NSX Network Detection and Response では、キャンペーンの作成、更新、マージにいくつかの相関ルールが使用されます。
キャンペーン相関ルールは、MITRE ATT&CK フレームワークで説明されている戦術と手法に基づいています。これらのルールは、次のアクティビティに基づいてイベントを関連付けます。
| キャンペーン相関ルール | 説明 |
|---|---|
| データ抽出 | 抽出イベントは、同じワークロードで観察される感染タイプのイベント、つまり攻撃者に任意のアクションを実行する機能を提供する方法で侵害された可能性のあるワークロードを予期しないイベントが先行するワークロードに関連付けられます。 たとえば、コマンドとコマンド、またはドライブバイ イベントの後に、データを外部に送信することが知られているネットワーク イベントが続きます。 抽出の戦術の詳細については、MITRE ATT&CK → Tactics → Enterprise → Exfiltrationを参照してください。 |
| 感染したホストに対する影響の大きいイベント | 影響の大きい感染タイプのイベントは、ホストが感染している可能性があることを示唆するその他の最近のアクティビティを持つホストで発生した場合に相関性があります。 |
| 送信ラテラル ムーブメント | 相関は、前回受信したラテラル ムーブメント イベントまたは感染タイプのイベントが観測されたコンピュートからラテラル ムーブメント イベントが送信されたときに確立されます。 たとえば、コンピューティングのコマンドおよび制御イベントの後に、プライベート ネットワーク内の別のコンピューティングへの横方向の移動が続きます。 ラテラル ムーブメントの戦術の詳細については、MITRE ATT&CK → Tactics → Enterprise → Lateral Movementを参照してください。 |
| 受信ラテラル ムーブメント | 感染型イベントの後に続くラテラル ムーブメント イベントが関連付けられます。 たとえば、ワークロード A からワークロード B に向かって RDP アクティビティが検出され、その後のコマンドおよび制御アクティビティがワークロード B から発生することが確認されます。 ラテラル ムーブメントの戦術の詳細については、MITRE ATT&CK → Tactics → Enterprise → Lateral Movementを参照してください。 |
| ドライブバイがコマンドとコントロール イベントによって確認される | 相関は、ドライブバイ感染イベントの後にコマンドおよび制御イベントが続く場合に確立されます。 たとえば、ワークロードが悪意のある Web サイトにアクセスし、ドライブバイ イベントが生成された後、同じワークロードでコマンドと制御イベントが発生します。 ドライブバイの方法の詳細については、MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise を参照してください。 |
| ドライブバイが悪意のあるファイル イベントによって確認される | 相関は、ドライブバイ感染イベントの後に、ドライブバイ試行の成功とクライアントの感染を確認する悪意のあるファイル転送が続く場合に確立されます。 ドライブバイの方法の詳細については、MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise を参照してください。 |
| IDS コマンドおよび制御ウェーブ ルール | 同じ脅威を共有する IDS コマンドと制御イベントの相関が確立されます。 たとえば、複数のホストがすべて特定のコマンドの IDS ネットワーク イベントを作成し、短時間で脅威を制御します。 コマンドと制御の戦術の詳細については、MITRE ATT&CK → Tactics → Enterprise → Lateral Movementを参照してください。 |
| 悪意のあるファイル ウェーブ | 相関は、同じファイル ハッシュを共有する悪意のあるファイル イベントに対して確立されます。 たとえば、複数のホストが短時間で同じランサムウェアをダウンロードする場合です。 |
| ワークロードで同じ脅威 | 同じワークロードでの同じ脅威の検出は相関付けられます。このルールに基づいて、検出は既存のキャンペーンにのみ含まれます。 |
| ワークロード上の複数のアノマリ イベント | 同じワークロードでの複数のアノマリ イベントの検出は相関付けられます。このルールに基づいて、重要度が低い検出の組み合わせがエスカレーションされます。 |
