IBM Proventia Management User Guide for Security Analysts

Size: px

Start display at page:

Download "IBM Proventia Management User Guide for Security Analysts"

しおりむらかわ
5 years ago
Views:

1 IBM Proventia Management SiteProtector System User Guide for Security Analysts Version 2.0, Service Pack 7.0 IBM Internet Security Systems

2 Copyright IBM Corporation 1994, IBM Global Services Route 100 Somers, NY U.S.A. Produced in the United States of America. All Rights Reserved. IBM and the IBM logo are trademarks or registered trademarks of International Business Machines Corporation in the United States, other countries, or both. ADDME, Ahead of the threat, BlackICE, Internet Scanner, Proventia, RealSecure, SecurePartner, SecurityFusion, SiteProtector, System Scanner, Virtual Patch, X-Force and X-Press Update are trademarks or registered trademarks of Internet Security Systems, Inc. in the United States, other countries, or both. Internet Security Systems, Inc. is a wholly-owned subsidiary of International Business Machines Corporation. Microsoft, Windows, and Windows NT are trademarks of Microsoft Corporation in the United States, other countries, or both. Other company, product and service names may be trademarks or service marks of others. References in this publication to IBM products or services do not imply that IBM intends to make them available in all countries in which IBM operates. Disclaimer: The information contained in this document may change without notice, and may have been altered or changed if you have received it from a source other than IBM Internet Security Systems (IBM ISS). Use of this information constitutes acceptance for use in an AS IS condition, without warranties of any kind, and any use of this information is at the user s own risk. IBM Internet Security Systems disclaims all warranties, either expressed or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall IBM ISS be liable for any damages whatsoever, including direct, indirect, incidental, consequential or special damages, arising from the use or dissemination hereof, even if IBM Internet Security Systems has been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages, so the foregoing limitation may not apply. Reference herein to any specific commercial products, process, or service by trade name, trademark, manufacturer, or otherwise, does not necessarily constitute or imply its endorsement, recommendation, or favoring by IBM Internet Security Systems. The views and opinions of authors expressed herein do not necessarily state or reflect those of IBM Internet Security Systems, and shall not be used for advertising or product endorsement purposes. Links and addresses to Internet resources are inspected thoroughly prior to release, but the ever-changing nature of the Internet prevents IBM Internet Security Systems, Inc. from guaranteeing the content or existence of the resource. When possible, the reference contains alternate sites or keywords that could be used to acquire the information by other methods. If you find a broken or inappropriate link, please send an with the topic name, link, and its behavior to support@iss.net 年 9 月 18 日

3 目次前書き概要 SiteProtector システムマニュアルの使用方法テクニカルサポートについて第 1 章 : SiteProtector システムの概要概要 SiteProtector システムとは SiteProtector システムアーキテクチャー SiteProtector システムコンポーネントとその機能 SiteProtector System Web Console アドオンコンポーネント第 2 章 : 始める前に概要 SiteProtector システムの設定要件と推奨事項脅威の分析と脆弱性評価の計画脆弱性の評価と対処法のチェックリスト脅威の調査と分析のチェックリストパート I: 監視とレポートのタスク第 3 章 : ネットワークの監視概要セクション A: SiteProtector システム分析コンポーネント概要セクション B: アナリシスビューとモード概要デフォルトアナリシスビューの選択アナリシスビューのカスタマイズ分析のパースペクティブの選択ガイド付き質問の選択セクション C: イベントデータの更新とクリア概要コンソールの更新イベントのクリアおよびアンクリアセクション D: 異常検出コンテンツの表示概要 ADS コンテンツへのアクセス ADS エンティティー情報の表示セクション E: SecurityFusion Module での影響の分析概要 SiteProtector System User Guide for Security Analysts Version 2.0, SP 7.0 3

4 Contents SecurityFusion Module の攻撃パターンセクション F: アセットおよびエージェントの検索概要選択したエージェントまたはアセットを含むグループの検索グループに含まれるアセットまたはエージェントの検索第 4 章 : レポートの実行概要セクション A: 始める前に概要レポートの実行に関するガイドラインセクション B: 一般的なレポートのタスク概要レポートの表示と保存レポート名とレポート形式の設定レポート頻度の指定レポートの日付別フィルタリングレポート結果のメール配信 SiteProtector System Users List でのメールアドレスの作業セクション C: 特定レポートのオプション概要 Assessment レポート Asset レポート : イベントの詳細と概要 Asset レポート : プロテクション Asset レポート :Asset Risk レポート Attack Activity レポート Audit レポート : Audit Detail レポート Audit レポート : Audit User to Group Report Content Filtering レポート Mail Filtering レポート Management レポート Permission レポート Ticket レポート Virus Activity レポートパート II: 脆弱性の評価と対処法第 5 章 : ネットワークの脆弱性の特定と解決概要脆弱性評価プランの作成 SiteProtector システムによって生成された脆弱性データ脆弱性イベントに関する情報の収集脆弱性を解決するかどうかの決定脆弱性の修正と軽減アクションプランの作成アップグレードとパッチの実施第 6 章 : スキャンの管理概要ネットワーク上のホストの特定脆弱性データが完全および正確であることの確認脆弱性スキャンのスケジューリング IBM Internet Security Systems

5 Contents バックグラウンドスキャンの実行スキャンの実行に必要な時間の短縮パート III: 脅威の調査と分析第 7 章 : 疑わしいアクティビティーの検出概要セクション A: 疑わしいアクティビティー概要セクション B: Event Analysis ビューの監視概要監視および関連付けるトラフィックの選択 Summary ビュー Event Name ビュー Target ビュー Attacker ビューガイド付き質問および Event Analysis ビューの使用に関するシナリオセクション C: Analysis ビューからのアクティビティーのフィルタリング概要ベースラインの作成インシデントおよび例外の作成第 8 章 : 疑わしいアクティビティーは深刻ですか? 概要攻撃位置の特定脆弱性スキャンによって発生したアクティビティーの特定攻撃パターンを使用した許可されたスキャンのフィルタリングスキャンアクティビティーをフィルタリングするための例外の作成間違って構成されたシステムによって発生したアクティビティーの特定疑わしいと一般に特定される通常アクティビティーの特定第 9 章 : 攻撃は脅威ですか? 概要セクション A: SecurityFusion Module を使用した攻撃の評価概要攻撃ステータスの表示セクション B: 手動による攻撃の評価概要攻撃の X-Force 危険度の決定攻撃対象は脆弱でしたか? ターゲットサービスまたはオペレーティングシステムが影響を受けやすいですか? 第 10 章 : 確認された攻撃の追跡と優先順位付け概要チケット優先度の決定についてのガイドラインチケットの作成チケットの表示第 11 章 : 攻撃範囲の測定概要攻撃範囲典型的な攻撃目標 SiteProtector System User Guide for Security Analysts Version 2.0, SP 7.0 5

6 Contents 攻撃の対象であるアセット数の表示攻撃の対象であるプラットフォーム数の表示第 12 章 : セキュリティー侵害されたシステムの特定概要セクション A: SecurityFusion Module の攻撃パターン概要攻撃パターンの機能ホストパターン攻撃パターンの表示インシデント例外および攻撃パターンセクション B: 情報収集アクティビティーの特定概要情報収集の攻撃パターンセクション C: ログオンアクティビティーの特定概要セキュリティー侵害されたホスト間のログオンアクティビティーログオンの失敗スプーフィングされたソースからのログオンアクティビティーセクション D: 侵入アクティビティーの特定概要ネットワーク侵入試行対象となる侵入試行プログラムの開始プログラムのシャットダウンセクション E: 回避アクティビティーの特定概要対象となる調査および回避対象となる侵入試行および回避セクション F: サービス不能攻撃の特定概要対象となる DoS 攻撃対象となる DoS の成功 DDoS エージェントの攻撃索引索引 IBM Internet Security Systems

7 前書き概要 SiteProtector System User Guide for Security Analysts では SiteProtector システムを使用して脆弱性を評価しネットワーク上の疑わしいアクティビティーを監視および分析するための背景情報手順推奨事項を説明します取り扱い範囲本書では Network Intrusion Prevention System (IPS) アプライアンス Network Multi-Function Security アプライアンス Server Sensor Network Internet Scanner などのさまざまな IBM ISS エージェントからのイベントデータの分析についてのガイドラインを説明します本書では Network Enterprise Scanner またはサードパーティー製品からのデータの分析についてのガイドラインは説明しません対象読者 SiteProtector System User Guide for Security Analysts は企業環境での脅威や脆弱性の監視および評価を担当するセキュリティーアナリストネットワーク管理者リスク評価アナリストを対象としていますネットワークセキュリティーおよびネットワーキング技術の中級レベルの知識 SiteProtector システム操作の初級レベルの知識が必要となります SiteProtector System User Guide for Security Analysts Version 2.0, SP 7.0 7

8 前書き SiteProtector システムマニュアルの使用方法本書の使用方法このトピックでは SiteProtector System User Guide for Security Analysts で情報がどのように構成されているかを説明しその他 SiteProtector システムマニュアルをリストアップしますマニュアルの構成本書は表 1 に示す論理ユニットで構成されていますパート説明 I II III 監視とレポートのタスクパート I では SiteProtector システムでの基本的な監視とレポートのタスクの実行に関する背景情報および手順を説明しますまだ把握していない場合はこの情報を使用してこれらのタスクを把握します脆弱性の評価と対処法パート Ⅱ では Network Internet Scanner を使用しての脆弱性の特定および解決スキャン管理についてのガイドラインを説明します SiteProtector システムでの脆弱性の評価および対処法のベストプラクティスの実施に役立つようにこの情報を使用します脅威の調査と分析パート Ⅲ では SiteProtector システムを使用しての疑わしいアクティビティーおよび確認された攻撃の監視調査分析についての背景情報手順ガイドラインを説明します SiteProtector システムでの脅威の調査および分析のベストプラクティスの実施に役立つようにこの情報を使用します表 1: User Guide for Security Analysts のパート SiteProtector システムマニュアルの入手場所 SiteProtector システムのガイドは次の場所から PDF ファイル形式で入手可能です IBM ISS の Web サイト ( または Deployment Manager \Docs folder の IBM ISS プロダクト CD ( 英語版 ) 関連製品のインストールガイドおよびユーザーガイドは次の場所で入手可能です SiteProtector システムボックス IBM ISS プロダクト CD ( 英語版 ) IBM ISS の Web サイト ( または関連資料次の表では SiteProtector システムのその他マニュアルについて説明しますマニュアル SiteProtector System Installation Guide SiteProtector System Configuration Guide 内容コンポーネント間の通信の保護についての手順などの SiteProtector システムのインストールに必要な情報が含まれています SiteProtector システムの設定アップデート保守に必要な情報が含まれています表 2: SiteProtector システムユーザーマニュアルの説明 8 IBM Internet Security Systems

9 SiteProtector システムマニュアルの使用方法ュマニュアル SiteProtector System Help 内容 SiteProtector システムの使用に必要な多くの手順が含まれています表 2: SiteProtector システムユーザーマニュアルの説明 ( 続き ) ライセンス契約 IBM Internet Security System 製品のライセンス情報については次の URL から IBM ライセンス契約をダウンロードしてください contracts_landing.html SiteProtector System User Guide for Security Analysts Version 2.0, SP 7.0 9

10 前書きテクニカルサポートについて IBM Internet Security Systems では Web サイトおよび電子メールまたは電話によるテクニカルサポートを提供しています IBM ISS の Web サイトカスタマーサポートの Web ページ ( またはではオンラインマニュアル最新バージョン一覧詳細な製品資料ホワイトペーパーテクニカルサポートナレッジベースなど役立つ豊富な情報を直接入手することができます営業時間北南米およびその他の地域におけるテクニカルサポートの営業時間は次のとおりです地域北南米日本国内営業時間 24 時間体制月曜から金曜までの午前 10 時から午後 5 時までですただし IBM ISS の休業日は除きます注記 : 最寄りのサポートオフィスが南北アメリカ以外にある場合はその営業時間外におけるご質問ご相談は北南米オフィスに電話または電子メールでお問い合わせいただくことができます日本国内における IBM ISS 製品に関する技術的なお問い合わせは本製品の保守契約を締結されている販売代理店までご連絡ください表 3: テクニカルサポート営業時間問い合わせ窓口問い合わせ窓口については本製品の保守契約を締結されている代理店までご連絡ください 10 IBM Internet Security Systems

11 第 1 章 SiteProtector システムの概要概要この章では SiteProtector システムと連携する SiteProtector システムコンポーネントおよびエージェントについて説明します知っておくべき用語表 4 ではセキュリティー製品に関して本書で使用する用語について説明します用語エージェントアプライアンススキャナーセンサー説明センサースキャナー Desktop エージェントの一般的な呼称ネットワークまたはゲートウェイ上のインライン型セキュリティーデバイスアプライアンスのタイプによって不正侵入の検出と防御アンチウィルスアンチスパム Virtual Private Network (VPN) Web フィルタリングファイアウォールの各機能がさまざまな組み合わせで提供されます脆弱性やその他セキュリティーリスクについてアセットをスキャンするエージェントネットワークおよびサーバー上のネットワークトラフィックを監視し攻撃を特定 ( 場合によっては阻止 ) するエージェント表 4: セキュリティー製品用語この章の内容この章では次のトピックについて説明しますトピックページ SiteProtector システムとは 12 SiteProtector システムアーキテクチャー 13 SiteProtector システムコンポーネントとその機能 14 SiteProtector System Web Console 16 アドオンコンポーネント 17 SiteProtector System User Guide for Security Analysts Version 2.0, SP

12 第 1 章 : SiteProtector システムの概要 SiteProtector システムとは SiteProtector システムはネットワークやサーバーデスクトップを防御するエージェントおよびアプライアンスの管理と分析を一本化して行う中央管理システムです SiteProtector システムを容易に拡大して大規模な企業全体にわたる展開に対してセキュリティーを提供することができます参照 : SiteProtector システムとの通信の設定および SiteProtector システムによる管理が可能なエージェントやアプライアンスに関する情報については document/manuals.html またはから SiteProtector - Supported Agents and Appliances マニュアルを参照してくださいコンポーネントとエージェント SiteProtector システム内のコンポーネントとエージェントは次のカテゴリーに分類されます SiteProtector システムはネットワークイベントの受け入れ監視分析に必要な基本的機能を提供する必須コンポーネントとオプションコンポーネントで構成されていますサイトの要件によってはコンポーネントを 2 つ以上インストールする必要があります追加セキュリティーと管理機能を提供する SiteProtector システムのアドオンコンポーネントを購入することができます脆弱性スキャナー不正侵入検知および防御のアプライアンスとセンサー統合型セキュリティーアプライアンスなどのセキュリティーシステムを完成させるエージェントを購入することができます SiteProtector システムコンポーネント ( タイプ別 ) 表 5 は必須およびオプションの SiteProtector システムコンポーネントアドオンコンポーネントおよび SiteProtector が管理するエージェントを一覧にしたものです SiteProtector システムコンポーネント Agent Manager コンソール Site Database System Scanner Databridge Deployment Manager Event Archiver Event Collector Event Viewer SP Core (Application Server Sensor Controller など ) X-Press Update Server Web Console アドオンコンポーネント SiteProtector システム Reporting Module SiteProtector システム SecurityFusion Module SiteProtector システム Third Party Module SiteProtector システム SecureSync Integrated Failover System SiteProtector システムが管理するエージェントセンサースキャナーアプライアンス Desktop エージェント表 5: SiteProtector システムコンポーネントとエージェント 12 IBM Internet Security Systems

SiteProtector システムアーキテクチャー SiteProtector システムアーキテクチャー SiteProtector システムは製品のインストール時に設定される通信チャネルを確立していますサイトの要件によってはコンポーネントを 2 つ以上インストールする必要があります最も標準的な SiteProtector システムのインストールには 1 ~ 3

13 SiteProtector システムアーキテクチャー SiteProtector システムアーキテクチャー SiteProtector システムは製品のインストール時に設定される通信チャネルを確立していますサイトの要件によってはコンポーネントを 2 つ以上インストールする必要があります最も標準的な SiteProtector システムのインストールには 1 ~ 3 台のコンピューターを使用します 1 台以上のコンピューターを使用する場合 Recommended オプション (Deployment Manager から ) によって正しいコンピューター上のコンポーネントを自動インストールしますコンポーネントの図図 1 は 3 台のコンピューターを使用する SiteProtector の標準的なインスタンスでのコンポーネントを示しています図 1: 標準サイトのコンポーネント SiteProtector System User Guide for Security Analysts Version 2.0, SP

14 第 1 章 : SiteProtector システムの概要 SiteProtector システムコンポーネントとその機能 SiteProtector システムはネットワークイベントの受け入れ監視分析に必要な基本的機能を提供する必須コンポーネントとオプションコンポーネントで構成されていますコンポーネントの説明表 6 では SiteProtector システム Core コンポーネントの目的について説明します SiteProtector システムコンポーネント Agent Manager コンソール System Scanner Databridge Deployment Manager Event Archiver Event Collector Event Viewer Site Database SP Core 説明 Agent Manager は Desktop Protection エージェント Proventia G および M アプライアンス Event Archiver X-Press Update Server のコマンドアンドコントロールアクティビティーを管理しエージェントから Event Collector へのデータ転送を容易にします SiteProtector システムの Console は SiteProtector のメインインターフェースですイベントの監視スキャンのスケジューリングレポートの生成エージェントの設定などほとんどの SiteProtector システム機能をここで行うことができます System Scanner Databridge は旧バージョンのエージェントからのデータを受け入れこれらのデータを適切な形式で Event Collector へ送信します Deployment Manager はネットワーク上のコンピューターにある任意の SiteProtector システムコンポーネントおよびエージェントのインストールを可能にする Web サーバーです Event Archiver はセキュリティーイベントをリモートの場所にアーカイブする機能を備えています Event Collector はセンサーのリアルタイムイベントおよびスキャナーの脆弱性データを管理します SiteProtector システムの Event Viewer は未処理のイベントを Event Collector から受け取りトラブルシューティングのためにセキュリティーデータへほぼリアルタイムにアクセスできるようにします SiteProtector システムデータベースにはエージェントの未加工データ発生のメトリック ( エージェントによってトリガーされたセキュリティーイベントの統計値 ) グループ情報コマンドアンドコントロールデータ X-Press Update (XPU) のステータスが格納されます SP Core には次のコンポーネントが含まれます Application Server は SiteProtector システムの Console と SiteProtector のシステムデータベース間の通信を可能にします Sensor Controller はイベント収集の開始または停止のコマンドなどエージェントのコマンドアンドコントロールアクティビティーを管理します表 6: SiteProtector システム Core コンポーネントの説明 14 IBM Internet Security Systems

15 SiteProtector システムコンポーネントとその機能 SiteProtector システムコンポーネント X-Press Update Server Web Console 説明 X-Press Update Server は IBM ISS のダウンロードセンターから要求された X-Press Update (XPU) をダウンロードしネットワーク上のエージェントやコンポーネントが利用できるようにする Web サーバーです Update Server によって同様の製品のアップデートを何度もダウンロードする必要がなくなりユーザーはアップデートプロセスをより効率的に管理することができます SiteProtector システムの Web Console は SiteProtector システムアセットやセキュリティ - イベントを監視する場合に SiteProtector システムの一部の機能に簡単にアクセスすることができるインターフェースです表 6: SiteProtector システム Core コンポーネントの説明 ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

16 第 1 章 : SiteProtector システムの概要 SiteProtector System Web Console SiteProtector システムの Web Console は Console の Web ベースバージョンです Web Console を介して次のタスクを実行することができますイベントデータを分析するイベントデータにフィルターを適用するスプレッドシートなどの他のアプリケーションにデータをコピーするリポートを作成する Console と同じアカウント情報を使用して SiteProtector システムの Web Console にログオンしますログオンするとブラウザの左ウィンドウ枠にサイトが表示され右ウィンドウにはサイトの概要ページが表示されます Web Console の要件 Sun Java Runtime Environment (JRE) がインストールされているコンピューターで Web Console を開く必要があります JRE がインストールされていないコンピューターで Web Console を開くとブラウザは JRE をインストールするように指示を受けますインストールを正常に完了するために Web Console を閉じる必要はありません参照 : Web Console 要件の具体的情報については manuals.html またはから SiteProtector - System Requirements を参照してください Web Console へのログオン Web Console にログオンするには : 1. Web ブラウザの [Address] ボックスに次のフォーマットを使用して SiteProtector システムの Application Server のアドレスを入力しますコンピューター名または IP アドレス : 3994/siteprotector/ [Login] ウィンドウが表示されます 2. アクセスするサイトの SiteProtector システムユーザー名パスワードドを入力します 3. ユーザー名やパスワードを再入力する必要がある場合は [Reset] をクリックしてやり直します 4. [Submit] をクリックします注記 : SiteProtector システムの Web Console の一部の機能は Internet Explorer の信頼済みサイトを使用する前にサイトサーバーにそれらを追加するように要求する場合があります Java Runtime Environment (JRE) のダウンロード JRE をダウンロードするには : 1. 次の Web サイトにアクセスします 2. [Core Java] を選択します 3. J2SE のインストールパッケージを選択します 4. J2SE JRE をダウンロードします 5. 使用許諾契約に同意します 6. [Windows Platform] 下の [Windows Offline Installation, Multi-language] を選択します注意 : [Windows Installation, Multi-language] を選択した場合インストールは失敗します 16 IBM Internet Security Systems

