メインコンテンツまでスキップ
Sumo Logic Japanese

Threat Intel の FAQ

Sumo Logic と CrowdStrike の統合とは?

Sumo Logic は、顧客が潜在的な脅威と侵入の痕跡のログを分析できるようにしてセキュリティ製品を拡張してきました。Sumo Logic は、CrowdStrike と連携することで、クエリを介してログ データと相関させることができる最新の脅威インテリジェン データベースを維持しています。Sumo Logic と CrowdStrike の統合は、次の 2 つのパートに分かれています。

  • Sumo Logic が CrowdStrike の脅威データベースの最新のコピーを維持する。
  • Sumo ユーザが各自のログの脅威分析クエリで (新しい lookup operator を介して) CrowdStrike データベースを使用できるようになる。

CrowdStrike の脅威フィードの更新頻度は?

データベースは 1 日に 1 回更新されます。多層キャッシュが実装されていて、クエリごとにマスター データベースに戻らないため、パフォーマンスが向上します。

Sumo Logic からすべての脅威をエクスポートできますか?

いいえ。Threat Intel フィードは CrowdStrike の社外秘であるためエクスポートできません。ただし、各自のログのルックアップは脅威データベース全体に対して照合されます。Threat Lookup operator を介してログ データ (IP、ドメイン、メールなど) の特定の脅威とデータベースを照合したときに返されるデータのみが表示されます。

連続クエリ (CQ) を使用した脅威ルックアップはリアルタイムですか?

はい。lookup operator を使用して、悪意のある痕跡 (IOC) をリアル タイムにスキャンできます。

脅威についてログを履歴検索できますか?

はい。Sumo Logic プラットフォームを使用すれば、まだ保持されている検索可能な任意のログ データを検索できます。ただし、パフォーマンス上の理由から、時間範囲や Source Category に基づいて履歴検索をより管理しやすい小さなチャンクに分割することをお勧めします。

ダッシュボードに結果が表示されない場合、何か間違っているのでしょうか?

いいえ。ダッシュボードに結果が表示されない場合、CrowdStrike で何も脅威、検証済み、未検証として識別されなかったことを意味します。

存在することがわかっているハッシュ IOC について脅威フィードを検索しましたが、見つかりませんでした。なぜですか?

大文字と小文字の区別の問題の可能性があります。Sumo では、等号記号 (=) や非等号記号 (!=) の条件の大文字と小文字は区別されます。Sumo operator と共にこれらを使用する場合、条件が適用される文字列を大文字または小文字に変換することが必要になる可能性があります。詳細については、「同等条件での toLowerCase または toUpperCase の使用」を参照してください。 

使用可能な侵入の痕跡 (IOC) の各種タイプは?

CrowdStrike の以下の IOC タイプを使用できます。

  • ip_address
  • domain
  • url
  • email_address
  • event_name
  • x509_subject
  • ip_address_block
  • x509_serial
  • binary_string
  • service_name
  • user_agent
  • bitcoin_address
  • file_path
  • registry
  • username
  • file_name
  • password
  • campaign_id
  • mutex_name
  • hash_md5
  • hash_sha1
  • hash_sha256

各種 IOC タイプのサンプルを提示してください。

IOC タイプ

IOC

SHA256

6c1bce76f4d2358656132b6b1d471571820688ccdbaca0d86d0ca082b9390536

SHA256

b101cd29e18a515753409ae86ce68a4cedbe0d640d385eb24b9bbb69cf8186ae

IP アドレス

84.112.91.96

IP アドレス

158.69.196.112

ファイル

updater.exe

ファイル

0.exe

URL

http://tycahatit.ru/zapoy/gate.php

URL

http://ningwitjohnno.ru/zapoy/gate.php

Domain (ドメイン)

9jdco01e.ru

Domain (ドメイン)

ningwitjohnno.ru

メール

sherigerber@mail.ru

メール

nosiwdcd5@outlook.com

ハッシュ MD5

9da2a54e98ddb9a0adb4ace3dda4d8e0

ハッシュ MD5

832efb3fce4b1e16d610d5856f1401bb

IOC や脅威の有効期限はありますか?

