みなさま
こんにちは、テクニカル・セールスの清水です。
今回は「QRadar SIEM 入門編」のPart3をお届けします。
前回の
Part2では、QRadar SIEMの概要とログを使ったリアルタイム分析についてお話しました。
Part3ではフローを使った脅威検知の仕組みについてご紹介します。
それでは【QRadar SIEM 入門編:Part3「フロー」】スタートです!
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」
Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」
ログだけでは検知が難しい脅威
SIEMはログを集めてきて分析するソリューションだよ、ということをPart1・Part2を通してお話してきていますが、実はログを見るだけでは脅威検知が難しいケースというのも存在します。
Part2で認証ログから脅威検知をする仕組みについてご紹介しましたが、例えば認証に成功した攻撃者が実は
外部へ大量のデータ転送を行っていたとしましょう。
機密情報流出の可能性があり、言うまでもなく、認証に成功したこと以上に危険な状態です。
しかし、「外部への大量データ転送」のような条件で検知したい場合、認証のログとファイアウォールのログだけで把握することは困難です。なぜなら、認証ログはそもそも「認証成功」「認証失敗」というような情報しか見れず、ファイアウォールのログではセッション全体のデータ転送量に関する情報が不足しているからです。この場合、セッションとは通信の開始から終了までの一連の流れを指します。
そのようなときに必要になってくるのがフロー情報です。
ログと共に、フロー(ネットワーク・トラフィック)情報を取得することで、例えば通信のサイズや、一連の通信時間がわかるようになり、より確実に脅威を検知できるようになります。
ログとフローの違い
分かりやすいように、ファイアーウォールを例にしてご説明します。
ログ
ファイアーウォールのログはパケット単位で情報を取得するとイメージしていただけると分かりやすいかと思います。
例えば、エンドポイントとサーバーの通信において、宛先IP、日時、ポート番号、そして「許可」したという情報を見ることができますが、エンドポイントからサーバーへの「行き」の情報と、サーバーからエンドポイントへの「返り」の情報は紐づけられていませんし、同一セッションの後続のログであるかどうかも紐付けられていません。
どのセッションがどこまで続いているのか、これはアナリストの方のスキルや別途ルールによって補う必要が出てきます。
フロー
一方フローはエンドポイントとサーバー間の通信のセッション全体を見ていくことができます。
ログがパケット単位での情報取得に対して、フローはログだけではわからないセッションの開始時刻、終了時刻、パケット数、バイト数、といった情報を取得することができます。
セッションの開始から終了までのデータ量を記録しているとイメージいただければと思います。
まとめると、送信元・宛先IPやポート番号などに加え、セッション全体の開始時刻や終了時刻、パケット数、バイト数といった部分がフローで取得できる特有の情報になります。
特にパケット数、バイト数に関しては、内部データの流出や、外部からのダウンロードなどの異常を検知する上で非常に重要です。
ファイアウォールのログにバイト数が含まれることもありますが、セッション単位ではなくあくまで1つのパケットサイズに関する情報であることが一般的です。
フローを活用した検知ルール
QRadar SIEMでは、フロー情報を利用し、通信量をもとにしたルールでの脅威検知が可能となっています。
先ほどの例のように、認証失敗の後に認証に成功したユーザーが、さらに大量のデータ転送を行っていたということがフロー情報からわかっている時、より危険な状態であるということで、高い優先度でアラートが上がるようにルールを構成できます。
NDRの世界
さて、QRadar SIEMの機能としてフロー情報を活用した検知ルールがあるとお伝えしましたが、正直このあたりからはSIEMというよりはNDR(Network Detection and Responce)の世界に入っていきます。
NDRとは、ネットワーク・トラフィックを分析することで、脅威となるアクティビティーの検知・対応を行うことを目的としたセキュリティーの一分野です。
QRadarにはフローに関するルールが備わっているだけでなく、機械学習を使用したフロー分析用のアプリケーションや、高度なネットワーク・トラフィック分析を行うための追加モジュールなどがあります。
SIEMだけの機能にとどまらず、NDRまで一つの製品でカバーできるというのが、QRadarの持つ大きな強みです。
その他にもいくつか拡張機能があるのですが…こちらはまた別のPartでご紹介します。
まとめ
今Partでは、「フロー」を活用した脅威検知の仕方についてご紹介しました。
ログだけでは正確な検知が難しい場合でも、フロー情報を見ることでより確実に脅威を検出することが可能になります。
「QRadarはログを見れるだけじゃないんだ!」ということはおわかりいただけましたでしょうか?
次のPartでは、QRadar SIEM 内でのログの正規化や分析の流れをもう少し深堀りしてご紹介します。
次回もお楽しみに!
【連載】「QRadar SIEM 入門編」一覧
Part1「SIEMってなに?」
Part2「QRadar SIEMとリアルタイム分析」
Part3「フロー」
Part4 「ログの正規化と分析」
Part5 「幅広い情報源と拡張機能」
#QRadar