17 アドオンコンポーネントアドオンコンポーネント SiteProtector システムのアドオンコンポーネントは SiteProtector システムの基本防御を超えるさらなる防御と機能を提供します SecurityFusion Module SiteProtector システムの SecurityFusion Module はサイトの重大な脅威を迅速に特定して対応する能力を大いに高めますこのモジュールは攻撃の可能性がある影響力の高いイベントとイベントパターンを高度な相関分析手法を使って特定します影響の分析 - このモジュールは不正侵入検知イベントを脆弱性評価とオペレーティングシステムデータに関連付け迅速にイベントの影響を評価します攻撃パターンの認識 - モジュールは特定の種類の攻撃を示す可能性のあるイベントパターン ( 不正スキャン侵入試行セキュリティー侵害されたホストからのアクティビティーなど ) を認識します SecureSync Module Secure Sync Module はプライマリーサイトとバックアップサイト間でサイトデータを転送し 1 つのサイトから別のサイトへエージェント管理を移管できるフェイルオーバーシステムを提供します Third Party Module SiteProtector システムの Third Party Module はサードパーティ製ファイアウォールからデータを取り出しファイアウォールアクティビティーを表示したり特定のファイアウォールにセキュリティーイベントを関連付けることができます Reporting Module セキュリティー状態を評価するために管理者が必要とする情報がグラフィカルなサマリーレポートやコンプライアンスレポートによって提供されますレポートでは脆弱性評価攻撃アクティビティー監査コンテンツフィルタリング Desktop SecurityFusion ウィルスアクティビティーが網羅されています SiteProtector System User Guide for Security Analysts Version 2.0, SP

18 第 1 章 : SiteProtector システムの概要 18 IBM Internet Security Systems

19 第 2 章始める前に概要この章では本書でのプラクティスを実施する前に確認すべき要件や検討事項本書でのタスクを実行するのに役立つチェックリストについて説明しますこの章の内容この章では次のトピックについて説明しますトピックページ SiteProtector システムの設定要件と推奨事項 20 脅威の分析と脆弱性評価の計画 21 脆弱性の評価と対処法のチェックリスト 22 SiteProtector System User Guide for Security Analysts Version 2.0, SP

20 第 2 章 : 始める前に SiteProtector システムの設定要件と推奨事項このトピックでは本書で扱うガイドラインと手順に適用される前提条件および推奨事項について説明します前提条件のチェックリスト表 7 は本書の情報を使用する前に満たす必要のある前提条件のチェックリストです前提条件のタスク 1. SiteProtector システムのインストール 2. SiteProtector システムの設定参照先 SiteProtector System Installation Guide ( または documentation/) SiteProtector System Configuration Guide ( または documentation/) 表 7: SiteProtector システムインストールの前提条件 SecurityFusion Module 本書では SecurityFusion Module イベントの分析についての手順とガイドラインを説明します必要に応じて本書では SecurityFusion Module を使用した疑わしいアクティビティーの特定についてのガイドラインも説明しますインシデント例外チケット本書ではインシデント例外およびチケットの作成についての手順とガイドラインを説明しますインシデントや例外により重要なイベントを追跡して優先させることができますチケットはイベントを追跡して優先させ責任を適切なパーティに割り当てることができるより強力な追跡システムです Reporting Module 本書では SiteProtector システムの Reporting Module を購入して設定していることを前提としています Reporting Module ではアクティビティーの管理分析監査などの広範囲のアクティビティーを対象としたレポートについて説明しますエージェントポリシーの設定本書ではネットワークの監視または評価および脅威への対応のためにエージェントを効果的に調整していることを前提としています 20 IBM Internet Security Systems

21 脅威の分析と脆弱性評価の計画と脅威の分析と脆弱性評価の計画リスクを評価し脅威から企業を保護するために効果的に計画することは大変重要です本書では組織内でセキュリティー計画を実施する方法について想定していますアセット評価とリスク本書では組織がアセットの価値を決定しそのアセットに関連するリスクを分析していることを前提としています本書ではアセットまたはリスクの評価についてのガイドラインは説明しませんインシデント対応計画本書では組織が詳細なインシデント対応計画を作成し実施していることを前提としています脆弱性評価と対処法の計画本書では組織が脆弱性評価と対処法の計画を作成し実施していることを前提としています SiteProtector System User Guide for Security Analysts Version 2.0, SP

22 第 2 章 : 始める前に脆弱性の評価と対処法のチェックリストこのトピックでは SiteProtector システムを使用した脆弱性の評価および対処法についてのチェックリストを説明しますこれらのタスクについてはパート Ⅱ : 脆弱性の評価と対処法に記載されていますチェックリスト表 8 では脆弱性の評価と対処法を実行するときに完了する必要のあるタスクのチェックリストを紹介しますタスクスク脅威評価のチェックリスト 1 脆弱性イベントについての情報を収集する脆弱性イベントに関する情報の収集 (110 ページ ) を参照してください 2 脆弱性を解決するかどうかを判断する脆弱性を解決するかどうかの決定 (111 ページ ) を参照してください 3 脆弱性を解決する脆弱性の修正と軽減 (112 ページ ) を参照してください 4 アクションプランを作成し脆弱性を解決するアクションプランの作成 (114 ページ ) を参照してください 5 修正を行うアップグレードとパッチの実施 (115 ページ ) を参照してください表 8: 脅威評価タスクのチェックリスト 22 IBM Internet Security Systems

23 脅威の調査と分析のチェックリスト脅威の調査と分析のチェックリストこのトピックでは脅威の調査と分析のチェックリストを紹介しますこれらのタスクについてはパート Ⅲ : 脅威の調査と分析に記載されていますチェックリスト表 9 では脆弱性の評価と対処法を実行するときに完了する必要のあるタスクのチェックリストを紹介しますタスクスク脅威評価のチェックリスト 1 疑いのあるアクティビティーを監視して検出する第 7 章疑わしいアクティビティーの検出 (125 ページ ) を参照してください 2 疑いのあるアクティビティーが深刻かどうか判断する第 8 章疑わしいアクティビティーは深刻ですか? (145 ページ ) を参照してください 3 攻撃が脅威かどうか判断する第 9 章攻撃は脅威ですか? (155 ページ ) を参照してください 4 確認された攻撃を追跡して優先させる第 10 章確認された攻撃の追跡と優先順位付け (173 ページ ) を参照してください 5 攻撃範囲を判断する第 11 章攻撃範囲の測定 (179 ページ ) を参照してください表 9: 脅威の調査と分析タスクのチェックリスト SiteProtector System User Guide for Security Analysts Version 2.0, SP

24 第 2 章 : 始める前に 24 IBM Internet Security Systems

25 パート I 監視とレポートのタスク

27 第 3 章ネットワークの監視概要 SiteProtector システムではイベントの検出および脅威の調査に役立つさまざまな監視相関検索ツールを提供していますこの章の情報を使用して本書で頻繁に参照されるこれらのツールについてよく理解しますこの章の内容この章には次のセクションがありますセクションページセクション A: SiteProtector システム分析コンポーネント 29 セクション B: アナリシスビューとモード 38 セクション C: イベントデータの更新とクリア 41 セクション D: 異常検出コンテンツの表示 45 セクション E: SecurityFusion Module での影響の分析 49 セクション F: アセットおよびエージェントの検索 53 SiteProtector System User Guide for Security Analysts Version 2.0, SP

28 第 3 章 : ネットワークの監視 28 IBM Internet Security Systems

29 セクション A: SiteProtector システム分析コンポーネント概要 SiteProtector システムではイベントを監視するためのさまざまなコンポーネントを提供していますこれらのコンポーネントによってイベントの検出や調査のすべてのステージにおいてデータをフィルタリングしたりソートしたりすることができます SiteProtector システム分析コンポーネント表 10 では SiteProtector システムイベント分析コンポーネントについて説明しますこれらのコンポーネントの一部についてはこの章の後半でより詳細に説明しますコンポーネントサマリービュー分析のパースペクティブアナリシスビューガイド付き質問 SiteProtector システムツールバー分析フィルターパネル Filters ウィンドウ説明異なるタイプのサマリー情報をポータルのようなユーザーインターフェースに表示する事前定義済みウィンドウ枠をいくつか提供します各タイプの情報が [Summary] タブのネストされたウィンドウ枠として表示されどのタイプの情報を表示するのか選択することができます [Summary] タブに表示される情報はグループツリーで現在選択されているグループによって決まります選択したアセットがアクティビティーの対象か発信元かどうかの変更などアナリシスビューに表示されるイベントの別のフォーカスを提供します表形式でまとめられたイベント情報を提供しますガイド付き質問に対応する事前定義済みフィルターを提供しますアナリシスビューから選択した 1 つ以上のイベントについての一連の質問をポップアップメニュー上に提供します質問はイベントの調査に一般的に必要な情報に焦点を当てます質問をクリックすると表示するフィルターとアナリシスビューが自動的に変更されますイベントデータの更新履歴からの後退や前進 [Filters] ウィンドウのオープンなど分析ツールを用いて一般的なタスクを実行することができるオプションを提供します容易にアクセスできるように上記のアナリシスビューにフィルターを表示します同じフィルターをフィルターエディターでも使用することができます Site Protector Console で使用可能なフィルターのリストを提供しますフィルターを選択するとカスタマイズ可能な値を持つ一連の属性とフィルターの説明を表示することができます表 10: SiteProtector システム分析コンポーネント SiteProtector System User Guide for Security Analysts Version 2.0, SP

30 第 3 章 : ネットワークの監視 30 IBM Internet Security Systems

31 アナリシスビューとモードセクション B: アナリシス概要このセクションではアナリシスビューアナリシスモードおよびガイド付き質問の使用特定タスクに対するこれらのツールのカスタマイズについての手順や背景情報を説明しますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページデフォルトアナリシスビューの選択 32 アナリシスビューのカスタマイズ 35 分析のパースペクティブの選択 38 ガイド付き質問の選択 39 SiteProtector System User Guide for Security Analysts Version 2.0, SP

32 第 3 章 : ネットワークの監視デフォルトアナリシスビューの選択デフォルトアナリシスビューは SiteProtector システムでのデータの監視に最も一般的に使用されていますイベント検出の開始点としてカスタマイズされたレポートの作成にアナリシスビューを使用しますアナリシスビューとはデフォルトアナリシスビューは [Analysis] タブの [Analysis View] リストに表示されますリストからビューを選択する場合イベントデータがビューウィンドウ枠の表に表示されますイベントはそのビューに対して有効なデフォルトフィルターでフィルタリングされますアナリシスビューは次のカテゴリーに分類されますイベント脆弱性アプリケーションの監視 (IBM Proventia Desktop Endpoint Security でのみ有効 ) 異常検出 (IBM Proventia Network Anomaly Detection System (ADS) でのみ有効 ) 注記 : アナリシスビューの名前はイベントデータの上に表示されます名前の後には括弧で囲まれた Analysis Perspective が表示されます SiteProtector システムはアナリシスビューに基づいて分析のパースペクティブを選択するため表示される分析のパースペクティブは異なる可能性があります分析のパースペクティブの選択 (38 ページ ) を参照してくださいアナリシスビューで実行可能なタスク標準的なイベント分析の一部としてまた独自のビューをカスタマイズするための基準としてこれらのビューを使用することができますアナリシスビューによって次のタスクを実行することができますイベントデータの更新分析履歴からの後退または前進 [Filters] ウィンドウを開く列のソートイベントアナリシスビューイベントアナリシスビューを使用して不正侵入検知イベントの分析と作成されたインシデントの追跡を行います表 11 では SiteProtector システムに表示される各イベントアナリシスビューについて説明しますアナリシスビュー Event Analysis - Agent Event Analysis - Attacker Event Analysis - Detail Time Event Analysis - Details Event Analysis - Event Name 説明イベントを検出したセンサーについての情報を表示しますアセットに対する攻撃の発信元である IP アドレスについての情報を表示します使用するフィルターによっては発信元が内部外部または両方である可能性がありますイベントについてのタイムスタンプ情報が表示されますが [Event Analysis - Details] ビューで使用可能な MAC アドレスなどの関連したイベントの詳細は表示されません攻撃の発信元および対象についての追加情報を表示しますセンサーによって検出されたイベントのタイプと数についての情報を表示します表 11: イベントアナリシスビューの説明 32 IBM Internet Security Systems

33 デフォルトアナリシスビューの選択アナリシスビュー Event Analysis - Incidents Event Analysis - OS Event Analysis - Target Object Event Analysis - Target 説明重要で追跡する必要のある基準と一致するイベントについての情報を表示しますインシデントのみについての情報を表示するビューでは基準イベントに焦点を合わせることができます攻撃の対象であるホストのオペレーティングシステムについての情報を表示します攻撃の対象である可能性のある IP アドレスについての情報を表示します使用するフィルターによっては発信元が内部外部または両方である可能性があります攻撃の対象である可能性のある IP アドレスについての情報を表示します使用するフィルターによっては発信元が内部外部または両方である可能性があります表 11: イベントアナリシスビューの説明脆弱性アナリシスビュー脆弱性アナリシスビューを使用して脆弱性評価を実行し脆弱性を監視しているホストと手動で関連付けます表 12 は SiteProtector に表示される脆弱性アナリシスビューの説明を一覧にしたものですアナリシスビュー Vuln Analysis - Asset Vuln Analysis - Detail Vuln Analysis - Object Vuln Analysis - Target OS Vuln Analysis - Vuln Name 説明次の項目を指定期間表示します影響を受けるホストの IP アドレス脆弱性の優先度影響を受けるオブジェクト最新のイベント重要 : このビューの期間を最新スキャンの日時に設定してください設定しない場合ビューには以前に行ったスキャンの脆弱性イベントが表示されます Attacked Vuln (Fusion) - Overview ビューにさらに情報を追加します脆弱性の発信元であるネットワークまたはデスクトップコンピューター上のオブジェクトを表示します対象 OS に関連する情報に重点を置いてイベントを表示しますネットワークまたはデスクトップコンピューターに影響を与える脆弱性の名前を表示します表 12: 脆弱性アナリシスビューの説明 SiteProtector System User Guide for Security Analysts Version 2.0, SP

34 第 3 章 : ネットワークの監視アプリケーション監視ビューアプリケーション監視ビューは Proventia Desktop 8.0 が SiteProtector システムへレポートするように設定された場合にのみ有効になりますアプリケーション監視ビューを使用して Proventia Desktop のイベントを追跡しアプリケーションが実行可能かどうかを判断しますアナリシスビュー Application Monitoring - Detail Application Monitoring - Summary Application Monitoring - Target Application Monitoring - User 説明 Desktop が監視しているアプリケーションについての詳細情報 ( ユーザー名アプリケーションのディレクトリパス発信元および宛先 IP アドレスなど ) を表示しますネットワーク上で特定のアプリケーションを使用する方法における傾向を追跡することができます監視されているアプリケーションが使用している IP アドレスについての情報を表示します攻撃の発信元または対象である可能性のあるユーザーについての情報を表示します表 13: アプライアンス監視ビューの説明手順デフォルトアナリシスビューを選択するには次の手順に従います 1. 左ウィンドウ枠でイベントデータを調査するアセットまたはアセットのグループを選択します 2. [Go to] リストから [Analysis] を選択します [Analysis] タブに [Event-Analysis] ビューが表示されます 3. [Analysis View ] リストからビューを選択します 34 IBM Internet Security Systems

35 アナリシスビューのカスタマイズアナリシスビューのカスタマイズ SiteProtector システムではデフォルトアナリシスビューに適用される列とフィルターの設定を変更しその変更内容を別々のアナリシスファイルに保存することができますカスタマイズしたアナリシスビューを使用して特定のニーズに合わせたビューとレポートを作成します重要 : フィルターを定義またはビューをカスタマイズし新規のアナリシスファイルにその変更内容を保存しない場合設定は Console を閉じたときに保存されませんフィルターおよび列の設定を再使用する場合クライアントのコンピューター (Site Database ではない ) に格納されるアナリシスファイルを保存する必要があります Filters ウィンドウ [Filters] ウィンドウを使用して適用するフィルターの値を指定し追加削除または並べ替える列を選択します [Filters] ウィンドウは次のセクションに分割されますセクション Filter list Parameters 説明説明使用可能なフィルターが左ウィンドウ枠にリストアップされますフィルターを有効にするとフィルターの隣にチェックマークが表示されます列をカスタマイズできる [Show Column] オプションもこのリストに表示されます右上のウィンドウ枠にパラメーターがリストアップされますパラメーターによってフィルターリストで選択したフィルターによって異なる値を指定することができます右下のウィンドウ枠にフィルターの目的と使用方法を説明する手順についての情報が表示されます表 14: Filter ウィンドウのセクション列列を追加してより詳細な情報を表示したり列を削除して高レベルの情報を表示することができます次の 4 つのカテゴリーから選択することができます総数の列イベントの列宛先と発信元の列時間の列フィルターデフォルトアナリシスビューのほとんどにフィルターがありますがイベントを分析するときにフィルターの設定を変更する必要がありますたとえば悪意のあるアクティビティーの発信元である疑わしい 1 つの IP アドレスからのみのイベントを表示したいとします [Filters] ウィンドウにより多くの異なるフィルターを変更し適用することができますアクティブフィルターの特定アクティブフィルターを特定するには : 1. [Analysis] タブで [Filters Applied] リンクを見つけます 2. 括弧内の数字は適用されたフィルターの数を示しています 3. 適用しているフィルターを確認するにはリンクの上にカーソルを置きます適用しているフィルターのリストが表示されます 4. フィルターの詳細を確認するにはリンクをクリックします SiteProtector System User Guide for Security Analysts Version 2.0, SP

36 第 3 章 : ネットワークの監視列の並べ替え [Analysis] ビューで列を並べ替えるには : 1. [Go to] リストから [Analysis] を選択します 2. [Analysis View ] リストから列を追加削除並べ替えるビューを選択します 3. [View] [Add/Remove Columns] の順に選択します左ウィンドウ枠で選択した [Show Columns] フィルターとともに [Filters] ウィンドウが表示されます注記 : 右ウィンドウ枠にパラメーターのウィンドウが表示されます右下のウィンドウ枠の情報はフィルターとその設定変更方法を説明しています 4. 次のうちの 1 つ以上を行います目的列を追加する列を削除する列を並べ替える右ウィンドウ枠の列の選択先 [Available] リストから列を選択し [Add] をクリックします [Displayed] リストから列を選択し [Remove] をクリックします [Displayed] リストから列を選択し [Up] および [Down] ボタンを使用します 5. [OK] をクリックします [Analysis] タブは選択したオプションによって変化します列データのソート列のデータをソートするには次の手順に従います 1. [Go to] リストから [Analysis] を選択します 2. [Analysis View ] リストからソートするビューを選択します 3. 選択した [Analysis] ビューでソートする列名をクリックします列名の隣に矢印が表示されその列のデータが矢印の向き ( 上または下 ) に従ってソートされます 4. 列を再度クリックしソート順 ( 昇順または降順 ) を変更します 5. 複数列のデータをソートする場合 [SHIFT] キーを押しながらソートする列をクリックしますフィルターの定義 [Analysis] ビューでフィルターを定義するには次の手順に従います 1. [Go to] リストから [Analysis] を選択します 2. [Analysis View ] リストからフィルターを定義するビューを選択します 3. [View] [Filter] の順に選択します [Filters] ウィンドウが表示されますヒント : [Analysis] ビューで特定の列に対してフィルターを定義するには編集する列を右クリックし [Add/Edit [ 列名 ] Filter(s)] を選択します 4. 左ウィンドウ枠で編集するフィルターを選択します右ウィンドウ枠にパラメーターのウィンドウが表示されます 5. 右側のパラメーターウィンドウ枠のフィールドを使用して特定の設定を変更しますその設定は選択したフィルターによって変化します 6. [OK] をクリックします 36 IBM Internet Security Systems

37 アナリシスビューのカスタマイズ 7. カスタマイズしたビューに適用したフィルターを保存する場合は [View] [Save] の順に選択します 8. [Save Analysis View ] ウィンドウでカスタマイズしたビューの名前を入力してから [Save] をクリックします SiteProtector System User Guide for Security Analysts Version 2.0, SP

38 第 3 章 : ネットワークの監視分析のパースペクティブの選択分析のパースペクティブによって選択したアセットと関連するデータのフォーカスを手動で変更することができます分析のパースペクティブとアナリシスビューを併用して選択した 1 つまたは複数のアセットがイベントアクティビティーと関与している程度を判断します手順分析のパースペクティブを選択するには次の手順に従います 1. 左ウィンドウ枠でイベントデータを調査するアセットまたはアセットのグループを選択します 2. [Go to] リストから [Analysis] を選択します 3. [Action] [Analysis Perspective] の順に選択し次の表を使用してサブメニューのいずれかのオプションを選択しますオプション Target Agent Source Source and Agent Target and Agent Target and Source Target, Agent, and Source イベントのすべてのインスタンスを表示する場合の選択したアセットの状況イベントの対象だった場合イベントを検出したインストール済みエージェントがある場合イベントの発信元だった場合イベントの発信元でイベントを検出したインストール済みエージェントがある場合イベントの対象でイベントを検出したインストール済みエージェントがある場合イベントの対象および発信元だった場合イベントの対象または発信元表示されたイベントを検出したエージェントまたはその全部 [Analysis] タブは選択した分析パースペクティブによって変化しその選択したパースペクティブはタイトルバーに表示されます 38 IBM Internet Security Systems

39 ガイド付き質問の選択ドガイド付き質問の選択ガイド付き質問ではイベントまたはイベントのグループに関する情報を収集する手っ取り早い方法を提供していますガイド付き質問を使用してイベントの監視と検出またはより注目した問い合わせに対するイベント情報を収集しますガイド付き質問とはガイド付き質問とは 1 つ以上の選択したイベントのポップアップメニューに表示される一連の質問ですこれらの質問はアナリシスビューに基づいていて必要だと思われる情報を予測します質問をクリックすると表示するフィルターとアナリシスビューが自動的に変更されますガイド付き質問の例表 15 は SiteProtector システムに表示されるガイド付き質問の例と対応するアナリシスビューを一覧にしたものです選択する質問 Who attacked this target? What are the sources of this event? What attackers did this sensor see? Who attacked this object? What attacks came from this target? What events were against this target? What events were generated by this attacker? What attacks were against this target? What events did this sensor see? What events were against this object? What are the event details? Which sensors detected this target? Which sensors detected this attacker? Which sensors detected this event? What sensor detected this object being attacked? What objects were targeted on this host? What are the target objects of this attacker? What are the target objects of this event? What objects did this sensor see? What are the targets of this attacker? What are the targets of this event? What targets did this sensor see? What target host had this object attacked? What is the 'whois' record of this target? What is the 'whois' record of this attacker? 表示されるアナリシスビュー Event Analysis - Attacker Event Analysis - Event Name Event Analysis - Details Event Analysis - Sensor Event Analysis - Target Object Event Analysis - Target ホストの IP アドレスに対して American Registry for Internet Numbers (ARIN) の検索結果を表示します表 15: ガイド付き質問の例と対応するアナリシスビュー手順ガイド付き質問を選択するには : 1. 左ウィンドウ枠で表示する情報のグループまたはホストを選択します 2. [Go to] リストから [Analysis] を選択します SiteProtector System User Guide for Security Analysts Version 2.0, SP

