フィッシングおよび E メール

IBM Security QRadar Phishing and Email Content Extension を使用して、ネットワーク内の電子メールを詳細に監視します。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするには、関連する DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

このコンテンツ拡張には、1 つ以上の Pulse ダッシュボードが組み込まれています。 Pulse ダッシュボードについて詳しくは、 QRadar Pulse アプリケーションを参照してください。

IBM Security QRadarフィッシングおよび E メール

IBM セキュリティ QRadar フィッシングおよびメールコンテンツの拡張機能 1.2.2

次の表は、 IBM Security QRadar Phishing and Email Content Extension 1.2.2 の旧値と新値を示しています。
表 1. IBM Security QRadar Phishing and Email Content Extension 1.2.2 における旧値と新値
今までの値 新規の値
MessageID メッセージ ID (Message ID)
発信元ホスト 送信者ホスト (Sender Host)
受信者ユーザー 受信者 (Recipients)
ターゲット・ユーザー名 ターゲット・ユーザー名

IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.2.1

以下のリストは、パフォーマンスの最適化のために更新されたビルディング・ブロックを示しています。
  • BB:BehaviorDefinition: 外部受信ホスト
  • BB:BehaviorDefinition: 潜在的に敵対的な受信ホスト
  • BB:DeviceDefinition: Mail

BB:CategoryDefinition: Mailbox Permission Added および BB:CategoryDefinition: Mailbox Permission Deleted ビルディング ブロックは削除されました。

追加のデータ・エレメントが 「Phishing Subjects」 リファレンス・セットに追加されます。

IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.2.0

他のコンテンツ拡張との競合を避けるために、いくつかの正規表現式 ID が更新されています。

IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.1.0

次の表では、 IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.1.0で新しく導入された、または変更されたルールおよびビルディング・ブロックを示します。

表 2. IBM セキュリティー QRadar フィッシングおよび E メール・コンテンツ拡張 1.1.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: フロー内のメールアプリケーション このビルディング・ブロックは、メール・アプリケーションとの通信が検出された場合にトリガーされます。
ルール QNI: E メール添付ファイル (実行可能ファイルあり) このルールは、受信した E メール・フローに実行可能ファイルの拡張子の添付ファイルが含まれている場合にトリガーされます。
ルール QNI: ダブル・ファイル拡張子で実行可能ファイルが非表示になっている E メール添付 このルールは、メール・フローの添付ファイルの名前に、少なくとも 2 つの連続するファイル拡張子が含まれていて、そのうちいずれかが実行可能ファイルに関連付けられている場合にトリガーされます。 このルールにより、攻撃者が、悪意のある実行可能ファイルの末尾に悪意のないファイル拡張子を追加することで、実行可能なメール拡張子をブロックするセキュリティー・サービスをバイパスするケースに対応できます (例: virus.exe.txt、presentation.bat.pptx)。また、実行不能ファイル拡張子の後に実行可能ファイル拡張子を付けたファイルを攻撃者が送信するケースにも対応できます。 Windows のように、ファイル・システム・エクスプローラーでファイルを表示する際にファイル拡張子が非表示になるオペレーティング・システムがあるため、この方法でユーザーをだまして悪意のある実行可能ファイルを開けさせようとする可能性があります。 ユーザーに「Report.doc.js」ファイルをダウンロードさせることに攻撃者が成功した場合、そのファイルはオペレーティング・システムでは「Report.doc」と表示される可能性があります (例: report.doc.js、newsletter.pdf.exe)。 注: アプリケーション・プロパティーは調整可能です。
ルール QNI: 潜在的な悪意のあるホストから受信した E メール このルールは、機密ファイルを含む E メール・フローを、フィッシング、スパム、マルウェア、ボットネット・コマンド・コントロール、暗号通貨マイニングなどの悪意のあるアクティビティーへの関与が確認されているホストから受信するとトリガーされます。
ルール QNI: 外部ホストからの添付ファイルを含む高インバウンド E メール このルールは、組織外のアドレスから、添付ファイルを含む E メールが多数送信されるとトリガーされます。 これは、多数の受信者を標的としたマルウェアの送信の試行を示している可能性があります。 注: 会社のサイズに合わせてしきい値を調整してください。
ルール QNI: 疑わしい件名のインバウンド E メール (Inbound Email with Suspicious Subject) このルールは、Threat Intelligence フィードに含まれている既知の件名と一致する E メールの件名がフロー・コンテンツに含まれているとトリガーされます。 これは、スパムまたはフィッシングを示している可能性があります。 注: 「Phishing Subjects」リファレンス・セットには E メールの件名の例が定義済みです。これは、新しく検出した件名を使用して調整可能です。
ルール QNI: 複数の送信サーバーからの潜在的なスパム/フィッシングの件名が検出されました このルールは、特定の期間に複数の送信サーバーから同じ件名の E メールが送信されている場合にトリガーされます。スパムまたはフィッシングの可能性があります。 注: カスタム関数「ISREPLY」は、ストリングが応答 E メールの標準的な件名である場合、true または false を返します。