IP アドレスなどの IOC は休眠状態に入り、別の脅威の一部として再度現れる可能性があるため、IOC や脅威はシステムに残ることが多いです。最終有効日付は、labels > Last_valid_on で確認できます。悪意の確信度は、最近のアクティビティに応じて経時的に下落または上昇することがあります。

VirusTotal (または他のサードパーティ脅威フィード) で見つかった IOC が、CrowdStrike では Sumo Logic ルックアップを使用して見つけることができません。

CrowdStrike の脅威評価では、品質と量のバランスをとることに重点を置いています。この作業を行う専用のインテリジェンス チームがあります。サードパーティ フィードの脅威は、CrowdStrike インテリジェンス評価チームによって拒否されると、CrowdStrike の脅威に表示されない可能性があります。

ネットワークで脅威が見つかりましたが、どうすればよいですか (脅威に関するより詳細なコンテキストをどのように取得すればよいですか)?

次のステップは、クエリから未処理の JSON フィールドを確認することです。JSON オブジェクトの ip_address_types、labels、relations、malware_families などのフィールドにより、脅威に関するより詳細なコンテキスト情報がわかります。

{ 
"indicator": "104.198.196.36",
 "type": "ip_address",
 "last_updated": 1476946769,
 "published_date": 1476946767,
 malicious_confidence": "unverified",
 "reports": [],
 "actors": [],
 "malware_families": [ ],
 "kill_chains": [],
 "domain_types": [],
 "ip_address_types": [
   "SSHScanner"
 ],
 "relations": [],
 "labels": [
   {
     "name": "ThreatType/Suspicious",
     "created_on": 1476946768,
     "last_valid_on": 1476946768
   },
   {
     "name": "IPAddressType/SSHScanner",
     "created_on": 1476946768,
     "last_valid_on": 1476946768
   }
 ]
}

インターネットでは既知の脅威に関するデータをすぐに入手できることが多いため、ユーザはマルウェア ファミリやその他の情報を使用してインターネットを検索し、その詳細を確認できます。また、より確実な情報が必要な場合、ユーザは CrowdStrike に直接問い合わせたり、個々のレポートを購入したり、より詳細なレポートが含まれる CrowdStrike Premium にアップグレードすることを検討したりできます。

アクターとは?

脅威は、ロケーションに基づいてアクター別にグループ化されます。一部の脅威は、民族国家アクターに関連付けられています。たとえば、「Panda」は、中華人民共和国に関連付けられているすべての民族国家アクティビティの総称です。民族国家に基づいていない脅威は、ロケーションではなく目的で分類されます。たとえば、シリア電子軍などの活動家グループは「Jackal」として分類され、目的と動機の両方を表します。以下は、Crowdstrike が脅威の分類に使用する匿名システムです。

  • 民族国家に基づく脅威
    • Panda = 中国
    • Bear = ロシア
    • Kitten = イラン
    • Tiger = インド
    • Chollima (神話のペガサス) = 北朝鮮
  • 民族国家以外の脅威
    • Jackal = 活動家グループ
    • Spider = 犯罪グループ

https://www.crowdstrike.com/blog/meet-the-adversaries/

unverified の悪意の確信度とは?

痕跡の約 20% が検証されていません。このような検証されていない脅威は、実際の脅威である可能性もありますが、CrowdStrike チームが信頼度レベルを割り当てることができなかったため、unverified の状態のままになっています。

通常、unverified は既知の不正な敵対者 (Deep Panda など) に関連付けられている IP アドレスで、そのキャンペーンのある時点で使用された IP です。言うまでもなく、IP は動的です。Deep Panda がある時点で IP 201.22.52.32 を利用しても、その IP を不正または脅威としてマークする必要があるという意味にはならないので、unverified のラベルが付けられます。これは、実用的な情報ではなく参考情報です。CrowdStrike は、これらの IP の信頼性を確認するより優れた方法を検討していますが、現時点では unverified となっています。CrowdStrike は、これらの IP のいずれかで悪意のあるアクティビティが確認されるまでは、何もしないことを推奨しています。この状態が更新されると、CrowdStrike によって「最終更新」のタイムスタンプが変更されて、新しい状態が表示されます。その間、ユーザはこれらを分析の候補として扱う必要があります。

CrowdStrike は、最も高い優先度で開始して、その優先度を徐々に減らしていくことを推奨しています。

Threat Intel クイック分析アプリケーションは何を実行しますか?

このアプリケーションは、すべての Sumo ログをスキャンし、(正規表現を使用して) IP/メール/URL/ドメイン/ファイル名のフィールドを parse して、CrowdStrike の脅威フィードと比較します。これは、parse されたフィールドと脅威テーブル間の内部結合と考えてください。

IP、ドメイン、URL、メール、ファイル名などのフィールドはすでに parse されています。各ログ行を再度 parse せずに、これらをこのアプリケーションで使用できますか?

