侵入防御システム (IPS) で疑わしい活動を監視 (SAM)

この記事では、ネットワーク上の潜在的な脅威に対する意識を高めるために、侵入防御システム (IPS) サービスとともに疑わしい活動の監視 (SAM) 機能の使用方法を説明します。

SAMサービスの概要

CatoのSAM機能は、標準のIPS署名では監視されていないネットワーク上の疑わしい活動に可視性を提供するため、IPSサービスを拡張します。 このタイプのトラフィックは、ネットワーク上で注意を要する行動を示し、文脈によっては妥協や侵害を指すかもしれません。 しかし、トラフィックが明確に悪意のあるものではないため、SAMはトラフィックをブロックせずに監視のみを行います。 SAMが提供する潜在的な脅威に対するより広範な視点は、攻撃のすべてのフェーズを特定し、将来の類似した攻撃ベクトルに対する検出および防御のための準備をより良くするのに役立ちます。

You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.

SAMとは何ですか?

Catoのセキュリティ研究チームは、疑わしいと思われる異常な行動パターンに対して特定の署名を作成します。 SAMサービスは、これらの署名に一致するトラフィックを検出し、SOCセンターのチームが脅威の追跡と調査を行うために分析するイベントとデータを生成します。 SAMイベントは、悪意のある侵入防御システム (IPS) イベントと正当である可能性のある異常なトラフィックを区別するために、疑わしい活動 サブタイプでラベル付けされています。

SAMはあなたのアカウントのすべてのWAN、インバウンド、アウトバウンドのトラフィックを監視します。侵入防御システム (IPS) 保護範囲 設定はSAMに影響を与えません。

これらはSAMイベントを生成するシナリオの例です:

  • アウトバウンドHTTPプロトコルトラフィックのシステム情報の引き渡し

  • 非標準HTTPプロトコルポートを使用した人気度の低い宛先へのHTTPプロトコルリクエスト

  • プログラム的なHTTPプロトコルクライアントによるバイナリまたは実行ファイルのダウンロード

  • 実行可能ファイルをWAN経由でセンシティブなフォルダへ転送すること

SAMリスクレベルの理解

SAMの機能はイベントを異なるリスクレベルに分類します:、および。 Catoはいくつかの要因の分析に基づいてリスクレベルを計算します。例えば:

  • Cato Cloud全体のトラフィックにおけるアクティビティの普及率。 普及率が低いほど、そのアクティビティが悪意のあるものである可能性が高まります

  • アクティビティに関連するMITRE ATT&CK®技術

リスクレベルはトラフィックを評価し、攻撃の一部である可能性が最も高いイベントに分析を集中させるのに役立ちます。 さらに、高リスクのSAMイベントは自動的にXDRストーリーを生成し、これはXDR インシデント検出で調査できます。

前提条件

  • SAMはIPS ライセンスに含まれています。 IPS ライセンスの購入について詳しくは、担当のCato代表者にお問い合わせください。

  • SAMを有効にする前に、IPS ポリシーを有効にする必要があります。

注意

注: ネットワークに最大限の保護を提供するために、侵入防御システム (IPS) サービスとSAMの強化を利用できるよう、TLSインスペクションを有効にすることをお勧めします。

SAMのユースケースの理解

SAMから最大の利益を得るために、ネットワークの定期的なセキュリティ手順の一部としてSAMイベントのレビューを組み込むことを推奨します。 例えば、以下のユースケースでSAMイベントのレビューを実施できます:

  • 潜在的な攻撃を検出および防止するために高リスクのSAMイベントを定期的にレビューする

  • 確認された攻撃の後、フォレンジック調査の一環として広い文脈を提供するためSAMイベントを分析する

SAMで疑わしい活動をレビューする

Catoは、SAMによって検出された疑わしい活動を発見し調査するためのいくつかの方法を提供します。 これらの異なるリソースを組み合わせて使用することで、ネットワーク上の疑わしい活動に対する徹底的な可視性を得て、コンテキストを構築できます。 これらのリソースには以下が含まれます:

  • XDR インシデント検出 - Stories WorkbenchでSAMイベントがXDRストーリーの基礎として使用されます。 ワークベンチでストーリーをレビューすることで、攻撃の一部である可能性のある疑わしい活動に警戒することができます。 For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.

