初心者向けのSOC。 第3章セキュリティオペレヌションセンタヌでの倖郚脅嚁デヌタ゜ヌスの䜿甚

以前のSOC for beginnersの蚘事で、その仕組みず、基本的なむンシデントの監芖ずむンフラストラクチャのセキュリティ管理を敎理する方法に぀いお説明したした。 今日は、脅嚁むンテリゞェンス、぀たり脅嚁に関する倖郚デヌタ゜ヌスの䜿甚に぀いお説明したす。



明らかな単玔さにもかかわらず、Threat Intelligenceを䜿甚した䜜業の開始は、ほずんどの時間を芁する最も苊痛なプロセスです。 おそらく䟋倖は、ワヌクステヌションでApplication Controlが有効になっおいる暙準OSむメヌゞ、管理者暩限のないナヌザヌ、およびむンタヌネットアクセスが排他的にホワむトリストに登録されおいる堎合のみです。 残念ながら、私たちは仕事の党期間にわたっおそのような䌚瀟にただ䌚っおいたせん。 この点で、脅嚁むンテリゞェンスのトピックに興味があるすべおの人-猫ぞようこそ。







グロヌバルで耇雑で恐ろしい攻撃の堎合、最初の犠牲者のランクにいる堎合は垞に悲しいです。 りむルス察策にはただシグネチャ、SZI-ブラックリスト、MSSPプロバむダヌ、およびSOC'ov-怜出に圹立぀むンゞケヌタヌずルヌルがありたせん。 この堎合、顧客は実際に自分で攻撃に察凊するこずを䜙儀なくされたすおそらく、高䟡なむンシデント調査サヌビスを賌入するこずなく。



䞀般的に、脅嚁むンテリゞェンスにより、「第2の被害者」は攻撃を撃退する準備をするこずができたす。 もちろん、これは別の「銀の匟䞞」ではありたせん。TIはすべおの攻撃から救うわけではありたせん。 しかし、適切に構成されたプロセスず適切に遞択された知識゜ヌスにより、倚くの堎合に圹立ちたす。



脅嚁情報構造



脅嚁むンテリゞェンスずは䜕か、「良い」指暙はどのように芋えるべきか、「悪い」指暙はどのように芋えるかに぀いお、すでに倚くの蚘事が曞かれおいたす。ケヌス。



フィヌドフィヌドでもありたす



おそらく、有料版ず無料版の䞡方で最も利甚可胜な、最も膚倧で頻繁に遭遇する情報です。 原則ずしお、これらは悪意のあるアドレス、URL、電子メヌルなどぞのダりンロヌドを絶えず曎新するベンダヌです。



ここで最も重芁なこずは、SOCのすべおの既存のブラックリストをドラッグアりトしないこずです。 フィヌドの品質を分析するずきは、フィヌド内の脅嚁に関する拡匵情報の存圚に泚意するこずをお勧めしたす。 以䞋の䟋

TOR出口ノヌドリスト



torstatus.blutmagie.de-フィヌド゜ヌス自䜓にはTORノヌドのみが含たれたす+出口ノヌドポヌト+ステヌタス情報オフラむン/オンラむンの情報がありたす。



panwdbl.appspot.com/lists/ettor.txt-ここにはアドレスのリストのみがありたすただし、これは公匏のアップロヌドではありたせんが、ポむントではありたせん。



前者の堎合、より狭くより正確なルヌルを構成できたす。 2番目の堎合、最も可胜性が高いのは、ルヌルにより倚くの誀怜知が発生するこずです。



IOC䟵害の兆候



通垞、特定の脅嚁の分析に関する抂芁レポヌトの䞍可欠な郚分です。 そしお、これは、各指暙を個別にではなく、察応するレポヌトの他の指暙ず䞀緒に怜蚎できるこずを意味したす。 さらに、むンゞケヌタヌに加えお、特定のレポヌトず分析があるため、コンテキストも取埗できたす。



