ログ・ソース・タイプ別の脅威のユース・ケース

外部ログ・ソースは、ネットワークに関するさまざまな観点 (監査、モニター、セキュリティーなど) を提供する未加工イベントを QRadar システムにフィードします。 QRadar が、外部および内部からの脅威から組織と環境を保護するために必要な情報を提供できるよう、あらゆる種類のログソースを収集することが重要です。 例えば、貴社がクラウドサービスを採用し、 Amazon Web Services ( AWS )、または Azure のクラウドサービス、 Microsoft Office 365 のオンボーディングを開始する場合、すべての悪意のある行為やコンプライアンス違反を継続的に把握できるように、ログソースを QRadar に追加します。

以下のマトリックスのチェック・マークをクリックすると、最も関心のあるログ・ソースが表示されます。 各ログ・ソースについて、関連する ATT&CK フレームワーク・カテゴリーがリストされます。 Adversarial Tactics、Techniques、および Common Knowledge (ATT&CK) フレームワークは、Mitre Corp によって開発されました。 脅威の戦術と手法に関する公開知識ベースは、セキュリティー分析者がハッカーの脅威を理解し、組織のネットワークに敵対的な攻撃が行われるのをどう防ぐのかに役立ちます。 このようなタイプのログ・ソースを収集していない場合、これらの戦術が組織における脆弱性となる可能性があります。

表 1. QRadar のログ・ソース (ユース・ケースあり)
ログ・ソース 高度かつ継続的な脅威
拡張脅威アイコン
内部の脅威
内部関係者の脅威アイコン
クラウドの保護
クラウドのアイコン
重要データの保護
重要なデータ保護アイコン
インシデント対応
インシデント対応アイコン
コンプライアンス
コンプライアンス・アイコン
リスクおよび脆弱性の管理
リスクおよび脆弱性管理アイコン
ファイアウォール/ルーター  
IDS/IPS

(侵入検知システム/侵入防止システム)

     
Web プロキシー (Web Proxy)    
VPN            
DNS        
DHCP        
メール・ログ        
DLP (データ損失防止)      
エンドポイント    
ID/認証

(LDAP/AD/Radius)

     
アンチウィルス    
QRadar ネットワークインサイト/ネットフロー
データベース・ログ  
EDR        
クラウド・インフラストラクチャー/監査

(AWS CloudTrail, Azure Event Hubs)

   
Office 365        

ファイアウォール/ルーター

以下の表に、ファイアウォール/ルーターのログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 防御の回避
  • ディスカバリー
  • コマンドと制御
  • 引き出し
表 2. ファイアウォール/ルーター・ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 ファイアウォール・データはコマンド制御の問題の検出に役立ちます。 これを外部からのスキャン行為に対して使用し、悪意のある IP 通信が環境内に侵入するのを防止します。
クラウドの保護 TOR への接続など、リスクのあるインターネット・サービス・プロバイダー接続を特定します。
重要データの保護 異常なデータベース接続試行に対する検出および保護を行います
インシデント対応 感染したホストと通信したホストを確認し、データの感染拡大を阻止できます。
コンプライアンス 重要なビジネス・アセットへのアクセスを許可するような無許可または予期しないファイアウォール構成の変更をモニターします。 例えば、PCI では、「銀行情報」を含むすべての重要なアセットに対して、外部から直接アクセスせず、内部 DMZ を介して通信する必要があります。
リスクおよび脆弱性の管理 脆弱性のあるポートでアクティブに通信しているアセットを検出します。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

侵入検知システム (IDS)/侵入防止システム (IPS)

以下の表に、IDS/IPS ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 防御の回避
  • パーシスタンス機構
  • ディスカバリー
  • コマンドと制御
表 3. IDS/IPS ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 脅威イベントと脆弱性を相関させて、それらの脅威イベントをエスカレートします。 さらに重大なオフェンス検出を実行します。
重要データの保護 SQL、XSS インジェクション
インシデント対応 感染したホストを確認して潜在的な蔓延を監視することで、データの感染拡大を阻止できます。
リスクおよび脆弱性の管理 アセットと脆弱性データを相関させることよって、脅威を検証および評価し、優先順位を付けます。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

Web プロキシー

以下の表に、Web プロキシーのログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 防御の回避
  • パーシスタンス機構
  • データ引き出し
  • コマンドと制御
  • 特権のエスカレーション
  • 資格情報アクセス
表 4. Web プロキシー・ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 悪意あるドメイン通信、データ引き出し、コマンドおよび制御アクティビティーをモニターします。 サービス・アカウントを使用したアクセスによる通常のユーザー制限を迂回する試行を検出します。
内部の脅威 企業リソースを使用するクリプト・マイニングなど、悪意あるアクティビティーを追跡します。
クラウドの保護 シャドー IT、未承認のクラウド・サービス使用、および企業環境からの潜在的なデータ引き出しを検出します。
重要データの保護 無許可のデータ引き出しがないかモニターします。
コンプライアンス 重要なアセットが外部と通信していないかモニターします。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

