フィッシング・メール攻撃 (Phishing mail attack)
脅威のシミュレーション
「フィッシング・メール攻撃 (Phishing mail attack)」では、脅威の行為者は偽装した E メールを武器として使用し、メールの受信者を騙して、E メール・メッセージが受診者にとって必要なもの、または求めていたものであると信じ込ませようとします。 例えば、企業の人事部から送信されたように見える E メールが、悪意のある添付ファイルを開かせることなどによって、ユーザーにパスワードを不用意に暴露させてしまう場合があります。
- 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
- 「脅威シミュレーター」をクリックします。
- 「フィッシング・メール攻撃 (Phishing mail attack)」シミュレーションを見つけて、「実行」をクリックします。
「ネットワーク・アクティビティー」 タブで、E メール通信の開始を表す一連のネットワーク・フローが QRadarに表示されます。
脅威の検出: QRadar の動作
このシミュレーションでは、 QRadar は、 QRadar Network Insights からのネットワーク・フローを調べ、組織の E メールのすべての件名行を、既知のフィッシング E メールの件名のリストを含むリファレンス・セットと比較します。
QRadar が、疑わしいフィッシング E メールを含むネットワーク・フローを検出し、同様のフローが 15 分以内に 5 回検出されると、ルールがトリガーされます。 潜在的な脅威についてユーザーに警告するために、カスタム・ルール・エンジン (CRE) は「フィッシングの可能性があるメールの受信 (Exp Center) (Potential phishing mail received (Exp Center))」という名前のオフェンスも作成し、オフェンスの作成に寄与したすべてのフローを同じオフェンスに関連付けます。
このシミュレーションでは、リファレンス・セットにユース・ケースをサポートするためのデータが取り込まれます。 リファレンス・セットは、通常、Threat Intelligence Platform の脅威フィードを使用して設定されます。 IBM Security App Exchangeで無料でダウンロードできる IBM QRadarThreat Intelligence アプリケーションは、脅威フィードをセットアップし、 QRadarで最新の状態に保つのに役立ちます。
脅威の調査
以下の IBM QRadar コンテンツは、 「フィッシング・メール攻撃 (Phishing mail attack)」 脅威シミュレーションによって作成されます。 シミュレーションを実行した後、このコンテンツを使用して脅威を追跡および調査できます。
| 内容 | 名前 |
|---|---|
| 保存済み検索 | EC: フィッシング・メール攻撃 (EC: Phishing Mail Attack) この検索には、パケット数、転送バイト数、およびその他の通信の詳細を報告する IPFIX フロー・レコードは含まれません。 この検索では、オフェンスを生成するイベントのみが返されます。 |
| 着信フロー | 3 つの異なる E メール通信を含む着信フロー。そのうちの 1 つは、E メールの件名に基づいて疑わしいと見なされます。 |
| ルール | EC: フィッシングの可能性があるメール (EC: Potential Phishing Mail) |
| 生成されるイベント | フィッシングの可能性があるメールの受信 (Exp Center) (Potential phishing mail received (Exp Center)) QRadar によって生成されるイベントのログ・ソースは、カスタム・ルール・エンジン (CRE) です。 |
| オフェンス | フィッシングの可能性があるメールの受信 (Exp Center) (Potential phishing mail received (Exp Center)) オフェンスには、「送信元 IP アドレス (Source IP address)」に基づいて索引が付けられます。つまり、このルールをトリガーしたイベントのうち、同じ送信元 IP アドレスを持つすべてのイベントが、同じオフェンスに属します。 ユース・ケースを実行する前に環境内に存在していたイベントおよびルールに応じて、オフェンスの名前には、 の前に <「オフェンス名」> が付くか、 に <「オフェンス名>」が含まれる場合があります。 |