40 第 3 章 : ネットワークの監視 3. イベントを右クリックしポップアップメニューから最も関連する質問を選択します別の列とフィルターを持つアナリシスビューが表示されます重要 : 選択したアナリシスビューに一定の列が表示される必要があります表示されない場合はガイド付き質問は表示されません 4. 前のビューへ移動するには表示するイベントデータに達するまでツールバーの [Back] アイコンをクリックします 5. 必要に応じてフィルターパネルを使用してさらに的を絞ってイベントデータに焦点を当てます 40 IBM Internet Security Systems

41 イベントデータの更新とクリアセクション C: イベント概要ネットワークに関する情報が最新であることを確認することはイベントを検出し調査しているときに大変重要ですイベントデータを自動で更新して照会に関連しないイベントをクリアするように SiteProtector システムを設定することができますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページコンソールの更新 42 イベントのクリアおよびアンクリア 43 SiteProtector System User Guide for Security Analysts Version 2.0, SP

42 第 3 章 : ネットワークの監視コンソールの更新コンソールを設定して事前に定義した頻度で [Auto-Refresh] オプションを使用してコンソール自体をアップデートすることができます手動でコンソールを更新することもできます Auto Refresh 設定 [Auto-Refresh] オプションを選択した場合 [Tools] [Options] [General] [Auto Refresh] の順に指定した頻度に従ってコンソールはアップデートされますアクティブコンソールのみまたはすべてのコンソールを自動的に更新するように設定することもできます注意 : 更新する間隔が短すぎる場合はコンソールのパフォーマンスにマイナスの影響を与える可能性があるため [Auto-Refresh] オプションを使用するときには注意しますデータを自動で更新するためのコンソールの設定自動で更新するようコンソールを設定するには : [View] [Auto-Refresh] の順に選択します [Auto-Refresh] オプションの隣にチェックマークが表示されます注記 : [Auto-Refresh] を無効にするには再度そのオプションを選択しますコンソールの手動更新コンソールを手動で更新するには : 1. 選択したタブのデータを更新するには次のいずれかを行います [View] [Refresh] の順に選択します [F5] キーを押しますこのオプションはビューが最後に更新されてから受信したイベントでそのビューを更新します 2. [Summary] ビューのウィンドウ枠を更新するにはタイトルバーで [Refresh] アイコンをクリックします現在のビューの再ロード現在のビューを再ロードするには : 1. [Analysis] タブで [View] [Reload Current View] の順にクリックします 2. [Yes] をクリックしますこのオプションは現在選択されているビューでフィルターや列に加えた変更を削除します 42 IBM Internet Security Systems

43 イベントのクリアおよびアンクリアイベントのクリアおよびアンクリアネットワークに関する情報が関連していることを確認することはイベントを監視し検出しているときに大変重要です SiteProtector システムを設定して照会に関連しないイベントをクリアし前回クリアしたイベントを復元することができますイベントのクリアとは SiteProtector システムではアナリシスビューから必要のないイベントをクリアすることができますこのことにより脅威の可能性のあるイベントを特定しやすくなりますイベントのクリア SiteProtector システムの Console からイベントをクリアするには : 1. [Analysis] タブからクリアするイベントを選択します 2. [Action] [Clear Events] の順にクリックします [Clear/Unclear Event(s)] ウィンドウが表示されます 3. 確認のため [Yes] をクリックします選択したイベントがコンソールからクリアされますクリアしたイベントの復元 SiteProtector システムの Console からクリアしたイベントを復元するには : 1. [Analysis] タブでクリアするイベントの [Analysis View ] を選択します 2. [View] [Filter] の順に選択します [Filters] ウィンドウが表示されます 3. 左ウィンドウ枠で [Show Columns] を選択します右ウィンドウ枠にパラメーターのウィンドウが表示されます 4. [Available] 列から [Cleared Count] を選択し [Add] をクリックします 5. [OK] をクリックします 6. アンクリアする 1 つまたは複数のイベントを選択して [Action] [Restore Events] の順に選択します注記 : ビューにあるすべてのイベントをクリアした場合そのビューは空になりイベントをアンクリアできる右クリックメニューは表示されません 7. [Yes] をクリックします選択したイベントが復元されます SiteProtector System User Guide for Security Analysts Version 2.0, SP

44 第 3 章 : ネットワークの監視 44 IBM Internet Security Systems

45 セクション D: 異常検出コンテンツの表示概要異常検出コンテンツはネットワーク上の疑わしいアクティビティーのパターンの検出には不可欠です SiteProtector システムではトラフィックビューに異常検出コンテンツを表示することができます重要 : ADS コンテンツを表示するには SiteProtector システムと通信するように設定された ADS アプライアンスが必要です複数の ADS アナライザーアプライアンスサイトに複数の ADS アナライザーアプライアンスを含めることができます複数の ADS アナライザーがある場合推奨アプライアンスを設定しホストオブジェクトに対するネットワークの動作を検索したり SiteProtector システムにトラフィック分析を表示したりすることができます推奨アプライアンスのうちのいずれも選択しなかった場合最初に登録されたアプライアンスがデフォルトとして選択されます ADS 表示オプション [Tools] [Options] [Browser] から ADS イベントの表示方法のオプションを設定できますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ ADS コンテンツへのアクセス 46 ADS エンティティー情報の表示 47 SiteProtector System User Guide for Security Analysts Version 2.0, SP

46 第 3 章 : ネットワークの監視 ADS コンテンツへのアクセスさまざまな方法で SiteProtector システムから ADS へナビゲートおよびアクセスすることができますこのトピックでは ADS コンテンツへのアクセスの手順を説明します ADS Web Console の起動 ADS Web Console を開始するには : 1. SiteProtector システムの Console の左ウィンドウ枠で ADS アプライアンスを含むグループを選択してから ADS アプライアンスを選択します 2. 次のいずれかを行いますエージェントを右クリックし [Launch] [Proventia Manager] を選択します [Action] を選択し [Launch] [Proventia Manager] を選択します新しくブラウザが開き ADS アプライアンス Web Console が表示されます ADS コンテンツへのアクセス ADS コンテンツへアクセスするには : 次の表のオプションを使用して ADS コンテンツへアクセスしますオプション説明 Action メニュー ADS イベントの詳細にナビゲートするにはエージェントアナリシスまたはアセットビューで 1 列以上を選択し [Action] メニューの [Network Behavior] オプションを選択しますエージェントやアセットを右クリックして詳細を表示することもできます [Agent] [Launch ] [Proventia Manager] Event Analysis - Details Event Analysis - Event Name Traffic Analysis タブエージェントビューから [Launch] オプションとは別のブラウザを開いて ADS Web Console を表示しますアナリシスビューから [Event Analysis - Details] を選択しアナリシスビューエージェントビューアセットビューの選択した IP アドレスを表示します詳細については [Action] [What are the ADS Event Details] の順に選択しますアナリシスビューからイベントを選択し右クリックして [Open Event Details] を選択して ADS イベントの詳細を表示します Event Attribute Value Pairs 表の ADSEvent.url 属性の隣のアイコンをクリックして ADS イベントの詳細にアクセスすることもできます [Traffic] タブを選択し選択したグループの ADS コンテンツを表示します 46 IBM Internet Security Systems

47 ADS エンティティー情報の表示 ADS エンティティー情報の表示このトピックでは ADS エンティティー情報 ADS イベントの詳細 Traffic Analysis の表示手順について説明します ADS エンティティー情報の表示 ADS エンティティー情報を表示するには次の手順に従います 1. コンソールの左ウィンドウ枠で内容を表示するグループまたはアセットを選択します 2. エージェント Event Analysis - Details またはアセットビューからエージェントアセットまたはイベントを選択して表示します 3. リストから調査するエージェントアセットまたはイベントを反転表示します 4. ADS エンティティー情報を表示するには次のいずれかを行いますエージェントアセットまたはイベントを右クリックし [Network Behavior] を選択します [Actions] [Network Behavior] の順に選択し確認する ADS 情報を選択します注記 : 単一行を選択しイベント情報を表示させる必要があります複数行選択してエンティティー情報を表示することはできますが最初の 15 の固有項目だけがメニューに表示されます ADS イベントの詳細の表示 ADS イベントの詳細の表示するには : 1. コンソールの左ウィンドウ枠でイベントを表示するグループまたはアセットを選択します 2. ドロップダウンリストから [Analysis] を選択するか [open Analysis tab] をクリックします 3. リストから [Event Analysis - Details] を選択しイベントを選択します 4. ADS イベントの詳細を選択するには次のいずれかを行いますエージェントを右クリックし [What are the ADS Event Details?] を選択します [Action] を選択してから [What are the ADS Event Details?] を選択します選択したイベントに関する [ADS Alert Details] が表示されますトラフィックの分析 [Traffic Analysis] オプションを使用して ADS イベントを表示するには : 1. トラフィック分析を表示させるグループを選択します 2. [Go to] リストから [Traffic Analysis] を選択します [Traffic Analysis] 組み込みタブが表示され選択したグループの ADS トラフィックコンテンツを表示しますシステムが直近 24 時間のトラフィックコンテンツを表示します SiteProtector System User Guide for Security Analysts Version 2.0, SP

48 第 3 章 : ネットワークの監視 48 IBM Internet Security Systems

49 セクション E: SecurityFusion Module での影響の分析概要 SecurityFusion Module は重大な脅威を迅速に特定して対応する能力を大いに高めます相関および分析技術を使用してモジュールは最も重要な攻撃アクティビティーに焦点を当てるのに役立つように影響の大きい攻撃や重大な攻撃パターンを段階的に拡大します注記 : SecurityFusion Module は個別購入のアドオンコンポーネントです影響の分析影響の分析とは攻撃が成功したかどうかを決定するプロセスです不正侵入検知センサーが攻撃を検出するときにモジュールは攻撃をホストに関する情報 ( オペレーティングシステム脆弱性ホストエージェントが取る対応など ) に関連付け攻撃の成功または失敗を検証しますこの情報はアナリシスビューの [Status] 列に表示されますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ SecurityFusion Module の攻撃パターン 50 SiteProtector System User Guide for Security Analysts Version 2.0, SP

50 第 3 章 : ネットワークの監視 SecurityFusion Module の攻撃パターンモジュールは対象となる試行およびネットワーク侵入試行またはセキュリティー侵害されたホストからの攻撃アクティビティーなどの深刻なセキュリティーインシデントを示すイベントアクティビティーのパターンを認識しますこれらの攻撃パターンは 1 つのインシデントにまとめられるためストリーミングイベントデータがより処理しやすくなりますマウスを数回クリックするだけでインシデントの詳細を簡単に取得することができます攻撃パターンの機能攻撃パターンのすべてのイベントやその他基準が満たされた場合にのみモジュールは攻撃パターンの相関を SiteProtector システムのデータベースに保存するためコンソールで使用することができますモジュールは攻撃パターンのタイムリミットに達するまで既存の攻撃パターンの相関を監視およびアップデートし続けます攻撃パターンの期間はシステム関連変数と同様に各攻撃パターンの時間関連オプションによって決定されます攻撃パターンのタイプは次のとおりです情報収集侵入試行サービス不能攻撃回避攻撃パターンに対して表示されるデータ列次のテーブルはコンソールおよび [Event Analysis-Incidents] ビューで攻撃パターンの相関に対して表示されるデータ列を説明しています列説明 Incident/Exception Name 次の形式で順番に割り当てられた数値の識別子が後ろに続く攻撃パターンの名前 Attack_Pattern_Name~ID_n Incident/Exception Description 攻撃に関連するホストの簡略説明関連するホストの視覚的説明追跡またはその他役立つ情報でアップデートすることができる列 # High 攻撃パターンの相関での高危険度イベントの数 # Medium 攻撃パターンの相関での中危険度イベントの数 # Low 攻撃パターンの相関での低危険度イベントの数 Tag Count Source Count Target Count Object Count Earliest Event Latest Event 攻撃パターンの相関でタグ名によって特定された異なるタイプのイベント数ワーム攻撃などの攻撃パターンの相関には同じタイプのイベントのインスタンスがいくつか含まれているため [Tag Count] はイベントの合計数以下である可能性があります攻撃パターンの相関でのイベントの発信元である異なる IP アドレスの数攻撃パターンの相関でのイベントのターゲットである異なる IP アドレスの数攻撃パターンの相関で対象とされる異なるオブジェクトの数攻撃パターン相関での最初のイベントの日時攻撃パターン相関での最後のイベントの日時表 16: 攻撃パターンに対して表示されるデータ列 50 IBM Internet Security Systems

51 SecurityFusion Module の攻撃パターン SiteProtector System User Guide for Security Analysts Version 2.0, SP

52 第 3 章 : ネットワークの監視 52 IBM Internet Security Systems

53 セクション F: アセットおよびエージェントの検索概要企業環境でトラフィックを監視している場合グループアセットまたはエージェントを検索する必要があります SiteProtector システムの [Find] オプションを使用してエージェントおよびアセットを手っ取り早く検索することができます Find オプションアセットまたはエージェントを選択する場所によって [Find] オプションを使用してグループへ移動またはキーワード検索をすることができます [Find] オプションは [Edit] メニューにありますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ選択したエージェントまたはアセットを含むグループの検索 54 グループに含まれるアセットまたはエージェントの検索 55 SiteProtector System User Guide for Security Analysts Version 2.0, SP

54 第 3 章 : ネットワークの監視選択したエージェントまたはアセットを含むグループの検索サイトを監視するときにエージェントまたはアセットが属するグループを検索する必要がありますこのトピックでは [Find] オプションを使用してエージェントまたはアセットが属しているグループを検索する手順を説明します手順選択したアセットまたはエージェントを含むグループを検索するには : 1. エージェントまたはアセアセットビューで右ウィンドウ枠のエージェントまたはアセットを選択します 2. [Edit] [Find] の順に選択します選択したエージェントまたはアセットの親グループとともに [Find Group] ウィンドウが表示されます 3. [Expand] および [Collapse] オプションを使用してツリー上のグループを表示します 4. グループを選択し [OK] ボタンをクリックしてそのグループに移動します 54 IBM Internet Security Systems

55 グループに含まれるアセットまたはエージェントの検索グループに含まれるアセットまたはエージェントの検索 SiteProtector システムによって選択したグループを検索してアセットまたはエージェントの場所を探すことができますこのトピックではキーワードやパターンを使用してグループを検索する手順を説明します手順グループに含まれるアセットまたはエージェントを検索するには : 1. 左ウィンドウ枠でグループを選択します 2. [Edit] [Find] の順に選択します [Group] ウィンドウに [Find Asset] が表示されます 3. [Pattern] ボックスにキーワードを入力し [Find] をクリックします入力したパターンがアセットと一致した場合そのアセットのホスト名とアセットの親グループが下ウィンドウ枠に表示されます 4. [Expand] および [Collapse] オプションを使用してツリー上のグループを表示します 5. グループを選択し [OK] ボタンをクリックしてそのグループに移動します SiteProtector System User Guide for Security Analysts Version 2.0, SP

56 第 3 章 : ネットワークの監視 56 IBM Internet Security Systems

57 第 4 章レポートの実行概要重要 : この章では SiteProtector システムレポートの実行に関するガイドラインと手順を説明しますこの章の内容この章には次のセクションがありますセクションページセクション A: 始める前に 59 セクション B: 一般的なレポートのタスク 61 セクション C: 特定レポートのオプション 69 SiteProtector System User Guide for Security Analysts Version 2.0, SP

58 第 4 章 : レポートの実行 58 IBM Internet Security Systems

59 セクション A: 始める前に概要始める前にこのセクションではレポートの実行に関する背景情報とガイドラインを説明しますこのセクションを確認してからこの章の手順を実行してくださいこのセクションの内容このセクションでは次のトピックについて説明しますトピックページレポートの実行に関するガイドライン 60 SiteProtector System User Guide for Security Analysts Version 2.0, SP

60 第 4 章 : レポートの実行レポートの実行に関するガイドラインこのトピックではレポートジョブのスケジューリング大規模レポートのフォーマットメールでのレポートの送信に関するガイドラインを説明しますレポートジョブのスケジューリング同時に 11 ジョブ以上をスケジューリングしないでください最初のジョブが処理されている間に最大 10 ジョブが待機することができますがそれ以上のジョブは失敗します大規模レポートの形式 30 ページ以上のレポートがある場合がありますその場合 HTML 形式を使用するとレポート内のテキストが重複して読めなくなりますレポートが 30 ページ以上だと思われる場合は PDF または CSV 形式を使用してください HTML バージョンのレポートを印刷する場合はレポートの内容が用紙の端を越えている場合がありますレポートを印刷するときは品質をよくするためにも PDF 形式を使用してください 60 IBM Internet Security Systems

61 セクション B: 一般的なレポートのタスク概要このセクションではすべてのレポート作成タスクに適用される手順について説明しますこのセクションの情報を使用してレポートの表示レポート形式頻度日付の設定レポート結果のメール配信を行いますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページレポートの表示と保存 62 レポート名とレポート形式の設定 63 レポート頻度の指定 64 レポートの日付別フィルタリング 65 レポート結果のメール配信 66 SiteProtector System Users List でのメールアドレスの作業 67 SiteProtector System User Guide for Security Analysts Version 2.0, SP

62 第 4 章 : レポートの実行レポートの表示と保存このトピックの手順を使用して SiteProtector システムが生成するレポートのインスタンスを表示しこれらのインスタンスをローカルで保存しますレポートの保存方法デフォルト設定でレポートの構成設定を保存するときに SiteProtector システムはこのレポートのインスタンスを Application Server の次のフォルダーに保存します ApplicationServer\deployed-apps\iss\SiteProtector.ear\webconsole.war\ reports 注記 : Application Server 上のレポートにアクセスするには要求される権限を得ている必要があります通常これらの権限は Application Server の設定によって異なります指定した間隔でレポートインスタンスを実行 [Recurrence] タブで SiteProtector システムがレポートインスタンスを実行する頻度を制御することができますレポート頻度の指定 (64 ページ ) を参照してください手順レポートを表示および保存するには : 1. [Go To] リストから [Report] を選択します 2. 生成するレポートを右クリックしポップアップメニューから [New Report] を選択しますレポートの構成オプションを表示するウィンドウが表示されます 3. レポートの名前を入力し追加設定オプションを指定してから [OK] をクリックします 4. 再度レポートのテンプレートを右クリックしポップアップメニューから [Properties] を選択します 5. リストに表示するレポートインスタンスを右クリックしポップアップメニューから [OpenReport] を選択します 6. レポートをローカルドライブに保存するにはレポートを右クリックしポップアップメニューから [Save As] を選択します 7. レポートを保存する場所を参照し選択しから [OK] をクリックします 62 IBM Internet Security Systems

63 レポート名とレポート形式の設定レポート名とレポート形式の設定 SiteProtector システムではさまざまな形式でレポートを実行することができますこのトピックではレポート形式を設定する手順を説明します [Report Specification] タブにはすべての SiteProtector システムレポートに適用される一般的なオプションが含まれていますレポート形式の種類次のファイル形式を使用してレポートを生成することができます PDF CSV HTML 注記 : デフォルトおよび推奨されるファイル形式は PDF です手順 [Report Specification] タブを設定するには次の手順に従います 1. [Go To] リストから [Report] を選択しますレポートの一覧が右ウィンドウ枠に表示されます 2. 生成するレポートを右クリックしポップアップメニューから [New Report] を選択します 3. [Report Specification] タブで次の情報を指定しますボックス Report Filename Report Comments Report Type 作業レポートの固有名を入力します任意のコメントを入力しますレポート形式 (PDF CSV HTML) を選択します 4. [OK] をクリックします SiteProtector System User Guide for Security Analysts Version 2.0, SP

64 第 4 章 : レポートの実行レポート頻度の指定デフォルト設定で SiteProtector システムは一度のみレポートを生成しますただし SiteProtector システムから指定した間隔でレポートを実行する場合は [Recurrence] タブで頻度を指定することができます前提条件 [Report Specification] タブのレポート名とレポートの種類を指定してから他のレポートタブで指定した変更内容を保存することができます参照 : レポート名とレポート形式の設定 (63 ページ ) を参照してください手順レポート頻度を指定するには次の手順に従います 1. [Go To] リストから [Report] を選択しますレポートの一覧が右ウィンドウ枠に表示されます 2. 生成するレポートを右クリックしポップアップメニューから [New Report] を選択します 3. [Recurrence] タブを選択します 4. [Recurrence pattern] セクションで SiteProtector システムからこのレポートを自動的に生成するのに使用する頻度を選択します 5. このレポートを生成する時間を [Start] ボックスで選択します注記 : 現在の時間がデフォルトとして選択されています 6. [Range of recurrence] セクションで次のいずれかを指定します [No end date] オプションを選択します [End by] オプションを選択しリストから日付を選択します注記 : [Recurrence Pattern] セクションで [Run Once] オプションを選択した場合 [Range of recurrence] オプションは利用できません 7. [OK] をクリックします 64 IBM Internet Security Systems

