付けられているタグに基づいて判断されます。
脆弱性スキャン
このルールでは、潜在的に脆弱性スキャンを示すさまざまなタイプのネットワーク イベント同士を相関させます。たとえば、1 台のホストから 1 台以上の内部宛先ホストに対する送信で感染タイプのイベントまたは NTA イベントが複数観測された場合です。
ウェーブ
このルール グループでは、同じ攻撃(つまり、同じ脅威のインシデント)が特定の期間内にネットワーク上の複数のホストで観測された攻撃「ウェーブ」を特定します。
このルール グループは、ネットワークで同じコマンドとコントロールのインフラストラクチャの一部となっているか同じ攻撃ベクトル(ドライブバイ攻撃やマルウェア配布攻撃など)にさらされているホストを特定するのに有用です。そのため、こうしたルールは、コマンドとコントロール、ドライブバイ、マルウェア配布、シンクホール、偽アンチウイルス、暗号マイニングといったクラスの脅威に制限されます。
このグループのルールは、次の場合にトリガされます。
脅威クラスがコマンドとコントロールとなっているネットワーク署名イベントがあり、複数のホストに影響する。
脅威クラスがマルウェア配布となっているネットワーク署名イベントがあり、複数のホストに影響する。
脅威クラスがドライブバイとなっていて、検出が発生したエントリ(IP アドレスまたはホスト名)が同じであるネットワーク署名イベントがあり、複数のホストに影響する。
同じエントリ(IP アドレスまたはホスト名)に悪意のあるレピュテーション イベントが複数あり、脅威クラスがコマンドとコントロールとなっていて、複数のホストに影響する。
同じエントリ(IP アドレスまたはホスト名)に悪意のあるレピュテーション イベントが複数あり、脅威クラスがマルウェア配布となっていて、複数のホストに影響する。
この場合、相関期間は 3 日間と設定されます。したがって、2 つのインシデントが、同じ脅威で、異なったホストに影響し、その限られた期間内に発生した場合は、関連していると見なされます。
これらのルールでは、ホスト 1 台とインシデント 1 つのみで構成するキャンペーンを作成できます。
確認済みドライブバイ
このルール グループでは、内部ホストが成功したドライブバイ攻撃にさらされているキャンペーンを特定します。ホストに対するドライブバイ攻撃は、その後にコマンドとコントロール、マルウェア ダウンロード、シンクホール、または偽アンチウイルス アクティビティが続くと、成功したと見なされます。このグループのルールは、次の場合にトリガされます。
ドライブバイのすぐ後にマルウェア ダウンロード アクティビティが続く:この場合、相関期間は 10 分です。ブラウザ エクスプロイトが成功するとすぐにダウンロードが発生することが予想されるためです。
ドライブバイのすぐ後に偽アンチウイルス アクティビティが続く:この場合、相関期間は 10 分です。ドライブバイ エクスプロイトの後すぐに偽アンチウイルス アクティビティが続くことが予想されるためです。
ドライブバイの後にコマンドとコントロール アクティビティが続く:この場合、相関期間は 4 時間です。コマンドとコントロールのチャネルが設定されるまでに時間がかかる場合があるためです。
ドライブバイの後にシンクホール アクティビティが続く:この場合、相関期間は 4 時間です。コマンドとコントロールのチャネルを介してシンクホールされた悪意のあるサーバに対するアクティビティが、設定されるまでに時間がかかる場合があるためです。
こうしたルールでは、ホスト 1 つのみで構成するキャンペーンを作成できます。
確認済みファイル ダウンロード
このルール グループでは、悪意のあるファイルがダウンロードされてホストでの実行が成功したキャンペーンを特定します。ダウンロードされたファイルのホストでの実行が成功したと見なされるのは、ダウンロード直後に、ファイル分析中に観測されたアクティビティと一致するアクティビティのネットワーク イベントがある場合です。
特にファイル分析では、分析中に観察されたアクティビティを分類するために、さらに 2 つの情報が提供されます。
- マルウェア情報
-
ファイルの動作が既知の脅威の動作と一致すると、マルウェア名が利用できるようになります。
- ネットワーク IoC 情報
-
分析中、サンプルでネットワーク署名または脅威インテリジェンスに一致するネットワーク トラフィックが生成されると、トラフィックのインジケータが表示されるようになります。つまり、悪意のあるレピュテーションとネットワーク署名の一致に関する情報が提供されます。
このルール グループは、ファイル分析から導出される情報のタイプに応じて、次の 2 つのケースでトリガされます。
マルウェアベースのケース
ファイルがホストにダウンロードされます。
ファイル分析では、特定の脅威(Emotet マルウェアなど)を、ダウンロードされたファイルに原因があるものとします。
その後、そのファイルをダウンロードしたホストで同じ脅威(つまり、Emotet)のネットワーク イベントが検出されます。
ネットワーク IoC ベースのケース
ファイルがホストにダウンロードされます。
ファイル分析により、ダウンロードされたファイルのネットワーク IoC が特定されます。
その後、そのファイルをダウンロードしたホストは、そのファイルについて抽出された悪意のあるレピュテーション IoC に含まれる IP アドレスまたはホスト名への接続を試みますが、このトラフィックがネットワーク署名と一致します。
NSX Network Detection and Response アプリケーションでは、この場合の相関期間を 3 日間と設定します。
