Amazon AWS クラウド・オフェンス・データの視覚化

「AWS オフェンスの概要 (AWS Offense Overview)」ダッシュボードは、セキュリティー・アナリストが AWS の潜在的なオフェンスを視覚化するのに役立ち、ニーズに合わせてさまざまな形で編成できます。

「AWS オフェンスの概要 (AWS Offense Overview)」ダッシュボードでは、以下のグラフですべてのオープン状態のオフェンスのデータが表示されます。
  • マグニチュード別のすべてのリージョン
  • 関連ルール別のすべてのリージョン
  • マグニチュード別の上位 10 個のアカウント ID
  • 関連ルール別の上位 10 個のアカウント ID
  • マグニチュード別の上位 10 個のリソース・タイプ
  • 関連ルール別の上位 10 個のリソース・タイプ
  • MITRE 戦術およびルール別の合計オフェンス数 (このグラフは、 IBM® QRadar® Use Case Manager がインストールされている場合にのみ使用可能です。)
  • 最も重大なオフェンス
  • マグニチュード別のオフェンスの場所
  • マグニチュード・レベル標識
ダッシュボードには、ユーザーまたはリージョンでオフェンスをソートするグラフが組み込まれています。 グラフには、オフェンスのマグニチュードとルールごとのオフェンス数も表示されます。 グラフではさまざまな理由によりリージョンが「不明」として分類される場合があります。
  • Amazon AWS ログを処理するログ・ソースでリージョンが特定されなかったため、そのリージョンがイベント・データに含まれなかった。
  • Ariel データベースが過負荷になったため、アプリケーションは Ariel データベースからイベントを正しく取得できなかった。 このため、一部のオフェンスに関して、イベント・データにリージョン情報が含まれていない。

オフェンス・データは、円グラフ形式または棒グラフ形式で表示できます。 ビューを切り替えるには、「グラフの表示 (View Chart)」アイコンをクリックします。 セクションにポインターを置くと、色が示す意味やその表示に関連するルールのパーセンテージなどの詳細が表示されます。 「凡例の表示 (Show legend)」をクリックすると、ルールとその色の凡例が表示されます。 また、「マグニチュード別のすべてのリージョン (All regions by magnitude)」および「関連ルール別のすべてのリージョン (All regions by related rule)」グラフで「表の表示 (View Table)」アイコンをクリックして、情報の表示をグラフ形式と表形式で切り替えることもできます。

グラフのいずれかで特定の情報を表示する場合は、クリックした場所またはユーザーに関連したオフェンスのリストにドリルダウンできます。 オフェンスの関連リストのグラフ・セクションにドリルダウンします。 例えば、あるユーザーに関連したオフェンス・リストについての詳細情報と、棒グラフで表現されるそのルールを表示できます。 この情報を表示するには、そのユーザー内のオフェンスに関するさまざまな詳細レベルにドリルダウンしてから、オフェンスをクリックして QRadarで詳細を表示します。

グラフと併せて、重大なオフェンスの表、マップ、およびマグニチュード・レベル標識を使用して、オフェンスに関する詳細情報を把握できます。 最も重大なオフェンスは、別個の表にリストされます。この表でオフェンスをクリックして詳細を表示できます。 マップは、オフェンスのマグニチュード別にオフェンスを表示します。これには、リージョンまたはユーザーの場所と、それらの場所のオフェンスの重大度が含まれます。 マグニチュード・レベル標識は、マグニチュードごとのオフェンスのパーセンテージを表示します。 マグニチュード・レベル標識にポインターを置くと、平均オフェンス・マグニチュードが表示されます。

データを確実に最新のものにするには、概要タイトル・バーで「最新表示」をクリックします。 ページを最後に最新表示した時期を確認することもできます。 特定の期間のオフェンス作成のスナップショットを保存したい場合は、グラフとマップのデータを保存できます。 マップとグラフは、 QRadar Cloud Visibilityを使用して PNG 形式でダウンロードできるため、これらのイメージを保存して、マネージャーや同僚と共有することができます。