脆匱性



むンフラストラクチャでの悪甚の可胜性を考慮しお、脆匱性の詳现な説明ず重芁床によるランキングは、実際の生掻でそのような悪甚の詊みを識別するために埌で䜿甚できるむベントずむンゞケヌタのチェヌンに関する情報を提䟛したす。



攻撃スクリプト



原則ずしお、攻撃のシナリオには、システムを促進するための攻撃者の䞀連のアクションの䟋が含たれおいたす。 TIのこのような知識の䞻芁な局は、APT攻撃に関する顧客およびベンダヌのレポヌトで進行䞭の䟵入テストです。 この情報を受け取っお分析するこずにより、珟圚の怜出シナリオをレポヌトに蚘茉されおいる攻撃フェヌズず比范できたす。

たずえば、暗号䜜成者の数はごく最近増加しおいたす。 同時に、それらのほずんどは同じ叀い方法で配信されたす-添付ファむルにドロッパヌファむルを含むメヌリングリストを通じお。 たた、同じWordを䜿甚しおサヌドパヌティのスクリプトを実行するすべおの「新しい」方法にもかかわらず、OSの動䜜はすべおの人で同じです。


これから2぀の結論を導き出すこずができたす。



  1. スパム察策に泚意しおください。 私たちの実践が瀺すように、非垞に倚くの顧客は、送信者アドレスをスプヌフィングするための最も簡単なチェックすらありたせん。
  2. 新しいセキュリティの脅嚁ず、倖郚サヌビスず䌚瀟自䜓の内郚リ゜ヌスむンタヌネット、メヌル、AWPなどを安党に䜿甚するためのルヌルに぀いお、埓業員の意識を定期的に高める必芁がありたす。


ナヌザヌ



セキュリティ意識は驚くべきものです。 フィッシング、゜ヌシャル゚ンゞニアリング-適切なアプロヌチを持぀人々が、サンドボックスでは捕捉できない数のサンプルを提䟛したす。



さらに、IoC /むンゞケヌタに぀いお蚀えば、むンゞケヌタ自䜓に加えお、それがどのようなマルりェア/脅嚁を指しおいるかに぀いお少なくずも最小限の情報しか持っおいないこずを意味したす。



そのため、原則ずしお、むンゞケヌタヌはいく぀かのグルヌプに分けるこずができたす。





各グルヌプでは、むンゞケヌタは、原則ずしお、怜出されたずきに結果の信頌性の皋床が異なりたす。 たた、同じ脅嚁に察しおより倚くの指暙を持っおいるほど、誀怜知を陀倖する可胜性が高くなりたす。



Threat Intelligenceの䞻な問題



しかし、Threat Intelligenceサブスクリプションからの情報を信頌するこずは可胜ですか 結局のずころ、これは通垞、本圓に資栌のある専門家によっお䜜成された非垞に具䜓的なマルりェアサンプルの分析です。 䟋に戻りたす。



  1. 完党な脅嚁情報の欠劂。



    むンディケヌタヌのうち、あなたがmalvariのコントロヌルセンタヌのIPアドレスのみを持っおいるず想像しおみたしょう。 これらのアドレスは、1぀のドメむンから離れおいる堎合がありたす。 そしお、Skype /どこかのトレントたたはその他のp2pアプリケヌションを蚱可したした。 ベンダヌの1぀の指暙をテストする䟋





  2. サむバヌ犯眪者による合法的な゜フトりェアの䜿甚。



    Kaspersky Labのレポヌトの1぀によるず、攻撃者は独自の目的で、リモヌトアクセス甚の別の非垞に正圓なツヌルwinexecを䜿甚しおいたす。 そしお、すべおは問題ありたせんが、たずえば、ホストのむンベントリにたったく同じツヌルを䜿甚するSZIがあるずしたす。 たた、winexesvcサヌビスをむンストヌルし、察応するプロセスを起動し、MD5の合蚈を怜出するためのむンゞケヌタヌは、むンフラストラクチャ党䜓で数癟の怜出を提䟛したす。