このルールでは、ホスト 1 つのみで構成するキャンペーンを作成できます。
ラテラル ムーブメント
このルールのグループでは、攻撃者が一部のホストを侵害してから、他のホストを侵害するためにネットワーク内で横方向の移動を試みることによって、ネットワークで「上陸拠点」を確立したキャンペーンを特定します。
このグループは 2 つのルールで構成され、それぞれのルールでラテラル ムーブメント キャンペーンの別個のステップを検出します。
- 送信ラテラル ムーブメント
-
このルールでは、ホーム ネットワークのホストからの送信ラテラル ムーブメント アクティビティと、ラテラル ムーブメント検出前(ただし相関期間内)に発生したホストでの感染とを相関させます。
- 受信ラテラル ムーブメント
-
このルールでは、構成されたホーム ネットワークのホストに対する受信ラテラル ムーブメント アクティビティと、ラテラル ムーブメント検出後に同じホストで発生した最初の侵害(コマンドとコントロール、プロービング、認証情報ハーベスティング)の後によく観察されるアクティビティとを相関させます。
これらのルールは、ホーム ネットワーク内のホストについてのみトリガされます。つまり、キャンペーンが作成されるのは、ラテラル ムーブメント アクティビティの送信元ホストと宛先ホストの両方がホーム ネットワークに属している場合にのみです。ホーム ネットワークが構成されていない場合、システムではデフォルトで RFC1918 範囲が使用されます。
INFO イベントの昇格
NSX Network Detection and Response アプリケーションでは、保護されたネットワークで、アナリストにとって関心があると思われるがおそらく悪意はないいくつかのアクティビティを検出します。これらの検出により INFO イベントが生成されますが、これは「event outcome」フィルタの適切な値を設定することで表示できます。
NSX Network Detection and Response アプリケーションでは、相関目的では INFO イベントは考慮されません。
これらの検出での課題は、NSX Network Detection and Response アプリケーションによってアクティビティが検出されたネットワークに応じて、同じ INFO イベント アクティビティが通常な場合と非常に不審な場合があることです。たとえば、Remote Desktop Protocol (RDP) の使用は、このツールが正当な管理目的で使用される環境では通常ですが、そうでない場合は攻撃者が攻撃対象ホストをリモート制御しようとしている可能性を示すので非常に不審となります。
アノマリ検知ロジックでは、モニター対象ネットワークと、関与している特定の送信元ホストと宛先ホストで、特定の種類の INFO 検出が異常な場合の判断ができます。INFO 検出が異常と判断されると、イベントは「検出」モードに昇格し、結果として、通常イベントに表示されます。このシナリオは、ラテラル ムーブメントの相関ルールのコンテキストに関係します。ラテラル ムーブメント アクティビティが検出されると INFO イベントが作成されることが多いためです。
ホーム ネットワーク
ホーム ネットワーク構成は、キャンペーン相関ルールに次のような影響を及ぼします。
すべてのキャンペーン相関ルールで、ホーム ネットワーク外のホストで発生したイベントが無視される。
ホーム ネットワークが構成されていない場合、システムのデフォルトは RFC1918 範囲になる。
ホーム ネットワークは、
で構成します。ホスト無効化
ホスト無効化構成は、キャンペーン相関ルールに次のような影響を及ぼします。
ホスト無効化が構成されている場合、すべてのキャンペーン相関ルールで、無効化されているホストで発生したイベントを無視する。
ホスト無効化が構成されていない場合、イベントで検出されたすべての送信元ホストは、相関で有効と見なされる。
アクティビティがキャンペーンに含まれる必要のあるホストを、誤ってホスト無効化に含めないようにするには、ホスト無効化構成を確認する必要があります。
エビデンスについて
NSX Network Detection and Response アプリケーションでは、イベント、インシデント、またはキャンペーンの分析中に観察されたアクションについて報告します。
エビデンスには、次の情報が含まれています。
基本的な検出エビデンス:ネットワーク
- エビデンス タイプ REPUTATION
-
既知の脅威に関連付けられている IP アドレスまたはドメインへのネットワーク トラフィックが検出されたことを示します。
SUBJECT フィールドと IP アドレスまたはドメインが表示されます。たとえば、reputation: evil.com(参照イベント)、
6.6.6.6
(参照イベント)、bad.org(参照イベント)のようになります。このような不正なドメインや IP アドレスは、通常の場合ブロックされます。さらなるレピュテーション情報があれば表示されます。
IP アドレスには、場所(国フラグ)の注釈を付けることができます。
- エビデンス タイプ SIGNATURE
-
既知の脅威のネットワーク署名と一致するネットワーク トラフィックが検出されたことを示します。
一致した署名の名前/一意の識別子である Detector フィールドが表示されます。たとえば、
Detector: et:2014612
やDetector: llrules:1490720342088