VPN

以下の表に、VPN ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 資格情報アクセス
  • 側方移動
表 5. VPN ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 疑わしいロケーションからのログインをモニターします。
内部の脅威 通常の使用パターン以外のユーザーまたは異常な地理的領域からのユーザーによる VPN の使用を検出します。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

DNS

以下の表に、DNS ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 防御の回避
  • パーシスタンス機構
  • コマンドと制御
  • 引き出し
  • 資格情報アクセス (注: 技法 T1171)
表 6. DNS ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 ドメイン・ネーム生成、トンネリング、スクワッティングなどの悪質な DNS 使用をモニターします。
内部の脅威 DNS レコードを介してトラフィックのトンネリングを検出します。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

DHCP

以下の表に、DHCP ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、ATT&CK の防御の回避カテゴリーの敵対的な技法の検出に重要です。

表 7. DHCP ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 企業ネットワーク上の不正なアクセス・ポイントまたはその他の予期しないデバイスの存在を検出します。
内部の脅威 企業ネットワーク上の不正なアクセス・ポイントまたはその他の予期しないデバイスの存在を検出します。
インシデント対応 インシデントの発生時に特定の IP アドレスを持つホストを識別します。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

メール・ログ

以下の表に、メール・ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 実行
  • 初期アクセス
  • コレクション
表 8. メール・ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 フィッシングとスパムをモニターします。
内部の脅威 フィッシング
重要データの保護 E メールによるフィッシング、データ引き出し

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

DLP (データ損失防止)

以下の表に、DLP ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • データ引き出し
  • コレクション
表 9. DLP ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威
データは、多くの方法で引き出すことができます。 以下のような疑わしいファイルの識別と追跡を行います。
  • DNS 異常
  • 機密コンテンツ
  • 異常な接続
  • 別名
内部の脅威
データは、多くの方法で引き出すことができます。 以下のような疑わしいファイルの識別と追跡を行います。
  • DNS 異常
  • 機密コンテンツ
  • 異常な接続
  • 別名
重要データの保護
データは、多くの方法で引き出すことができます。 以下のような疑わしいファイルの識別と追跡を行います。
  • DNS 異常
  • 機密コンテンツ
  • 異常な接続
  • 別名
コンプライアンス
データは、多くの方法で引き出すことができます。 以下のような疑わしいファイルの識別と追跡を行います。
  • DNS 異常
  • 機密コンテンツ
  • 異常な接続
  • 別名

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

エンドポイント

以下の表に、エンドポイント・ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 特権のエスカレーション
  • 初期アクセス
  • 実行
  • 永続性
  • 資格情報アクセス
  • 防御の回避
  • ディスカバリー
  • 側方移動
  • コレクション
  • 引き出し
  • コマンドと制御
表 10. エンドポイント・ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 悪質なハッシュ、疑わしい PowerShell アクティビティー、プロセスの濫用、またはその他の疑わしいエンドポイント・アクティビティーをモニターします。
内部の脅威 ホスト・リソースを使用した永続的マルウェアの検出 (クリプト・マイニングなど)。
重要データの保護
データは、多くの方法で引き出すことができます。 以下のような疑わしいファイルの識別と追跡を行います。
  • DNS 異常
  • 機密コンテンツ
  • 異常な接続
  • 別名
コンプライアンス 企業の社内ポリシー (未承認のソフトウェア使用など) を順守しているかモニターします。
リスクおよび脆弱性の管理 脆弱性によってリスクを評価および管理します。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

ID/認証 (LDAP/AD/Radius)

以下の表に、LDAP/AD/Radius ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 特権のエスカレーション
  • 資格情報アクセス
  • 初期アクセス
    注: 特権の不正使用 (例えば、スーパーアカウントを持つサーフ、ユーザーに付与された特権) を追跡することもできます。
表 11. LDAP/AD/Radius ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 マルウェアによるブルート・フォース・ログイン、ネットワークを介した側方移動、または疑わしいログインなどのアクティビティーをモニターします。
内部の脅威 マルウェアによるアカウント乗っ取り
クラウドの保護 IP ソース・アドレスのみを持つデータからクラウド・ユーザーを識別するのに役立つユーザーと IP の関連付けを提供します。
インシデント対応 IR プロセス中にユーザーがログインした場所の表示。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

アンチウィルス

以下の表に、アンチウィルス・ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 永続性
  • 初期アクセス
  • 防御の回避
表 12. アンチウィルス・ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 以下のようなアクティビティーをモニターします。
  • アンチウィルスによるエンドポイント感染
  • 駆除されていないウィルス
  • その他の疑わしいエンドポイント動作の補強
重要データの保護 ウィルスのアウトブレークの検出により、重要なビジネス・データを含むサーバーへの移動を防ぎます。
インシデント対応 特定のウィルス・シグネチャーが見られた場所を表示します。
コンプライアンス 重要なホスト/サーバー上に最新の AV 定義があることを確認します。
リスクおよび脆弱性の管理 危殆化した脆弱なホストにおける悪意のある WWW ドメイン接続を示します。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

