ログ・ソース・タイプ別の脅威のユース・ケース

外部ログ・ソースは、ネットワークに関するさまざまな観点 (監査、モニター、セキュリティーなど) を提供するロー・イベントを QRadar® システムにフィードします。すべてのタイプのログ・ソースを収集して、外部および内部の脅威から組織と環境を保護するために必要な情報を QRadar が提供できるようにすることが重要です。例えば、組織がクラウド・サービスを採用し、Amazon Web Services (AWS)、Azure クラウド・サービス、または Microsoft Office 365 のオンボードを開始する場合は、すべての悪意あるアクティビティーおよびコンプライアンス違反に対する可視性を維持するために、QRadar にログ・ソースを追加します。

以下のマトリックスのチェック・マークをクリックすると、最も関心のあるログ・ソースが表示されます。各ログ・ソースについて、関連する ATT&CK フレームワーク・カテゴリーがリストされます。敵対的な戦術、技法、および共通知識 (Adversarial Tactics, Techniques, and Common Knowledge; ATT&CK) フレームワークは Mitre 社によって開発されました。脅威の戦術および技法についての共通の知識ベースにより、セキュリティー分析者はハッカーの脅威を把握し、組織のネットワークに敵対的な攻撃が発生するのを防ぐ方法を理解することが容易になります。このようなタイプのログ・ソースを収集していない場合、これらの戦術が組織における脆弱性となる可能性があります。

表 1. QRadar のログ・ソースとユース・ケース
ログ・ソース	高度かつ継続的な脅威	内部の脅威	クラウドの保護	重要データの保護	インシデント対応	コンプライアンス	リスクおよび脆弱性の管理
ファイアウォール/ルーター	✓		✓	✓	✓	✓	✓
IDS/IPS (侵入検知システム/侵入防止システム)	✓			✓	✓		✓
Web プロキシー (Web Proxy)	✓	✓	✓	✓		✓
VPN	✓
DNS	✓	✓					✓
DHCP	✓	✓			✓
メール・ログ	✓	✓		✓
DLP (データ損失防止)	✓	✓		✓		✓
エンドポイント	✓	✓		✓		✓	✓
ID/認証 (LDAP/AD/Radius)	✓	✓	✓		✓
アンチウィルス	✓			✓	✓	✓	✓
QRadar Network Insights/Netflow	✓	✓	✓	✓	✓	✓	✓
データベース・ログ	✓	✓	✓	✓	✓	✓
EDR	✓				✓		✓
クラウド・インフラストラクチャー/監査 (AWS CloudTrail, Azure Event Hubs)	✓	✓	✓	✓		✓
Office 365			✓		✓	✓

ファイアウォール/ルーター

以下の表に、ファイアウォール/ルーターのログ・ソースの影響を受けるユース・ケースの例を示します。このタイプのログ・ソースからのデータは、以下の ATT&CK カテゴリーで敵対的な技法を検出する場合に重要です。

防御の回避
ディスカバリー
コマンドと制御
引き出し

表 2. ファイアウォール/ルーター・ログ・ソースおよびユース・ケースの例
ユース・ケース	例
高度かつ継続的な脅威	ファイアウォール・データはコマンド制御の問題の検出に役立ちます。これを外部からのスキャン行為に対して使用し、悪意のある IP 通信が環境内に侵入するのを防止します。
クラウドの保護	TOR への接続など、リスクのあるインターネット・サービス・プロバイダー接続を特定します。
重要データの保護	異常なデータベース接続試行に対する検出および保護を行います
インシデント対応	感染したホストと通信したホストを確認し、データの感染拡大を阻止できます。
コンプライアンス	重要なビジネス・アセットへのアクセスを許可するような無許可または予期しないファイアウォール構成の変更をモニターします。例えば、PCI では、「銀行情報」を含むすべての重要なアセットに対して、外部から直接アクセスせず、内部 DMZ を介して通信する必要があります。
リスクおよび脆弱性の管理	脆弱性のあるポートでアクティブに通信しているアセットを検出します。

各技法および戦術について詳しくは、ATT&CK Technique matrix (https://attack.mitre.org/wiki/Technique_Matrix) を参照してください

ユース・ケース	例
高度かつ継続的な脅威	脅威イベントと脆弱性を相関させて、それらの脅威イベントをエスカレートします。さらに重大なオフェンス検出を実行します。
重要データの保護	SQL、XSS インジェクション
インシデント対応	感染したホストを確認して潜在的な蔓延を監視することで、データの感染拡大を阻止できます。
リスクおよび脆弱性の管理	アセットと脆弱性データを相関させることよって、脅威を検証および評価し、優先順位を付けます。