65 レポートの日付別フィルタリングレポートの日付別フィルタリングほとんどの場合レポートのデータを特定の期間に制限する必要があります SiteProtector システムでは標準およびカスタムの期間別にデータをフィルタリングするレポートを作成することができますこのトピックの背景情報と手順を使用して日付別にレポートをフィルタリングします前提条件 [Report Specification] タブのレポート名とレポートの種類を指定してから他のレポートタブで指定した変更内容を保存することができます参照 : レポート頻度の指定 (64 ページ ) を参照してください手順レポートを日付別にフィルタリングするには : 1. [Go To] リストから [Report] を選択しますレポートの一覧が右ウィンドウ枠に表示されます 2. 生成するレポートを右クリックしポップアップメニューから [New Report] を選択します 3. [Report Period] タブを選択します 4. このレポートのデータを特定の期間に制限しますか? 制限する場合は [Custom] オプションを選択します制限しない場合は [Standard Time Period] オプションを選択し手順 7 に進みます 5. 次のいずれかの時間形式を選択します SiteProtector system Console Time Zone GMT (Greenwich Mean Time) 6. ボックス内にレポート期間の開始日と終了日を入力または矢印をクリックしてポップアップカレンダーから日付を選択し手順 8 に進みます 7. [Standard Time Period] セクションで次のいずれかを行います含める期間 1 番目のリストから選択するオプション次の手順現在の期間のみ This 3 番目のリストから期間の単位 ( 日週月または年 ) を選択する前回の期間 Previous 含める期間数を 2 番目のリストから選択する 3 番目のリストから期間の単位 ( 日週月または年 ) を選択する 8. [OK] をクリックします SiteProtector System User Guide for Security Analysts Version 2.0, SP

66 第 4 章 : レポートの実行レポート結果のメール配信このトピックではメールメッセージ形式でレポート結果を各宛先へ送信する手順について説明します [ Distribution] タブはメールアドレスを設定した SiteProtector システムのユーザーすべてに適用されますこのトピックの手順を使用してレポートを他の SiteProtector システムのユーザーにメールで送信します手順レポート結果をメールで送信するには : 1. [Go to] リストから [Report] を選択します 2. メール送信するレポートを右クリックしポップアップメニューから [New Report] を選択します 3. [ Distribution] タブを選択します 4. レポートをメールの添付ファイルとして送信するには [ report as attachment for PDF report type] チェックボックスをオンにします注記 : このオプションを選択する場合 [Report Type] として [PDF] を選択する必要があります 5. 次のいずれかを行いますボックスに表示されている SiteProtector システムの全ユーザーに対してレポートを送信するには [Select All ] チェックボックスをオンにします SiteProtector システムの特定のユーザーにレポートを送信するには個別ユーザーの横にあるチェックボックスをオンにします注記 : SiteProtector システムにユーザーを追加するには [Tools] [User Groups] の順にクリックします SiteProtector システムのユーザーにメールアドレスを割り当てるには [Tools] [User Addresses] の順にクリックしてください 6. SiteProtector システムのユーザー以外でレポートを受け取る必要がある人にメールアドレスを追加するには [Configure other addresses separated by semicolons below] ボックスにメールアドレスを入力します 7. [OK] をクリックして終了します注記 : SiteProtector システムは受信者にハイパーリンクを含むメールメッセージを送信しますレポートを表示するには SiteProtector システムで認証されている必要があります 66 IBM Internet Security Systems

67 SiteProtector System Users List でのメールアドレスの作業 SiteProtector System Users List でのメールアドレスの作業ユーザーがレポート結果を他のユーザーからメール経由で送信または受信できるように現在の SiteProtector システムの Users List に対してメールアドレスを追加または編集することができますタスクの概要 SiteProtector システムの Users List にメールアドレスを追加するプロセスは 3 段階に分かれていますタスク説明 1 新規ユーザーを現在のユーザーリストに追加する 2 メールサーバーアドレスを入力しどのメールサーバーを使用してメールを送信するか指示する 3 メールアドレスをユーザーリストに追加する表 17: SiteProtector システムの Users List にメールアドレスを追加する現在のユーザーリストへのユーザーの追加新規ユーザーを追加するには次の手順に従います 1. [Go to] リストから [Report] を選択します 2. [Tools] [User Groups] の順に選択します 3. 左ウィンドウ枠で目的とするユーザーグループを選択してから [Add] を選択します注記 : この手順はオプションですユーザーをメール配布リストに追加するためにユーザーグループを選択する必要はありません 4. [Members Search] セクションで [Add] をクリックします 5. [Search Users/Groups to Add] ウィンドウで [Members Search] ウィンドウに個々の名前を入力し [CheckNames] をクリックします 6. リストから目的とするメンバーを選択し [OK] をクリックします注記 : 2 人以上のユーザーを選択することができます 7. [Search Users/Groups to Add] ウィンドウで [OK] をクリックします 8. [User Groups] ウィンドウで [OK] をクリックしますメールサーバーアドレスの入力メールサーバーアドスを入力するには次の手順に従います 1. [Tools] [User Addresses.] の順に選択します 2. [ Server Address] ウィンドウにメールサーバーアドレスを入力します 3. [OK] をクリックします SiteProtector System User Guide for Security Analysts Version 2.0, SP

68 第 4 章 : レポートの実行ユーザーに対するメールアドレスの追加または編集メールアドレスを追加または編集するには次の手順に従います 1. [Tools] [User Addresses] の順に選択します 2. リストからユーザーを選択し次の表に記載されているとおりに設定を完了します設定メールアドレスの追加メールアドレスの編集説明次のいずれかを行います [Update with AD] をクリックします注記 : 2 人以上のユーザーを選択することができますメールアドレスを追加するユーザーを選択し [Edit address] をクリックして手動でメールアドレスを入力します注記 : [Update with AD] を選択した場合 SiteProtector システムは Active Directory から取得した情報を使って自動的にメールアドレスをアップデートします次の作業を行います 1. リストからユーザーを選択し [Edit address] をクリックします 2. メールアドレスを編集し [OK] をクリックします 3. [OK] をクリックします 68 IBM Internet Security Systems

69 セクション C: 特定レポートのオプション概要このセクションでは各レポートカテゴリーに適用されるオプションについて説明しますこれらのカテゴリーは [Report] タブのカテゴリーごとにまとめられていますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ Assessment レポート 70 Asset レポート : イベントの詳細と概要 74 Asset レポート : プロテクション 77 Asset レポート :Asset Risk レポート 78 Attack Activity レポート 82 Audit レポート : Audit Detail レポート 86 Audit レポート : Audit User to Group Report 87 Content Filtering レポート 88 Mail Filtering レポート 90 Management レポート 92 Permission レポート 97 Ticket レポート 98 Virus Activity レポート 100 SiteProtector System User Guide for Security Analysts Version 2.0, SP

70 第 4 章 : レポートの実行 Assessment レポートこのトピックでは Assessment レポートに対して設定可能なオプションについて説明します表示されるオプションは設定するレポートによって異なります Assessment レポート表 18 では [Report] タブに表示される Assessment レポートを一覧にしたものです機能 Assessment レポート Asset Asset Assessment Detail Asset Assessment Summary Operating System Operating System Summary Operating System Summary By Asset Payment Card Industry (PCI) PCI Detail PCI Summary Service Service Summary Service Summary By Asset Vulnerability Top Vulnerabilities Vulnerability By Asset Vulnerability By Group Vulnerability By OS Vulnerability Counts Vulnerability Counts By Asset Vulnerability Detail By Asset Vulnerability Differential Vulnerability Names By Asset Vulnerability Remedies By Asset Vulnerability Summary By Asset Vulnerable Assets 表 18: Report タブの Assessment レポートソートオプション表 19 は Assessment レポートのソートオプションを一覧にしたものですこれらのオプションは [Sort Results By] リストに表示されますレポート [Sort Results By] リスト内のオプション Top Vulnerabilities Count Vulnerability Name Vulnerability By Group Group Name High Severity Medium Severity Low Severity Total Vulnerabilities 表 19: Assessment レポートのソートオプション 70 IBM Internet Security Systems

71 Assessment レポートレポート Asset Assessment Detail Asset Assessment Summary Operating System Summary Operating System Summary By Asset Service Summary By Asset Vulnerability Counts By Asset Vulnerability Detail By Asset Vulnerability Remedies By Asset Vulnerability Name By Asset Vulnerability Summary By Asset [Sort Results By] リスト内のオプション DNS Name IP Address Operating System DNS Name IP Address Vulnerable Assets Asset Criticality Asset Name DNS Name IP Address Vulnerability By OS High Severity Medium Severity Low Severity Total Vulnerabilities OS Name 表 19: Assessment レポートのソートオプション ( 続き ) Assessment レポートオプション表 20 では Assessment レポートのオプションおよび表示されるタブを説明しますすべてのレポートに表示されないオプションもありますオプション Share report with other SiteProtector system users タブ General 説明このレポートを表示するオプションを他の SiteProtector システムのユーザーに与える場合にこのオプションを選択します Available and Displayed Display [Add] または [Remove] オプションを使用して Vulnerability By Group レポートに表示する列を選択します [Up] または [Down] オプションを使用してレポートに表示される順番を調整します Include Exceptions Filters 実行中のレポートに例外を含める場合にこのオプションを選択します表 20: Assessment レポートオプション SiteProtector System User Guide for Security Analysts Version 2.0, SP

72 第 4 章 : レポートの実行オプションタブ説明 Asset Value Filters レポートに表示される IP アドレスに使用するアセット名を決定するには次の項目から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にアセット名が一貫して登録されていない環境においてアセット名が空白のままレポートに表示されないように [Best Name] を選択します Sort Results By Sort Order Show Asset Details Group by Number of Records Show Graph Graph Style Show vulnerability fix details Report Format Report Format Report Format Report Format Report Format Report Format Report Format Report Format レポートをソートするオプションを選択しますオプションの一覧については表 19 を参照してください次のオプションのいずれかを選択します Ascending Descending アセットの詳細を表示するにはこのオプションを選択しますレポートをソートする次のいずれかのオプションを選択します Severity Status 次のオプションのいずれかを選択しますこのオプションを選択してレポートにグラフを表示しますこのオプションは表 19 に記載されているレポートにのみ表示されます [Show Graph] ボックスで有効にしたグラフのグラフスタイルを選択します Pie chart Bar chart 各脆弱性に対する修正の詳細を表示するにはこのオプションを選択します表 20: Assessment レポートオプション ( 続き ) 72 IBM Internet Security Systems

73 Assessment レポートオプション Standard Time Period Custom Select All タブ Report Period Report Period Distribution 説明次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT 次のいずれかを選択します Select All Individual addresses 表 20: Assessment レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

74 第 4 章 : レポートの実行 Asset レポート : イベントの詳細と概要このトピックでは Asset レポートに対して設定可能なオプションについて説明します表示されるオプションは設定した Asset のタイプによって異なります Asset レポート次の Asset レポートは [Report] タブに表示されます Asset Event Details Asset Event Summary ソートオプション表 21 は [Report Format] タブの [Sort Results By] リストに表示される Asset Event Details レポートのソートオプションを一覧にしたものですレポート [Sort Results By] リスト内のオプション Asset Event Details Event/Vulnerability Name Asset Owner Inventory Tag Asset Function Asset Criticality 表 21: Asset Event Detail レポートでのソートオプション Asset レポートオプション表 22 では Asset レポートに表示されるオプションと表示されるタブについて説明しますすべてのレポートに表示されないオプションもありますオプション Share report with other SiteProtector system users Choose Assets to include Observance types to include タブ General General General 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します次のいずれかのオプションを選択します All assets Desktops Only No desktops レポートに含める次のいずれかのオプションを選択します Events Vulnerabilities Events and Vulnerabilities Display summary by General Asset Event Summary レポートでサマリー情報をソートする方法を次のいずれかから選択します Criticality Function Owner 表 22: Asset レポートオプション 74 IBM Internet Security Systems

75 Asset レポート : イベントの詳細と概要オプションタブ説明 Available Filters Asset Event Summary および Asset Event Detail でソートされる情報をフィルタリングする方法を次のいずれかから選択します Incomplete data Vulnerability Informational Only Web Filter Anti-Spam Application Compliance Displayed Filters Asset Event Summary および Asset Event Detail で表示される情報をフィルタリングする方法を次のいずれかから選択します Intrusion Detection AntiVirus Firewall Network Anomaly Detection Owners Filters レポートに表示させるアセットに対応するオーナーを選択しますオーナーが定義されていない場合オプションは表示されません Criticality Filters レポートに表示させるアセットに対応するクリティカリティレベルを選択します Functions Filters レポートに表示させるアセットに対応する機能を選択します機能が定義されていない場合オプションは表示されません Include Exceptions Filters 実行中のレポートに例外を含める場合にこのオプションを選択します Sort Results By Sort Order Show Graph Graph Style Report Format Report Format Report Format Report Format レポートをソートするオプションを選択しますオプションの一覧については表 21 を参照してください次のオプションのいずれかを選択します Ascending Descending このオプションを選択してレポートにグラフを表示します [Show Graph] ボックスで有効にしたグラフのグラフスタイルを選択します Pie chart Bar chart 表 22: Asset レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

76 第 4 章 : レポートの実行オプション Number of Records Standard Time Period Custom Select All タブ Report Format Report Period Report Period Distribution 説明次のオプションのいずれかを選択します次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT 次のいずれかを選択します Select All Individual addresses 表 22: Asset レポートオプション ( 続き ) 76 IBM Internet Security Systems

77 Asset レポート : プロテクション Asset レポート : プロテクションこのトピックでは Asset Protection レポートに対して設定可能なオプションについて説明します [Report] タブに表示される Asset Protection レポート一覧を次に示します Desktop Protection Report Server Protection Report Desktop Protection レポートオプション表 23 では Protection レポートのオプションおよび表示されるタブについて説明しますオプション Share report with other SiteProtector system users タブ General 説明このレポートを表示する権限を他の SiteProtector システムのユーザーに与えるにはこのオプションを選択します Display Version As Display レポートに表示するバージョンの種類を定義するには次のいずれかを選択します Agent Version Intrusion Detection and Prevention Version Virus Protection Version Combined Version Display Assets By Sort Results By Show Graph Select All Report Format Report Format Report Format Distribution レポートに表示される IP アドレスに使用するアセット名を決定するには次の項目から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にホスト名が一貫して使用されていない環境においてホスト名が空白のままレポートに表示されないように [Best Name] を選択します結果をソートするオプションを選択します Status Version このオプションを選択してレポートにグラフを表示します次のいずれかを選択します Select All Individual addresses 表 23: Protection レポートオプション SiteProtector System User Guide for Security Analysts Version 2.0, SP

78 第 4 章 : レポートの実行 Asset レポート :Asset Risk レポートこのトピックでは Asset Risk レポートで設定するオプションについて説明しますこのレポートを使用してサイトに存在するアセットの脆弱性に関連するリスクを評価しますレポートには各アセットグループのリスクスコアといっしょに指定されたレポート期間のリスク傾向に関するグラフが含まれます SiteProtector システムのリスクスコア判定方法 SiteProtector システムはリスク要因に重点を置きアセットクリティカリティと組み合わせて各アセットのリスクスコアを決定しますリスク要因にはブロックされない攻撃アセットで発見された脆弱性アセットプロテクションの未実施 (Proventia Server または Proventia Desktop) および最近実施されていない脆弱性スキャン (Internet Scanner または Enterprise Scanner) が含まれます SiteProtector システムはサイト全体の総スコアと各アセットに対して 0 から 100 の間でリスクスコアを割り当てますそれぞれのリスク要因はクリティカリティを除いて (40 から 100 の間の値 ) 1 から 10 の間の値を持ちますまた SiteProtector システムは各要因に重要性を割り当てそれぞれの要因をそれぞれの重要性とアセットクリティカリティを掛けて合計した値を 10 倍にした総重要性の値で割り算をしてリスクスコアが算出されます例 : アセットクリティカリティ (( 要因 2 重要性 2) + ( 要因 3 重要性 3) + ( 要因 10 重要性 10)) ( 総重要性 10) リスク要因表 24 ではリスクスコアとデフォルトの重要性の値を判定する要因を一覧にしていますリスク要因スアセットクリティカリティ重要性これは次のように決定された素点です Low または unassigned: 40 Medium: 50 High: 70 Critical: 100 高危険度のブロックされていない攻撃 10 中危険度のブロックされていない攻撃 3 低危険度のブロックされていない攻撃 1 高危険度の脆弱性 10 中危険度の脆弱性 3 低危険度の脆弱性 1 X-Force Hot List の脆弱性 10 保護されていないホスト (Desktop または Server Protection Agent) 5 スキャンされていないホスト (Internet Scanner または Enterprise Scanner Agent) 24 表 24: アセットのリスクスコアを決定するリスク要因 78 IBM Internet Security Systems

79 Asset レポート :Asset Risk レポートリスクスコア計算のサンプル 1 Asset 1 のクリティカリティは Medium です Desktop または Server エージェントで保護されていないため攻撃が検出されていないということを意味していますまた過去 90 日以内にスキャンを実施していないため検出された脆弱性がありません表 25 はリスクスコアと計算に使用した重要性を示したものですリスク要因説明素点重要性クリティカリティ (Criticality) Medium 50 N/A 高危険度のブロックされていない攻撃なし 0 10 中危険度のブロックされていない攻撃なし 0 3 低危険度のブロックされていない攻撃なし 0 1 高危険度の脆弱性なし 0 10 中危険度の脆弱性なし 0 3 低危険度の脆弱性なし 0 1 X-Force Hot List の脆弱性なし 0 10 保護されていないホスト (Desktop または Server Protection Agent) スキャンされていないホスト (Internet Scanner または Enterprise Scanner Agent) 保護なし 10 5 スキャン未実施表 25: Asset 1 のリスクスコア算出に使用したリスク要因リスクスコアの計算は次のようになります 50 x ((0 x 10) + (0 x 3) + (0 x 1) + (0 x 10) + (0 x 3) + (0 x 1) +(0 x 10) + (10 x 5) + (10 x 24))/670 = 21.6 レポートのリスクスコアは 22 になりますリスクスコア計算のサンプル 2 Asset 2 のクリティカリティは High です Proventia Desktop で保護され 12 件の中危険度の攻撃と 25 件の低危険度の ( ブロックされない ) 攻撃を検出しています IBM Proventia Network Enterprise Scanner が最近スキャンを行い 2 つの中危険度の脆弱性を検出しています 1 つは X-Force Hot List に記載されており低危険度の脆弱性が 5 つあります表 26 はリスクスコアと計算に使用した重要性を示したものですリスク要因説明素点重要性クリティカリティ (Criticality) High 70 N/A 高危険度のブロックされていない攻撃なし 0 10 中危険度のブロックされていない攻撃低危険度のブロックされていない攻撃高危険度の脆弱性なし 0 10 中危険度の脆弱性低危険度の脆弱性 X-Force Hot List の脆弱性表 26: Asset 1 のリスクスコア算出に使用したリスク要因 SiteProtector System User Guide for Security Analysts Version 2.0, SP

80 第 4 章 : レポートの実行リスク要因説明素点重要性保護されていないホスト (Desktop または Server Protection Agent) スキャンされていないホスト (Internet Scanner または Enterprise Scanner Agent) Proventia Desktop 日前にスキャンを実施表 26: Asset 1 のリスクスコア算出に使用したリスク要因リスクスコアの計算は次のようになります 70 x ((0 x 10) + (8 x 3) + (8 x 1) + (0 x 10) + (4 x 3) + (5 x 1) +(1 x 10) + (0 x 5) + (0 x 24))/670 = レポートのリスクスコアは 62 になりますリスクスコア 15 以下のリスクスコアは緑でグラフに表示されます 15 から 35 の間のリスクスコアは黄色で表示され 35 を上回るリスクスコアは赤で表示されますリスクレポートのオプション表 27 では Asset Risk レポートに表示されるオプションを説明しますオプション Share report with other SiteProtector system users タブ General 説明このレポートを表示する権限を他の SiteProtector システムユーザーに与える場合にこのオプションを選択します Display Assets by Display レポートでアセットを特定するオプションを次から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にアセット名が一貫して登録されていない環境においてアセット名が空白のままレポートに表示されないように [Best Name] を選択します Standard Time Period Report Period このオプションを選択して指定した日数週数または月数を対象とするレポートを実行します Custom Time Period Report Period このオプションを選択して特定の日付の範囲を対象とするレポートを実行します重要 : 未来の日付に設定したレポートには対応していないためリスクスコアは 0 になります Show Graph Report Format レポートにグラフを表示する場合はこのオプションを選択します Show Each Asset Report Format このオプションを選択してレポートに各アセットの個別のスコアを表示します表 27: Asset Risk レポートのオプション 80 IBM Internet Security Systems

81 Asset レポート :Asset Risk レポートオプションタブ説明 Sort Results by Report Format アセットの詳細をソートする次のいずれかのオプションを選択します Score Asset Operating System Report Period Divided Into Report Format このオプションを選択して日週月四半期年の期間のリスク結果を表示します Maximum Depth of Subgroups Report Format このオプションを選択して表示するサブグループの深さ (1 から 9 または all ) を定義します例 : 1 は任意のサブグループを非表示にします表 27: Asset Risk レポートのオプション SiteProtector System User Guide for Security Analysts Version 2.0, SP

82 第 4 章 : レポートの実行 Attack Activity レポートこのトピックでは Attack Activity レポートに対して設定可能なオプションについて説明します表示されるオプションは設定した Asset Activity レポートのタイプによって異なります Attack Activity レポート次の Attack Activity レポートは [Report] タブに表示されます Attacks By Group Attacks By Protection Domain Security Events By Category Top Attacks Top Attacks By Severity Top Sources of Attack Top Targets of Attack Top Targets of Attack By Severity ソートオプション表 28 はソート可能な Attack Activity レポートとそのソートオプションを一覧にしたものですこれらのオプションは [Sort Results By] リストの [Report Format] タブに表示されますレポート Top Attacks Top Attacks By Severity Top Targets of Attack By Severity Attacks By Group Attacks By Protection Domain Top Sources of Attack Top Targets of Attack オプション Attack Name Count Target Value Total Attacks High Severity Medium Severity Low Severity Group Name Source Value 表 28: Attack Activity レポートのソートオプション Attack Activity レポートオプション表 29 では Attack Activity レポートのオプションおよび表示されるタブについて説明しますすべてのレポートに表示されないオプションもありますオプション Share report with other SiteProtector system users Choose Assets to include タブ General General 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します次のいずれかのオプションを選択します All assets Desktops only No Desktops 表 29: Attack Activity レポートオプション 82 IBM Internet Security Systems