はい。アプリケーションでクエリをカスタマイズできます。

例:

_sourceCategory= */*/FIREWALL or _sourceCategory=*/*/LB or _sourceCategory=*/*/ROUTER or _sourceCategory=*/*/WINDOWS or _sourceCategory=*/*/SERVER
| where Your_IP != "0.0.0.0" and Your_IP != "127.0.0.1"
| lookup type, actor, raw, threatlevel as malicious_confidence from sumo://threat/cs on threat=Your_IP
| where  type="ip_address" and !isNull(malicious_confidence)
| if (isEmpty(actor), "Unassigned", actor) as Actor
| count by Actor

このアプリケーションですべてのログ (*) を使用するのと、ログのサブセットを使用するのは、どちらがお勧めですか?

(*) を使用すれば、取り込まれた脅威のログをすべてスキャンできますが、ログのボリュームによっては検索クエリおよびアプリケーションのパフォーマンスに影響する可能性があります。

最適なパフォーマンスを得るには、ログのサブセットを使用してください。例:

_sourceCategory= */*/FIREWALL or _sourceCategory=*/*/LB or _sourceCategory=*/*/ROUTER or _sourceCategory=*/*/WINDOWS or _sourceCategory=*/*/SERVER

ルックアップ サービスで不要な結果が表示されます。どうすればよいですか?

  • フィルタを使用して、できる限り不要な情報を削除します (たとえば、タブルを lookup operator に渡す前に NOT 句を使用します)。
  • 未処理のフィールドの「labels」セクションを使用して、必要な結果を保持したり、不要な結果を削除したりします。たとえば、IP 関連のラベル「TorProxy」または「njRAT」は不要な情報である可能性があるため、次のようにクエリをカスタマイズして除外できます。
| parse regex "(?\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
| where ip_address != "0.0.0.0" and ip_address != "127.0.0.1"
| lookup type, actor, raw, threatlevel as malicious_confidence from sumo://threat/cs on threat=ip_address
| json field=raw "labels[*].name" as label_name
| replace(label_name, "\\/","->") as label_name
| replace(label_name, "\""," ") as label_name
| where type="ip_address" and !isNull(malicious_confidence)
| where !(label_name matches "*TorProxy*")
| if (isEmpty(actor), "Unassigned", actor) as Actor
| count by ip_address, malicious_confidence, Actor,  _source, label_name
| sort by _count

Threat Intel アプリケーションは、開始点としては適していますが、各ユーザはクエリをカスタマイズして、各自の特定の用途に合わせてアプリケーションを強化する必要があります。

脅威ルックアップ サービスで Scheduled Search を使用できますか? 可能な場合、どのような実行頻度 (時間) を使用できますか?

はい。リアル タイムまたは必要に応じてより長い間隔の実行頻度で Scheduled Search をセットアップできます。

独自の脅威フィードを Sumo Logic に取り込むことができますか?

現時点では、アプリケーションとしてこの機能を使用することはできません。共有ファイルを使用して、独自のルックアップを作成できます。

不正な IP (悪意のレベル = high) を検出した場合、どうすればよいですか?

クエリを更新してポートをチェックしたり、悪意のあるポートとして識別されているかどうかを確認したりして不正な IP トリガをさらに調査できます。

未処理の JSON オブジェクトの各種フィールドを説明ください。

indicator

タイプ: 文字列

Description (説明): 照会された痕跡。

タイプ 

タイプ: 文字列

Description (説明): 痕跡のタイプ。

値:

  • binary_string
  • compile_time
  • device_name
  • domain
  • email_address
  • email_subject
  • event_name
  • file_mapping
  • file_name
  • file_path
  • hash_ion
  • hash_md5
  • hash_sha1
  • hash_sha256
  • ip_address
  • ip_address_block mutex_name
  • password
  • persona_name phone_number
  • port
  • registry
  • semaphore_name service_name
  • url
  • user_agent
  • username
  • x509_serial
  • x509_subject

report

タイプ: 文字列

Description (説明): 痕跡が関連付けられているレポート ID (CSIT-XXXX や CSIR-XXXX など)。レポートのリストは、JSON データ構造の labels リストの下にも表示されます。

actor

タイプ: 文字列

Description (説明): 痕跡が関連付けられている名前付きアクター (panda、bear、spider など)。アクターのリストは、JSON データ構造の labels リストの下にも表示されます。 

malicious_confidence

タイプ: 文字列

Description (説明):  悪意のある痕跡とみなされる信頼度レベルを示します。たとえば、悪意のあるファイル ハッシュの値は常に high になりますが、ドメインや IP アドレスの場合は経時的に変化する可能性が非常に高くなります。悪意の確信度レベルは、JSON データ構造の labels リストの下にも表示されます。