次の表では、 IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.1.0で新しく導入された保存済み検索を示します。

表 3. IBM セキュリティー QRadar フィッシングおよび E メール・コンテンツ拡張 1.1.0 の保存済み検索
名前 説明
Emails with Suspicious Subjects この検索は、メール・イベントを「MessageID」別に集約し、「Phishing Subjects」リファレンス・セットに含まれている件名を持つメッセージをフィルターで検出します。

( 上に戻る )

IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.0.0

次の表では、 IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.0.0のカスタム・プロパティーを示しています。

次の表では、 IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.0.0のルールおよびビルディング・ブロックを示しています。

表 5. IBM セキュリティー QRadar フィッシングおよび E メール・コンテンツ拡張 1.0.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:BehaviorDefinition:外部発信ホスト 組織外のアドレスから、添付ファイルを含む E メールが多数送信されるとトリガーされます。 これは、多数の受信者を標的としたマルウェアの送信の試行を示している可能性があります。
注: 会社のサイズに合わせてしきい値を調整してください。
ビルディング・ブロック BB:BehaviorDefinition: 外部受信ホスト 「Corporate Email Domains」リファレンス・セットに含まれない受信側ホストを識別します。
注: 「企業 E メール・ドメイン (Corporate Email Domains)」 リファレンス・セットにデータを取り込む必要があります。
ビルディング・ブロック BB:BehaviorDefinition: 潜在的に敵対的な発信ホスト 悪意のあるホストからの E メールを識別します。 ホストの X-Force ® カテゴリーがフィッシング URL、スパム URL、マルウェア、ボットネット・コマンド・コントロール・サーバー、または暗号通貨マイニングのいずれかのカテゴリーを返す場合、そのホストは悪意のあるものになります。
ビルディング・ブロック BB:BehaviorDefinition: 潜在的に敵対的な受信ホスト 悪意のあるホストに送信される E メールを識別します。 ホストの X-Force カテゴリー化がフィッシング URL、スパム URL、マルウェア、ボットネット・コマンド・コントロール・サーバー、または暗号通貨マイニングのいずれかのカテゴリーを返す場合、そのホストは悪意のあるものになります。
ビルディング・ブロック BB:DeviceDefinition: Mail システム上のすべてのメール・デバイスを定義します。
ビルディング・ブロック BB:DeviceDefinition: メール・イン・フロー システム上の、メールに関連するすべてのアプリケーションを定義します。
ルール 無効な受信者への E メールの異常な数 無効な受信者 (無効なドメイン、不明なユーザー、誤った形式のアドレスなど) に多数の E メールが送信された場合にトリガーされます。 これは、有効なアドレスに届くように総当たり攻撃が試行されていることを示す可能性があります。
ルール 実行可能ファイルが添付された E メール 受信した E メールに実行可能ファイルの拡張子の添付ファイルが含まれている場合にトリガーされます。
ルール ダブル・ファイル拡張子で実行可能ファイルが非表示になっている E メール添付 メールの添付ファイルの名前に、少なくとも 2 つの連続するファイル拡張子が含まれていて、そのうちいずれかが実行可能ファイルに関連付けられている場合にトリガーされます。 このルールにより、攻撃者が、悪意のある実行可能ファイルの末尾に悪意のないファイル拡張子を追加することで、実行可能なメール拡張子をブロックするセキュリティー・サービスをバイパスするケースに対応できます (例えば、virus.exe.txtpresentation.bat.pptx など)。また、実行不能ファイル拡張子の後に実行可能ファイル拡張子を付けたファイルを攻撃者が送信するケースにも対応できます。 これは、Windows などの一部のオペレーティング・システムがファイル・システム・エクスプローラーでファイルを表示するときにファイル拡張子を非表示にするため、ユーザーをだまして悪意のある実行可能ファイルを開くようにするために使用できます。 攻撃者がユーザーに Report.doc.js というファイルをダウンロードさせることに成功した場合、オペレーティング・システムで Report.doc のように表示される可能性があります (例えば、report.doc.jsnewsletter.pdf.exe などのファイル)。
