XOps セキュリティプレイブック - イベント異常

このプレイブックは、ストーリー ワークベンチを使用して、イベント異常プロデューサーによって検出された異常な動作に関連するストーリーを調査する方法を説明します。

イベント異常を分析するためのストーリーワークベンチの使用についての詳細は、使用状況およびイベント異常のXOps UEBAストーリー分析を参照してください。

概要

このプレイブックは、異常な動作に関連する潜在的なセキュリティインシデントを調査するためのSOCエンジニア向けの体系的なアプローチを概説します。 脅威の性質について結論を導くための初期情報の収集、ネットワーク トラフィックの分析、および結論を導くフレームワークを提供します。

短期間で多くのイベントが発生する場合や、これまでに観察されたことのないイベントまたはアプリケーションが発生した場合に適用されます。 両方の兆候は同じ基本的な行動分析モデルから生じており、以下のワークフローはそれらを共同でカバーし、追加のコンテキストの収集が必要な場合を指摘します。

探すべきもの

イベント異常ストーリーは、異常なトラフィック パターンを生成する脅威や、セキュリティ脅威をもたらす可能性があるネットワークの誤設定を特定するのに役立ちます。 これらのタイプの潜在的な脅威の例は以下の通りです。

異常なトラフィックパターンに関連する脅威活動:

  • データ流出の試み

  • ネットワーク内のラテラルムーブメント

  • 悪意のある感染の試み

セキュリティリスクを引き起こす可能性があるネットワークの誤設定

  • ポリシー違反 - 例: 無許可のアクセス試行、予期せぬデータ転送、または確立されたセキュリティコントロールをバイパスする接続

  • オープンポートとプロトコルの誤使用 - 特定のポートやプロトコルに関連する異常なトラフィックのスパイクは、これらの設定がベストプラクティスに沿っていないことを示し、誤設定を示唆する可能性があります

  • ネットワーク分割の失敗 - 誤設定されたネットワーク分割により、不正アクセスやセグメント間の移動が可能になり、異常として検出される可能性があります

ステップ 1 - 脅威に関する初期情報の収集

ストーリー内の詳細ウィジェットを使用して、潜在的な脅威に関する基本情報を収集し、さらなる調査が必要かどうかの初期評価を行います。 これらの主要なフィールドを確認してください。

  • 説明 - 異常のタイプ(特定のアプリケーション、エンジン、動作を含む)を理解し、特定のサイトまたはユーザーに焦点が当たっているかどうかを確認します。

  • トレイン期間 - 異常に対してベースライン データを収集している時間を示します。 長いトレイン期間は確立されたベースラインを示し、短い場合はデータが限られていることを示す可能性があります。

  • ソースタブ - トラフィックを生成したサイトまたはユーザーを一覧表示します。 スコープがサイト全体の場合、複数のホストが関与することを予想してください。

ヒント: 異常がサイトに影響を与える場合、単一のソース ホストを特定するのが難しく、異常が複数のホストにまたがる可能性があります。

source.png

ステップ 2 - 異常イベントの起源の分析

異常の分布

異常の分布グラフは、異常ストーリーを引き起こしたイベントを生成したファイアウォールルール、IPSシグネチャ、またはアンチマルウェアルールを特定するのに役立ちます。 複数のルールが関与している場合、イベントの最大スパイクを引き起こしたものに優先順位を付けます。

イベントベースの異常ストーリーは、Catoのログソース、ファイアウォール、IPS、DNS保護、CASB、DLP、アプリケーションセキュリティ、NGAMなどから発生することがあり、したがって、攻撃経路と調査アプローチを特定のイベントタイプに合わせて調整する必要があります。

異常の正確なタイムスタンプに注目してください。 これは、調査の後の手順で関連するイベントを分析するために重要です。

Scanner_Playbook_-_Anomaly_Distribution.png

ステップ 3 - 追加のウィジェットを確認

追加のコンテキストのためにこれらのウィジェットを確認します。 ウィジェットは、異常に関与するトップ アプリケーション、サーバー、ホスト、およびターゲットを示します。 データは、異常ストーリーに至る14日間の期間にわたって集計されます。

  • トップアプリケーション - 最も多くのイベント数を示すアプリケーションを表示します。

    Events_Anomaly_Playbook_-_Top_Apps.png

  • トップサーバー/宛先 - 最もアクセスされたサーバーまたはネットワークを表示します。

    Events_Anomaly_Playbook_-_Top_Servers.png

  • トップホスト - トラフィックを生成するトップのソースIPアドレスを表示します。

  • ターゲット - 異常なトラフィックの対象宛先を表示します。

注: これらのウィジェットは高レベルの概要を提供し、異常の正確な原因を示すわけではありません。 例えば、ウィジェットは異常がTORトラフィックを含んでいることを示していますが、特定の宛先IPはありません。 これは、単一の悪意のあるターゲットではなく、より広範なTOR活動を示す可能性があります。

ステップ 4 - 関連するストーリーの分析

この手順では、同じ動作またはそれが観察されたホスト/サイトに関連する追加の検出を特定することで、貴重なコンテキストを提供します。 同様のストーリーを確認することで、ネットワーク内の他のホストが同じ検出を引き起こしたかどうかを判断し、環境に影響を与えるより広範な現象を明らかにする可能性があります。

image-20250710-122158.png

ステップ 5 - アプリケーション分析およびイベントの調査

個々のイベントを分析することが調査の最も重要なステップです。 これにより、異常をより深く掘り下げて根本原因を理解できます。

関連するイベントを確認して、ストーリーに関連するデータを相関させます。 特定のソースIP、ドメイン、およびアプリケーションなどの再現する要素を探して調査を集中させます。 例えば、異常がTORトラフィックによって引き起こされた場合、特定のソースIPやドメインが繰り返し活動している場合、そのエンティティをさらに調査します。