83 Attack Activity レポートオプションタブ説明 Add/Remove Display 次の項目を追加または削除します High Severity Medium Severity Low Severity Up/Down Filters [Add] または [Remove] ボックスで指定した列を並べ替えます Include Exceptions Filters 実行中のレポートに例外を含める場合にこのオプションを選択します Source Value Filters レポートに表示される発信元アドレスに使用するアセット名を決定するには次の項目から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にホスト名が一貫して登録されていない環境においてホスト名が空白のままレポートに表示されないように [Best Name] を選択します Target Value Filters レポートに表示される宛先アドレスに使用するアセット名を決定するには次の項目から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にホスト名が一貫して登録されていない環境においてホスト名が空白のままレポートに表示されないように [Best Name] を選択します Available/Displayed Filters 次の項目をレポートから追加または削除します Incomplete data Vulnerability Informational Only Web Filter Anti-Spam Application Compliance Intrusion Detection AntiVirus Firewall Network Anomaly Detection 表 29: Attack Activity レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

84 第 4 章 : レポートの実行オプションタブ説明 Status Filters ステータス別にフィルタリングするには次の項目から選択します Select All (Event Statuses) Blocked Not Blocked, Not Vuln Not Blocked, Vuln Not Blocked, Vuln status unknown Not Vulnerable Unassigned Unknown Vulnerable Standard Time Period Custom Sort Results By Sort Order Number of Records Show Graph Report Period Report Period Report Format Report Format Report Format Report Format 次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT レポートをソートするオプションを選択しますオプションの一覧については表 28 を参照してください次のオプションのいずれかを選択します Ascending Descending 次のオプションのいずれかを選択しますこのオプションを選択してレポートにグラフを表示します表 29: Attack Activity レポートオプション ( 続き ) 84 IBM Internet Security Systems

85 Attack Activity レポートオプション Graph Style Select All タブ Report Format Distribution 説明 [Show Graph] ボックスで有効にしたグラフのグラフスタイルを選択します Pie chart Bar chart 次のいずれかを選択します Select All Individual addresses 表 29: Attack Activity レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

86 第 4 章 : レポートの実行 Audit レポート : Audit Detail レポートこのトピックでは Audit Detail レポートに対して設定可能なオプションについて説明しますこのレポートを使用してユーザーが SiteProtector システムで実行するタスクを追跡します Audit Detail レポートオプション表 30 では Audit Detail レポートのオプションと表示されるタブについて説明しますオプション Share report with other SiteProtector system users タブ General 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します User Name Filters このオプションを選択してレポートのデータをフィルタリングするユーザー名 ( 複数可 ) を指定します注記 : [Select All] はすべてのユーザーを選択します Activity Type Filters このオプションを選択してレポートに表示するユーザーアクションの種類を指定します Standard Time Period Custom Sort Results By Select All Report Period Report Period Report Format Distribution 次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT レポートをソートするオプションを選択します User Name Activity Type 次のいずれかを選択します Select All Individual addresses 表 30: Audit Detail レポートオプション 86 IBM Internet Security Systems

87 Audit レポート : Audit User to Group Report Audit レポート : Audit User to Group Report このトピックでは User to Group レポートで設定するオプションについて説明しますこのレポートを使用してサイト上のそれぞれの User Group に属している SiteProtector システムのユーザーを確認します User to Group レポートオプション表 31 では User to Group レポートのオプションと表示されるタブについて説明しますオプション Share report with other SiteProtector system users Group Results by タブ General Distribution 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します次のいずれかを選択します User: sorts results by user name, displaying groups each user belongs to Group: sorts results by User Group, displaying all users in each User Group 表 31: User to Group レポートオプション SiteProtector System User Guide for Security Analysts Version 2.0, SP

88 第 4 章 : レポートの実行 Content Filtering レポートこのトピックでは Content Filtering レポートに対して設定可能なオプションについて説明します Content Filtering レポート次の Content Filtering レポートは [Report] タブに表示されます Top Web Categories Web Requests ソートオプション表 32 はソート可能な Content Filtering レポートとそのソートオプションを一覧にしたものですこれらのオプションは [Sort Results By] リストの [Report Format] タブに表示されますレポートオプション Top Web Categories Asset Count Request Count Category Web Requests Category Asset Name 表 32: Content Filtering レポートのソートオプション Content Filtering レポートオプション表 33 では Content Filtering レポートのオプションと表示されるタブについて説明しますオプション Share report with other SiteProtector system users タブ General 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します Include Exceptions Filters 実行中のレポートに例外を含める場合にこのオプションを選択します Asset Name Filters レポートに表示される IP アドレスに使用するアセット名を決定するには次の項目から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にアセット名が一貫して登録されていない環境においてアセット名が空白のままレポートに表示されないように [Best Name] を選択します Choose Assets to include Filters 次のいずれかのオプションを選択します All assets Desktops only No Desktops 表 33: Content Filtering レポートオプション 88 IBM Internet Security Systems

89 Content Filtering レポートオプション Standard Time Period Custom Sort Results By Sort Order Number of Records Show Graph Select All タブ Report Period Report Period Report Format Report Format Report Format Report Format Distribution 説明次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT レポートをソートするオプションを選択しますオプションの一覧については表 32 を参照してください次のオプションのいずれかを選択します Ascending Descending 次のオプションのいずれかを選択しますこのオプションを選択してレポートにグラフを表示します次のいずれかを選択します Select All Individual addresses 表 33: Content Filtering レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

90 第 4 章 : レポートの実行 Mail Filtering レポートこのトピックでは Mail Filtering レポートに対して設定可能なオプションについて説明します表示されるオプションは設定するレポートのタイプによって異なりますレポート次の Mail Filtering レポートは [Report] タブに表示されます Executive Summary Top Analysis Modules Top Recipients Top Responses Top Senders Traffic Report レポートオプション表 34 ではレポートのオプションおよび表示されるタブを説明しますすべてのレポートで使用できないオプションもありますオプション Share report with other SiteProtector system users Standard Time Period Custom Number of Records タブ General Report Period Report Period Report Format 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT 次のオプションのいずれかを選択します表 34: レポートオプション 90 IBM Internet Security Systems

91 Mail Filtering レポートオプション Sort Order Sort Results By Select All タブ Report Format Report Format Distribution 説明次のオプションのいずれかを選択します Ascending Descending レポートをソートするオプションを選択します Count Total Size 次のいずれかを選択します Select All Individual addresses 表 34: レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

92 第 4 章 : レポートの実行 Management レポートこのトピックでは Management レポートに対して設定可能なオプションについて説明します Management レポート次の Management レポートは [Report] タブに表示されます Attack Incidents Attack Status Summary Attack Trend Virus Activity Trend Vulnerability Trend 列オプション表 35 は Management レポートに含めることができる列を一覧にしたものですこれらのオプションは [Display] タブに表示されますレポート列 Attack Incidents Description High Severity Medium Severity Low Severity Attack Status Summary Target Count Source Count Object Count High Severity Medium Severity Low Severity Attack Trend High Severity Medium Severity Low Severity Virus Activity Trend High Severity Medium Severity Low Severity Vulnerability Trend High Severity Medium Severity Low Severity 表 35: Management レポートに含めることができる列 92 IBM Internet Security Systems

93 Management レポートソートオプション表 36 は Management レポートの列をソートできる基準を一覧にしたものですこれらのオプションは [Sort Results By] リストの [Report Format] タブに表示されますレポートオプション Attack Incidents Date Incident Name High Severity Medium Severity Low Severity Source Count Target Count Attack Status Summary Target Count Source Count Object Count High Severity Medium Severity Low Severity Attack Trend Units High Severity Medium Severity Low Severity Total Attacks Vulnerability Trend Units High Severity Medium Severity Low Severity Total Attacks 表 36: Management レポートのソートオプション Management レポートオプション表 37 では Management レポートのオプションおよび表示されるタブについて説明しますすべてのレポートに表示されないオプションもありますオプション Share report with other SiteProtector system users タブ General 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します Available/Displayed Display レポートに表示する列を選択します各レポートに対して設定可能な列の一覧については表 35 を参照してください Up/Down Display [Add] または [Remove] ボックスで指定した列を並べ替えます表 37: Management レポートオプション SiteProtector System User Guide for Security Analysts Version 2.0, SP

94 第 4 章 : レポートの実行オプションタブ説明 Include Exceptions Filter 実行中のレポートに例外を含める場合にこのオプションを選択します Include Fusion Incidents Filter 実行中のレポートに Fusion インシデントを含める場合にこのオプションを選択します Units Filter 指定期間別にレポートをフィルタリングするには次の項目から選択します Day Week Month Quarter Year Available/Displayed Filter 次の項目をレポートから追加または削除します Incomplete data Vulnerability Informational Only Web Filter Anti-Spam Application Compliance Intrusion Detection AntiVirus Firewall Network Anomaly Detection Compare 2 Consecutive Filter 2 つの指定期間別にレポートをフィルタリングするには次の項目から選択します Day Week Month Quarter Year Sort Results By Sort Order Report Format Report Format レポートをソートするオプションを選択しますオプションの一覧については表 36 を参照してください次のオプションのいずれかを選択します Ascending Descending 表 37: Management レポートオプション ( 続き ) 94 IBM Internet Security Systems

95 Management レポートオプション Number of Records Show Graph Graph Style Maximum Number of Dates Show Asset Details Group by Report Period Divided into Standard Time Period タブ Report Format Report Format Report Format Report Format Report Format Report Format Report Format Report Period 説明次のオプションのいずれかを選択しますこのオプションを選択してレポートにグラフを表示します [Show Graph] ボックスで有効にしたグラフのグラフスタイルを選択します Pie chart Bar chart レポートを実行する日付の最大数を指定しますアセットの詳細を表示するにはこのオプションを選択しますレポートをソートする次のいずれかのオプションを選択します Severity Status 指定期間別にレポートをフィルタリングするには次の項目から選択します Day Week Month Quarter Year 次のいずれかの期間を選択します Previous and This Number Day Week Month Year 表 37: Management レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

96 第 4 章 : レポートの実行オプション Custom First day of First Period Select All タブ Report Period Report Period Distribution 説明レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します Eastern Standard Time GMT 次のいずれかを選択します Select All Individual addresses 表 37: Management レポートオプション ( 続き ) 96 IBM Internet Security Systems

97 Permission レポート Permission レポートこのトピックでは Permission Detail レポートに対して設定可能なオプションについて説明します Permission Detail レポートオプション表 38 では Permission Detail レポートのオプションと表示されるタブについて説明しますオプション Share report with other SiteProtector system users タブ General 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します Sort By Select All Report Format Distribution レポートをソートする次のいずれかの列を選択します列は最高イベント数から最低イベント数へとソートされます User Group Permission 次のいずれかを選択します Select All Individual addresses 表 38: Permission Detail レポートオプション SiteProtector System User Guide for Security Analysts Version 2.0, SP

98 第 4 章 : レポートの実行 Ticket レポートこのトピックでは Ticket レポートに対して設定可能なオプションについて説明します Ticketing レポート [Report] タブに表示される Ticket レポート一覧を次に示します Ticket Activity Summary Ticket Time Tracking Ticket Trend Ticketing レポートオプション表 39 では Ticket レポートのオプションおよび表示されるタブについて説明しますオプション Share report with other SiteProtector system users タブ General 説明このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します Display assigned users Display このオプションを選択してチケットが割り当てられたユーザーをレポートに表示します Display category Display このオプションを選択してチケットに割り当てられたカスタムカテゴリーをレポートに表示します Display status Display このオプションを選択してチケットステータス (New Open In Progress など ) をレポートに表示します Display priority Display このオプションを選択してチケットの優先度 (Critical High Medium Low) をレポートに表示します Assigned Users Filters レポートに表示する個別のユーザーを選択しますこれらのユーザーは [Display] タブの [Display assigned users] を選択した場合にのみレポートに表示されます Category Filters レポートに表示する列を選択しますこれらのカテゴリーは [Display] タブの [Display category] を選択した場合にのみレポートに表示されます Status Filters レポートに表示するステータスを選択しますこれらのステータスは [Display] タブの [Display status] オプションを選択した場合にのみレポートに表示されます Priority Filters レポートに表示する優先度を選択しますこれらのカテゴリーは [Display] タブの [Display priority] を選択した場合にのみレポートに表示されます表 39: Ticket レポートオプション 98 IBM Internet Security Systems

99 Ticket レポートオプション Number of Records Show Graph Graph Style Report Period Divided into Maximum Number of Dates Standard Time Period Custom Select All タブ Report Format Report Format Report Format Report Format Report Format Report Period Report Period Distribution 説明次のオプションのいずれかを選択しますこのオプションを選択してレポートにグラフを表示します [Show Graph] ボックスで有効にしたグラフのグラフスタイルを選択します Pie chart Bar chart 指定期間別にレポートをフィルタリングするには次の項目から選択します Day Week Month Quarter Year レポートを実行する日付の最大数を指定します次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT 次のいずれかを選択します Select All Individual addresses 表 39: Ticket レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

100 第 4 章 : レポートの実行 Virus Activity レポートこのトピックでは Virus Activity レポートに対して設定可能なオプションについて説明します Virus Activity レポート [Report] タブに表示される Virus Activity レポート一覧を次に示します Top Virus Activity Virus Activity By Asset Virus Activity By Group Virus Prevention Benefits Virus Trend Details ソートオプション表 40 は Management レポートの列をソートできる基準を一覧にしたものですこれらのオプションは [Sort Results By] リストに表示されますレポートタブオプション Top Virus Activity Display Attack Name Count Virus Activity By Asset Report Format Asset Value High Severity Medium Severity Low Severity Total Count Virus Activity By Group Report Format Asset Value High Severity Medium Severity Low Severity Total Count Virus Trend Details Report Format Asset Name Virus Name Total Count Severity Status Time 表 40: Management レポートのソートオプション Virus Activity レポートオプション表 41 では Virus Activity レポートのオプションと表示されるタブについて説明しますオプションタブ説明 Share report with other SiteProtector system users General このオプションを選択して他の SiteProtector システムのユーザーにこのレポートを表示するオプションを付与します表 41: Virus Activity レポートオプション 100 IBM Internet Security Systems

101 Virus Activity レポートオプションタブ説明 Choose Assets to include General リストから次のいずれかのオプションを選択します All assets Desktops only No Desktops Sort Results By Display レポートをソートするオプションを選択します Attack Name Count Sort Order Display 次のオプションのいずれかを選択します Ascending Descending Number of Records Display 次のオプションのいずれかを選択します Show Graph Display このオプションを選択してレポートにグラフを表示します Available/Displayed Display レポートに表示する列をイベントの危険度に従って選択します High Severity Medium Severity Low Severity Up/Down Display [Add] または [Remove] ボックスで指定した列を並べ替えます Display Assets By Display レポートに表示される IP アドレスに使用するアセット名を決定するには次の項目から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にホスト名が一貫して使用されていない環境においてホスト名が空白のままレポートに表示されないように [Best Name] を選択します Include Exceptions Filters 実行中のレポートに例外を含める場合にこのオプションを選択します表 41: Virus Activity レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

102 第 4 章 : レポートの実行オプションタブ説明 Asset Value Filters レポートに表示されるホストに使用するホスト名を決定するには次の項目から選択します Best Name (defined by NetBios, then DNS, then IP) IP (IP address) DNS (Domain Name System) NB (NetBios) 注記 : 特にホスト名が一貫して登録されていない環境においてホスト名が空白のままレポートに表示されないように [Best Name] を選択します Choose Assets to include Filters 含めるアセットを決定するには次の項目から選択します All Assets No desktops Desktops Only Standard Time Period Custom Graph Style Report Period Divided into Report Period Report Period Report Format Report Format 次のいずれかの期間を選択します Previous and This Number Day Week Month Year レポートの最初の日に実行するために月内の日付を選択し次のいずれかのオプションを選択してレポートの期間を決定します SiteProtector system Console Time Zone 注記 : お使いのシステムに表示されるタイムゾーンは SiteProtector システムの Console に設定されたタイムゾーンです GMT [Show Graph] ボックスで有効にしたグラフのグラフスタイルを選択します Pie chart Bar chart 指定期間別にレポートをフィルタリングするには次の項目から選択します Day Week Month Quarter Year 表 41: Virus Activity レポートオプション ( 続き ) 102 IBM Internet Security Systems

103 Virus Activity レポートオプション Sort Results By Sort Order Number of Records Avg infection cost per asset Show Graph Select All タブ Report Format Report Format Report Format Report Format Report Format Distribution 説明レポートをソートするオプションを選択します Group Name High Severity Medium Severity Low Severity Total Count 次のオプションのいずれかを選択します Ascending Descending 次のオプションのいずれかを選択しますこのオプションを選択してウィルス防御時に受信しているコストリターンの種類を評価しますこのオプションを選択してレポートにグラフを表示します次のいずれかを選択します Select All Individual addresses 表 41: Virus Activity レポートオプション ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

104 第 4 章 : レポートの実行 104 IBM Internet Security Systems

105 パート II 脆弱性の評価と対処法

106

107 第 5 章ネットワークの脆弱性の特定と解決概要この章では驚異の特定と対応方法について説明しますこの章は脆弱性評価プランの作成についての総合的なガイドではありません脆弱性評価プランの作成に関する詳細については本製品の保守契約を締結されている販売代理店までご連絡ください続行する前に次のトピックを確認して脆弱性の評価および対処法の正しいプロセスに従っていることを確認してください脆弱性の評価と対処法のチェックリスト (22 ページ ) この章の内容この章では次のトピックについて説明しますトピックページ脆弱性評価プランの作成 108 SiteProtector システムによって生成された脆弱性データ 109 脆弱性イベントに関する情報の収集 110 脆弱性を解決するかどうかの決定 111 脆弱性の修正と軽減 112 アクションプランの作成 114 アップグレードとパッチの実施 115 SiteProtector System User Guide for Security Analysts Version 2.0, SP

108 第 5 章 : ネットワークの脆弱性の特定と解決脆弱性評価プランの作成このトピックでは脆弱性評価プランの作成時に考慮しなければならない項目や脆弱性の特定および解決プロセスの概要について説明します脆弱性評価プランの重要性脆弱性を効果的に特定および解決するには脆弱性評価プランを設定することをお勧めしますプランの作成時には次の項目を考慮してくださいスキャンに含むホストスキャンの頻度被害を受けたシステムの責任者脆弱性の報告追跡および解決プロセス脆弱性評価チームの責任範囲チームの組織構造上層部との関係提供するサービス脆弱性の特定および解決プロセス図図 2 は脆弱性の特定および解決プロセスを示したものです図 2: 脆弱性の特定および解決プロセス図 108 IBM Internet Security Systems

109 SiteProtector システムによって生成された脆弱性データ SiteProtector システムによって生成された脆弱性データこのトピックでは SiteProtector システムによって生成された脆弱性データのタイプ脆弱性のカテゴリー特定攻撃に関連した脆弱性について説明します定義 : 脆弱性脆弱性とは悪用される可能性のあるネットワーク上の既知の欠陥です脆弱性データタイプ SiteProtector system によって生成された脆弱性データのタイプは次のとおりですネットワークベース - Internet Scanner インスタンスによって生成された情報攻撃者は通常ネットワーク上のほかのマシンに公開されるサービスにアクセスすることによってこれらの脆弱性を悪用しますネットワークベースの脆弱性はホストおよびネットワークの両方で発生する可能性がありますホストベース - System Scanner アプリケーションによって検出される情報攻撃者はローカルまたはリモートユーザーとしてホストにログオンすることによってホストベースの脆弱性を悪用します脆弱性のカテゴリー脆弱性のカテゴリーは次のとおりですベンダー固有 - ソフトウェアバグオペレーティングシステムパッチの欠如サービスなど適切に保護されていない市販ソフトウェアおよびハードウェア不適切な設定 - パスワード作成に関して十分に定義されていないポリシーパッチのアンインストールおよびホットフィックスを含むシステム設定に対する不正変更など適切に設定されていないソフトウェアおよびハードウェア不適切なユーザーアクティビティー - 不正なグループに対してディレクトリーを共有アンチウィルスソフトウェアの使用またはアップデートに失敗ダイアルアップモデムを使用してファイアウォールを回避している不正ユーザーまたはユーザー側の怠慢特定攻撃に関連した脆弱性表 42 では特定攻撃に関連した脆弱性について説明します脆弱性説明バックドアバッファまたはフィールドのオーバーフローデフォルトアカウントおよび不正アクセス権脆弱なアクセス制御情報の脆弱性次のいずれかによるシステムまたはアプリケーションのセキュリティーホールセキュリティーの欠陥秘密のアクセス手段攻撃者が変数のフィールド長を超えるコードを変数に送信できるシステム欠陥コードが実行され攻撃者にアクセスが提供されますデフォルト設定で有効なユーザーアカウント事前定義済みアカウントまたはより多くのリソースへアクセスできアクセスレベルに適したコマンドを持つアカウント空白または無効なパスワードまたは容易に推測できるパスワードの使用許可などのアクセス制御を弱める不適当なシステム構成オペレーティングシステムのバージョンなどのホストに関する調査情報を提供するシステム欠陥表 42: 特定攻撃に関連した脆弱性 SiteProtector System User Guide for Security Analysts Version 2.0, SP

110 第 5 章 : ネットワークの脆弱性の特定と解決脆弱性イベントに関する情報の収集ネットワークのスキャン後にスキャンによって生成された脆弱性イベントに関する情報を収集する必要がありますアナリシスビューを使用して重要な脆弱性イベントについての詳細情報へ移動します参照 : 脆弱性分析の詳細については表 12 脆弱性アナリシスビューの説明 (33 ページ ) を参照してください 110 IBM Internet Security Systems