ルール 潜在的な悪意のあるホストから受信した E メール 機密ファイルを含む E メールを、フィッシング、スパム、マルウェア、ボットネット・コマンド・コントロール、暗号通貨マイニングなどの悪意のあるアクティビティーへの関与が確認されているホストから受信するとトリガーされます。
ルール 潜在的に悪意のあるホストに送信された E メール 機密ファイルを含む E メールを、フィッシング、スパム、マルウェア、ボットネット・コマンド・コントロール、暗号通貨マイニングなどの悪意のあるアクティビティーへの関与が確認されているホストに送信するとトリガーされます。
ルール 外部ホストからの添付ファイルを含む高インバウンド E メール 組織外のアドレスから、添付ファイルを含む E メールが多数送信されるとトリガーされます。 これは、多数の受信者を標的としたマルウェアの送信の試行を示している可能性があります。
注: 会社のサイズに合わせてしきい値を調整してください。
ルール 無許可ユーザーからの多数の E メール ホワイトリストに含まれていない E メール送信者から E メールを受信するとトリガーされます。 この動作により、広範囲に及ぶ感染を引き起こす試みが検出される可能性があります。 ほとんどの場合、E メールの大量送信をするのは、限られた数のエンティティーのみです。
注: 「Whitelisted Email Admins」 リファレンス・セットには、多数の E メールを一度に送信できる E メール・アドレスを取り込む必要があります。
ルール 疑わしい件名のインバウンド E メール (Inbound Email with Suspicious Subject) 疑わしい件名や、緊急度を示す件名の E メールを受信するとトリガーされます。
注: 「Phishing Subjects」 リファレンス・セットには E メールの件名の例が事前に取り込まれています。このリファレンス・セットは、新しいディスカバリーでチューニングできます。
ルール 疑わしい件名キーワードが含まれたインバウンド E メール (Inbound Email with Suspicious Subject Keywords) 疑わしい件名や、緊急度を示す件名の E メールを受信するとトリガーされます。
注: 疑わしいキーワードが含まれるように正規表現を更新してください。
ルール 別のユーザーによって削除されたメールボックス項目 メールボックスの項目がメールボックスの所有者以外のユーザーによって削除されるとトリガーされます。 メールボックスの権限の濫用を検出する可能性があります。
ルール 短期間でのメールボックス許可の追加と削除 短期間にメールボックス許可の追加と削除が行われるとトリガーされます。 ユーザーがアクセス権限を取得してから管理アクション (情報へのアクセスや情報の削除) を実行しようとしているか、転送ルールを作成してから権限を削除することでその行為が検知されないようにしている可能性があります。
ルール E メールによるデータ漏えいの可能性に関する特則 添付ファイルを含む多数の E メールが外部の E メール・アドレスに送信されていて、潜在的なデータ漏えいを示している場合にトリガーされます。
注意:"かつ、イベントが以下のいずれかに一致しない場合BB:BehaviorDefinition: 潜在的に敵対的な電子メール ホスト"という条件が追加されたのは、"潜在的に敵対的なホストに送信された電子メール"というルールが、疑わしいアドレスに送信された電子メールに対して警告を発するためです。 この追加の情報が必要な場合は、ルールからこのフィルターを削除してください。
ルール 高アウトバウンド E メールによるデータ漏えいの可能性 多数の E メールが、組織外の同一の E メール・アドレスに送信されるとトリガーされます。 これは、潜在的なデータの引き出しを示している可能性があります。
ルール メールボックス転送によるデータの漏えいの可能性 メールボックスの E メールが外部のアドレスに転送するように設定されている場合にトリガーされます。これは、潜在的なデータの漏えいを示している可能性があります。
ルール QNI: E メール添付ファイル (実行可能ファイルあり) 受信した E メール・フローに実行可能ファイルの拡張子の添付ファイルが含まれている場合にトリガーされます。
