AWS クラウド攻撃 (AWS Cloud Attack)

IBM® QRadar® は、 Amazon Web Services (AWS) クラウド環境をモニターするのに役立ちます。これにより、高リスクの構成ミス、ターゲットを絞った脅威、およびクラウド・リソースの活用を素早く検出できます。

AWS Cloud attack ユース・ケースでは、 QRadar が Amazon Web Services (AWS) への疑わしいログインを検出し、その後に大量の Amazon Elastic Compute Cloud (EC2) インスタンスが作成され、 Amazon Simple Storage Service (S3バケットからの潜在的なデータ引き出しが示されます。

シミュレーションで示されている攻撃は、疑わしい添付ファイルを含むスパム E メールである可能性があることを示すメール・サーバーの情報メッセージから始まります。 添付ファイルが開かれた直後に、 QRadar は、単一のオフェンスに寄与する一連のイベントを検出します。これは、アクティブな脅威が発生していることを示している可能性があります。

脅威のシミュレーション

QRadarAWS Cloud Attackを検出した方法を確認するには、 AWS Cloud Attack シミュレーション・ビデオをご覧ください。

QRadarでシミュレーションを実行するには、以下の手順を実行します。
  1. 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
  2. 「脅威シミュレーター」をクリックします。
  3. 「AWS クラウド攻撃 (AWS Cloud Attack)」シミュレーションを見つけて、「実行」をクリックします。
「ログ・アクティビティー」タブで、以下の着信イベントを確認できます。これらの着信イベントは、ユース・ケースをシミュレートするために使用されます。
表 1. 「AWS クラウド攻撃 (AWS Cloud Attack)」ユース・ケースの着信イベント
内容 説明
イベント メール・サーバー情報メッセージ

プロセス作成

コンソール・ログイン

実行インスタンス

リスト・バケット

オブジェクトの取得
ログ・ソース エクスペリエンス・センター WindowsAuthServer @ IE8WIN7

エクスペリエンスセンター AWS シスログ 192.168.0.17

エクスペリエンスセンターシスコ IronPort @ 192.168.0.15

イベントはループで再生され、同じユース・ケースが複数回繰り返されます。 シミュレーションを停止するには、 「脅威シミュレーター」 タブで 「停止」 をクリックします。

脅威の検出: QRadar の動作

QRadar のカスタム・ルール・エンジン (CRE) コンポーネントは、着信イベントおよびフローの処理を担当します。 CRE は、イベントおよびフローを一連のテスト (ルールとも呼ばれる) と比較し、特定の条件が満たされた場合に、ルールによってオフェンスが作成されます。 CRE は、時間の経過に伴うルール・テストとインシデントの数を追跡します。

オフェンスの発生を把握することは、最初の一歩にすぎません。 QRadar を使用すると、詳細な分析を簡単に実行して、どのように発生したか、どこで発生したか、誰が行ったかを特定することができます。 オフェンスに索引を付けると、同じ脅威名を持つすべてのイベントが 1 つのオフェンスとして表示されます。

脅威の調査

このシミュレーションに寄与する QRadar コンテンツ (ルール、保存済み検索、オフェンス、リファレンス・セットなど) のリストを表示するには、以下の手順を実行します。
  1. IBM QRadar Experience Center アプリケーションを開きます。
  2. 「脅威シミュレーター (Threat simulator)」ウィンドウで、シミュレーションの「続きを読む (Read More)」リンクをクリックし、確認するコンテンツのタイプを選択します。

    あるいは、「ログ・アクティビティー」タブから、クイック検索「EC: AWS クラウド攻撃イベント (EC: AWS Cloud Attack Events)」を実行して、オフェンスに関連するすべてのイベントを表示することもできます。