111 脆弱性を解決するかどうかの決定脆弱性を解決するかどうかの決定このトピックではどの脆弱性を解決するか決定するときに役立つ質問について説明します脆弱性を解決するかどうかの決定脆弱性を解決する必要があるかどうかを決定するときに次の質問を使用します脆弱性が重要な資産に影響を与えますか? 脆弱性を解決するかどうか決定するときの最も重要な要素は脆弱性によって影響を受けるホストまたはセグメントが重要かどうかということですこの脆弱性が悪用された場合の最悪のシナリオは何ですか? 攻撃の影響は変化する可能性があります攻撃者が組織内のすべての重要なホストを無効にする可能性のある脆弱性もあればほとんどまたはまったく価値のない情報を攻撃者に提供する脆弱性もあります脆弱性によって影響を受けるプラットフォームはどのくらい広範囲にわたって使用されていますか? 脆弱性によって影響を受けるプラットフォームを実行しているホストの数はこの脆弱性が悪用されているかどうかによって決まる場合があります一般的に脆弱なプラットフォームを実行しているホストが多ければ多いほどプラットフォームが攻撃される確率も高くなります脆弱性を悪用するには高度な技術が必要ですか? ほとんどの攻撃者には高度なハッキング技術がないため高度な技術を必要とする場合脆弱性を悪用する可能性は低くなります外部の人間によって脆弱性を悪用される可能性がありますか? ユーザーによってリモートで悪用される可能性のある脆弱性によってローカルのアカウント権限を使用することなしに多数の潜在的な攻撃者に門戸が開かれます SiteProtector System User Guide for Security Analysts Version 2.0, SP

112 第 5 章 : ネットワークの脆弱性の特定と解決脆弱性の修正と軽減脆弱性を解決することに決めた場合は次のいずれかを行います脆弱性を修正する脆弱性のリスクを軽減する修正脆弱性を解決する最も効果的な手段は脆弱性を修正することです脆弱性を修正する場合被害を受けたシステムが脆弱でなくなるようにシステムを修理または再設定します軽減脆弱性を軽減する場合脆弱性の影響を緩和しようとしますが排除しません一時的措置として脆弱性の軽減を検討してください例外とインシデント SiteProtector system では次のような脆弱性を分類する簡単な方法を提供しています脆弱性を解決することに決めた場合脆弱性をインシデントとして分類する脆弱性を無視することに決めた場合脆弱性を例外として分類するベースライン機能ベースライン機能を使用して修正または軽減された脆弱性を追跡することを検討します早急に解決できない脆弱性の対処法特別な状況で特に脆弱性を解決できるまでに時間がかかるとわかっている場合脆弱性を例外として分類することを検討してください脆弱性の解決脆弱性を解決するときの参考として表 43 を使用します方法脆弱性を修正する表 43: 脆弱性の解決タスクベンダー提供のパッチまたはアップグレードを適用する脆弱なシステムを再設定するインシデントまたは例外パッチまたはアップグレードが実施およびテストされるまでインシデントとして分類します 1. 脆弱なシステムが正常に再設定されるまでインシデントとして分類します 2. 例外として分類しシステムに正常にパッチが適用されアップグレードされたときに失効するようスケジューリングします 112 IBM Internet Security Systems

113 脆弱性の修正と軽減方法タスクインシデントまたは例外脆弱性を軽減する指定期間脆弱性を監視するインシデントとして分類します脆弱なサービスを実行しているシステムをオフにする脆弱なシステムへのアクセスを回避するためのファイアウォールルールを調整する注記 : この方法は誰にでもできるものではありません攻撃者はファイアウォールルールを回避して脆弱なホストへアクセスすることができます 1. 脆弱なサービスがオフになるまでインシデントとして分類します 2. 例外として分類しシステムに正常にパッチが適用されアップグレードされたときに失効するようスケジューリングします 1. 脆弱なサービスがブロックされるまでインシデントとして分類します 2. 例外として分類しシステムに正常にパッチが適用されアップグレードされると失効するようスケジューリングします表 43: 脆弱性の解決 ( 続き ) 参照 : 脆弱性修正の詳細についてはアップグレードとパッチの実施 (115 ページ ) を参照してください SiteProtector System User Guide for Security Analysts Version 2.0, SP

114 第 5 章 : ネットワークの脆弱性の特定と解決アクションプランの作成脆弱性を修正または軽減する方法を決定後脆弱性に関する詳細情報脆弱性の解決計画方法解決後のテスト計画方法などのプランを作成する必要がありますアクションプランの作成方法アクションプランに含まれる情報の一覧を次に示します脆弱性の詳細説明脆弱性によって影響を受けたシステムの一覧責任者の指定およびシステム所有者への連絡などの詳細な実施手順を含む脆弱性の修正および軽減方法の説明テストおよびロールバック手順を含むソリューションの影響評価方法の説明 114 IBM Internet Security Systems

115 アップグレードとパッチの実施アップグレードとパッチの実施修正のアクションプランを作成後アップグレードおよびパッチを実施する必要があります定義 : アップグレードアップグレードとはインストール済みのハードウェアまたはソフトウェア製品の新規バージョンまたはその製品に追加されたものです通常アップグレードには新機能や再設計されたコンポーネントが含まれます定義 : パッチパッチとはソフトウェアまたはハードウェアの一時的な修正のことで通常特定のバグや欠陥に対応します通常パッチには新機能や再設計されたコンポーネントは含まれません正常に実施する方法アップグレードとパッチを正常に実施するには次の作業を行う必要があります新規ソフトウェアまたは再設定をテストするパッチおよびアップグレードされるデバイスを担当するシステム所有者と営業主任からの協力を得るアップグレードおよびパッチを実施するときに検討する質問アップグレードおよびパッチを実施するときの参考として次の質問を使用します脆弱性の修正中にシステムがさらに脆弱になりますか? ネットワーク上に共存しているパッチが適用されたシステムと適用されていないシステムは非互換性を示していますか? 1 つの脆弱性を修正するために実施している修正プログラムがほかの脆弱性を発生させる可能性がありますか? 修正プログラムは広範囲にわたるテストを必要としますか? そのような場合許容時間は十分ありますか? 次の手順ネットワークを再スキャンして脆弱性が正常に修正されたかどうかを判断します SiteProtector System User Guide for Security Analysts Version 2.0, SP

116 第 5 章 : ネットワークの脆弱性の特定と解決 116 IBM Internet Security Systems

117 第 6 章スキャンの管理概要この章では Internet Scanner または Enterprise Scanner アプリケーションを使用した環境でのネットワークスキャンの実施と管理方法について説明しますこの章の内容この章では次のトピックについて説明しますトピックページネットワーク上のホストの特定 118 脆弱性データが完全および正確であることの確認 119 脆弱性スキャンのスケジューリング 120 バックグラウンドスキャンの実行 121 スキャンの実行に必要な時間の短縮 122 SiteProtector System User Guide for Security Analysts Version 2.0, SP

118 第 6 章 : スキャンの管理ネットワーク上のホストの特定ネットワーク上のホストを特定するには次のとおりディスカバリースキャンの実行を検討します SiteProtector システムをインストールしてホスト情報を生成しネットワークを計画後ネットワーク上の新規ホストを定期的に特定するため定義 : ディスカバリースキャンディスカバリースキャンでは Internet Scanner または Enterprise Scanner ディスカバリーポリシーを使用しますこれらのポリシーはホストオペレーティングシステムおよびシステム上で現在実行中のサービスを特定し基本的な脆弱性チェックを行いますディスカバリースキャンの起動目的ディスカバリースキャンではほかの Internet Scanner まはた Enterprise Scanner ポリシーで有効な時間のかかるチェックを実行することなくネットワーク上のホストに関する役立つ情報を提供しますディスカバリースキャンによって次のことを行うことができますネットワーク上の新規ホストを特定する次のことを決定するセグメントがネットワーク全体をスキャンする方法および使用するポリシーホストオペレーティングシステムが最新または企業標準に従っているかどうかネットワークにアクセスしているユーザーが認証されているかどうかネットワーク上のすべてのプラットフォームをサポートするのに十分な IT スタッフがいるかどうかディスカバリースキャンが提供するホスト情報ディスカバリースキャンは次の情報をホストテーブルに追加します IP アドレス NetBIOS 名 DNS 名 OS 名 NetBIOS ドメイン名注記 : ホストが Internet Scanner または Enterprise Scanner の接続リクエストに応答しない場合そのホストはホストテーブルに追加されていません 118 IBM Internet Security Systems

119 脆弱性データが完全および正確であることの確認脆弱性データが完全および正確であることの確認脆弱性データが完全および正確であることを確認するには次の作業を行いますスキャンの一貫性を維持するすべてのホストがアクセス可能であることを確認する実行可能な高レベルのユーザーアクセス権限を使用するスキャン間の一貫性の維持一貫性を維持するには次の作業を行うことを検討します脆弱性が修正されたことを検証する場合は前回のスキャンと同じポリシーと XPU レベルを使用する前回のスキャンと同じアカウント権限およびスキャナー設定を使用する XPU およびスキャナーポリシーをスキャンサイクルの合間に適用する通常のスキャンスケジュール中に使用できない可能性のあるホストをスキャンする時間を変更する悪用される可能性のある脆弱性を特定できるように不正侵入検知の取り組みとスキャンを調整するホストがアクセス可能であることの確認ホストがアクセス可能であることを確認するには次の作業を行いますホストが有効であることを確認する - 次の状況によりホストが無効である可能性があります電源が入っていない IP ネットワークに接続されていない標準以外のサービスを実行している標準以外のポート経由で通信しているファイアウォールが通信を許可していることを確認する - 特定のファイアウォール設定によって Internet Scanner または Enterprise Scanner が次のようなホストとの接続を確立するのに使用するトラフィックがブロックされます ICMP リクエスト Internet Scanner または Enterprise Scanner インスタンスで使用されるホストからの通信注記 : Internet Scanner または Enterprise Scanner インスタンスがスキャン中のアセットと同じセグメントにある場合に最高のパフォーマンスを実現することができます最高レベルのユーザーアクセス権の使用すべてのシステムリソースにアクセスするにはスキャン時にアクセス権を昇格させることをお勧めします重要なドメインまたはホストをスキャンするときはドメイン管理者権限を使用しますドメイン管理者権限を使用したスキャンでは終了するまでにかなりの時間を必要とする可能性があります SiteProtector System User Guide for Security Analysts Version 2.0, SP

120 第 6 章 : スキャンの管理脆弱性スキャンのスケジューリングスキャンがネットワークに与える影響が少ない場合および役立つデータを生成することができる場合にスキャンをスケジューリングします検討事項脆弱性スキャンのスケジュールを作成するときには次の作業を行うことを検討しますシステム所有者と調整する - 常にスキャン時間をシステム所有者と調整します複数のタイムゾーンを許可する - 2 つ以上のタイムゾーンにサービスを提供しているネットワークがある場合ユーザーがすべてのタイムゾーンに適応できるようにスキャンセッションの日時をずらすことを検討します企業ポリシーを順守する - デバイスが利用できないときにスキャンを無効にできるようにスキャンをスケジューリングします企業ポリシーによってデスクトップなどの特定のデバイスが次の時間にシャットダウンするよう要求される場合があります営業終了時定期的なメンテナンス中ピーク時に重要なサーバーを回避する - システムパフォーマンスへの影響を回避するには重要なアプリケーションサーバーに多数のユーザーがアクセスする可能性のあるピーク時にはそれらのサーバーをスキャンしません特定ホストをスキャンするタイミング表 44 ではスキャンのスケジューリングに関する提案事項をいくつか説明します時間帯スキャンのタイプ早朝正午前後デスクトップ重要でない NT および UNIX サーバー夜間または深夜重要なアプリケーションサーバープリンターサーバー表 44: 特定ホストをスキャンするタイミング 120 IBM Internet Security Systems

121 バックグラウンドスキャンの実行バックグラウンドスキャンの実行バックグラウンドスキャンはディスカバリースキャンおよびアセスメントスキャンに対して個別に定義された周期で実行する自動化された定期的なスキャンです推奨事項スキャン時間を短く抑えるために狭い範囲の IP アドレスを使用します可能な限り脆弱性を持つことがわかっているアセットを含めてくださいタスクの概要表 45 ではバックグラウンドスキャンを設定する 5 段階のプロセスを説明しますタスク影響を受けるポリシーポリシーの変更 1 Discovery バックグラウンドディスカバリースキャンを有効にしスキャン対象の IP アドレス範囲を定義します 2 Assessment バックグラウンドアセスメントスキャンを有効にし実行するチェックを定義します 3 Scan Window 任意でスキャンを許可する日時を定義します 4 Scan Control 任意で最初のスキャンサイクルの開始時刻と各スキャンサイクルの長さを定義します 5 All ポリシーを保存しスキャンを監視します表 45: バックグラウンドスキャンプロセスの概要参照 : バックグランドスキャンの詳細については manuals.html またはから IBM Proventia Network Enterprise Scanner User Guide を参照してください SiteProtector System User Guide for Security Analysts Version 2.0, SP

122 第 6 章 : スキャンの管理スキャンの実行に必要な時間の短縮ネットワークスキャンでは大容量のデータを生成しますまた時間もかかり Internet Scanner または Enterprise Scanner のインスタンスおよびネットワークのパフォーマンスに影響を与える可能性もありますスキャンの実行に必要な時間を短縮するには次の作業を行うことを検討しますネットワークの帯域幅とアクセシビリティーを向上させるスキャンに含めるホストの数を制限するデフォルトポリシーレベルを下げるまたはポリシーでの脆弱性チェック数を制限するネットワークの帯域幅とアクセシビリティーの向上ネットワークの帯域幅とアクセシビリティーを向上させるには次の作業を行うことを検討しますネットワーク帯域幅を向上させる - ネットワーク上のデバイスがデバイスに送信されたパケットに対応する速さはスキャン時間に影響を与えます 50 ミリ秒以上の Ping レスポンスまたは Internet Control Message Protocol (ICMP) エコーリクエストによってスキャン時間が大幅に増加します Ping レスポンスが減速した場合ネットワーク帯域幅が十分かどうか判断しますアクセシビリティーを向上させる - Ping レスポンスなしでスキャンするよう設定されている周辺スキャンではさらに時間がかかりますスキャン時間を短縮する必要がある場合はスキャンするデバイスをファイアウォール内に移動させることを検討しますスキャンに含めるホストの制限スキャンに含めるホストを制限するには次の作業を行うことを検討します全体のホスト数を制限する - 1 回のスキャンセッションにつき 2500 以上のホストをスキャンしないことをお勧めしますこの数を超えるとスキャンが正常に完了しない可能性があります 1 セッションでスキャンできる最大ホスト数はスキャナーエンジンがインストールされているネットワークおよびデバイスのパフォーマンスによって異なりますドメインコントローラーホストを制限する - ユーザーアカウントの大規模なレジストリを持つドメインコントローラーホストはユーザーアカウントの列挙やパスワードチェックのためにスキャン時間が長くなる可能性がありますドメインコントローラーをスキャンするときまたはスキャンからこれらのホストを削除するときにはこれらのチェックを無効にすることを検討しますデフォルトポリシーレベルの引き下げ中レベルから高レベルのスキャンポリシーでは低レベルのポリシーよりも実行に時間がかかります最後の手段としてデフォルトポリシーレベルを引き下げるかポリシーでの脆弱性チェック数を制限することを検討してください 122 IBM Internet Security Systems

123 パート III 脅威の調査と分析

124

125 第 7 章疑わしいアクティビティーの検出概要この章ではネットワーク上の疑わしいアクティビティーを検出するための開始点として使用する SiteProtector システムのビューをいくつか紹介しますさらに SiteProtector システムアナリシスビューおよびフィルタリングツールの使用についてのガイドラインも説明します疑わしいアクティビティー検出の目標疑わしいアクティビティーを検出するための目標は次のとおりです高レベルのパターンを監視して特定のアクティビティーをさらに詳細に監視する必要があるかどうか判断するイベントを継続的にフィルタリングソートおよび関連付けする間に攻撃危険度および範囲の早期指標を検索するインシデントの本格的な追跡または公式調査の開始などの追加アクションを取るために十分な理由付けがあるかどうかを判断するこの章の内容この章には次のセクションがありますセクションページセクション A: 疑わしいアクティビティー 127 セクション B: Event Analysis ビューの監視 129 セクション C: Analysis ビューからのアクティビティーのフィルタリング 139 SiteProtector System User Guide for Security Analysts Version 2.0, SP

126 第 7 章 : 疑わしいアクティビティーの検出 126 IBM Internet Security Systems

127 セクション A: 疑わしいアクティビティー概要疑わしいアクティビティーはさまざまなソースから生じますこのセクションの説明を参考にネットワークを監視するときの疑わしいアクティビティーを特定および分類しますこのセクションの用語はパート Ⅲ : 脅威の調査と分析でよく参照されます反復プロセス疑わしいアクティビティーの検出は反復プロセスですアクティビティーが疑わしいかどうかを決定しているときの反復方法で次のタスクを実行します Event Analysis ビューとガイド付き質問を繰り返す分析の一部ではないアクティビティーを除外するようにベースラインと例外を作成する許可されたアクティビティー許可されたアクティビティーとは疑わしく思われるが実際は無害である通常のアクティビティーのことです許可されたアクティビティーに対する例外を作成またはコンソールベースラインにこのアクティビティーを含めることを検討してください Analysis ビューからのアクティビティーのフィルタリング (139 ページ ) を参照してください例 : 許可された DNS サーバー間の DNS ゾーン転送によりイベントがトリガーされる可能性がありますがほとんどの場合その転送は許可されたアクティビティーですただし外部 IP アドレス主導の DNS 転送は不正アクティビティーです不正アクティビティー不正アクティビティーとは企業に害を与える可能性のある異常な動作のことです不正アクティビティーは False Positive として誤って分類される場合がありますただし不正アクティビティーは通常懸念材料でありさらなる調査や対処法を必要とする場合があります表 46 では不正アクティビティーについて説明します不正アクティビティー誤用悪用悪意のあるアクティビティー説明加害者は組織に害を及ぼすつもりはないが知らないうちに脆弱性を引き起こしてしまった可能性があります通常このアクティビティーは重大な過失ではなく正当な注意義務の違反によって引き起こされます例としてファイアウォールの設定を試みようとするが見落としや無知のために組織のアセットを攻撃を受けやすい状態のままにしている管理者が挙げられます加害者は組織に害を及ぼすつもりはないがアクティビティーが不正であるとよくわかっています通常このアクティビティーは明らかに不注意な行為または法や組織の行動規範に明らかに違反する行為によって引き起こされます悪用の例として企業のイントラネット上でポルノサイトを閲覧するユーザーやファイアウォールの設定を怠りアセットを攻撃を受けやすい状態のままにしている管理者が挙げられます加害者は意図的に組織に害を及ぼしアクティビティーが不正であるとわかっています例として企業のイントラネットに対してサービス不能攻撃を開始する攻撃者や企業の会計サーバーから不法に入手した部外秘の財務情報から利益を得ようとする内部ユーザーが挙げられます脅威の評価および調査では悪意のあるアクティビティーの検出および調査が最初に対応されます悪意のあるアクティビティーのタイプについては 181 ページで説明します表 46: 不正アクティビティーの説明 SiteProtector System User Guide for Security Analysts Version 2.0, SP

128 第 7 章 : 疑わしいアクティビティーの検出 128 IBM Internet Security Systems

129 セクション B: Event Analysis ビューの監視概要アナリシスビューでは複数のパースペクティブに適切なレベルの詳細情報を与えるため疑わしいアクティビティーを検出するための有効開始点を提供しますこのセクションでは選択したアナリシスビューの説明とその使用に関するガイドラインを説明します関連情報ガイド付き質問の使用およびアナリシスビューの管理に関する手順についてはアナリシスビューとモード (31 ページ ) を参照してくださいこのセクションでのガイドラインこのセクションでのガイドラインはイベントの検出のほかに脅威の分析や対処中に実行される多くのタスクに適用される場合がありますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ監視および関連付けるトラフィックの選択 130 Summary ビュー 131 Event Name ビュー 133 Target ビュー 135 Attacker ビュー 136 ガイド付き質問および Event Analysis ビューの使用に関するシナリオ 137 SiteProtector System User Guide for Security Analysts Version 2.0, SP

130 第 7 章 : 疑わしいアクティビティーの検出監視および関連付けるトラフィックの選択監視しイベントアナリシスビューと関連付けるために選択するトラフィックは要素の数によって決まる可能性がありますこのトピックでは監視するトラフィックの選択および発信元ごとのイベントの手動による関連付けについてのガイドラインを説明します重要 : アセットの体系化および優先順位付けの手順はネットワークセキュリティーの計画および評価の不可欠な部分です SiteProtector システムをインストールおよび設定したときにこれらのタスクの多くを実行しておく必要がありますグループ化構造の利点グループ化構造では頻繁に実行するタスクに応じてホストやセンサーをグループ化することでより効果的にアセットを保護することができます通常サイトはジオグラフィーやトポロジーなど 2 つ以上の構造を使用してアセットおよびセンサーをグループ化します監視用アセットのグループ化表 47 は監視用アセットのグループ化基準を一覧にしたものですグループ化構造説明トポロジーアセットクリティカリティジオグラフィービジネス機能トポロジー基準を使用し発信元に基づいてトラフィックを監視しますこれは内部アセット ( イントラネット ) または外部アセットを監視するために使用される効果的で一般的な基準ですこれらの領域は DMZ VPN パートナーエクストラネットおよび内部ゲートウェイなどのトポロジーによってさらに分類される可能性があります主幹業務のアセットをあまり重要でないアセットよりも詳細に監視するために選択する場合がありますほとんどの場合アセットクリティカリティもこれらのアセットの調査およびアセットに対する攻撃への対応方法に影響を与えます SiteProtector システムによって Asset Properties のアセットにクリティカリティの格付けを割り当てることができますジオグラフィー構造を使用して組織の物理的なロケーションに従ってアセットをグループ化しますこの構造はアセットが位置している都市州または大陸に適用される場合があり組織の別のロケーションからイベントを比較することができますビジネス機能構造を使用して重要な情報を扱い機密トラフィックを処理する販売や経理などの特定の部門に位置するホストを監視します表 47: グループ化構造の説明発信元ごとのイベントの関連付けイベント検出の目標の 1 つとして疑わしいアクティビティーの発信元の解明が挙げられますイベントアナリシスビューではいくつかの発信元が表示されます発信元を表示することにより疑わしいアクティビティーの発信元の検索を絞り込むことができますが必ずしも発信元に直接つながるとは限りません発信元表示の例は次のとおりですインターネットサービスプロバイダー (ISP: Internet Service Provider) に登録されている攻撃者の IP アドレスデータストリームで疑わしいアクティビティーが検出された場所 ( 発信元ではない ) を示すエージェントのロケーション一連のログイン失敗を示すファイアウォールイベント 130 IBM Internet Security Systems