ユース・ケース	例
高度かつ継続的な脅威	悪意あるドメイン通信、データ引き出し、コマンドおよび制御アクティビティーをモニターします。サービス・アカウントを使用したアクセスによる通常のユーザー制限を迂回する試行を検出します。
内部の脅威	企業リソースを使用するクリプト・マイニングなど、悪意あるアクティビティーを追跡します。
クラウドの保護	シャドー IT、未承認のクラウド・サービス使用、および企業環境からの潜在的なデータ引き出しを検出します。
重要データの保護	無許可のデータ引き出しがないかモニターします。
コンプライアンス	重要なアセットが外部と通信していないかモニターします。

ユース・ケース	例
高度かつ継続的な脅威	疑わしいロケーションからのログインをモニターします。
内部の脅威	通常の使用パターン以外のユーザーまたは異常な地理的領域からのユーザーによる VPN の使用を検出します。

ユース・ケース	例
高度かつ継続的な脅威	ドメイン・ネーム生成、トンネリング、スクワッティングなどの悪質な DNS 使用をモニターします。
内部の脅威	DNS レコードを介してトラフィックのトンネリングを検出します。

ユース・ケース	例
高度かつ継続的な脅威	企業ネットワーク上の不正なアクセス・ポイントまたはその他の予期しないデバイスの存在を検出します。
内部の脅威	企業ネットワーク上の不正なアクセス・ポイントまたはその他の予期しないデバイスの存在を検出します。
インシデント対応	インシデントの発生時に特定の IP アドレスを持つホストを識別します。

ユース・ケース	例
高度かつ継続的な脅威	フィッシングとスパムをモニターします。
内部の脅威	フィッシング
重要データの保護	E メールによるフィッシング、データ引き出し

ユース・ケース	例
高度かつ継続的な脅威	データは、多くの方法で引き出すことができます。以下のような疑わしいファイルの識別と追跡を行います。 DNS 異常機密コンテンツ異常な接続別名
内部の脅威	データは、多くの方法で引き出すことができます。以下のような疑わしいファイルの識別と追跡を行います。 DNS 異常機密コンテンツ異常な接続別名
重要データの保護	データは、多くの方法で引き出すことができます。以下のような疑わしいファイルの識別と追跡を行います。 DNS 異常機密コンテンツ異常な接続別名
コンプライアンス	データは、多くの方法で引き出すことができます。以下のような疑わしいファイルの識別と追跡を行います。 DNS 異常機密コンテンツ異常な接続別名

ユース・ケース	例
高度かつ継続的な脅威	悪質なハッシュ、疑わしい PowerShell アクティビティー、プロセスの濫用、またはその他の疑わしいエンドポイント・アクティビティーをモニターします。
内部の脅威	ホスト・リソースを使用した永続的マルウェアの検出 (クリプト・マイニングなど)。
重要データの保護	データは、多くの方法で引き出すことができます。以下のような疑わしいファイルの識別と追跡を行います。 DNS 異常機密コンテンツ異常な接続別名
コンプライアンス	企業の社内ポリシー (未承認のソフトウェア使用など) を順守しているかモニターします。
リスクおよび脆弱性の管理	脆弱性によってリスクを評価および管理します。

ユース・ケース	例
高度かつ継続的な脅威	マルウェアによるブルート・フォース・ログイン、ネットワークを介した側方移動、または疑わしいログインなどのアクティビティーをモニターします。
内部の脅威	マルウェアによるアカウント乗っ取り
クラウドの保護	IP ソース・アドレスのみを持つデータからクラウド・ユーザーを識別するのに役立つユーザーと IP の関連付けを提供します。
インシデント対応	IR プロセス中にユーザーがログインした場所の表示。

ユース・ケース	例
高度かつ継続的な脅威	以下のようなアクティビティーをモニターします。アンチウィルスによるエンドポイント感染駆除されていないウィルスその他の疑わしいエンドポイント動作の補強
重要データの保護	ウィルスのアウトブレークの検出により、重要なビジネス・データを含むサーバーへの移動を防ぎます。
インシデント対応	特定のウィルス・シグネチャーが見られた場所を表示します。
コンプライアンス	重要なホスト/サーバー上に最新の AV 定義があることを確認します。
リスクおよび脆弱性の管理	危殆化した脆弱なホストにおける悪意のある WWW ドメイン接続を示します。

