このプレイブックでは、フィッシングウェブサイトを使用した攻撃のストーリーを調査するために、ストーリーズワークベンチの使用方法を説明します。
このプレイブックでは、SOC エンジニアがフィッシング攻撃に使用されるウェブサイトに関連する潜在的なセキュリティインシデントを調査するための体系的なアプローチを示します。 これにより、初期情報の収集、ネットワークトラフィックの分析、脅威の性質についての結論を導き出すためのフレームワークを提供します。
ストーリー内の詳細ウィジェットを使用して、潜在的な脅威に関する基本情報を収集します。 ストーリーの説明やその他のデータを見直し、さらなる調査が必要かどうかを判断します。 さらに、類似ストーリーセクションには、類似のインディケーターと観測可能なデータを共有する他のストーリーが表示されます。
AI サマリーを生成をクリックして、ストーリーを素早く評価するための豊かなコンテキストを提供する自然言語のストーリー説明を取得します。
ソースウィジェットを使用して、この攻撃によって影響を受けたデバイスに関するデータを見直します。
また、インディケーションカタログを使用して追加情報(指標IDなど)を取得し、クエリに基づいて調査を集中させることができます。
攻撃分布グラフを使用すると、トラフィックの性質、ボット行動に似た定期的な攻撃、一度きりの発生、その他の特性を理解するのに役立ちます。
フィッシング攻撃の場合、トラフィック分布は通常、少量のフローまたは一度きりの発生から成り、そのグラフは次のようになります:
潜在的なフィッシング攻撃を適切に調査するためには、攻撃が検出された段階を最初に特定することが重要です。 Cato のセキュリティサービスは次の異なる段階でフィッシング攻撃を検出します:
-
アクセス遮断 - Cato は閲覧先をフィッシングサイトと識別し、サイトへのアクセスを遮断します。
-
資格情報提出の遮断 - ユーザーがフィッシングサイトにアクセスしてそのサイトがブラウザに表示されると、Cato はユーザーの資格情報入力を遮断できます。
-
ポストコンプロマイズ検出 - 疑わしいアクティビティ監視 (SAM) サービスは、ユーザーがリスクのあるサイトで資格情報を提出した際にイベントを作成し、管理者に潜在的な侵害を警告します。
ターゲットアクションウィジェットを使用してストーリーに関連するイベントを確認し、フィッシングの試みがどの段階で検出されたか、そして遮断されたかどうかを判断します。 脅威名フィールドは攻撃がどの段階で検出されたかを示す可能性があります。
これは、フィッシングサイトでの資格情報提出の IPS ブロックが表示されるイベントの例です:
潜在的な攻撃が検出された段階を特定した後、その段階での検出に基づいて以下に示す調査ステップに従ってください。
このセクションでは、遮断されたウェブサイトがフィッシングサイトであることを検証するためのアプローチを説明します。 この調査の一部は主にターゲットに焦点を当てています。
ターゲットセクションでは、識別されたターゲットを調べて、その潜在的な意図とターゲットが悪意的である可能性を評価することができます:
-
Cato の悪意スコアを評価する
-
Cato の人気度を調べる
-
関連するCatoカテゴリを考慮する
-
ターゲットにリンクされた脅威インテリジェンスフィードの数を確認する
フィッシング攻撃の特に重要な指標は、ドメインの作成日です。 日付が最近であれば、そのサイトが悪意のあるものである可能性が高くなります。
外部ソースを検索するためのターゲットリンクの使用
現時点で、このストーリーで捕捉された活動を十分に把握しているはずです。ターゲットリンクは、歴史的なコンテキストや悪意のある行動の兆候を確認するために、信頼できる外部ソースでの検索を支援します。 他のエンティティとの関連性を特定し、既知の脅威アクター、キャンペーン、または技術への可能なリンクを明らかにします。
攻撃関連フローセクションを使用して、ストーリーに関連する未処理のデータフローを調べます。
これらのフローから補足的なデータポイント(URL、ユーザーエージェント、ファイル名、その他の関連属性)を分析し、以前の調査ステップの結果と比較して潜在的な相関関係を明らかにします。
-
被害者に確認し、攻撃がスピアフィッシング試行であり、特に彼らを狙ったものであるかどうか(プライベートな名前、個人情報などを使用)を確認します。
そうでない場合、他の従業員が同じフィッシングキャンペーンの被害者でないことを確認してください。
-
フィッシング試行の発信元がメールベースであり、ユーザーに知られている場合、組織のメールプラットフォームを使用して報告し、発信元のアドレスを遮断することで攻撃を軽減します。
-
フィッシング試行の発信元が不明な場合、フルエンドポイントプロテクションスキャン(アンチウイルス、EPP、EDR など)を実施し、感染したマシンから未知のプログラムやブラウザ拡張機能を削除します。
このセクションでは、フィッシングサイトに資格情報を提出しようとした試行があったことを検証するアプローチを説明します。 この調査の一部は主に検出されたターゲットとURLに焦点を当てています。
ターゲットセクションでは、識別されたターゲットを調べて、その潜在的な意図とターゲットが悪意的である可能性を評価することができます:
-
Cato の悪意スコアを評価する
-
Cato の人気度を調べる
-
関連するCatoカテゴリを考慮する
-
ターゲットにリンクされた脅威インテリジェンスフィードの数を確認する
フィッシング攻撃の特に重要な指標は、ドメインの作成日です。 日付が最近であれば、そのサイトが悪意のあるものである可能性が高くなります。
外部ソースを検索するためのターゲットリンクの使用
現時点で、このストーリーで捕捉された活動を十分に把握しているはずです。ターゲットリンクは、歴史的なコンテキストや悪意のある行動の兆候を確認するために、信頼できる外部ソースでの検索を支援します。 他のエンティティとの関連性を特定し、既知の脅威アクター、キャンペーン、または技術への可能なリンクを明らかにします。
リファラーの特定
フィッシング攻撃では、最初に通信するターゲットは通常、悪意のあるサイト自体ではなく、リファラーサイト、つまり悪意のあるサイトへのリンクが含まれているサイトです。 リファラーサイトは、攻撃関連フローセクションのリファラー列に表示されます。
ドメイン検索を使用したリファラーのチェック
リファラーを特定した後、ドメインルックアップを使用してドメインを調査できます。 低い人気度と高い悪意スコアは、悪意のあるドメインを示しています。
攻撃関連フローセクションを使用して、ストーリーに関連する未処理のデータフローを調べます。
これらのフローから補足的なデータポイント(URL、ユーザーエージェント、ファイル名、その他の関連属性)を分析し、以前の調査ステップの結果と比較して潜在的な相関関係を明らかにします。
URLを調査する際には、それに敏感なデータが含まれているかどうかを確認することが重要です(多くの場合、URLはエンコードされており、含まれているデータにアクセスするためにはデコードが必要です)。 検出されたトラフィックに関する洞察を得るために、外部ツールを使用して類似のURLパターンを確認することもお勧めします。
注意: 調査を行う際には、怪しいフィッシング関連サイトにアクセスしないことをお勧めします。
-
重要なデータが漏洩した場合、関連するサービスのパスワードを変更し、全てのサービスからの強制ログアウトを検討してください。
-
悪意のあるファイルがダウンロードされて実行されないように確認してください。
-
被害者に確認し、攻撃がスピアフィッシング試行であり、特に彼らを狙ったものであるかどうか(プライベートな名前、個人情報などを使用)を確認します。
そうでない場合、他の従業員が同じフィッシングキャンペーンの被害者でないことを確認してください。
-
フィッシング試行の発信元がメールベースであり、ユーザーに知られている場合、組織のメールプラットフォームを使用して報告し、発信元のアドレスを遮断することで攻撃を軽減します。
-
フィッシング試行の発信元が不明な場合、フルエンドポイントプロテクションスキャン(アンチウイルス、EPP、EDR など)を実施し、感染したマシンから未知のプログラムやブラウザ拡張機能を削除します。
このセクションでは、フィッシングサイトに資格情報を提出したことを検証するためのアプローチを説明します。 この調査の一部は主に検出されたターゲットとリファラー(悪意のあるサイトへのリンクを含むサイト)に焦点を当てています。
ターゲットセクションでは、識別されたターゲットを調べて、その潜在的な意図とターゲットが悪意的である可能性を評価することができます:
-
Cato の悪意スコアを評価する
-
Cato の人気度を調べる
-
関連するCatoカテゴリを考慮する
-
ターゲットにリンクされた脅威インテリジェンスフィードの数を確認する
フィッシング攻撃の特に重要な指標は、ドメインの作成日です。 日付が最近であれば、そのサイトが悪意のあるものである可能性が高くなります。
外部ソースを検索するためのターゲットリンクの使用
現時点で、このストーリーで捕捉された活動を十分に把握しているはずです。ターゲットリンクは、歴史的なコンテキストや悪意のある行動の兆候を確認するために、信頼できる外部ソースでの検索を支援します。 他のエンティティとの関連性を特定し、既知の脅威アクター、キャンペーン、または技術への可能なリンクを明らかにします。
リファラーの特定
フィッシング攻撃では、最初に通信するターゲットは通常、悪意のあるサイト自体ではなく、リファラーサイト、つまり悪意のあるサイトへのリンクが含まれているサイトです。 リファラーサイトは、攻撃関連フローセクションのリファラー列に表示されます。
ドメイン検索を使用したリファラーのチェック
リファラーを識別した後、ドメインルックアップを使用してドメインを調査できます。 低人気度と高悪意あるスコアは悪意のあるドメインを示します。
攻撃関連フローセクションを使用して、ストーリーに関連する未処理のデータフローを検査します。
これらのフローから補足データポイントを分析し、URL、ユーザーエージェント、ファイル名、およびその他の関連属性を含め、以前の調査ステップの結果と比較して潜在的な相関関係を明らかにします。
URLを調査する際には、それが機密データを含んでいるかどうかを確認することが重要です(多くの場合、URLはエンコードされており、含まれているすべてのデータにアクセスするためにはデコードが必要です)。 検出されたトラフィックのさらなる洞察を得るために、外部ツールで類似のURLパターンを確認することもお勧めします。
注意: 調査を行う際には、フィッシング関連の疑わしいサイトへのアクセスを避けることをお勧めします。
-
機密データが漏洩した場合、関連するサービスのパスワードを変更し、すべてのサービスからの強制ログオフを考慮してください。
-
悪意あるファイルがダウンロードおよび実行されていないことを確認してください。
-
攻撃がスピアフィッシングの試みであり、個人的な名前、個人情報などを使用して特定のターゲットに向けられたものであったかどうかを被害者に確認してください。
そうでない場合、他の従業員が同じフィッシングキャンペーンの被害者ではないことを確認してください。
-
フィッシングの試みの発信元がメールベースでユーザーに知られている場合は、組織のメールプラットフォームを使用して発信元アドレスを報告しブロックすることで攻撃を軽減します。
-
フィッシングの試みの発信元が不明な場合、全体的なエンドポイント保護スキャン(アンチウイルス、EPP、EDRなど)を実施し、感染したマシンから不明なプログラムやブラウザ拡張機能を削除します。
-
識別されたトラフィックがブロックされていない場合、ターゲットをブロックするインターネットファイアウォールルールを作成します。
0件のコメント
サインインしてコメントを残してください。