みなさま
こんにちは。テックセールスの瀧石です。
清水からバトンタッチし、今回から私がご紹介します。よろしくお願いします。
今回は「QRadar SIEM 入門編」のPart4をお届けします。
いよいよ実際の画面が登場します!少し細かくなりますので、これまでの連載もご活用いただきつつ読んでいただければと思います。
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」Part2「QRadar SIEMとリアルタイム分析」Part3「フロー」Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」それでは、【QRadar SIEM 入門編:Part4 「ログの正規化と分析」】始まり始まり〜。
正規化からオフェンスまでまず、QRadar SIEMに取り込まれたログからオフェンスとして検知するまでの流れをご説明します。
オフェンスとは、QRadar SIEMにおける
アラートの呼び方です。
QRadar SIEMは収集対象の機器からログを取り込む際に、デバイス・サポート・モジュール(DSM)という技術を用いて収集するログを正規化します。これは「情報の整理」としてお考えください。
下図で、収集対象のファイアウォールが異なる製品の3台であった場合には、ログを取り込む際にDSMにて正規化され、QRadarでは「ファイアウォールの拒否」として一元的な意味に整えられます。
次に、正規化された表現がルールに該当するかどうかを判断し、該当した場合にオフェンスと判断されます。
こうした正規化をすることによって、QRadar は統一されたルールで様々なログからオフェンスをあげることが可能になります。
また、アナリストの方は様々なログのペイロードの表現を知らなくても、正規化された情報でログを検索することができます。
では、実際にログがどのように正規化されるかについて見てみましょう。
ログの正規化下図左側にあるログは、データベース監視製品であるIBM Security Guardiumから出力されたオリジナルログです。
ご想像いただけるかと思いますが、ログのペイロードから情報を読み取ることは、スキルを持った人でも非常に手間のかかる作業です。
QRadar SIEMでは、収集したログを下図右のように、DSMというパーシング機能を使って項目毎に自動的に整理します。このことにより、ログにどのような情報が含まれているのか分かりやすくなります。
ここで、一つ注目していただきたいのは右青枠にあるカテゴリーです。
QRadar SIEMでは、収集したログが、どういった情報であるのかをグループ分けしてくれるカテゴライズ機能を有しています。
こうしたログのパーシング機能やカテゴライズ機能は、お客様がQRadar SIEM上でログを検索する際の足掛かりとして有効です。
ログをパーシングするDSMが標準で対応できないものについては、カスタマイズしてログを取り込むことが可能です。
続いてルールによる分析が行われるわけですが、正規化したログがどのようにルールに該当すると判断されていくかについて見てみましょう。
相互の関連性を調べる「ルール」「ルール」は正規化されたイベント(ログ)の中身の関連性を調べるものです。
下図左上にあるイベントが起きた場合を例に見てみましょう。
同一の送信元から、同一の宛先に対して、5分以内に400回以上のアクセスを試み、FWで遮断というイベントが起きたとします。いわゆるDos攻撃ですね。
この場合、前項でご説明した通り、ファイアウォールのログは下図右上の表にあるように正規化されてQRadarに取り込まれます。
そこで、これらのログの相関性をルールに沿って判断していきます。
・同一のイベントが起きたのか?
・イベントが起きた時間は?
・各イベントにおける送信元IP、宛先IPは同一なのか?
この様に相関性を判断するための基準が「ルール」となっています。
「ルール」についてのイメージはご理解いただけましたでしょうか?