表 15. EDR ログ・ソースおよびユース・ケースの例
ユース・ケース	例
高度かつ継続的な脅威	以下のようなアクティビティーをモニターします。危険にさらされたエンドポイント疑わしいエンドポイントの振る舞い
インシデント対応	エンドポイントでの IOC の存在を素早く判別します (ハッシュおよびファイル名を含む)。
リスクおよび脆弱性の管理	脆弱性情報をエンドポイント・データと関連付けます

表 16. クラウド・インフラストラクチャー/監査ログ・ソースおよびユース・ケースの例
ユース・ケース	例
高度かつ継続的な脅威	複数のクラウド環境に影響を与えるマルチベクトル型攻撃、クリプト・ジャッキング (暗号通貨マイニングのためにクラウド・プロパティー/計算リソースを乗っ取ること)。
内部の脅威	危殆化したクラウド・アカウント、エスカレートされた役割/ユーザー特権、ネットワーク・セキュリティー・グループのアクセス・ポリシーの変更の検出
クラウドの保護	以下のようなアクティビティーをモニターします。 S3 バケットおよびユーザー・ポリシーの構成の誤りクラウド環境への可視性クラウド・セキュリティーのベスト・プラクティスの適用ネットワーク・インターフェース・トラフィックの継続的モニター
重要データの保護	機密データ・リポジトリーのロックダウンおよび隔離。
コンプライアンス	クラウド監査証跡ログの保存およびログの保全性の確保

表 17. Office 365 ログ・ソースおよびユース・ケースの例
ユース・ケース	例
クラウドの保護	以下のようなアクティビティーをモニターします。ブルート・フォース・ログイン複数のロケーションからの疑わしいログイン警戒対象リストに登録された国と場所過剰なファイル・アクセス試行
インシデント対応	侵害の際にアクセスされたデータについての証拠。
コンプライアンス	ファイル・アクティビティーおよびユーザー・アクセスの継続的モニター。

ユース・ケース	例
高度かつ継続的な脅威	以下のようなアクティビティーをモニターします。スキャン行為不正なダウンロード側方移動フィッシング
内部の脅威	フィッシング検出
クラウドの保護	以下のようなアクティビティーをモニターします。データ引き出し期限切れの WWW 証明書自己署名 WWW 証明書フィッシングリスクのある WWW ドメイン接続
重要データの保護	データは、多くの方法で引き出すことができます。以下のような疑わしいファイルの識別と追跡を行います。 DNS 異常機密コンテンツ異常な接続別名
インシデント対応	ドメイン通信、ダウンロードされたハッシュ、通信した IP アドレス、ファイル名、転送されたデータ・ボリュームからの攻撃の広がりを判別するために、大量の調査データ・プールを提供します。
コンプライアンス	重要なアセットの通信をモニターします (例えば、重要なアセットがオープンなインターネットと通信しているかどうか)。
リスクおよび脆弱性の管理	ホストが通信するリスクのレベルに基づいて、ホストの脆弱性の修復を優先順位付けします。

ユース・ケース	例
内部の脅威	無許可のデータベース・アクセスおよびデータ盗難を検出します
重要データの保護	データベースには多くの場合、機密性の高い企業情報が含まれているため、ほとんどのコンプライアンス標準に対してモニタリングすることが必要です。無許可のユーザー権限の変更がないかモニターします。
インシデント対応	侵害の際にアクセスされたデータ、および侵害者についての証拠。
コンプライアンス	データベースには多くの場合、機密性の高い企業情報が含まれているため、ほとんどのコンプライアンス標準に対してモニタリングすることが必要です。
リスクおよび脆弱性の管理	重要データを含む可能性のあるアクティブ・データベースが存在するホスト上の脆弱性を優先順位付けします。有効になっているデフォルトのアカウントおよびパスワードを検出します。

ログ・ソース・タイプ別の脅威のユース・ケース

ファイアウォール/ルーター

侵入検知システム (IDS)/侵入防止システム (IPS)

Web プロキシー

VPN

DNS

DHCP

メール・ログ

DLP (データ損失防止)

エンドポイント

ID/認証 (LDAP/AD/Radius)

アンチウィルス

QRadar Network Insights/Netflow

データベース・ログ

EDR (エンドポイントの検出および応答)

クラウド・インフラストラクチャー/監査 (AWS Cloudtrail、Azure Event Hubs)

Microsoft Office 365