標的型攻撃

IBM® QRadar® は、従業員がフィッシング E メールに添付ファイルを故意に開封した場合など、標的型の脅威を検出するのに役立ちます。

標的型攻撃の使用例では、フィッシングメールからダウンロードされたファイルがマルウェアになり、従業員のワークステーションに感染し、コマンドアンドコントロールサーバー(C& C)への接続が確立されます。 攻撃者は、感染したワークステーションを使用してネットワーク・インフラストラクチャー内を移動し、重要な企業資産を検索します。

感染したワークステーションとサーバー・ネットワークの間にファイアウォールが配置されている場合、 QRadar は過剰な数のファイアウォール拒否イベントを検出し、オフェンスを生成します。 攻撃が継続すると、 QRadar は、重要なデータをホストしているサーバーへのローカル・データベース接続が確立されたこと、および感染したワークステーションがこのサーバーからデータをダウンロードするために使用されていることも検出します。 これらのイベントはすべて、調査のために単一のオフェンスとしてチェーニングされます。

脅威のシミュレーション

QRadar がどのように攻撃を検出するかを確認するには、 標的型攻撃 のシミュレーション・ビデオを視聴してください。

QRadarでシミュレーションを実行するには、以下の手順を実行します。
  1. 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
  2. 「脅威シミュレーター」をクリックします。
  3. 「ターゲット・アタック」 シミュレーションを見つけ、 「実行」をクリックします。
「ログ・アクティビティー」タブで、以下の着信イベントを確認できます。これらの着信イベントは、ユース・ケースをシミュレートするために使用されます。
表 1. 「標的型攻撃 (Targeted Attack)」ユース・ケースの着信イベント
内容 説明
イベント その他の GET 要求 (Misc GET Request)

ファイアウォールのドロップ

確立

SFTP セッションのオープン

SFTP セッションのクローズ
ログ・ソース エクスペリエンス・センター: Bluecoat @ bluecoat.think2019.test

エクスペリエンス・センター: Checkpoint @ checkpoint.firewall-1.test.com

エクスペリエンス・センター: Oracle DB @ 192.168.15.125

エクスペリエンス・センター: LinuxOS @ 192.168.15.25

イベントはループで再生され、同じユース・ケースが複数回繰り返されます。 シミュレーションを停止するには、 「脅威シミュレーター」 タブで 「停止」 をクリックします。

脅威の検出: QRadar の動作

QRadar のカスタム・ルール・エンジン (CRE) コンポーネントは、着信イベントおよびフローの処理を担当します。 CRE は、イベントおよびフローを一連のテスト (ルールとも呼ばれる) と比較し、特定の条件が満たされた場合に、ルールによってオフェンスが作成されます。 CRE は、時間の経過に伴うルール・テストとインシデントの数を追跡します。

オフェンスの発生を把握することは、最初の一歩にすぎません。 QRadar を使用すると、詳細な分析を行い、どのように発生したのか、どこで発生したのか、誰が行ったのかを簡単に特定できます。 オフェンスに索引を付けると、同じ脅威名を持つすべてのイベントが 1 つのオフェンスとして表示されます。

脅威の調査

このシミュレーションに寄与する QRadar コンテンツ (ルール、保存済み検索、オフェンス、リファレンス・セットなど) のリストを表示するには、以下の手順を実行します。
  1. IBM QRadar Experience Center アプリケーションを開きます。
  2. 「脅威シミュレーター (Threat simulator)」ウィンドウで、シミュレーションの「続きを読む (Read More)」リンクをクリックし、確認するコンテンツのタイプを選択します。

    あるいは、「ログ・アクティビティー」タブから、クイック検索「EC: 標的型攻撃イベント (EC: Targeted Attack Events)」を実行して、オフェンスに関連するすべてのイベントを表示することもできます。