    SAM_Stories_Dashboard.png

  • 脅威ダッシュボード - ダッシュボードを絞り込み、SAMイベントに集中してSAMイベントデータを確認します。 See below Viewing SAM Data in the Threats Dashboard

    SAM_Threat_Dashboard.png

  • MITRE ATT&CK ダッシュボード - ダッシュボードを設定して、SAM イベントを含む IPS モニターイベントのデータを表示します。 See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard

    SAM_MITRE_Dashboard.png

  • Events page - Filter the page to show SAM events (subtype: Suspicious Activity). デフォルトでは、不審な活動 プリセットフィルターを選択すると、ページには主に高リスクのSAMイベントが表示されます。 特定のSAMイベントに焦点を当てるために、興味のある送信元または宛先を持つイベントなどのフィルターを追加できます。 For more about SAM events, see below Reviewing SAM Events.

脅威ダッシュボード、MITRE ATT&CK ダッシュボード、XDRインシデント検出を使うと、イベントページで詳細を掘り下げてレビューすることができます。

SAMの使用

このセクションでは、SAMサービスを設定する方法について説明します。

Suspicous_Activity_Tab.png

SAMの有効化と無効化

デフォルトでは、SAMはあなたのアカウントで有効になっています。 IPSページの不審な活動 タブで、この設定を変更できます。

アカウントのSAMを有効化または無効化するには:

  1. ナビゲーションメニューから、セキュリティ > IPS をクリックします。

  2. 不審な活動 タブを選択します。

  3. アカウントの疑わしい活動の監視を有効化または無効にするにはクリックします。

  4. 保存をクリックしてください。

脅威ダッシュボードでのSAMデータの表示

脅威ダッシュボードページでは、ネットワーク内の疑わしい活動を分析できます。 IPS セクションでウィジェットを設定し、不審な活動を表示して、ダッシュボードをフィルターし特定のSAM脅威の種類、関連するホストおよびユーザーのデータを表示できます。 イベントページで、事前に脅威の種類、ホスト、ユーザーでフィルタリングしたSAMイベントも表示できます。

For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.

脅威ダッシュボードでの疑わしい活動データの表示:

  1. ナビゲーションメニューからセキュリティ > セキュリティ脅威ダッシュボードを選択します。

  2. IPS セクションで、イベントタイプ ドロップダウンメニューから、不審な活動 を選択します。

    ウィジェットにSAMデータが表示されるようになりました。

MITRE ATT&CK® ダッシュボードでのSAMデータの分析

MITRE ATT&CK®ダッシュボードでは、MITRE ATT&CK®の戦術と技術のフレームワークを使用して不審な活動を分析することができます。 IPSモニターイベントを含むSAMイベントのデータを表示するようにダッシュボードを設定できます。 For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.

疑わしい活動のトラフィックのホワイトリスト化

特定のトラフィックのイベントログを停止したい場合は、IPS許可リストページでそのトラフィックを許可リストに追加することができます。 疑わしい活動トラフィックを許可リストに加えるには、モニタリングを停止したいトラフィックのシグネチャーIDを使用してIPS許可リストルールを作成します。 イベントページでイベントのシグネチャーIDをクリックして、疑わしいトラフィックを許可リストに追加することもできます。 For more information, see Allowlisting IPS Signatures.

SAMイベントのレビュー

ホーム > イベントでセキュリティイベントを確認し、SAMによって検出された不審な行動や潜在的な脅威を見つけることができます。 これらのイベントはサブタイプ不審な活動でラベル付けされており、IPSサブタイプで生成される高リスクイベントと区別できます。

関連するイベントを表示するために、プリセット選択ドロップダウンメニューから不審な活動プリセットフィルタを選択できます。 デフォルトでは、このプリセットを選択するとページがフィルタリングされ、高リスクのSAMイベントが表示されます。 すべてのSAMイベントを表示するには、リスクレベルは高フィルターを削除します。

The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.

これは、高リスクのSAMイベントの分析例です:

SAM_Event_update.png

  • 脅威名は、このイベントで何が起こったかを基本的に説明します - PsExecを使用して実行ファイルが横方向移動しました

  • Mitre Attack TacticsMitre Attack Subtechniquesフィールドは、リモートサービスを使用した実行と、SMB経由でADMIN$共有フォルダへの横方向移動を示します

  • 送信元と宛先の詳細を示すフィールドは、関与しているネットワークホストを特定するのに役立ちます。 この情報を使用して、以下のことができます:

    • イベントの送信元ホストがPsExecを使用するために必要な特権を持っていることを確認します

    • イベントに関連付けられたエンドユーザーが検出されたアクションを実行する可能性があることを確認します

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント