このプレイブックでは、XDR インシデント検出を使用して、脆弱性とスキャンアクティビティに基づくストーリーを調査する方法を説明します。
このプレイブックは、スキャンアクティビティと脆弱性に関連する潜在的なセキュリティインシデントを調査するためのSOCセンターエンジニアのための体系的なアプローチを示します。 初期情報の収集、ネットワークトラフィックの分析、脅威の性質についての結論を導くためのフレームワークを提供します。
このプレイブックは、スキャンアクティビティと脆弱性を利用する攻撃においてネットワーク全体の異なるステージを特定するのに役立ちます。 これらの攻撃に一般的に関連する戦術のいくつかは次のとおりです:
-
偵察
-
初期アクセス
-
権限昇格
-
横方向移動
-
エクスフィルトレーション
XOpsエンジンは、特定の脅威の行動に一致するIPSの署名に基づいてスキャナーと脆弱性のストーリーを特定します。 ストーリーを引き起こした行動を理解することで、調査方法をより良く把握できます。 以下の表は、これらのタイプのストーリーの異なるIPS署名の形式を示し、署名に一致する潜在的に悪意のある行動を説明します。
このセクションでは、スキャンアクティビティまたは脆弱性の悪用の試みによって発生した攻撃を特定するための調査ワークフローを説明します。
ストーリー内の詳細ウィジェットを使用して、潜在的脅威に関する基本情報を収集します。 ストーリーの説明を確認します。 これにより、ストーリーを生成したロジックに基づいて調査を集中させることができます。 さらに、類似のストーリーセクションは、類似の指標と観測可能な事象を共有する他のストーリーを表示します。
追加のデータを確認し、さらなる調査が必要かどうかを決定するために、例えば以下をレビューしてください:
-
方向: これは調査プロセスに影響します。詳細については、ステップ3 - 方向に基づく調査を参照してください。
-
ソース/ターゲット: このタブには影響を受けたデバイスに関するデータが表示されます。
注意: 着信ストーリーの場合、ターゲットは影響を受けたホストを指し、ソースはCatoの外部に位置する調査対象オブジェクトを指します。 これは、Catoネットワークの一部として設定されていないデバイスやサイトまたは構成エラーによって引き起こされることがあります。
-
インディケーションカタログ: これはインディケーションのロジックを理解するのに役立ちます。
スキャナーストーリーでは、ストーリーをトリガーした署名と署名で示されたアプリケーションに基づいて、スキャナーの種類を識別できます。 これらは、NessusやQualysのような特定のタイプまたは一般的なサービス/アプリケーションとトラフィック量に関連付けられることがあります。
脆弱性ストーリーでは、イベントの参考資料を用いて脆弱性を理解し、関連するIOCに調査を集中させることができます。
イベント内の脅威参照フィールドは、National Vulnerability Databaseで脅威を検索するためのリンクを提供します。
ストーリーの方向が調査の次のステップに影響します:
調査のこの段階の目的は、外部の敵による情報収集/浸透の試みの可能性を特定し検証することです。
ソースのテーブルでは、特定されたソースを調査し、その潜在的な悪意のある意図を確認します:
-
リスク評価のためのテーブルパラメータの分析: 悪意のあるスコア、人気度、関連カテゴリ、およびソースに関連する脅威情報フィードの数などのパラメータを評価し、ソースが悪意である可能性を判断する。
-
外部検索のためのソースリンク利用:信頼できる第三者の検索エンジンやセキュリティデータベースでソースリンクを利用して外部検索を実施します。 ソースにリンクされた悪意のある行動の歴史的なコンテキスト、関連性、または指標を探します。 収集されたデータを相関させ、ソースと他のエンティティ間の接続を特定し、既知の脅威アクター、キャンペーン、または技術へのリンクがあるかどうかを判断しようとします。
-
攻撃関連のフロー/イベント: 指定されたテーブルを使用して、ストーリーに対応する未処理のデータフローサンプルを調査します。 フローからの補足データポイント、例えばURL、ユーザーエージェント、ファイル名、およびその他の関連属性を分析し、前の調査ステップの結果と比較して通信するソースの最終判定に関する洞察を得る。
