ノイズからシグナルを捉える

時間との勝負
アナリストにはごくわずかな時間しか与えられません。

人もマシンも、大量のデータを限界まで取り込んでいます。企業がサイバー攻撃を受けた場合、その収束までに平均して6時間から1週間かかっています。自動化、ヒューマン マシン チーミング、そしてその他の高度な分析など、アナリストはさまざまな技術を活用できますが、問題は何にフォーカスすべきかということです。

インシデント対応を担当するSOCアナリストとして、インシデント調査でもっとも重要なシグナルを捉えることができるか、あなたのスキルをテストしてみてください。回答時間も計測されます。

はじめに

状況

「無料」WiFiホットスポットの利用中にコーポレート ネットワーク ユーザーの認証情報が盗まれ、ネットワークに侵入されました。

ストーリー

犯罪集団に認証情報が渡り、企業ネットワークへの侵入、破壊、情報の外部流出などの被害にあう危険があり、会社の信用が落ちて株価に悪影響が及ぶ可能性があります。

レベル1セキュリティアナリストは多くのセキュリティ アラートに対処しなければならず、どれが本当の脅威なのか優先順位を決定する際に困難に直面します。以下は、アナリストが朝出勤したときによく目にするアラートです。

意思決定ポイント

ネットワーク認証情報盗難の可能性があるというアラームを受け取った場合、セキュリティ インシデント ダッシュボードでまず何を確認すべきでしょうか?

  • Total Events (イベントの合計)
  • Total Correlated Events (相関イベントの合計)
  • Average Severity – Correlated Events (相関イベントの平均重要度)
  • Event Distribution (イベントの分布)
  • Source IPs (ソースIP)
  • Destination IPs (送信先IPアドレス )
  • Events (イベント)

正解は Average Severity – Correlated Events「相関イベントの平均重要度」です。危険度が最も高いとされるものを見つける必要があるからです。その他のインジケーターはすべてノイズです。

アラームのあとの初期調査の次のステップでは、McAfee Enterprise Security Managerで不審な地域からの Geo Login Events(ログイン イベント ビュー)を使って、複数の地域からの異常ログオンを確認します。  同時にServiceNow Security Operationsソリューションでチケットを作成して、このセキュリティ インシデント対応をトラッキングします。

この調査の初期ステップを完了したところ、Jason Watersさんのアカウントが短期間に3か国から不正ログオンされていることがわかりました。

セキュリティ アナリストは、これらの不審なアクティビティをさらに調査する必要があるでしょうか?

  • はい、調査が必要です
  • いいえ、これはただのノイズです。

正解は「はい」です。3か国からの短期間のログオンは非常に不審なアクティビティです。

セキュリティ侵害にあったアカウントのIPアドレスを調査したところ、ネットワークに侵入するために、 Microsoft Powershell インジェクションを使用したファイルレス マルウェア攻撃が検知されていたことがわかりました。

意思決定ポイント

インシデント対応として、この次に行うべき最適なアクションを2つ選んでください。

  • コーポレート ネットワークのすべてのエンドポイントをシャットダウンする
  • 組織内に侵攻されているか、また被害にあったマシンにPowerShell インジェクションでマルウェア ファイルが埋め込まれていないかを継続して調査する
  • インバウンドのファイアウォールルールを変更して、外部からのコーポレート ネットワークへのアクセスを閉じる
  • すべての登録国から新しい接続発生時に検知する相関ルールを作成する
  • 侵害されたアカウントからのアクセスを無効にする
0

PowerShell インジェクションでは組織内に侵攻される可能性が非常に高くなります。そしてもちろん、侵害されたアカウントを無効にする必要があります。

同時に詳細調査の一環として、セキュリティ アナリストはMcAfee Investigatorでプロセスとの関連をさらに調査し、現在受けている攻撃の内部侵攻の可能性を確認します。

McAfee Investigator を使用した調査についての動画をまだご覧になっていない場合、本ページ下部にある「ビデオを再生する」ボタンで動画を再生してください。その後、次の画面に進んでください。

同時に詳細調査の一環として、セキュリティ アナリストはMcAfee Investigatorでプロセスとの関連をさらに調査し、現在受けている攻撃の内部侵攻の可能性を確認します。

