- 2018/01/17
- セキュリティ
スレットハンティングを実施するときに必要な8つのステップとは?
Post by : FRED O'CONNOR
従来の事後対応型の検知方法とは異なり、ハンティングは事前対応型のアプローチです。ハンティングを使用すれば、セキュリティの専門家はセキュリティアラートを受け取った後、あるいは、情報漏えい後に措置を講じるということはなくなります。ハンティングは、すでに環境内に侵入している敵を探します。
ハンティングにより、環境内の望ましくないアクティビティを見つけられるようになり、この情報を使用してセキュリティ体制を強化することができます。これらはセキュリティチームの観点で発見されており、攻撃側の観点ではありません。セキュリティチームは、アラートを受信した後で調査を開始するのではなく、データ漏えいが検知された後の混乱の中ではない、むしろ環境が平穏なときに脅威をハンティングできます。
セキュリティの専門家による脅威ハンティングを容易にするために、ここでは、ハンティングの実行方法について手順を説明します。
1. 社内か外注か
脅威ハンティングの実施を決定した場合、まず最初に、社内のセキュリティチームで実施するか、外部の脅威ハンティングサービスプロバイダーに委託するかを決定する必要があります。企業の中には、脅威ハンティングを指揮できる熟練したセキュリティ担当者がいる場合もあります。適切に実行するには、実施期間中、セキュリティ担当者がハンティングの作業に専念できる必要があり、この作業だけに集中できるように担当者を配備しなければなりません。
セキュリティチームにハンティングに必要な時間とリソースが不足している場合は、この作業のために外部のハンティングチームを雇うことを検討する必要があります。
2. 適切な計画から始める
内部チームと外部ベンダーのどちらを使用する場合でも、ハンティングの実施を成功させるには最善の結果を得るハンティングの適切な実施方法を計画する必要があります。ハンティングをその場しのぎのアクティビティとした場合、実効性のある成果を得ることはできません。適切に計画すれば、ハンティングが企業の日常作業の妨げになることはありません。
3. 調査するトピックの選択
次に、セキュリティチームは調査するセキュリティのトピックを検討する必要があります。目的は、その環境で特定の活動が起こっていることを承認するか、否定することですです。例えば、セキュリティチームは、ファイルレスのマルウェアなどのツールなどによる、企業の現在のセキュリティ設定を逃れる先進の脅威のターゲットになっているかどうかを確認したいと思っています。
4. 仮説を立ててテスト
アナリストはハンティングに期待する効果の明確化によって、仮説を立てます。ファイルレスマルウェアの例では、ハンティングの目標は、PowerShellやWMIなどのツールを使用して攻撃するハッカーを見つけることです。
環境内で個々のPowerShellプロセスを収集すると、アナリストはそのデータに圧倒され、有意義な情報を見つけるのが困難になります。そこで、すべてのイベントを個々に検証することなく、仮説をテストするための賢明なアプローチの開発が求められます。
例えば、アナリストは、一部のデスクトップおよびサーバー管理者だけが、日常業務にPowerShellを使用していることを承知しているとします。スクリプト言語は企業全体で幅広く使用されているわけではないので、ハンティングを実行するアナリストは、限られたPowerShellの使用の監視だけを行うことができます。PowerShellの大量使用は、悪意のあるアクティビティを示している可能性があります。ハンティングの仮説をテストするアプローチの1つとして、潜在的な悪意のあるアクティビティの指標としてPowerShellの使用レベルを測定することも考えられます。
5. 情報の収集
PowerShellの動作を確認するには、ネットワークログと、データベースログ、サーバーログまたはWindowsイベントログにあるエンドポイントデータを確認することで得られるネットワーク情報が必要になります。
特定の環境でPowerShellの使用がどのように見えるかを理解するために、アナリストはプロセス名、コマンドラインファイル、DNSクエリ、宛先IPアドレス、およびデジタル署名などのデータを収集します。この情報を使用して、ハンティングチームは異なるデータタイプ間の関係図を作成し、関連性を見つけることができます。
6. データの体系化
データの収集が終了したら、アナリストはこの情報の体系化と分析に使用するツールを決定する必要があります。選択肢としては、SIEMのレポートツール、分析ツールの購入、またはExcelを使用してピボットテーブルを作成し、データをソートする方法があります。体系化したデータを使用して、アナリストは環境内のトレンドを識別できなければなりません。企業のPowerShellの使用を検証する例では、イベントログをCSVファイルに変換し、それをエンドポイント分析ツールにアップロードすることができます。
7. 日常業務の自動化
自動化をめぐる議論では、セキュリティアナリストが興味を示さなくなる場合があります。しかし、一部の作業の自動化は、ハンティングチームの成功の鍵になります。それには、アナリストが自動化したいいくつかの繰り返しタスクと、自動化されたツールでよりよく検索及び分析されるクエリがあります。
自動化により、アナリストは蓄積した大量のネットワークおよびエンドポイントのデータを照会するという煩わしい手作業から解放されます。例えば、アナリストはDGA(ドメイン生成アルゴリズム)を使用してC&C通信(コマンドおよび制御通信)を隠すツールの検索を自動化することを検討するかもしれません。アナリストが手動でDNSログを探り、データスタックを構築できるとしても、このプロセスには多くの時間を要し、エラーになることも少なくありません。
8. 質問の答えを出し、行動計画を立てる
アナリストは、これまでに仮説を立証できる十分な情報を集め、環境で何が起こっていて、どう対応すべきかが分かっています。漏えいが検知された場合、インシデント対応チームが引き継ぎ、問題を対処することになります。脆弱性が見つかった場合は、セキュリティチームが解決することになります。
PowerShellの例の続きとして、悪意のあるPowerShellアクティビティが検知されたと仮定しましょう。インシデント対応チーム、セキュリティチーム、またはIT管理者にアラートを出すだけでなく、Windowsにグループポリシーオブジェクトを設定し、PowerShellスクリプトが実行されるのを阻止する必要があります。
脅威ハンティング(スレット・ハンティング)に関するレポート2017
多くの組織は、脅威ハンティング(スレット・ハンティング)が現代のSOC(Security Operations Center)の進化における次のステップであることを認識しています。
SOCにおける脅威の管理状況をより深く理解するために、私たちは330人以上のサイバーセキュリティとITのプロフェッショナルにオンライン調査を行いました。
調査レポートはこちらからダウンロードできます。
https://www.cybereason.co.jp/product-documents/survey-report/1966/