値: 

  • high — 痕跡が IP またはドメインの場合、過去 60 日以内の悪意のあるアクティビティと関連付けられています。
  • medium — 痕跡が IP またはドメインの場合、過去 60 ~ 120 日以内の悪意のあるアクティビティと関連付けられています。
  • low — 痕跡が IP またはドメインの場合、過去 120 日を超える悪意のあるアクティビティと関連付けられています。
  • unverified — この痕跡は、Crowdstrike のインテリジェンス アナリストまたは自動システムによって検証されていません。

published_date

タイプ: 標準 Unix 時間 (UTC) のタイムスタンプ。

Description (説明): これは、痕跡が最初に公開された日付です。

last_updated

タイプ: 標準 Unix 時間 (UTC) のタイムスタンプ。

Description (説明): これは、CrowdStrike 内部データベースで痕跡が最後に更新された日付です。

malware_family

タイプ: 文字列

Description (説明): 痕跡が関連付けられているマルウェア ファミリを示します。痕跡は、複数のマルウェア ファミリに関連付けられる可能性があります。マルウェア ファミリのリストは、JSON データ構造の labels リストの下にも表示されます。

kill_chain

タイプ: 文字列

Description (説明): 痕跡が関連付けられているキル チェーンのポイント。キル チェーンのリストは、JSON データ構造の labels リストの下にも表示されます。

値:  

  • reconnaissance — この痕跡は悪意のあるアクターによるターゲットの調査、識別、選択に関連付けられています。
  • weaponization — この痕跡は、悪意のあるアクターが悪意のあるコンテンツを作成できるように支援することに関連付けられています。
  • delivery — この痕跡は、エクスプロイトまたは悪意のあるペイロードに関連付けられています。
  • exploitation — この痕跡は、ターゲット システムまたは環境のエクスプロイトに関連付けられています。
  • installation — この痕跡は、ターゲット環境に存続できるようにするためのリモート アクセス ツールや他のツールによるターゲット システムのインストールまたは感染に関連付けられています。
  • c2 (指揮統制) — この痕跡は、悪意のあるアクターの指揮統制に関連付けられています。
  • actionOnObjectives — この痕跡は、悪意のあるアクターが求める効果と目標に関連付けられています。

ラベル

タイプ: 文字列

Description (説明):  Intel の痕跡の API は、labels リストを介して痕跡に関する追加のコンテキストを提供します。これらの一部のラベル (「malicious_confidence」など) は、最上位のデータ構造を介してアクセスできます。すべてのラベル (関連付けられているタイムスタンプを含む) は、labels リストを介してアクセスできます。URL 文字列は次のようになります。

https://intelapi.crowdstrike.com/indicator/v1/search/labels?equal=DomainType/DynamicDNS

IOC タイプ
DomainType
  • DomainType/ActorControlled — このドメインは、依然として悪意のあるアクターの制御下にあるとみなされています。
  • DomainType/DGA — ドメインは、ドメイン生成アルゴリズムを利用するマルウェアによるものです。
  • DomainType/DynamicDNS — ドメインは、動的 DNS サービスによって所有または使用されています。
  • DomainType/DynamicDNS/Afraid — ドメインは、Afraid.org の動的 DNS サービスによって所有または使用されています。
  • DomainType/DynamicDNS/DYN — ドメインは、DYN の動的 DNS サービスによって所有または使用されています。
  • DomainType/DynamicDNS/Hostinger — ドメインは、Hostinger の動的 DNS サービスによって所有または使用されています。
  • DomainType/DynamicDNS/noIP — ドメインは、NoIP の動的 DNS サービスによって所有または使用されています。
  • DomainType/DynamicDNS/Oray — ドメインは、Oray の動的 DNS サービスによって所有または使用されています。
  • DomainType/KnownGood — マルウェアまたは悪意のあるアクティビティに関連付けられていますが、ドメイン自体 (または URL のドメイン部分) は本物であることがわかっています。
  • DomainType/LegitimateCompromised — 通常はドメインによる脅威はありませんが、ドメインは悪意のあるアクターによって危険にさらされており、悪意のあるコンテンツを提供する恐れがあります。
  • DomainType/PhishingDomain — ドメインは、フィッシング キャンペーンに含まれていることが観測されています。
  • DomainType/Sinkholed — ドメインは、セキュリティ調査チームなどによってシンクホールされています。これは、ドメインへのトラフィックに悪意のある Source が含まれている可能性が高いが、解決先の IP アドレスは正規のサードパーティによって制御されていることを示します。アクターの制御下にあるとみなされなくなっています。
  • DomainType/StrategicWebCompromise — DomainType/LegitimateCompromised ラベルと似ていますが、このラベルはアクティビティのターゲットがより絞られていることを示します。多くの場合、標的型攻撃者は攻撃対象の組織のユーザが頻繁にアクセスする水飲み場であることがわかっている正規のドメインを危険にさらします。
  • DomainType/Unregistered — ドメインは現在どの登録機関にも登録されていません。
EmailAddressType