イベント異常ストーリーに関連するイベントを分析するための例の手順は次のとおりです。 イベントページのフィルタリングと操作についての詳細は、ネットワークでのイベントの分析を参照してください。

  1. ストーリーページで「すべて表示」をクリックして、ストーリーに関連するイベントであらかじめフィルタされたイベントページを表示します。

    Events_Anomaly_Playbook_-_View_All.png

  2. イベントページで、時間範囲フィルターを構成するか、マウスを使用してイベント数の異常が明確に示される時間範囲を選択します。

    Events_Anomaly_Playbook_-_time_range.png

  3. イベントページに関連するフィールドを追加します。 これにより、異常に関与するイベントのより良い視点が提供されます。 以下の例では、これらのイベントフィールドがページに追加されました: シグネチャID, アプリケーション, ドメイン名, ソースIP

    追加されたフィールドを確認し、異常の原因を特定しようとします。 この例では、追加されたイベントフィールドは、異常の原因が特定のドメインであることを明確に示しています。

    Events_Anomaly_Playbook_-_Add_Fields.png

  4. 追加されたフィールドを確認し、異常の原因を特定しようとします。 繰り返し出現する要素を探します:

    • 繰り返し発生するソースIP / ユーザー

    • 複数のイベントを跨いだ同じドメインまたは宛先

    • 見知らぬアプリケーションまたは国の突然の出現。

    トラフィックを組織のトラフィックと比較します:

    • 他のユーザーは同様のトラフィックパターンを持っていますか?

    • 怪しい行動が初めて発生した場合、それは組織内で一般的なものですか? この行動は組織内の他のホストでも引き起こされましたか?

  5. この例の次のステップでは、ウィジェットとイベントに基づいてTorネットワークが最も使用されるアプリケーションであり、イベントのスパイクがあった2つの主要なIPSの脅威があると特定した後、特定のアプリケーションと脅威の名前に対してフィルタが追加されます。

    Events_Anomaly_Playbook_-_More_filters.png

    追加されたフィルタは、この異常なトラフィックが特定のソースIPアドレスに関連していることを明らかにします。

  6. 次にさらなる調査ステップを実行できます:

    1. この活動に関連するデバイス名またはユーザー名を確認します。

    2. ターゲットを調査し、それが悪意のある活動に関連しているかどうかを確認します。

    3. 同じサイトやネットワーク内の他のユーザーに対して、同じ特性を持つトラフィックを調査し、より広いコンテキストを得ます。

ファイル共有 vs SMB 異常

XOpsエンジンは、ファイル転送イベントを一つの傘下にまとめていますが、クラウドファイル共有アプリ(例: Dropbox、SharePoint、S3)とSMBベースのファイルアクセスは異なる調査データを公開します。

  • クラウドアプリケーション – イベントにはアプリケーションとボリュームのみが表示され、オブジェクトレベルの詳細はクラウドプラットフォーム自体にあります

  • SMBトラフィック – イベントにはファイル名とパスなどの詳細なメタデータが含まれており、より深い鑑識レビューが可能です。

調査のヒントとユースケース

  • サイトベースの異常では、特定のホストや宛先がなく、サイト全体にわたる広範な現象として異常が示される場合があるかもしれません。

  • 異常を引き起こしたアプリケーションが、異常なイベントを生成しているトップ5アプリケーションの一つではない場合があるかもしれません。

  • 異常が脅威インテリジェンス(レピュテーション)IPSイベントに基づいている場合があります。 このような場合、調査はよりターゲットに焦点を当てる必要があり、次のプレイブックを使用する必要があります: XOps セキュリティプレイブック - 疑わしいターゲット通信

  • 特定の異常がセキュリティ脅威をもたらすかどうかわからない場合、そのトラフィックが過去に同じサイトまたは異なるサイトで発生したかどうかを観察してみてください。 これにより、異常が単に新しいデバイスによるものであるかどうかを特定するのに役立ちます。

調査からの結論

イベント異常ストーリーにおける関連する結論の例は次のとおりです。

  • 異常なトラフィック

  • ブロックされたファイル異常

  • ブロックされたIPSトラフィック異常

  • {app name}アプリケーションを使用した流出試行

  • 悪意のあるターゲットトラフィック異常

推奨アクション

  1. フルエンドポイント保護スキャン(アンチウイルス、EPP、EDRなどを含む)を実施し、感染したコンピュータから不明なプログラムやブラウザ拡張機能を削除します。

    • 削除プロセスが徹底的に行われ、関連するすべてのコンポーネントが特定され削除されるようにしてください。

  2. 特定のホストまたはユーザーが異常の原因であることを特定した場合、さらなる潜在的な損害やデータ流出を防ぐために、直ちにネットワークから隔離してください。

  3. 必要に応じて、より制限的なセキュリティポリシーのためのルールを更新または作成してください。特に、アプリケーションまたは許可されるべきではないトラフィックによって異常が引き起こされた場合。

  4. ストーリーが偽陽性の場合、これは良性/情報的と分類でき、ミュート ストーリールールに追加することもできます。 ストーリーが正当なスキャンまたはペネトレーションテストの結果である場合、指定の時間範囲でミュート ストーリールールに追加することをお勧めします。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント