疑わしいアカウントの変更 (Suspicious account modification)

IBM® QRadar® は、何百ものユーザー・ベースのアクティビティーのモニターをサポートして、異常な動作や悪意のある動作の検出を支援します。 例えば、疑わしいアカウントの変更は、企業が所有権を持つデータの変更や抜き取りなど、悪意のある目的のために不正なアクセスを取得しようとする試みを示す場合があります。

ネットワーク、ログ、脆弱性、および脅威データにユーザー・コンテキストを追加することにより、 QRadar は、ネットワーク内のユーザーのリスク・プロファイルを迅速に判別し、脅威と見なされる可能性がある標準的なユーザー動作からの逸脱を調査するのに役立ちます。

QRadar 環境でユーザー・ベースのアクティビティーをモニターするために、 IBM QRadar User Behavior Analytics アプリケーションを IBM Security App Exchange (https://exchange.force.ibmcloud.com/hub/extension/IBMQRadar:UserBehaviorAnalytics) からダウンロードできます。

脅威のシミュレーション

このシミュレーションでは、着信イベントは、アカウントが作成および使用された後で削除されたことを示します。 カスタム・ルール・エンジン (CRE) がイベントを処理し、このアクティビティーが悪意があるものである可能性があると判断します。

QRadar がどのように脅威を検出するかを確認するには、シミュレーションを実行します。
  1. 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
  2. 「脅威シミュレーター」をクリックします。
  3. 「疑わしいアカウント変更 (Suspicious account modification)」 シミュレーションを見つけ、 「実行」をクリックします。

「ログ・アクティビティー」 タブで、アカウントが追加または削除されたことを示すイベントが QRadarに表示され始めます。

脅威の検出: QRadar の動作

この脅威シミュレーションでは、以下のリファレンス・セットを使用します。
  • 「EC UserAccountCreated」リファレンス・セットは、「EC: ユーザー・アカウント - アカウント名を EC UserAccountCreated に追加 (EC: User Account - Add Account Name to EC UserAccountCreated)」ルールによって設定されます。

    イベントが下位の「追加されたユーザー・アカウント」カテゴリーに分類された場合、このルールによって、「EC ターゲット・アカウント名 (EC Target Account Name)」がリファレンス・セットに追加されます。

  • 「EC UserAccountUsed」リファレンス・セットは、「EC: ユーザー・アカウント - アカウント名を EC UserAccountUsed に追加 (EC: User Account - Add Account Name to EC UserAccountUsed)」ルールによって設定されます。

    イベントが下位の「ユーザー・ログイン成功」カテゴリーに分類された場合、このルールによって、「ユーザー名」がリファレンス・セットに追加されます。

リファレンス・セットは、過去 1 時間以内に収集されなかったデータ・エレメントを削除することによって、データを最新の状態に保持するように構成されます。

アカウントが削除されるタイミングを決定するために、「EC: ユーザー・アカウントの作成、使用、および削除 (EC: User Account Created and Used and Removed)」ルールは、「ECBB:CategoryDefinition: User Account Removed」ビルディング・ブロックを使用します。

アカウントの作成、使用、および削除のすべてが短時間で行われるアカウント・アクティビティーは、潜在的に悪意のある行動と見なされます。 削除対象のアカウントが両方のリファレンス・セットにも存在する場合、 QRadar は、潜在的な脅威について警告するために、 「ユーザー・アカウントが短期間に作成および削除されました (Exp Center) (User Account Created and Deleted within a short time frame (Exp Center))」 という名前のオフェンスを作成します。 オフェンスには、「ユーザー名」に基づいて索引が付けられます。これにより、同じ脅威に寄与するすべてのイベントが、同じオフェンスに関連付けられます。

ユーザー・アカウントの作成または使用時にリファレンス・セットに寄与するルールは、オフェンスを生成しません。

脅威の調査

以下の IBM QRadar コンテンツは、 「疑わしいアカウントの変更」 脅威シミュレーションによって作成されます。 シミュレーションを実行した後、このコンテンツを使用して脅威を追跡および調査できます。

表 1. QRadar 「疑わしいアカウントの変更」 シミュレーションのコンテンツ
内容 名前
保存済み検索 EC: 疑わしいアカウントの変更 (EC: Suspicious Account Modification)
着信イベント
  • 監査の正常終了: ユーザー・アカウントの作成 (Success Audit: A user account was created)
  • 監査の正常終了: ユーザー・アカウントの削除 (Success Audit: A user account was deleted)
  • 監査の正常終了: ユーザー・アカウントの正常ログオン (Success Audit: A user account was successfully logged on)

着信イベントのログ・ソースは、Experience Center: WindowsAuthServer です。

リファレンス・セット EC UserAccountCreated

EC UserAccountUsed

ルール
  • EC: EC UserAccountCreated へのアカウント名の追加 (EC: Add Account Name to EC UserAccountCreated)
  • EC: EC UserAccountUsed へのアカウント名の追加 (EC: Add Account Name to EC UserAccountUsed)
  • EC: ユーザー・アカウントの作成、使用、および削除 (EC: User Account Created and Used and Removed)

「EC: ユーザー・アカウントの作成、使用、および削除 (EC: User Account Created and Used and Removed)」ルールのみがオフェンスを作成します。 その他のルールはリファレンス・セットに寄与します。

生成されるイベント 短時間でのユーザー・アカウントの作成および削除 (Exp Center) (User Account Created and Deleted within a short time frame (Exp Center))

QRadar によって生成されるイベントのログ・ソースは、カスタム・ルール・エンジン (CRE) です。

オフェンス 短時間でのユーザー・アカウントの作成、使用、および削除 (Exp Center) (User Account Created and Used and Deleted within a short time frame (Exp Center))

オフェンスには、「ユーザー名」に基づいて索引が付けられます。つまり、このルールをトリガーしたイベントのうち、同じユーザー名を持つすべてのイベントが、同じオフェンスに属します。

ユース・ケースを実行する前に環境内に存在していたイベントおよびルールに応じて、オフェンスの名前には、 の前に <「オフェンス名」> が付くか、 に <「オフェンス名>」が含まれる場合があります。