EmailAddressType/DomainRegistrant — メール アドレスは、既知の悪意のあるドメインの登録情報で提供されています。

EmailAddressType/SpearphishSender — メール アドレスは、スピアフィッシング メールを送信するために使用されています。

  IntelNews: 痕跡が関連付けられているインテリジェンス Flash レポート ID (IntelNews/NEWS-060520151900 など)。

IPAddressType

  • IPAddressType/HtranDestinationNode — このラベルの IP アドレスは、HTran プロキシ ツールで転送先アドレスとして使用されています。
  • IPAddressType/HtranProxy — このラベルの IP アドレスは、HTran プロキシ ツールで中継ノードまたはプロキシ ノードとして使用されています。
  • IPAddressType/LegitimateCompromised — このラベルの IP アドレスは、悪意のあるアクターによって危険にさらされている疑いがあります。
  • IPAddressType/Parking — IP アドレスは、保留 IP アドレスとして使用されている可能性が高いです。
  • IPAddressType/PopularSite — IP アドレスは、さまざまな目的で利用できるため、他の IP よりも頻繁に出現する可能性があります。
  • IPAddressType/SharedWebHost — IP アドレスは、複数の Web サイトをホストしている可能性があります。
  • IPAddressType/Sinkhole — IP アドレスは、セキュリティ研究者またはベンダによって操作されているシンクホールの可能性が高いです。
  • IPAddressType/TorProxy — IP アドレスは、TOR (オニオン ルータ) プロキシ マルウェア/PoisonIvy マルウェア/Zeus マルウェア/DarkComet として機能しています。
Status (ステータス)
  • Status/ConfirmedActive — 痕跡が現在悪意のあるアクティビティをサポートしている可能性が高いです。
  • Status/ConfirmedInactive — 痕跡は、悪意のある目的で使用されなくなっています。
対象

この痕跡に関連付けられているアクティビティは、下記のいずれかの垂直セクターを標的にします。

  • Target/Aerospace Target/Agricultural Target/Chemical
  • Target/Defense
  • Target/Dissident
  • Target/Energy
  • Target/Extractive
  • Target/Financial
  • Target/Government
  • Target/Healthcare
  • Target/Insurance
  • Target/InternationalOrganizations
  • Target/Legal
  • Target/Manufacturing
  • Target/Media
  • Target/NGO
  • Target/Pharmaceutical
  • Target/Research
  • Target/Retail
  • Target/Shipping
  • Target/Technology
  • Target/Telecom
  • Target/Transportation
  • Target/Universities
ThreatType
  • ThreatType/ClickFraud — 痕跡は、クリック詐欺または広告詐欺に関与しているアクターによって使用されています。
  • ThreatType/Commodity — 痕跡は、Zeus または Pony ダウンローダなどの汎用マルウェアで使用されています。
  • ThreatType/PointOfSale — 痕跡は、POS マシンを標的にするアクティビティ (AlinaPoS や BlackPoS など) に関連付けられています。
  • ThreatType/Ransomware — 痕跡は、Crytolocker や Cryptowall などのランサムウェア マルウェアに関連付けられています。
  • ThreatType/Suspicious — 痕跡は、現在既知の脅威タイプに関連付けられていませんが、疑わしい痕跡とみなす必要があります。
  • ThreatType/Targeted — 痕跡は、民族国家に関連している疑いのある既知のアクター (DEEP PANDA や ENERGETIC BEAR など) に関連付けられています。
  • ThreatType/TargetedCrimeware — 痕跡は、犯罪アクティビティに関与している疑いのある既知のアクター (WICKED SPIDER など) に関連付けられています。

脆弱性

痕跡が関連付けられている CVE-XXXX-XXX の脆弱性 (https://intelapi.crowdstrike.com/ind.../CVE-2012-0158 など)。

 

  • この記事は役に立ちましたか?