次はこの「ルール」がどのように決められているのかについてご説明します。
ルールの仕組み「ルール」は各「テスト」の中で定義が定められており、このテストという条件が樹形図のように組み合わされて構成されています。
ルールにはすべてのテスト条件を満たした場合に実行される「アクション」を設定することができ、アラートを出すこともアクションの1つです。
この様に条件が設定されることで、相関分析をするための「ルール」が出来上がっています。
こんなに複雑なルール、一から作らないといけないの??と思われるかもしれませんが、そこはご安心ください。
QRadar SIEMには、相関分析に必要なルールのテンプレートがあらかじめ用意されています。
そのため、導入後にお客様の手で一から作る必要はありません。
また、お客様がこれらのテンプレートを使って、QRadar SIEMのGUI上から一部変更をするなどカスタマイズすることができますので、お客様環境に合わせた設定ができるようになっています。
こうして無事にルールによるログの分析が行われました。
続いては、収集したログがルールに該当した後のお話です。
インシデントとして表示されるオフェンスの画面とその見方についてご説明します。
オフェンスについて下図はQRadar SIEM上で実際に「オフェンス」タブをクリックした際に表示される画面です。
運用されるアナリストの方々が一番みる機会が多い画面になります。
ご覧いただいているのは、Wannacryのオフェンスが検出された画面です。
画面の見方ですが、左側ではフィルターの設定ができます。
例えば、オフェンスのマグニチュードや重大度、赤枠で囲っている、対応してクローズ済みのものや、オープン状態のまだ対応していないものといったフィルターを選択できます。
今回はクローズ済み、オープンにチェックを入れているので、全てのオフェンスを対象としています。
これらのフィルターで該当したオフェンスが下部の赤枠でリストアップされます。
では、このリストアップされたオフェンスの中でもマグニチュードが6となっている、上から二番目にリストアップされたシステムへの影響度が強いオフェンスについてみてみましょう。
説明の箇所にカーソルを合わせてみます。
この説明の箇所にカーソルを合わせると、隠れていた説明がウィンドウでポップアップします。
QRadarではオフェンスの内容を知るためにドリルダウンして調べることができます。
実際にドリルダウンして、このオフェンスの内容を調べてみましょう。
こちらがオフェンスの詳細画面です。
一番上にオフェンスの説明があり、その下に各種情報があります。
今回のオフェンスは、「マルウェアに関連する観察されたファイルハッシュ」 が検出され、「大規模なファイル更新が検出され、マルウェアの可能性がある」こと、「Windowsファイルシステムフォルダまたはファイルアップデートを含んでいる」という説明があります。
これらがどうしてオフェンスとして上がってきたかが、下の情報から判断できます。
まず、オフェンスの送信元は一つのIPアドレスからであったことが確認でき、宛先は二つであることがわかります。
次に左側赤枠のイベントの箇所を見てみると、271件のイベントがあったことがわかります。
言い換えれば、一つのオフェンスに271件のログが関連していることを指しています。
QRadar SIEMはルールによる相関分析を通して正規化されたログを一つのオフェンスとして自動的にまとめるので、お客様は一つのオフェンスから調べ始めることができ、人の手で一つ一つのログを突き合わせて相関関係を判断する手間がかかりません。
このイベントの箇所から、関連するログをドリルダウンして調べていくことも可能です。
オフェンスとして検出されたものからドリルダウンして調査をしていくことで、対応にかかる時間の節約につながります。
次に左下にある洞察の箇所を見てみましょう。
ここにはオフェンスの要素となったルールが記載されています。
画面をスクロールすると、この「洞察」の箇所に関連したルールが表示されます。
今回は3件のルールが関連していると判断されています。
そのため「3件のルールに該当した271件のイベント(ログ)があったため、1件のオフェンスが生成された」ということがわかります。
ここまで、ログをQRadarで正規化して取り込み、そしてルールの仕組み、該当した場合のオフェンスの表示についてご説明してまいりました。
QRadar SIEMを運用者やアナリストに置き換えてご想像いただけるとわかりやすいかと思いますが、一つ一つのログからサイバー攻撃があったかどうかを調査・判断することもとても大変ですし、それらのログの相関関係を判断していくことも大変な労力がかかります。
QRadar SIEMを導入した場合には、運用される方は逆の工程で、オフェンス画面からルールやログを調べていくことができるため、リソースの節約に貢献できるというイメージを持っていただければと思います。
まとめ今回はログの正規化からルールによる相関分析までの流れとルールの仕組み、さらにQRadar SIEMのオフェンス画面の見方についてご紹介しました。
ログの相関分析を行うには「ルール」が必要で、QRadar SIEMでは独自のモジュールでログを正規化してからルールによる相関分析を行うんだな、ということを押さえておいていただければOKです。
次回が本連載の最終回です。次回もお楽しみに!
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」Part2「QRadar SIEMとリアルタイム分析」Part3「フロー」Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」#QRadar