複数のホストからの脅威 (Threat from multiple hosts)

IBM® QRadar® は、複数のエンドポイントで同じ脅威パターンが見られる場合に、ホストへの疑わしい通信を検出するのに役立ちます。 このタイプのアクティビティーは、組織に対する組織的な標的型攻撃を示す場合があり、攻撃のエスカレートや攻撃による損害を防ぐために即時に対処する必要があります。

脅威のシミュレーション

「複数のホストからの脅威 (Threat from multiple hosts)」 シミュレーションでは、 QRadar が、反復的な悪意のある振る舞いとして識別されたイベントを相関させることによって脅威を検出する方法が示されます。

ヒント:

追加のユース・ケースをサポートする QRadar コンテンツをさらに入手するには、 IBM Security Threat Content パックを IBM Security App Exchangeからダウンロードします。

QRadar がどのように脅威を検出するかを確認するには、シミュレーションを実行します。
  1. 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
  2. 「脅威シミュレーター」をクリックします。
  3. 「複数のホストからの脅威 (Threat from multiple hosts)」シミュレーションを見つけて、「実行」をクリックします。

に入ってくるイベントを見ることができます。 QRadar には悪意のある URL アドレスや添付ファイルが含まれている可能性があります。

脅威の検出: QRadar の動作

このシミュレーションでは、カスタム・ルール・エンジン (CRE) が着信イベントを処理し、ネットワーク内の複数のホストで潜在的に脅威となるアクティビティーが発生していると判断します。 潜在的な脅威についてユーザーに警告するために、CRE は、検出されたアクティビティーのより詳細なコンテキストを提供する新規イベントを作成します。 例えば、着信イベントが「URL 検出 - フィッシング (URL Detection - Phishing)」であり、CRE によって生成されたイベントが「同じネットワークの異なるホストでの同じ脅威の検出 (Same Threat Detected on Same Network Different Hosts)」である場合、ユーザーは、ネットワークのどの領域で脅威が発生しているかを素早く確認できます。

CRE はオフェンスを作成し、そのオフェンスには、「EC 脅威名 (EC Threat Name)」カスタム・プロパティーに基づいて索引が付けられます。これにより、同じ脅威に寄与するすべてのイベントが、同じオフェンスに関連付けられます。

脅威の調査

以下の IBM QRadar コンテンツは、 「Threat from multiple hosts」 シミュレーションによって作成されます。 シミュレーションを実行した後、このコンテンツを使用して脅威を追跡および調査できます。

表 1. QRadar 「複数のホストからの脅威 (Threat from multiple hosts)」 シミュレーションのコンテンツ
内容 名前
保存済み検索 EC: 複数のホストからの脅威 (EC: Threat from Multiple Hosts)
着信イベント
  • URL 検出 - フィッシング (URL Detection - Phishing)
  • URL 検出 - スパム/グレー・メール (URL Detection - Spam/Graymail)
  • 添付ファイルの検出 - コンテンツ違反 (Attachment detection - Content violation)
  • 添付ファイルの検出 - フィッシング (Attachment detection - Phishing)
  • 添付ファイルの検出 - 潜在的に悪意のある URL (Attachment detection - Potentially Malicious URL)

着信イベントのログ・ソースは、Trend Micro Deep Discovery です。

ルール EC: 複数のホストでの同じ脅威の検出 (EC: Same Threat Detected on Multiple Hosts)
生成されるイベント 作成されるメイン・イベントは、「複数のホストでの同じ脅威の検出 (Exp Center) (Same Threat Detected on Multiple Hosts (Exp Center))」です。
脅威シミュレーション・シナリオの一部として、以下のイベントも作成されます。
  • 複数のホストでの同じ脅威の検出 (Same Threat Detected on Multiple Hosts)
  • 同じネットワークの異なるホストでの同じ脅威の検出 (Same Threat Detected on Same Hosts)

QRadar によって生成されるイベントのログ・ソースは、カスタム・ルール・エンジン (CRE) です。

オフェンス 複数のホストでの同じ脅威の検出 (Exp Center) (Same Threat Detected on Multiple Hosts (Exp Center))

オフェンスには、「EC 脅威名 (EC Threat Name)」カスタム・プロパティーに基づいて索引が付けられます。つまり、このルールをトリガーしたイベントのうち、同じ脅威に寄与するすべてのイベントが、同じオフェンスに属します。

使用例を実行する前に、ご使用環境にあるイベントとルールに応じて、オフェンス名の前に<offense name>が付き、<offense name>を含む場合あります。