QRadar ネットワークインサイト/ネットフロー

以下の表に、 QRadar Network Insights/Netflow ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 側方移動
  • ディスカバリー
  • パーシスタンス機構
  • 防御の回避
  • データ引き出し
  • 資格情報アクセス
  • コマンドと制御
表 13. QRadar Network Insights/Netflow ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 以下のようなアクティビティーをモニターします。
  • スキャン行為
  • 不正なダウンロード
  • 側方移動
  • フィッシング
内部の脅威 フィッシング検出
クラウドの保護 以下のようなアクティビティーをモニターします。
  • データ引き出し
  • 期限切れの WWW 証明書
  • 自己署名 WWW 証明書
  • フィッシング
  • リスクのある WWW ドメイン接続
重要データの保護
データは、多くの方法で引き出すことができます。 以下のような疑わしいファイルの識別と追跡を行います。
  • DNS 異常
  • 機密コンテンツ
  • 異常な接続
  • 別名
インシデント対応 ドメイン通信、ダウンロードされたハッシュ、通信した IP アドレス、ファイル名、転送されたデータ・ボリュームからの攻撃の広がりを判別するために、大量の調査データ・プールを提供します。
コンプライアンス 重要なアセットの通信をモニターします (例えば、重要なアセットがオープンなインターネットと通信しているかどうか)。
リスクおよび脆弱性の管理 ホストが通信するリスクのレベルに基づいて、ホストの脆弱性の修復を優先順位付けします。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

データベース・ログ

以下の表に、データベース・ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 資格情報アクセス
  • コレクション
  • 初期アクセス
  • ディスカバリー
  • データ引き出し
  • 特権のエスカレーション
表 14. データベース・ログ・ソースおよびユース・ケースの例
ユース・ケース
内部の脅威 無許可のデータベース・アクセスおよびデータ盗難を検出します
重要データの保護 データベースには多くの場合、機密性の高い企業情報が含まれているため、ほとんどのコンプライアンス標準に対してモニタリングすることが必要です。 無許可のユーザー権限の変更がないかモニターします。
インシデント対応 侵害の際にアクセスされたデータ、および侵害者についての証拠。
コンプライアンス データベースには多くの場合、機密性の高い企業情報が含まれているため、ほとんどのコンプライアンス標準に対してモニタリングすることが必要です。
リスクおよび脆弱性の管理 重要データを含む可能性のあるアクティブ・データベースが存在するホスト上の脆弱性を優先順位付けします。 有効になっているデフォルトのアカウントおよびパスワードを検出します。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

EDR (エンドポイントの検出および応答)

以下の表に、EDR ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 資格情報アクセス
  • 特権のエスカレーション
  • ディスカバリー
表 15. EDR ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 以下のようなアクティビティーをモニターします。
  • 危険にさらされたエンドポイント
  • 疑わしいエンドポイントの振る舞い
インシデント対応 エンドポイントでの IOC の存在を素早く判別します (ハッシュおよびファイル名を含む)。
リスクおよび脆弱性の管理 脆弱性情報をエンドポイント・データと関連付けます

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

クラウド・インフラストラクチャー/監査 (AWS Cloudtrail、Azure Event Hubs)

以下の表に、クラウド・インフラストラクチャー/監査ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 資格情報アクセス
  • 特権のエスカレーション
表 16. クラウド・インフラストラクチャー/監査ログ・ソースおよびユース・ケースの例
ユース・ケース
高度かつ継続的な脅威 複数のクラウド環境に影響を与えるマルチベクトル型攻撃、クリプト・ジャッキング (暗号通貨マイニングのためにクラウド・プロパティー/計算リソースを乗っ取ること)。
内部の脅威 危殆化したクラウド・アカウント、エスカレートされた役割/ユーザー特権、ネットワーク・セキュリティー・グループのアクセス・ポリシーの変更の検出
クラウドの保護 以下のようなアクティビティーをモニターします。
  • S3 バケットおよびユーザー・ポリシーの構成の誤り
  • クラウド環境への可視性
  • クラウド・セキュリティーのベスト・プラクティスの適用
  • ネットワーク・インターフェース・トラフィックの継続的モニター
重要データの保護 機密データ・リポジトリーのロックダウンおよび隔離。
コンプライアンス クラウド監査証跡ログの保存およびログの保全性の確保

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )

Microsoft Office 365

以下の表に、 Microsoft Office 365 ログ・ソースの影響を受けるユース・ケースの例を示します。 このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。
  • 初期アクセス
  • 実行
  • 永続性
表 17. Office 365 ログ・ソースおよびユース・ケースの例
ユース・ケース
クラウドの保護 以下のようなアクティビティーをモニターします。
  • ブルート・フォース・ログイン
  • 複数のロケーションからの疑わしいログイン
  • 警戒対象リストに登録された国と場所
  • 過剰なファイル・アクセス試行
インシデント対応 侵害の際にアクセスされたデータについての証拠。
コンプライアンス ファイル・アクティビティーおよびユーザー・アクセスの継続的モニター。

各手法と方策について詳しく説明します: ATT&CK 技法のマトリックス (https://attack.mitre.org/wiki/Technique_Matrix)

( 上に戻る )