昨年購入していた「脅威インテリジェンスの教科書」ですが、再度必要に駆られて「脅威ハンティング」の章を読み直してみました。
脅威ハンティングの章ではありますが、日々のSIEMを使った攻撃検知方法の整理としても有用ではないかと感じた為、ここに記しておきます。(文中に記載のマトリックスは本教科書を読んで独自にまとめたものです。)
リンク
SIEMを利用したログ分析への考察
SIEM では、集めてきたログを分析して通常とは異なる状況(アノマリ)が発生した場合にアラートを発生させます。これは脅威ハンティングと共通するものがあると思います。
上記教科書では、脅威ハンティングにおけるアノマリ分析の種類としては、技術的な異常である「技術的アノマリ」と、技術的には問題ないが文脈(業務の内容や時間帯など)的に異常である「文脈的アノマリ」があるとしています。
そこで SIEM によるアラート検知でもこの考え方を元に整理してみました。
また、それぞれのアノマリ状態をSIEMで見つける方法としては、「ベースライン分析」「インテリジェンス分析」「頻度分析」「タイミング分析」などがあると考えています。(なお、上記教科書の中では、明に「インテリジェンス分析」とは書かれていませんので著者の意図とは異なるかもしれません。)
| 種別 | 分析方法 | 分析の具体例 |
| 技術的アノマリ | ベースライン分析 | 導入済のセキュリティ機器で防御できていない攻撃手法(TTPs)の検知(*1)(ただし、ログやアラートはSIEMに存在する前提) |
| ベースライン分析 | 正当なアプリケーションになりすました逸脱の検知 | |
| ベースライン分析 | アカウント名が命名規則にしたがっていないものの検知 | |
| ベースライン分析 | 引数やURL自体に暗号化された文字列が仕込まれた通信(*2) | |
| インテリジェンス分析 | 悪意のある活動を示す痕跡(IoC)が含まれているものを検知(IoCを一般化する方法もあり) | |
| 文脈的アノマリ | ベースライン分析 | 通常のユーザ活動から逸脱(異なる部門間での端末間でのPsExec(*3)を使った通信など)しているアカウントの検知 |
| 頻度分析 | 通常アクセスしない国への接続検知(頻度が少ないものを検知) | |
| 頻度分析 | 普段実行されないプロセス(ファイルパス含む)の検知(頻度が少ないものを検知) | |
| 頻度分析 | 同一ドメインへの大量のDNSクエリなど(頻度が多いものを検知) | |
| タイミング分析 | 認証、外部への通信など普段業務を行っていない時間帯に実施された行動の検知 | |
| ベースライン分析 | プロセスの停止、ログ削除、ファイル削除の検知 |
*1 : 数が多い為、優先順位としてはBlue Teamが注目すべき優先度の高い検知ポイント等を優先とする
*2 : 暗号化文字列かどうかをどう判断するかが課題
*3 : SysinternalsのPsToolsに含まれるユーティリティ
なお、頻度分析は、LOTL/LoLBaS攻撃にも有効とのことです。
また、本書を読むまで、UEBA は SIEMと同じ位置づけ(日々アラートを出すので)だと考えていましたが、脅威ハンティングツールとしても利用可能と理解しました。(というか UEBA をそちらの位置づけで考えた方が、個人的にはすっきりしました。)
改めて本書を読み直し、セキュリティ関係者が読むべき良書と感じました。
コメントを残す