ストーリー関連のイベントに基づいて脅威のタイプを理解した後、関連イベントに詳しく掘り下げてトラフィックに関する追加の洞察を得ることが重要です。 例えば:
-
トラフィックを確認し、署名の参照によるイベントのデータとの相関に基づいて真の陽性または偽の陽性に分類します。
-
脅威の範囲を理解する:
-
この通信が新しいものであるか、以前に確認されたものであるかを理解するために、通信するソースからの追加のトラフィックを確認します。
-
類似のトラフィック特性(アプリケーション、宛先ポート)を持つ追加のソースを確認します。
-
調査されたソースが通信した追加のターゲット/ホストを確認します。
-
イベント間の異なるURL、宛先ポート、リクエストメソッドなどの差異を確認します。
-
アクションフィールドに基づいてトラフィックがブロックされたかどうかを確認します。
-
結論
スキャナー調査では、NessusやNmap、Xmas、Ping Sweepなどの既知のスキャナーとスキャン方法の様々な分類があります。
-
Nessus
-
Nmap
-
Xmas
-
Ping Sweep
脆弱性調査では、SQLインジェクションやCross-Site Scripting Injection (XSS Injection)などの既知の脆弱性の分類があります。
-
SQLインジェクション
-
クロスサイトスクリプティングインジェクション (XSSインジェクション)
ストーリーの特定の脆弱性が分類リストに存在しない場合、新規をクリックして関連フィールドに入力することで、アカウントにローカルで追加できます。
ストーリーが真の陽性であり、ブロックされていない場合、調査されたソースをRPFポリシーブロックリストに追加することを強くおすすめします。 詳細については、アカウントのリモートポートフォワーディングの設定を参照してください。
ストーリーが偽陽性の場合、良性/情報提供として分類し、またスートストーリールールに追加できます。 (ストーリーが合法的なスキャン/浸透テストからのものである場合、特定の時間範囲でスートストーリールールに追加することが推奨されます。)
調査の目的は、データ漏洩、コマンド&コントロールトラフィック、ボットネット活動などの可能性のあるケースを特定し検証することです。
ターゲットのテーブルでは、特定されたターゲットを調査し、その潜在的な悪意のある意図を確認します:
-
リスク評価のためのテーブルパラメータの分析: 悪意のあるスコア、人気度、関連カテゴリ、およびターゲットに関連する脅威情報フィードの数などのパラメータを評価し、ターゲットが悪意である可能性を判断する。
-
外部検索のためのターゲットリンクの利用: 発信スキャン活動の場合、ターゲット調査は困難を伴う可能性があり、ほとんどの場合または全く認識されない通信されたターゲットのセキュリティエンジンが外部データを欠いているためです。
しかし、ターゲットにリンクされた悪意のある行動の歴史的なコンテキスト、関連性、または指標を使用して、可能な限り多くのコンテキストを見つけるために外部ソースを利用することが推奨されます。 収集されたデータを相関させ、ターゲットと他のエンティティ間の接続を特定し、既知の脅威アクター、キャンペーン、または技術へのリンクがあるかどうかを判断しようとします。
-
攻撃関連のフロー/イベント: 指定されたテーブルを使用して、ストーリーに対応する未処理のデータフローサンプルを調査します。 フローからの補足データポイントを分析し、宛先ポート、アプリケーション、URL、ユーザーエージェント、宛先国などの属性を比較し、事前調査の結果に対してこれらのパラメータを照らし合わせ、通信ターゲットに関する最終判決に関する洞察を得ます。
ストーリー関連イベントに基づく脅威の種類を理解した後、トラフィックに関する追加の洞察を得るために関連イベントに掘り下げることが重要です。 例えば:
-
イベントで見つかったデータと関連する署名の参照に基づいて、トラフィックを検証し、真の陽性または偽陽性と分類します。
-
脅威のスコープを理解する:
-
この通信が新しいものなのか、以前に確認済みであるかを理解するために通信するターゲットからの追加トラフィックを確認します。
-
同様のトラフィック特性を持つ追加のターゲットを確認します (アプリケーション、宛先ポート)。
-
調査されたターゲットによって通信された追加のターゲット/ホストを確認します。
-
異なるURL、異なる宛先ポート、リクエストメソッドなど、イベント間の違いを確認します。
-
アクションフィールドに基づいて、トラフィックがブロックされていたかを確認します。
結論
スキャナーの調査においては、既知のスキャナーおよびスキャニング方法の分類が複数あります。例えば:
-
ICMPスキャン
-
SYNスキャン
-
SMTPスキャン
脆弱性の調査においては、既知の脆弱性の分類が複数あります。例えば:
-
SQLインジェクション
-
クロスサイトスクリプティングインジェクション (XSSインジェクション)
ストーリーに見つかった特定の脆弱性が分類一覧に存在しない場合、新規をクリックして関連項目を入力することでローカルに追加できます。
ストーリーが真の陽性でブロックされなかった場合、調査されたターゲットをインターネットファイアウォールブロックルールに追加することを強く推奨します。 さらに、IPS署名が許可リストに登録されている場合は、ファイアウォールルールを利用してブロックするか、既知のターゲットのみが含まれるようIPS許可ルールを編集することを推奨します。
ストーリーが偽陽性の場合、良性/情報提供として分類し、ミュートされたストーリールールに追加することができます。 ストーリーが正当なスキャン/ペネトレーションテストから生じた場合、特定の期間範囲のためにミュートされたストーリールールに追加することを推奨します。
-
調査の目的は、エクスフィルトレーション、横方向移動、権限昇格などの可能性のあるケースを特定し、確認することです。
ターゲットテーブルは、通信したすべてのターゲットに対する可視性を提供できます。
テーブルを利用して、トリガーされたストーリーに対応する未処理のデータフローサンプルを検査します。 フローからの補足データポイントを分析し、URL、ユーザーエージェント、ファイル名、およびその他の関連属性を確認し、これらのパラメータを事前調査のステップの結果と照らし合わせ、通信ソースに関する最終判決を得ます。
ストーリー関連イベントに基づく脅威の種類を理解した後、トラフィックに関する追加の洞察を得るために関連イベントに掘り下げることが重要です。 例えば:
-
イベントで見つかったデータと関連する署名の参照に基づいて、トラフィックを検証し、真の陽性または偽陽性と分類します。
-
脅威のスコープを理解する:
-
この通信が新しいものなのか、以前に確認済みであるかを理解するために通信するソースからの追加トラフィックを確認します。
-
同様のトラフィック特性を持つ追加のソースを確認します (アプリケーション、宛先ポート)。
-
調査されたソースによって通信された追加のターゲット/ホストを確認します。
-
異なるURL、異なる宛先ポート、リクエストメソッドなど、イベント間の違いを確認します。
-
アクションフィールドに基づいて、トラフィックがブロックされていたかを確認します。
スキャナーの調査においては、既知のスキャナーおよびスキャニング方法の分類が複数あります。例えば:
-
Nessus
-
Nmap
-
Xmas
-
Ping Sweeps
脆弱性の調査においては、既知の脆弱性の分類が複数あります。例えば:
-
SQLインジェクション
-
クロスサイトスクリプティングインジェクション (XSSインジェクション)
ストーリーに見つかった特定の脆弱性が分類一覧に存在しない場合、新規をクリックして関連項目を入力することでローカルに追加できます。
ストーリーが真の陽性でブロックされなかった場合、調査されたターゲットをWANファイアウォールブロックルールに追加することを強く推奨します。 さらに、IPS署名が許可リストに登録されている場合は、ファイアウォールルールを利用してブロックするか、既知のターゲットのみが含まれるようIPS許可ルールを編集することを推奨します。
ストーリーが偽陽性の場合、良性/情報提供として分類し、ミュートされたストーリールールに追加することができます。 ストーリーが正当なスキャンまたはペネトレーションテストから生じた場合、特定の期間範囲のためにミュートされたストーリールールに追加することを推奨します。
-
0件のコメント
サインインしてコメントを残してください。