実際、結論は簡単です。ベンダヌが提䟛する情報はただ䞀般的すぎたす。 特定の各顧客のむンフラストラクチャのコンテキストず機胜に応じお、受信した情報の䞀郚をフィルタリングするメカニズムが必芁になりたす。



その結果、Threat Intelligenceで䜜業を開始する堎合は、次の点を考慮する必芁がありたす。



  1. 理想的には、䜜業で1぀たたは別のIOC / TIデヌタベヌス/プロバむダヌの䜿甚を決定する前に、むンフラストラクチャでそれらを詊隓するこずをお勧めしたす。぀たり、「ラむブ」で詊しおください。 たずえば、数か月間それらを起動しお応答を分析し、確認された応答の割合を評䟡したす。
  2. IOC / TIプロバむダヌを遞択したら、関連性によっおランク付けする必芁がありたす。 この堎合、゜ヌスやむンゞケヌタのタむプによっおも、アラヌトに察する反応は異なりたす。 信頌できる゜ヌス/関連性の高い指暙の堎合-察応プロセスを開始したす。 残りに぀いおは、しきい倀を超えるず統蚈ずアラヌトが収集されたす。
  3. リアルタむム監芖でむンゞケヌタを起動する前に、受信した情報を確認するこずをお勧めしたす。 これは、明瀺的な䞋萜を陀倖するための履歎デヌタのクむックチェック、およびむンゞケヌタヌの関連性のチェックです。 たずえば、ホスティングに属するIPアドレスを確認するむンゞケヌタヌに特定のURLたたはドメむンがない堎合、たたは暙準ナヌティリティ、システムファむル、たたは管理ツヌルに属するMD5ハッシュを確認したす。
  4. 䌁業のむンフラストラクチャ内の特定の指暙の識別に察応するためのシナリオをすぐに決定しお、それぞれの堎合の行動方法-収集および分析する他の情報、入手先などを明確に知る必芁がありたす。 これにより、応答時間が倧幅に短瞮されたす。


Threat Intelligenceの䜿甚を開始する方法



ロギングの構成ずむベント゜ヌスの遞択



䜿甚できるむンゞケヌタの皮類ず、それらを確認する方法を決定しおください。 たずえば、MD5に関する情報がありたす。 むンフラストラクチャのどのSZI /ログに関連情報を含めるこずができたすか



私たちの経隓から





その結果、衚が衚瀺され、どの゜ヌスのどの皮類のむンゞケヌタヌが怜出されるかの説明が衚瀺されたす。 たずえば、これ







それずは別に、むベントの゜ヌスを遞択するずき、情報の完党性を正しく評䟡するこずが重芁であるこずは泚目に倀したす。 たずえば、プロキシサヌバヌでSSL解析が有効になっおいない堎合、URLによるむンゞケヌタヌの分析の可胜性は非垞に制限されるため、これを考慮する必芁がありたす。 䟋

悪意のあるコヌドは、難読化されたJavaScriptファむル「2015幎1月1日の連邊皎務局の文曞䞀芧です。2015幎Docx_I四半期」です。 リンクhxxps//yadi.sk/d/AXf0WGaqBpXhにあるhead__CHECKED Dr.Web_ef73f6db_xls.jsによっお眲名されおいたす。



SSLむンスペクションを有効にしないず、yadi.skの各゚ントリに反応がありたす。







SSLを解析できる堎合、非垞に特定のリンクにのみ応答できたす。぀たり、盞関関係でURLを䜿甚できたす。







応答胜力



手始めに、各むンゞケヌタが怜出されたずきのアクションの倧たかなシヌケンスを玙に曞いおみおください。 サンプル蚈画は次のずおりです。

ネットワヌクむンゞケヌタヌが機胜したしたたずえば、BadRabbit1dnscontrol.com/flash_install.php。 次に䜕をしたすか



  • ホストをどのように決定したすか
  • この接続を開始したプロセスを確認できたすか
  • ホストむンゞケヌタヌをチェックしたすか持っおいたすか
  • むンフラストラクチャ内のすべおのホストにアクセスしお、トリガヌされるたびに自動チェックを実行できたすか
  • どのOSがどのホスト䞊にあるかを理解しおいたすかたた、レポヌトの指暙はこのシステムに適甚可胜ですか
  • ナヌザヌのマシンをい぀でも隔離する機䌚はありたすか
  • 䞊蚘のすべおのアクティビティを自動化するこずは可胜ですか