トレンド

「トレンド (Trends)」タブをクリックすると、特定の期間に作成された新規オフェンスのトレンドを確認できます。 このタブは、5 分を超えた後に再オープンされた場合、自動で最新表示されます。 デフォルトでは、過去 24 時間のオフェンス作成タイムラインを表示するように設定されています。 過去 7 日間および過去 30 日間のオフェンス・タイムラインを表示することもできます。 表示されるのは、新規オフェンスのタイムラインのみです。

特定の期間のオフェンス作成のスナップショットを保存したい場合は、グラフ・データを保存できます。 グラフは QRadar Cloud Visibilityを介して PNG 形式でダウンロードできるため、これらのイメージを保存して、マネージャーや同僚と共有することができます。

ダッシュボード・ビューに戻るには、「現在の状況 (Current Status)」タブをクリックします。 表示する日時範囲は、「トレンド (Trends)」ページの「フィルター」サイドバーで選択できます。

フィルター

オフェンス・ダッシュボードにはフィルターがあるため、表示するオフェンスを選択できます。 これらのフィルターは、1 つのグラフだけではなく、ダッシュボード全体に適用され、表示しているクラウド・サービスによって異なります。 ページの左上にあるフィルター・アイコン (「フィルター」アイコン) をクリックして、 「フィルター」 サイドバーにアクセスします。

以下のフィルターによって、「AWS オフェンスの概要 (AWS Offense Overview)」ダッシュボードを微調整します。
オフェンス状況 (Offense Status)
概要グラフで表示する状況タイプ (オープン状態のすべてのもの、アクティブなもののみ、クローズ状態のもの) を選択します。
オフェンスの開始日
QRadar Cloud Visibilityでオフェンスが最初に検出されたときにグラフに表示する日付範囲を構成します。
マグニチュード
概要グラフに表示するオフェンスのマグニチュードを選択します。 グラフは、選択したマグニチュードによる影響も受けます。
「ログ・ソース・タイプ」および「ログ・ソース」
表示するオフェンスのログ・ソース・タイプおよび特定のログ・ソースを選択します。 あるいは、選択したログ・ソース・タイプのすべてのログ・ソースを選択することもできます。

QRadar Cloud Visibility V1.3.0 以降では、管理者は、どのログ・ソース・タイプおよびログ・ソースがダッシュボードに寄与するかをカスタマイズできます。

リージョン
Amazon クラウド・コンピューティング・リソースがホストされている世界の地理的地域です。
アカウント ID
表示するオフェンスの Amazon AWS アカウント ID を選択します。
リソース・タイプ
表示するオフェンスの Amazon AWS サービス・リソースを選択します。
ルール・グループとルール
表示するオフェンスのグループまたは個々のルールを選択します。

「その他」カテゴリーには、さまざまなコンテンツ・パックからのカスタム・ルールやルールなど、要因となるルールが含まれています。 ダッシュボードに意図しないルールが表示される場合は、ルールの調整を検討してください。

Amazon AWS オフェンスの概要

図 1. AWS におけるマグニチュード別のリージョン、上位 10 個のアカウント ID、および上位 10 個のリソース・タイプ
マグニチュード別にオフェンスを示すグラフのイメージ。
図 2. AWS における関連ルール別のリージョン、上位 10 個のアカウント ID、および上位 10 個のリソース・タイプ
ルール別のオフェンスを示すグラフのイメージ
図3: AWS における MITRE 戦術およびルール別の合計オフェンス数、最も重大なオフェンス、マップ、およびマグニチュード・レベル標識
重大なオフェンスのグラフ、オフェンスの場所を示すマップ、マグニチュード・レベル標識のイメージ。MITRE 戦術およびルール別の合計オフェンス数、重大なオフェンスのグラフ、オフェンスの場所を示すマップ、およびマグニチュード・レベル標識のイメージ。