です。 - エビデンス タイプ ANOMALY
-
SIGNATURE と似ていますが、アノマリである何かを検出したヒューリスティックに基づいて検出されるところが異なります。たとえば、
Anomaly: anomaly:download_smb
です。 - エビデンス タイプ FILE DOWNLOAD
-
悪意のあるファイルまたは不審なファイルがダウンロードされました。
分析の識別子 task_uuid(サンドボックス内のデトネーション)と、その分析のスコア severity が表示されます。たとえば、
File download: a7ed621
です。次に、参照イベントからの追加のオプション情報を示します。
ファイルのダウンロード元の URL
ファイル タイプ(通常は実行可能ファイル)
ファイル名
- エビデンス タイプ UNUSUAL_PORT
-
TCP ポートまたは UDP ポートが使用されており、これは通常と異なるポートであり、この特定の脅威で想定されることに対応していることを示します。
通常と異なるポートを使用したトラフィックに関与する IP アドレスまたはドメインが、SUBJECT フィールドに表示されます。
- エビデンス タイプ URL_PATH_MATCH
-
UNUSUAL_PORT と似ていますが、URL パスに基づいて検出されるところが異なります。たとえば、http://evil.com/evil/path?evil=threat の場合、検出をトリガするのは URL の
/evil/path
部分です。 - エビデンス タイプ DGA
-
DGA とは「Domain Generation Algorithm(ドメイン生成アルゴリズム)」の略で、何らかのマルウェアで使用されるアプローチを表します。コマンドとコントロールの少数のドメインを使用する代わりに、マルウェアには、毎日何千もの新しいランダム ドメインを生成するアルゴリズムが含まれます。その後に、それぞれに対し接続を試みます。ハッカーがマルウェアを制御するためには、これらのドメインのうち 1 個から数個を登録するだけです。このようなドメインを多く解決しようとすることにより、DGA の使用はネットワークで非常に見えやすくなっています。
DGA エビデンスは現在、DGA アルゴリズムからの複数の不正なドメインが解決されていることが検出される際に、通常の REPUTATION エビデンスとともに使用されます。
複数のイベントの相関によるエビデンス
- 複数のイベントの相関によるエビデンス
-
次のエビデンス タイプは、ホスト上の複数のネットワーク イベントを組み合わせることで、脅威が正しく検出されるという信頼性が高まる場合に作成されます。エビデンス タイプには、コンタクトしているのと同じ悪意のあるレピュテーション エントリや、トリガされている同じネットワーク署名などがあります。
こうしたケースごとに、脅威には次のようなタグが付けられる場合があります。
Repeated:特定の脅威が 3 回以上検出された。
Periodic:特定の脅威が定期的に発生していることも検出された。
対応する REPUTATION/SIGNATURE エビデンスにラベルが表示されます。
REPUTATION エビデンスの例では、繰り返されている定期的な bad.org のエビデンスが検出されると、REPEATED タグまたは PERIODIC タグが表示されます。
- エビデンス タイプ CONFIRMED_EXECUTION
-
これは、MALICIOUS FILE DOWNLOAD などの脅威に関連付けられます。ファイルをダウンロードしたホストからネットワークの動作が検出され、ダウンロードされたファイルが実際に実行されたことが確認されたことを意味します。
つまり、次のようなことです。
悪意のあるファイルがホスト
1.2.3.4
にダウンロードされた。サンドボックスで実行すると、このファイルから悪意のあるホスト evil.com にコンタクトした。
その後すぐに、ホスト
1.2.3.4
から evil.com へのコマンドとコントロールのトラフィックが観察され、悪意のあるファイルが実行されたことが確認された。
リンクされた参照イベントの参照先は、ファイルがダウンロードされた場所です。
さらなるエビデンスにより脅威が確認され、ファイルに関する次の情報などが提供されます。
タスク UUID
スコア
ファイル名
ダウンロード元 URL
- エビデンス タイプ CONFIRMED_C&C
-
CONFIRMED_EXECUTION と似ていますが、このエビデンスは、指定されている脅威のコマンドとコントロールの検出に追加されます。これは、ホストで以前にその脅威のファイルをダウンロードしたためです。
- エビデンス タイプ CONFIRMED_DRIVE_BY
-
これは、ドライブバイ攻撃が検出された後に攻撃が成功したことが何らかの形で示される状況で追加されます。次はその例です。
ホスト
1.2.3.4
がドライブバイ攻撃の攻撃対象になっていると見られる。その後すぐに、ホスト
1.2.3.4
では次のいずれかが行われた。悪意のあるファイルをダウンロードした
コマンドとコントロールのトラフィックを実行した
このエビデンスは、最初のドライブバイ イベントの参照イベントに追加されます。
- エビデンス タイプ DRIVEBY_CONFIRMATION
-
CONFIRMED_DRIVEBY エビデンスと似ていますが、このエビデンスは参照イベントとして、ドライブバイ攻撃の直後に発生した悪意のあるファイルのダウンロード、またはコマンドとコントロールの検出に追加されます。