ログと共に、フロー(ネットワーク・トラフィック)情報を取得することで、例えば通信のサイズや、一連の通信時間がわかるようになり、より確実に脅威を検知できるようになります。
例えば、エンドポイントとサーバーの通信において、宛先IP、日時、ポート番号、そして「許可」したという情報を見ることができますが、エンドポイントからサーバーへの「行き」の情報と、サーバーからエンドポイントへの「返り」の情報は紐づけられていませんし、同一セッションの後続のログであるかどうかも紐付けられていません。どのセッションがどこまで続いているのか、これはアナリストの方のスキルや別途ルールによって補う必要が出てきます。フロー一方フローはエンドポイントとサーバー間の通信のセッション全体を見ていくことができます。ログがパケット単位での情報取得に対して、フローはログだけではわからないセッションの開始時刻、終了時刻、パケット数、バイト数、といった情報を取得することができます。セッションの開始から終了までのデータ量を記録しているとイメージいただければと思います。まとめると、送信元・宛先IPやポート番号などに加え、セッション全体の開始時刻や終了時刻、パケット数、バイト数といった部分がフローで取得できる特有の情報になります。特にパケット数、バイト数に関しては、内部データの流出や、外部からのダウンロードなどの異常を検知する上で非常に重要です。ファイアウォールのログにバイト数が含まれることもありますが、セッション単位ではなくあくまで1つのパケットサイズに関する情報であることが一般的です。フローを活用した検知ルール
QRadar SIEMでは、フロー情報を利用し、通信量をもとにしたルールでの脅威検知が可能となっています。先ほどの例のように、認証失敗の後に認証に成功したユーザーが、さらに大量のデータ転送を行っていたということがフロー情報からわかっている時、より危険な状態であるということで、高い優先度でアラートが上がるようにルールを構成できます。
Copy