131 Summary ビュー Summary ビュー Summary ビューには選択したサイトやグループの高レベルの概要が表示されますこのビューのデータを使用してサイトやグループイベントの高レベルな監視を実行します Summary ビューとは Summary ビューは [Vulnerability History by Day] [Today's Event Summary by Event Name] などそれぞれセキュリティーの状況のスナップショットを表示する複数のポートレットに分割されますこれらのビューの多くは特定のタイムフレームに基づいていますタイムフレームを変更し例外を含めるにはポートレットの多くに表示されたデータを修正することができますまた大部分のポートレットから直接 SiteProtector システムのデータの発信元に移動できます Summary ビューのポートレットデフォルトでは Summary ビューには 6 つのポートレットが含まれていますただし最大 16 ポートレットまで追加および削除することができます Summary ビューからのポートレットの追加または削除 Summary ビューからポートレットを追加または削除するには次の手順に従います 1. [Go to] リストから [Summary] を選択します 2. 次のいずれかを行いますポートレット [Summary] タブ上のタイトルバーを右クリックしポップアップメニューからポートレットオプションをオンまたはオフにします [Action] を選択しメニューからポートレットオプションをオンまたはオフにします注記 : 特定のビューで有効なポートレットの隣にチェックマークが表示されます Summary ビューのポートレットの修正 Summary ビューのポートレットに表示されたデータを修正するには : 1. [Go to] リストから [Summary] を選択します 2. ポートレットに表示されたデータの期間を調整するにはから番号を選択するかポートレットの [Number of Days] [Number of Weeks] [Number of Months] または[Agents Active in Days] リストから数字を選択しますポートレットのデータは選択した新しい期間に基づいて直ちに更新します 3. ポートレットに表示されたデータに例外イベントを含めるにはポートレット内の [Include Exceptions] チェックボックスをオンにしますポートレット内のデータは直ちに更新されイベント例外を追加します注記 : [System Health, Site Summary] [Group Summary] [Scan Progress] [Ticket Status] および [Offline / Stopped Agents portlets] に表示されるデータを修正することはできません Summary ビューのポートレットから移動 Summary ビューのポートレットから SiteProtector システムのデータの発信元に移動する印は : 1. [Go to] リストから [Summary] を選択します 2. 次のいずれかを行いますポートレットタイトルをクリックしてポートレット内の全データの詳細ビューを表示しますポートレット内のデータ ( グラフを含む ) をクリックして特定のデータの詳細ビューを表示します例 SiteProtector System User Guide for Security Analysts Version 2.0, SP

132 第 7 章 : 疑わしいアクティビティーの検出 [Agent Event History by Day] ポートレットヘッダーをクリックすると開始日時でフィルタリングされた Event Analysis-Details ビューが表示されます [Agent Event History by Day] ポートレット内のグラフのバーをクリックすると Event Analysis-Details ポートレットでクリックしたデータでフィルタリングされたビューが表示されます 132 IBM Internet Security Systems

Event Name ビュー Event Name ビュー Event Analysis - Event Name ビューではネットワーク上で検出されたイベントタイプを決定するためや特定タスクのアナリシスビューをカスタマイズするための有効開始点を表示しますイベント検出の初期段階でこのビューを使用します Event Name ビューとは Event Name ビューにはイベントのタグ名

133 Event Name ビュー Event Name ビュー Event Analysis - Event Name ビューではネットワーク上で検出されたイベントタイプを決定するためや特定タスクのアナリシスビューをカスタマイズするための有効開始点を表示しますイベント検出の初期段階でこのビューを使用します Event Name ビューとは Event Name ビューにはイベントのタグ名ステータス (SecurityFusion が有効な場合に最も有用 ) 危険度イベント総数および日時が表示されます Event Name ビューの例図 3 は Event Name ビューの例を示しています SecurityFusion Module からのステータスと組み合わせた場合 Event Name ビューにネットワークのセキュリティーの正確なスナップショットを表示することができます図 3: SecurityFusion Module が有効な場合の Event Name ビュー Event Name ビューの表示についてのガイドライン次のガイドラインを使用して Event Name ビューにイベントを表示します特定攻撃のフィルタリング特定のエクスプロイトを監視している場合 Event Name ビューに有効開始点を表示することができますたとえば Microsoft リモートプロシージャーコールと SQL インジェクション攻撃の組み合わせを使用する広範囲にたる攻撃が進行中であることをセキュリティー調査から解明した場合 Event Name ビューをフィルタリングしてこれらのシグネチャーをトリガーするイベントのみを表示することができますセクション C: Analysis ビューからのアクティビティーのフィルタリング (139 ページ ) を参照してください危険度またはステータス別のフィルタリング SecurityFusion Module が有効で脆弱性データが最新の場合脆弱性の程度や危険度別にビューをソートしもっとも脆弱なイベントまたはもっとも危険なイベントがリストの1 番目 SiteProtector System User Guide for Security Analysts Version 2.0, SP

134 第 7 章 : 疑わしいアクティビティーの検出に表示されますさらなるアクションを最も必要としそうなイベントがリストの 1 番目に表示されるようにこのフィルタリングによってビューを並べ替えますヒント : 同じビューで複数の列をソートする場合 [SHIFT] キーを押しながら列名をクリックしますより多くの発信元を関連づけるための Event Name ビューのカスタマイズ Event Name にはさまざまなカスタマイズ方法があります [Sensor Name] [SourceIP] および [DestinationIP] 列を [Event Name] ビューに追加し [Event Name] 列ごとにビューをソートすることを検討します [Sensor Name] 列と [SourceIP] 列を使用してイベントを発信元ごとに関連付けます 134 IBM Internet Security Systems

Target ビュー Target ビュー Event Analysis - Target ビューでは疑わしいアクティビティーの対象となりそうなホストを判断するためのよいパースペクティブを表示します一方これらのホストは最終的な攻撃対象ではないかもしれないが攻撃範囲の早期指標となる可能性があります Target ビューとは Target ビューは

135 Target ビュー Target ビュー Event Analysis - Target ビューでは疑わしいアクティビティーの対象となりそうなホストを判断するためのよいパースペクティブを表示します一方これらのホストは最終的な攻撃対象ではないかもしれないが攻撃範囲の早期指標となる可能性があります Target ビューとは Target ビューは疑わしいアクティビティーの対象となる可能性のある IP アドレスおよび DNS 名についての情報を提供するデフォルトアナリシスビューです Target ビューにはアクティビティーに関連する発信元ホストおよびタグ名のイベント総数を表示しますまた危険度数およびイベントの日時も表示します Target ビューの例図 4 は Target ビューの例を示しています図 4: Target ビュー Target ビューの表示についてのガイドライン Target ビューにイベントを表示するときに次のガイドラインを使用します外部調査およびスキャン DMZ またはネットワークの外側にあるエージェント ( 例 : 外部ファイアウォールの外側にあるネットワークアプライアンス ) から外部イベントを監視している場合自動調査およびスキャンからの何百ものイベントを表示しそのイベントの多くは無害である可能性がありますこのアクティビティーを監視するよう選択した場合これらのイベントを効率的にフィルタリングできる方法を検討してください Analysis ビューからのアクティビティーのフィルタリング (139 ページ ) を参照してください SiteProtector System User Guide for Security Analysts Version 2.0, SP

第 7 章 : 疑わしいアクティビティーの検出 Attacker ビュー Event Analysis - Attacker ビューでは疑わしいトラフィックが発生したホストを判断するための有効開始点を表示します Attacker ビューを使用してイベントを発信元 IP アドレスと関連付けます Attacker ビューとは Attacker ビューは疑わしいトラフィックの発信元である IP

136 第 7 章 : 疑わしいアクティビティーの検出 Attacker ビュー Event Analysis - Attacker ビューでは疑わしいトラフィックが発生したホストを判断するための有効開始点を表示します Attacker ビューを使用してイベントを発信元 IP アドレスと関連付けます Attacker ビューとは Attacker ビューは疑わしいトラフィックの発信元である IP アドレスおよび DNS 名についての情報を提供するデフォルトアナリシスビューですまた日付イベント総数危険度の格付けも表示しますデフォルトでは [High] [Medium] および [Low] 列が危険度別にソートされます Attacker ビューの例図 5 は Attacker ビューの例を示しています図 5: Attacker ビュー Attacker ビューでのイベントの表示についてのガイドライン Attacker ビューにイベントを表示するときに次のガイドラインを使用します IP アドレスを登録する組織を決定する [SourceIP] 列にリストアップされている SourceIP を所有する企業を把握することによって攻撃者の検索範囲を限定することができますガイド付き質問 What is the WhoIs record of this IP address? を使用して SourceIP が登録されている IP アドレスを決定しますまた RIPE ARIN および APNIC などのこの情報のほかのインターネットソースを検討します発信元を検討する Attacker ビューの [SourceIP] 列にリストアップされている IP アドレスは必ずしも疑わしいトラフィックの発信元であるとは限りませんこの IP アドレスはインターネットサービスプロバイダーやほかの機関に登録されている可能性がありトラフィックを送信する IP アドレスはネットワークアドレス変換 (NAT: Network Address Translation) を使用するファイアウォールの裏側に存在する場合がありますその IP アドレスは内部ホストを使用してほかの内部ホストを攻撃しようとしている攻撃者に乗っ取られた内部ホストのものである可能性があります 136 IBM Internet Security Systems

137 ガイド付き質問および Event Analysis ビューの使用に関するシナリオガイド付き質問および Event Analysis ビューの使用に関するシナリオガイド付き質問およびイベントアナリシスビューによって疑わしいアクティビティーの発信元を関連付けることができますこのトピックを参考にして直面する可能性のある状況をよく理解します参照 : ガイド付き質問およびイベントアナリシスビューの使用に関する手順については次のトピックを参照してくださいデフォルトアナリシスビューの選択 (32 ページ ) ガイド付き質問の選択 (39 ページ ) シナリオ 1 表 48 ではアナリストが疑わしいアクティビティーを発見してより具体的な情報を参照するために Event Analysis ビューにアクセスするプロセスについて説明します段階説明 1 Event Analysis - Event Name ビューを監視しながらアナリストはイベントの急増を検知しますタグ名は特定のシグネチャーのカテゴリーと関連付けられていないように見えます 2 アナリストはリストの先頭にあるイベントを選択してから What are the sources of this event? を選択します Event Analysis - Attacker ビューが表示され単一 IP アドレスがこのタグ名と関連するイベントすべての発信元であることがわかります 3 アナリストが Which sensors detected this attacker? を選択すと Event Analysis - Sensor ビューが表示されます Sensor ビューから攻撃者の IP アドレスから生じるイベントすべては DMZ にあるネットワークアプライアンスによって検出されるということがわかりますネットワーク上のほかのエージェントはこの攻撃者からのイベントをレポートしていません 4 アナリストはこの攻撃者がネットワークの DMZ のサーバーをターゲットとしている一連の調査やスキャンを開始していると断定しますアナリストはこのイベントに対するインシデントを作成し手動で残存イベントを関連付けることを決定します表 48: 発信元ごとに関連づけるためのガイド付き質問の使用例 SiteProtector System User Guide for Security Analysts Version 2.0, SP

138 第 7 章 : 疑わしいアクティビティーの検出 138 IBM Internet Security Systems

139 セクション C: Analysis ビューからのアクティビティーのフィルタリング概要疑わしいアクティビティーを正常に検知するには Analysis ビューから通常のアクティビティーを除外する必要がありますこのセクションでは分析に必要なものに焦点を当てることができるようにアクティビティーをフィルタリングするための背景情報や手順を説明しますフィルタリングの重要性フィルタリングは疑わしいアクティビティーを検出するための重要な部分です毎日多数のフィルターを作成する場合があります通常この段階で行うフィルタリングは確認済み攻撃またはセキュリティー侵害されたシステムの調査時に実行するさらに対象を絞ったフィルタリングとは異なりますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページベースラインの作成 140 インシデントおよび例外の作成 142 SiteProtector System User Guide for Security Analysts Version 2.0, SP

第 7 章 : 疑わしいアクティビティーの検出ベースラインの作成ベースラインによって Analysis ビューのイベント数が増加もしくは新規イベントが表示されたかどうかが一目でわかりますたとえば 1 つの IP アドレスもしくはタグ名がイベント数の非常に高い伸び率に関連している場合さらに詳しく調べることができます重要 : 一度に 1 つのベースラインビューしか設定できません

140 第 7 章 : 疑わしいアクティビティーの検出ベースラインの作成ベースラインによって Analysis ビューのイベント数が増加もしくは新規イベントが表示されたかどうかが一目でわかりますたとえば 1 つの IP アドレスもしくはタグ名がイベント数の非常に高い伸び率に関連している場合さらに詳しく調べることができます重要 : 一度に 1 つのベースラインビューしか設定できませんベースラインデータはイベント総数に対してのみ表示されますイベント総数行がビューに表示されない場合ベースラインデータを見ることはできませんベースライン作成についてのガイドラインベースラインは分析からデータを除外するためベースラインの作成に関するガイドラインに従う必要があります自身の環境でのトラフィックをよく理解するネットワークでのトラフィックをよく理解してからベースラインを有効にしてくださいネットワークに対して何が正常かを規定しこの状態と現在の状態を比較する必要がありますこれは進行中の過程であり常に注意する必要があります変更管理プロセスがベースラインに影響を与える方法を理解するネットワークで実施している変更内容がどのようにベースラインに影響しているのかを理解しますたとえばソフトウェアパッチをサーバーグループにインストールした場合これにより調査中のイベント数が著しく増加または減少する可能性があります Analysis ビューで変更される項目ベースラインを作成するときに次の項目が Analysis ビューで変更されます項目説明イベント総数ステータスバーエージェントが新規イベントを検出した場合増加は該当する [event count] 列 (source target tag object) に赤字で表示されます例 : 241 (+34) 減少の場合減少数が青字で表示されますベースラインが有効なときにベースラインアイコンがステータスバーに表示されますこのアイコン上でポインターを移動して Baseline [date and time] 情報を表示します表 49: ベースライン作成時に Analysis ビューで変更される項目ベースラインビューの例図 6 は Event Name ビュー用に作成されたベースラインの例を示しています増加を示すイベント総数は括弧内に表示されていることに注意してください図 6: Event Analysis - Event Name ビュー用に作成されたベースラインの例 140 IBM Internet Security Systems

141 ベースラインの作成手順ベースラインを作成するには次の手順に従います 1. [Go to] リストから [Analysis] を選択します 2. [Analysis] タブでベースラインを定義するビューを選択しますヒント : [Event Count] 列が現在のビューに表示されない場合追加するかその列を含む Analysis ビューを選択します 3. [Action] [Baseline] [Establish] の順に選択します現在のビューがベースラインビューです 4. イベントの詳細追加された列やフィルターまたは選択済みのほかのグループを調査する拡張項目がありベースラインビューに戻る場合 [Action] [Baseline] [Restore] の順に選択します 5. ビュー全体ではなく選択した行のイベント総数をリセットする場合リセットする 1 行または複数行を右クリックしポップアップメニューから [Reset Selected Values] を選択します SiteProtector System User Guide for Security Analysts Version 2.0, SP

142 第 7 章 : 疑わしいアクティビティーの検出インシデントおよび例外の作成インシデントおよび例外は特定の基準に合うイベントを強調または除外するために使用できるイベントフィルターですこのトピックでは次の作業についてのガイドラインと手順を説明しますインシデントおよび例外の作成インシデントおよび例外の編集インシデントおよび例外の削除参照 : 例外を使用して許可された脆弱性スキャンにより生成されたイベントを除外する方法についてはスキャンアクティビティーをフィルタリングするための例外の作成 (150 ページ ) を参照してください SecurityFusion 攻撃パターンに関連するインシデントおよび例外を管理する方法についてはインシデント例外および攻撃パターン (192 ページ ) を参照してくださいインシデントおよび例外を使用するタイミング表 50 ではインシデントおよび例外を使用するタイミングについて説明します実行内容作成するもの分析において特定イベントを強調または追跡する分析から特定イベントを除外するインシデント例外表 50: インシデントおよび例外を使用するタイミングインシデントまたは例外に含めることができる情報 SiteProtector システムは特定のイベントの詳細をインシデントまたは例外と自動的に関連付けます最初にイベントまたはイベントグループを右クリックしてインシデントまたは例外を作成した場合 SiteProtector システムは該当するイベントの詳細とともに情報を [New Incident/ Exception] ウィンドウのフィールドに表示しますインシデント作成についてのガイドライン次のインシデント作成に関するガイドラインを使用します特定のアクティビティーが脅威であることを確認する場合にインシデントをチケットとマージするインシデントを公式調査する必要があると判断した場合に情報をインシデントからチケットへマージすることを検討しますチケットによってアクティビティーを分類および追跡し SiteProtector システムのインシデント追跡システムを使用して所有権を割り当てることができます例外作成についてのガイドライン次の例外作成についてのガイドラインを使用します特定パターンに適合するアクティビティーの例外を作成する例外を使用して特定パターンに適合するイベントをフィルタリングします通常例外では担当者や担当組織によって実行される今後のアクションが必要となります SecurityFusion Module を設定して例外として分類されたイベントを無視する SecurityFusion Module ではトラフィックを分析するときにシステムリソースを必要とします例外は明らかに分析の一部ではないため SecurityFusion Module を設定して例外として分類されたイベントを無視します重要性がはっきりしないイベントの例外は作成しない 142 IBM Internet Security Systems

143 インシデントおよび例外の作成重要性がはっきりしないイベントを例外として分類したくなる場合があります監視しているイベントの重要性がわからない場合これらのイベントを分類せずに継続して監視し判断できるまでこれらのイベントを手動で関連付けますインシデントおよび例外の作成インシデントまたは例外を作成するには次の手順に従います 1. 次のいずれかを行いますインシデントまたは例外の派生元選択したイベントまたはイベントグループスクラッチ作業 Analysis ビューでイベントまたはイベントグループを右クリックしポップアップメニューから [Incidents/ Exceptions] [New] の順に選択します [ Action] [Incident/Exception] [Manage, ] の順に選択して [Create] をクリックします注記 : 選択したイベントから派生する例外を作成する場合同時に 1 つのイベントしか含めることができません [New Incident/Exception] ウィンドウが表示されます 2. 次のオプションのいずれかを選択します Incident Exception 3. SecurityFusion Module が有効で Module にインシデントまたは例外を無視させる場合 [Ignore these events in SecurityFusion attack patterns] チェックボックスをオンにします 4. [Name] ボックスにインシデントまたは例外の名前を入力します 5. ( 任意 ) [Description ] ボックスにインシデントまたは例外に関する役立つ情報を入力します 6. 攻撃パターンに関連するインシデントまたは例外を作成していますか? 作成している場合は手順 13 に進みます作成していない場合は手順 7 に進みます 7. [Start] および [End] 矢印をクリックして時間を設定しインシデントまたは例外に含めるイベントの開始日と終了日を選択します注記 : 選択したイベントから派生するインシデントまたは例外を作成している場合 [New Incident/Exception] ウィンドウのフィールドに該当するイベント情報が表示される場合があります必要に応じてこの情報を編集または削除することができます 8. [Source] セクションで該当する場合 [Start] および [End] ボックスに IP アドレスを入力します注記 : IP アドレスが 1 つしかない場合両方のボックスにその IP アドレスを入力します 9. [Target] セクションで該当する場合 [Start] および [End] ボックスに IP アドレスを入力します 10. [Tag Name] ボックスにイベント名を入力します 11. [Object Name] ボックスにこのイベントに関連付けられたオブジェクトを入力します 12. [Observance Type] リストで該当するカテゴリーを選択します 13. [OK] をクリックします SiteProtector System User Guide for Security Analysts Version 2.0, SP

144 第 7 章 : 疑わしいアクティビティーの検出インシデントおよび例外の編集インシデントまたは例外を編集するには次の手順に従います 1. [Action] [Incident/Exception] [Manage] の順に選択します 2. [Incidents/Exceptions] エリアでリストに表示するインシデントや例外の種類のチェックボックスをオンにして [Load] をクリックします 3. 編集するインシデントまたは例外を選択し [Edit] をクリックします 4. 必要に応じて次の項目を編集します Name Description Source IP Address Target IP Address Tag Name Object Name Observance Type 注記 : 攻撃パターンに関連したインシデントまたは例外を編集している場合 [Name] および [Description] ボックスの値のみを変更することができます 5. [OK] をクリックしますインシデントおよび例外の削除インシデントまたは例外を削除するには次の手順に従います 1. [Action] [Incident/Exception] [Manage] の順に選択します 2. [Incidents/Exceptions] エリアでリストに表示するインシデントや例外の種類のチェックボックスをオンにして [Load] をクリックします 3. [Manage Incident/Exception] ウィンドウで削除するインシデントまたは例外を選択し [Delete] をクリックします確認画面が表示されます 4. [Yes] をクリックしてインシデントまたは例外を削除します 5. [OK] をクリックします 144 IBM Internet Security Systems

145 第 8 章疑わしいアクティビティーは深刻ですか? 概要疑わしいアクティビティーを効果的に検出するには検出プロセスの早い段階で深刻でないアクティビティーを除外する必要がありますこのようにすることで重要でないイベントをフィルタリングし深刻な攻撃に焦点を当てることができますこの章では主に次のアクティビティーによって引き起こされる疑わしいアクティビティーの除外について説明しますセキュリティーポリシーに従って徹底調査またはレスポンスを必要としない不正アクティビティー疑わしく思われるが実際は無害である許可されたアクティビティーまたは通常のアクティビティーこの章の内容この章では次のトピックについて説明しますトピックページ攻撃位置の特定 147 脆弱性スキャンによって発生したアクティビティーの特定 148 攻撃パターンを使用した許可されたスキャンのフィルタリング 149 スキャンアクティビティーをフィルタリングするための例外の作成 150 間違って構成されたシステムによって発生したアクティビティーの特定 151 疑わしいと一般に特定される通常アクティビティーの特定 152 SiteProtector System User Guide for Security Analysts Version 2.0, SP