ルール QNI: ダブル・ファイル拡張子で実行可能ファイルが非表示になっている E メール添付 メールの添付ファイルの名前に、少なくとも 2 つの連続するファイル拡張子が含まれていて、そのうちいずれかが実行可能ファイルに関連付けられている場合にトリガーされます。 このルールにより、攻撃者が、悪意のある実行可能ファイルの末尾に悪意のないファイル拡張子を追加することで、実行可能なメール拡張子をブロックするセキュリティー・サービスをバイパスするケースに対応できます (例えば、virus.exe.txtpresentation.bat.pptx など)。また、実行不能ファイル拡張子の後に実行可能ファイル拡張子を付けたファイルを攻撃者が送信するケースにも対応できます。 これは、Windows などの一部のオペレーティング・システムがファイル・システム・エクスプローラーでファイルを表示するときにファイル拡張子を非表示にするため、ユーザーをだまして悪意のある実行可能ファイルを開くようにするために使用できます。 攻撃者がユーザーに Report.doc.js というファイルをダウンロードさせることに成功した場合、オペレーティング・システムで Report.doc のように表示される可能性があります (例えば、report.doc.jsnewsletter.pdf.exe などのファイル)。
注: Application プロパティーは調整できます。
ルール QNI: 潜在的な悪意のあるホストから受信した E メール 機密ファイルを含む E メール・フローを、フィッシング、スパム、マルウェア、ボットネット・コマンド・コントロール、暗号通貨マイニングなどの悪意のあるアクティビティーへの関与が確認されているホストから受信するとトリガーされます。
ルール QNI: 外部ホストからの添付ファイルを含む高インバウンド E メール 組織外のアドレスから、添付ファイルを含む E メールが多数送信されるとトリガーされます。 これは、多数の受信者を標的としたマルウェアの送信の試行を示している可能性があります。 注: 会社のサイズに合わせてしきい値を調整してください。
ルール QNI: 無許可ユーザーからの E メールの数が多い ホワイトリストに含まれていない E メール送信者を含むフロー・コンテンツから多数の E メールが送信されるとトリガーされます。 この動作により、広範囲に及ぶ感染を引き起こす試みが検出される可能性があります。 ほとんどの場合、E メールの大量送信をするのは、限られた数のエンティティーのみです。
注: 「Whitelisted Email Admins」 リファレンス・セットには、多数の E メールを一度に送信できる E メール・アドレスを取り込む必要があります。
ルール QNI: 疑わしい件名のインバウンド E メール (Inbound Email with Suspicious Subject) Threat Intelligence フィードに含まれている既知の件名と一致する E メールの件名がフロー・コンテンツに含まれているとトリガーされます。 これは、スパムまたはフィッシングを示している可能性があります。
注: 「Phishing Subjects」 リファレンス・セットには E メールの件名の例が事前に取り込まれています。このリファレンス・セットは、新しいディスカバリーでチューニングできます。
ルール QNI: 複数の送信サーバーからの潜在的なスパム/フィッシングの件名が検出されました 特定の期間に複数の送信サーバーから同じ件名の E メールが送信されている場合にトリガーされます。スパムまたはフィッシングの可能性があります。
注: カスタム関数 ISREPLY は、ストリングが、件名に「RE」があることによって示される応答 E メールの標準的な件名である場合に、true または false を返します。
ルール QNI : アクセスされたスパム/フィッシング URL X-ForceがスパムURLまたはフィッシングURLとして分類した URL にアクセスされた場合にトリガーされます。 スパムまたはフィッシングのキャンペーンの対象になったユーザーが悪意のある URL を開いたことを示している可能性があります。

次の表では、 IBM Security QRadar フィッシングおよび E メール・コンテンツ拡張 1.0.0のリファレンス・データを示しています。

表6。 IBM セキュリティー QRadar フィッシングおよび E メール・コンテンツ拡張 1.0.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・データ pulse_imports Pulse ダッシュボードの一部。
リファレンス・セット 企業 E メール・ドメイン 組織内の E メール・ドメインをリストします。
リファレンス・セット 実行可能ファイルの拡張機能 実行可能ファイルとして識別された拡張子をリストします。
リファレンス・セット Phishing Subjects 識別されたフィッシングの件名をリストします。
リファレンス・セット ホワイトリストにある E メール管理者 特定の許可があるとしてホワイトリストに追加された、組織内の E メール・アドレスをリストします。

( 上に戻る )