意思決定ポイント

インシデント対応の一部として次に推奨されるアクションを3つ選んでください。

  • この新しいアラートとその他の関連セキュリティ イベントを対応中のオープンインシデントに追加する
  • 不明なファイルが悪意あるものかどうかをファイル ハッシュ値から判断する
  • 不明なファイルは悪意あるか、McAfee Advanced Threat Defense(サンドボックス)でファイル分析しリスク状況を判断する
  • 悪意あるものだと判明した場合に備え、さらに被害が広まらないようにファイル ハッシュを変更する
  • McAfee Advanced Threat Defense(サンドボックス)で、これまでに他に悪意ある不明なファイルの類似分析履歴が無いか確認する
0

このインシデントの関連情報を継続して収集する必要があるので、Aが正しいアクションです。またAdvanced Threat Defenseでファイルの振る舞い分析が必要なので、Cも正解です。また最近、Advanced Threat Defenseの振る舞い分析で類似のファイルを検知していないか確認しプロアクティブに対処する必要があります。A、C、そしてEはすべて、推奨されるアクションです

PowerShell実行時に不審なファイルによるリスクの高い振る舞いが無いかMcAfee Advanced Threat Defenseで確認します。

サンドボックス詳細調査で、このファイルが悪意あるものだということがわかりました。

意思決定ポイント

このステップの次に推奨されるアクションを選んでください。

  • McAfee Enterprise Security Managerでこのハッシュ ファイルをブラックリストに登録し、早期発見できるようにする
  • すべてのエンドポイントで、アクセス保護とエクスプロイト防止のデフォルト ポリシーを変更し、未承認のPowerShellの実行を防ぐ
  • 今後のモニタリングのため、侵入時に検知されたソースIPをMcAfee Enterprise Security Managerのウォッチリストに追加する
  • 上記すべて
  • 上記のどれでもない

ハッシュをブラックリストに登録すること、未承認のPowerShellの実行を防ぐためにエンドポイント ポリシーを変更すること、SIEMウォッチリストにソースIPを追加することは、すべて推奨されるアクションです。

McAfee ePolicy Orchestrator(管理システム)とMcAfee Endpoint Security (エンドポイント対策)を使用して、すべてのエンドポイントで、アクセス保護とエクスプロイト防止のデフォルト ポリシーを変更して未承認のPowerShellの実行を防ぎます。

結果

判定項目

  • 回答にかかった時間 :
  • 正答率 :

2017年のPonemonのデータ侵害コスト調査では、侵害検知にかかる平均時間 (MTTI)は214日で、収束にかかる平均時間 (MTTC) は77日だと報告されています。セキュリティ侵害が検知されないと、日々コストがかさんでいきます。いくらでしょうか?

データ侵害1件あたり100万ドルくらいでしょうか?Ponemonは、MTTIを100日以下、MTTCを30日以下に減らすことで節約できる平均金額が100万ドルだと報告しています。

またマカフィーは、トレーニングを受けたインシデント対応チームがMcAfee Enterprise Security Manager、McAfee Investigator、McAfee Advanced Threat Defense、McAfee ePolicy Orchestrator、McAfee Active Response及びMcAfee Dynamic Endpointを使用することで以下のコスト削減ができると推定しています。

インシデント調査時間短縮:
年間44,000ドル
システム停止低減:
年間47,000ドル
ログ相関のスタッフ管理削減:
年間84,000ドル
年間総削減額:
年間175,000ドル

* McAfee の技術の機能や効果はシステム構成によって異なり、ハードウェア、ソフトウェア及びサービスの利用が必要になることがあります。デモでは、特定のシステム上の特定のテストでのコンポーネントのパフォーマンスを示しています。ハードウェア、ソフトウェア、または構成によって実際のパフォーマンスは異なります。ご購入にあたっては他のパフォーマンス情報もご確認ください。ご説明したコスト及び時間削減のシナリオでは、これらの McAfee 製品が特定の環境及び構成で、将来のコストにどう影響を与え、また時間とコストをどう削減できる可能性があるかという例をお見せすることを目的としています。状況及び結果は異なることがあります。 McAfee はコスト削減を保証するものではありません。どのようなシステムでも完全に安全になることはありません。

価値管理分析

  • 御社の特定の環境に合わせた分析を行いませんか?
  • 御社の環境に合わせた分析を行うことで、有益な検討作業を行うことができます。ここに連絡先情報を入力してください。分析の準備を行うため、McAfee の担当者がご連絡を差し上げます。
次へ
McAfee について | ニュースルーム | 採用情報 | ブログ | お問い合わせ | 法的通知

Copyright © McAfee, LLC