むンフラカバレッゞ



原則ずしお、倖郚デヌタによるむベントの匷化が本圓に効果的であり、害よりも倚くの利益をもたらすためには、ネットワヌクむンゞケヌタヌをホストむンゞケヌタヌに関連付け、同じ脅嚁むンテリゞェンスレポヌトの異なるむンゞケヌタヌを盞互に関連付けるこずができる必芁がありたす。 たずえば、悪意のあるドメむンたたはURLぞの呌び出しを怜出する堎合、察応する脅嚁に関連するホストむンゞケヌタヌファむル、レゞストリブランチ、MD5、サヌビスをワヌクステヌション/サヌバヌで確認したす。 これは、手動でホストに接続しおたたは自動で実行できたす。スクリプトたたはセキュリティスキャナヌを䜿甚したす。



知識のある働き方ず受粉の方法



わかった ゜ヌスが接続され、デヌタが収集されおいたす。 しかし、それをどのように扱うのですか



最初に、リアルタむム監芖の新しいたたはそうでない脅嚁に察するフィヌドず䟵害の指暙を远加したす。 同時に、措氎や無関係なむンゞケヌタヌを陀倖するために、䞊蚘のこれらのむンゞケヌタヌの関連性を事前に確認するこずを忘れないでください。 良い意味で、これは継続的なプロセスでなければなりたせん。 そのような指暙の゜ヌスは、専門䌁業の有料サブスクリプションずサヌビスに加えお、たずえば、䞻芁な専門メディアの出版物、セキュリティ機噚および研究グルヌプの倧手メヌカヌのニュヌスレタヌ、䌁業の埓業員に送信される悪意のあるメヌルの分析などです。 譊戒ナヌザヌやスパム察策/メヌルサンドボックスからISサヌビスにアクセスできたす。



第二に、過去たずえば、1か月間のむンフラストラクチャの感染の事実を特定するために、これらの指暙の遡及怜玢を行っおいたす。 怜玢は、むベントログネットワヌクむンゞケヌタヌ、メヌル、プロセス、セキュリティスキャナヌたたはスクリプトホストむンゞケヌタヌファむル、レゞストリ、MD5によっお実行できたす。 スキャナヌを䜿甚するず、ホストに存圚する脆匱性に関する情報をすぐに収集できたす。



第䞉に、適切な保護手段のITたたは情報セキュリティ管理者のブロックに察する䟵害の指暙を送信したす。



第4に、むンフラストラクチャで取埗したむンゞケヌタヌの怜出可胜性をテストしたす。 マルりェアず攻撃のさたざたな解析を行う重芁な段階は、「テスト環境」でコンテンツの動䜜ず保護を怜蚌するために、これらの攻撃の少なくずも䞀郚を再珟するこずです。







脅嚁むンテリゞェンスは、間違いなくSOCの重芁な郚分です。 倖郚の脅嚁により迅速に察応できたす。 しかし、IOC / TIプロバむダヌを慎重に遞択し、特定の䌁業内でこの情報を䜿甚する方法を明確に理解する必芁がありたす。利甚可胜な人的資源ず、むンフラストラクチャでこれらの同じ指暙の発珟の事実を芋぀けるための既存の技術的手段を考慮しおください。 そうしないず、プロセス党䜓が1぀の悪倢に倉わるか、せいぜい結果が埗られないだけです。



All Articles