146 第 8 章 : 疑わしいアクティビティーは深刻ですか? この章で取り上げるタスクのクイックリファレンス表 51 はこの章で取り上げるタスクのクイックリファレンスですこの表を使用して特定の問題に対応するトピック ( 複数可 ) を選択することができます条件いつ許可されたスキャンの実行が予定されているかを知っている追加条件 SecurityFusion Module が無効である手順スキャンの実行が予定されるまえにスキャンアクティビティーをコンソールからフィルタリングする例外を作成しますスキャンアクティビティーをフィルタリングするための例外の作成 (150 ページ ) を参照してくださいいつ許可されたスキャンの実行が予定されているかを知らないが Internet Scanner のスキャンが実行中であると思っている SecurityFusion Module が有効である SecurityFusion Module が無効である Internet Scanner インシデントを Event Analysis - Incident ビューで表示します攻撃パターンを使用した許可されたスキャンのフィルタリング (149 ページ ) を参照してくださいイベントの詳細を分析することで許可されたスキャンを特定しアクティビティーをコンソールからフィルタリングする例外を作成します次のトピックを参照してください脆弱性スキャンによって発生したアクティビティーの特定 ] (148 ページ ) スキャンアクティビティーをフィルタリングするための例外の作成 ] (150 ページ ) いつ許可されたスキャンの実行が予定されているかを知らないがサードパーティのスキャンが実行中であると思っているアクティビティーが間違って構成されたシステムによって発生したと思っているアクティビティーが疑わしいと一般的に特定された許可されたアクティビティーによって発生したと思っているイベントの詳細を分析することで許可されたスキャンを特定しアクティビティーをコンソールからフィルタリングする例外を作成します次のトピックを参照してください脆弱性スキャンによって発生したアクティビティーの特定 ] (148 ページ ) スキャンアクティビティーをフィルタリングするための例外の作成 ] (150 ページ ) 間違って構成されたシステムによって発生したアクティビティーの特定 ] (151 ページ ) を参照してください疑わしいと一般に特定される通常アクティビティーの特定 ] (152 ページ ) を参照してください表 51: この章の情報の使用方法 146 IBM Internet Security Systems

147 攻撃位置の特定攻撃位置の特定攻撃位置は攻撃の深刻さを判断するときに検討する必要のある重要事項ですインターネットファイアウォールでの疑わしいアクティビティーは Accounting ファイルサーバーへのアクセス権を持っている攻撃者よりも深刻ではありませんこのトピックでは Event Analysis -Agent ビューを使用した攻撃位置の特定の手順について説明します攻撃位置の重要性アクティビティーを検出したセンサーの位置から攻撃が近いことがわかります通常ネットワークの外側で検出した疑わしいアクティビティーがあまりにも頻発するため正常に監視することができませんたとえば内部ネットワークにあるエージェントによって検出されたイベントはファイアウォールの外側にあるエージェントによって検出されたイベントよりも注意する必要があります Event Analysis ñ Agent ビューの分析攻撃位置を判断するのに最適な方法は Event Analysis - Agent ビューを使用することです特定イベントの Event Analysis - Agent ビューを分析するには次の手順に従います 1. [Go to] リストから [Analysis] を選択します 2. [Event Analysis - Event Name] ビューを選択します 3. 調査しているイベントを右クリックしメニューから Which agents detected this event? を選択します注記 : この質問は Event Name ビューに限定されるものではありませんこのガイド付き質問は Event Analysis - Agent ビューを除くすべての Event Analysis ビューで使用可能です 4. [Agent IP] および [DNS Name] 列を表示しネットワーク上のエージェントの位置を判断します注記 : このイベントを検出したエージェントがネットワークの外側 DMZ または脆弱でないと判断した位置にある場合このアクティビティーの監視および追跡に向けられた時間と労力を制限することを検討します参照 : またガイド付き質問を使用して脆弱性イベントについて問い合わせることもできます詳細についてはガイド付き質問の選択 ](39 ページ ) を参照してください SiteProtector System User Guide for Security Analysts Version 2.0, SP

148 第 8 章 : 疑わしいアクティビティーは深刻ですか? 脆弱性スキャンによって発生したアクティビティーの特定ネットワーク上で実行中または実行する予定の脆弱性スキャンに関する重要な情報は影響を受けた領域にタイムリーに伝達されない可能性があります脆弱性スキャンがネットワーク上で実行中だと知っているまたはそう思っている場合このトピックの情報を使用することによりこのアクティビティーを特定することができますコミュニケーションおよび計画の重要性コミュニケーションおよび計画は予想外の脆弱性スキャンによって発生した誤報を回避する手助けをするのに重要ですスキャンが意外な結果とならないようにネットワーク上で脆弱性スキャンを実行する担当者との緊密なコミュニケーションを維持します不正脆弱性スキャン脆弱性スキャンは攻撃者が行うのと同様の方法でホストを調査するため許可された脆弱性スキャンと攻撃者によって開始されたスキャンをいつも区別できるとは限りません脆弱性スキャンが許可されていることを確認できない場合攻撃であると考えられますコンソールでのスキャンを特定するためのガイドライン次のうちの 1 つ以上を監視する場合脆弱性スキャンは進行中である可能性があります注記 : 許可されたスキャンアクティビティーが攻撃アクティビティーと非常によく似ているためこれらのガイドラインを使用するときに注意します 1 つの発信元および多数のターゲットホストに関連する過剰な数のイベント機能分野または部門などの論理的内部パターンによって進歩するアクティビティー短期間に広範囲のシグネチャーをトリガーするアクティビティー 148 IBM Internet Security Systems

149 攻撃パターンを使用した許可されたスキャンのフンのフィルタリング攻撃パターンを使用した許可されたスキャンのフィルタリング許可された脆弱性スキャンでは短い期間内で大量の疑わしいトラフィックを生成することができます通常このトラフィックは攻撃でなく疑わしいと正確に特定されますこのトピックでは Internet_Scanner_Scan 攻撃パターンを使用して許可された脆弱性スキャンを特定するための背景情報およびガイドラインについて説明します重要 : SecurityFusion Module を有効にしてから Internet_Scanner_Scan 攻撃パターンを使用してください詳細については SecurityFusion Module での影響の分析 ](49 ページ ) を参照してください Internet_Scanner_Sca n 攻撃パターンの機能 Internet_Scanner_Scan 攻撃パターンはホストから Internet Scanner のスキャンの開始を特定し 1 つ以上のターゲットホストに対して同じ発信元ホストがトリガーしたイベントがその後に続きます適切に設定されたエージェントとアプライアンスはスキャンを実行中のネットワークを監視しているときにこの攻撃パターンをトリガーすることができますデフォルト設定で Internet_Scanner_Scan 攻撃パターンはこのパターンと一致するイベントのインシデントを自動的に作成しそれに応じてイベントをフィルタリングし続けます Internet_Scanner_Sca n 攻撃パターンの例図 7 は Event Analysis - Incidents ビューでの 2 つの Internet_Scanner_Scan 攻撃パターンを示していますこれらのインシデントは SecurityFusion Module が有効な場合にのみ表示されます 1 つの発信元の総数 ( スキャンホスト ) および 2 つのターゲットの総数 ( スキャンされているホスト ) に関連する大規模イベントの総数に注意してください図 7: Event Analysis - Incidents ビューでの Internet_Scanner_Scan 攻撃パターンの例 Internet_Scanner_Sca n 攻撃パターンの使用に関するガイドライン次のガイドラインを使用して Internet_Scanner_Scan 攻撃パターンを分析します攻撃者はスキャナーを使用して調査を実行しさらに攻撃を開始するため不正ユーザーが Internet Scanner を使用してこれらのタイプのスキャンを実行しないことを確認するスキャンホストとターゲットホストがいつも一対一で対応するわけではないため SecurityFusion Module は 1 回のスキャンに対して 1 つ以上のインシデントを作成する可能性があります反対に複数のスキャンに対して 1 つのインシデントを作成する可能性もあります重要 : SecurityFusion Module がホストを正しくペアにしていないと思われる場合スキャンホストとターゲットホストを手動で関連付ける必要があります SiteProtector System User Guide for Security Analysts Version 2.0, SP

150 第 8 章 : 疑わしいアクティビティーは深刻ですか? スキャンアクティビティーをフィルタリングするための例外の作成脆弱性スキャンが実行しているまたはネットワーク上で実行する予定であるとわかっている場合このトラフィックをコンソールからフィルタリングするための例外を作成することを検討しますこのトピックのガイドラインと手順を使用することでスキャンアクティビティーをフィルタリングするための例外を作成することができますスキャンをフィルタリングするタイミング次の状況での脆弱性スキャンの例外の作成を検討します組織内の誰かがネットワークのスキャンに Internet Scanner ではなくサードパーティー製スキャンツールを使用している SecurityFusion Module が無効である重要 : 例外は全体的ではなく例外を作成するコンソールにのみ適用されます例外作成に関するガイドライン次のガイドラインを使用してスキャンアクティビティーをフィルタリングするための基準を指定しますスキャンと関連していないアクティビティーをフィルタリングしないようにスキャンに特有の基準を使用する疑わしい場合はフィルタリングするアクティビティーの範囲を拡張するよりも縮小するスキャンの対象アドレスを内部ネットワークの IP アドレスに制限する手順コンソールからスキャンをフィルタリングするための例外を作成するには次の手順に従います 1. インシデントおよび例外の作成 ] (142 ページ ) の手順を実行します 2. 次の表を参考に [New Incidents/Exceptions] ウィンドウの情報を指定しますフィールド Start End 説明スキャンの開始予定日時を指定しますスキャンの終了予定日時を指定します Source IP スキャンホストの IP アドレスを指定しますこれはスキャンエージェントがインストールされたホストです Target IP スキャンする予定の IP アドレス範囲を指定します注記 : [Source IP] フィールドでスキャンエージェントを指定した場合この例外の [Target IP] を指定する必要がない場合があります 150 IBM Internet Security Systems

151 間違って構成されたシステムによって発生したアクティビティーの特定間違って構成されたシステムによって発生したアクティビティーの特定システムを間違って構成することによって誤動作を引き起こし検出および修正が難しいこともある脆弱性を取り込みます設定ミスが単純な間違いか悪意のあるものなのか必ずしも明確ではありません間違って構成されたシステムに関する情報を使用するとネットワークの問題をトラブルシュートし危険性のある脆弱性を特定することができます間違って構成されたシステムシステムは従業員の誤用によってまたは不完全な設計のため偶然間違って設定された可能性があります攻撃者は間違って構成されたシステムを悪用してアクセス権を取得することもあります次のことによりネットワークで間違った設定してしまう可能性があります新規またはアップデートされたソフトウェアやハードウェア互換性のないソフトウェアやハードウェア従業員によって偶然に間違って構成されたシステム正当なメンテナンスの理由で作成されたバックドア注記 : 攻撃者がシステムを間違って設定しアクセス権を取得または害を及ぼす場合これは間違って構成されたシステムではなく攻撃と見なされ調査する必要があります間違って構成されたシステムによって発生するイベントの例間違って構成されたシステムによって対応するシグネチャーがポリシーで有効な場合特定のイベントがトリガーされる可能性があります次の例を参考にして間違って構成されたシステムを特定しますサブネットマスク正当なホストはなどのブロードキャストアドレスに通常使用される IP アドレス上に存在する可能性もありますこれらのホストはサービス不能攻撃や Smurf 攻撃のようなブロードキャストアドレスを使用するエクスプロイトを特定するイベントをトリガーする可能性もあります SMB 認証および共有イベントこれらのイベントはデータをほかのホストと自由に共有するまたはパスワードを要求せずに認証したり脆弱なパスワードや簡単に推測できるパスワードを要求して認証するホストによって発生しますベストプラクティスではないが内部ホストがこの方法を伝達することを許可するホストもありますこのアクティビティーは Smb_empty_password や Smb_guessable_password イベントのような脆弱または規制に従っていないホスト対ホストの通信を検知するイベントをトリガーする可能性があります表 52 (152 ページ ) を参照してくださいルーティングエラー管理者が Unix オペレーティングシステムを実行しているホスト上ではデフォルトで有効な IP ルーティングを無効にし忘れることがありますほとんどの場合これらのホストは通常適切に設定されていないため非常に多くのパケットをドロップする可能性があります SiteProtector System User Guide for Security Analysts Version 2.0, SP

152 第 8 章 : 疑わしいアクティビティーは深刻ですか? 疑わしいと一般に特定される通常アクティビティーの特定エージェントおよびアプライアンスポリシーには高危険度から低危険度までのアクティビティーすべてを特定する何百ものチェックが含まれています疑わしいアクティビティーの検出時の最大の難問は疑わしいと特定される通常アクティビティーのフィルタリングですこのトピックではこのアクティビティーをコンソールからフィルタリングするのに役立つ情報について説明します通常のアクティビティーが疑わしいと特定される理由特定の事前定義済みしきい値を超えた場合トラフィックが使用するプロトコルが脆弱だと見なされた場合または監査目的で主に使用されるイベントをトリガーした場合に通常のアクティビティーは一般的に疑わしいと特定されます通常のトラフィックは一般的に不正な形式ではないですがセキュリティーポリシーによって禁止されているかネットワークで実行しているシステムと互換性がない可能性があります一般的に通常のトラフィックは次のカテゴリーに分類されます監査イベント False Positive 通常疑わしいと特定されるイベント表 52 は通常疑わしいと特定されるイベントを一覧にしたものです重要 : この情報は変更されることがあります Events DHCP a ftp_* http_* Lanman_share_enum netbios_session* Nnntp_* 説明 DHCP プロトコルは IP アドレスをネットワーク上のホストに動的に割り当てますこのプロトコルが環境において有効な場合このトラフィックはおそらく正当なトラフィックです管理者は FTP プロトコルを使用してネットワークデバイス間でデータをやり取りしますこのトラフィックはセキュリティーポリシーによって許可された場合おそらく正当なトラフィックです HTTP プロトコルはインターネットトラフィックが許可されたネットワークに広範囲にわたって存在しますこれはセキュリティーポリシーによって許可された場合おそらく正当なトラフィックですただし技術研究所などのインターネットトラフィックが拒否される特定のサブネットがある場合 HTTP トラフィックを監視する必要がありますこのイベントは指定したターゲット上の割り当てを列挙しようとしているホストを特定しますセキュリティーポリシーがネットワーク上のホスト間の列挙を許可している場合このトラフィックはおそらく正当なトラフィックです NetBIOS によって異なるコンピューター上のアプリケーションがローカルエリアネットワーク内で通信できるようになりますこの下位層プロトコルは Windows オペレーティングシステムを使用するほとんどすべてのデバイスで使用されています NNNTP はユーザーが Usenet メッセージを通知配布読むことができるようになるプロトコルですこのトラフィックはセキュリティーポリシーによって許可された場合おそらく正当なトラフィックです表 52: 事前定義済みしきい値を超える正当なトラフィックに通常フラグを立てるイベント 152 IBM Internet Security Systems

153 疑わしいと一般に特定される通常アクティビティーの特定 Events Ospf_* 説明 OSPF はルーターがほかのルーターと通信するために使用するルーティングプロトコルですネットワーク上のルーターがこのプロトコルを使用するよう設定されている場合このトラフィックはおそらく正当なトラフィックです Smb_* SMB はホストが情報をほかのホストと共有しアクセスできるホスト対ホストの通信プロトコルです攻撃者は再開するためにこのプロトコルを使用することができますがセキュリティーポリシーによって許可された場合おそらく正当なトラフィックです Snmp_community Snmp_activity Tcp_probe_xwindows SNMP は管理者がネットワークデバイスをリモートで監視しトラブルシュートできるネットワーク管理プロトコルですこのトラフィックはセキュリティーポリシーによって許可された場合おそらく正当なトラフィックです X Windows System はデバイスが分散環境で通信できるこれまでの Windows にインストールされているグラフィカルインターフェースプロトコルですこのトラフィックはセキュリティーポリシーによって許可された場合おそらく正当なトラフィックです表 52: 事前定義済みしきい値を超える正当なトラフィックに通常フラグを立てるイベント a. これらのイベントは特定カテゴリーのシグネチャーにおけるすべてのイベントを参照します SiteProtector System User Guide for Security Analysts Version 2.0, SP

154 第 8 章 : 疑わしいアクティビティーは深刻ですか? 154 IBM Internet Security Systems

155 第 9 章攻撃は脅威ですか? 概要疑わしいアクティビティーが攻撃であると判断してからアクティビティーがネットワークに対して脅威であるかどうか決定する必要がありますこの章では SecurityFusion Module およびその他の SiteProtector システムツールを使用して攻撃が脅威であるかどうかを評価するための情報について説明します SecurityFusion Module とほかの SiteProtector システムツールとの組み合わせ SecurityFusion Module 情報は必ずしも確実なものではないですが攻撃に関する大量のデータを提供することができます SecurityFusion Module の状況と SiteProtector システムアナリシスビューに表示されるほかの情報とを組み合わせることを検討しますこのセクションの内容この章では次のトピックについて説明しますセクションページセクション A: SecurityFusion Module を使用した攻撃の評価 157 セクション B: 手動による攻撃の評価 163 SiteProtector System User Guide for Security Analysts Version 2.0, SP

156 第 9 章 : 攻撃は脅威ですか? 156 IBM Internet Security Systems

157 セクション A: SecurityFusion Module を使用した攻撃の評価概要イベントの SecurityFusion ステータスは攻撃が深刻な脅威をもたらすかどうかを決定する上で重要な要因となりますこれは別の方法で手動で収集する必要のあった調査の重要な範囲のいくつかに関する情報を提供することができるためです影響の分析 SecurityFusion Module は影響分析と呼ばれるプロセスを使用して 1 つのイベントからの攻撃が成功したかどうかを判断します不正侵入検知センサーが攻撃を検出するときにモジュールは攻撃をホストに関する情報 ( オペレーティングシステム脆弱性ホストエージェントが取る対応など ) と関連付け攻撃の成功または失敗を判断しますモジュールは影響の分析の結果を SiteProtector システムに表示されるステータスとしてレポートしますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ攻撃ステータスの表示 158 SiteProtector System User Guide for Security Analysts Version 2.0, SP

158 第 9 章 : 攻撃は脅威ですか? 攻撃ステータスの表示攻撃ステータスには攻撃に関する有益な情報を表示しますこのトピックでは SiteProtector システムでの攻撃ステータスの表示に関する情報を説明します影響の分析を提供するエージェントとアプライアンス特定のエージェントのみが影響の分析情報を SiteProtector システムに提供します次のエージェントおよびアプライアンスは攻撃ステータスを SiteProtector システムに提供するよう設定されている可能性があります Network Multi-Function Security アプライアンス Network Intrusion Prevention アプライアンス Server Sensor 攻撃ステータス相関イベントのステータスは攻撃またはその他セキュリティーイベントの影響を表していますこれらのステータスは [Status] [Reason] および [Description] 列が有効な場合に [Analysis] ビューに表示されます SecurityFusion Module は脆弱性評価データおよびターゲットホストに関するほかのホスト情報とイベントを関連づけることによって影響を引き出します次の表では優先度が高いものから低いものまでの不正侵入検知イベントに対する脆弱性ステータスについて説明しますステータス Attack Successful 理由 Confirmed by agent 説明イベントを検出したエージェントは攻撃が成功したと判断しました File accessed イベントを検出したエージェントはターゲットホスト上のファイルがアクセスされたと判断しました Successful attack likely Vulnerable 脆弱性評価スキャンはホストがこの攻撃に対して脆弱であるため攻撃に成功したと示しています表 53: 不正侵入検知イベントのステータス 158 IBM Internet Security Systems

159 攻撃ステータスの表示ステータス理由説明 Attack detected No correlation イベントの影響はホストデータ ( 脆弱性またはオペレーティングシステム ) がこのイベントに対応していないため不明ですこれらのイベントは login successful のような監査イベントセンサーからのステータスイベントまたはほとんどの場合 SecurityFusion が関連付けていないイベントである可能性があります SecurityFusion not configured for this host SecurityFusion Module はこのサイトまたはこのホストに対して無効です SecurityFusion not licensed 発信元ホストも宛先ホストも SecurityFusion 相関に対してライセンスが与えられていません Vuln not scanned recently 次のいずれかの理由によって脆弱性またはほかのホストデータを攻撃の影響を判断するために使用することができませんこのステータスは No correlation または Not scanned recently などのほかの適用可能なステータスに優先するホストが一度もスキャンされていないホストのスキャンデータがユーザー定義の有効期限を過ぎている OS check indeterminate 攻撃の影響は脆弱性評価スキャンがターゲットのオペレーティングシステムを判断できないため不明です Simulated block response not enabled Block response not enabled 模擬ブロックレスポンスはこの攻撃を検出したエージェントに設定されていませんブロックレスポンスはこの攻撃を検出したエージェントに設定されていません表 53: 不正侵入検知イベントのステータス ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

160 第 9 章 : 攻撃は脅威ですか? ステータス Vulnerable 理由 Attack will be detected and prevented Attack will be detected and partly blocked Attack will be detected Attack will not be detected 説明スキャンエージェントはターゲットホストが脆弱だと判断しましたがこのトラフィックを監視するよう設定したエージェントはこの脆弱性を悪用する攻撃をブロックしますスキャンエージェントはターゲットホストが脆弱だと判断しましたがこのトラフィックを監視するよう設定したエージェントはこの脆弱性を悪用する攻撃を部分的にブロックしますスキャンエージェントはターゲットホストが脆弱だと判断しましたがこのトラフィックを監視するよう設定したエージェントはこの脆弱性を悪用する攻撃を検出しますスキャンエージェントはターゲットホストが脆弱だと判断しましたがこのトラフィックを監視するよう設定したエージェントはこの脆弱性を悪用する攻撃を検出しません Not Vulnerable Not applicable エージェントはホストが攻撃に対して脆弱でないと判断しました Vuln check indeterminate Not applicable 脆弱性ステータスはターゲットホストが脆弱かどうか脆弱性評価スキャンが判断できないため不明です Failure possible Scanned, vuln not confirmed Internet Scanner はターゲットに対して相関脆弱性チェックを実施しましたがターゲットは脆弱性があるかどうか確認していません表 53: 不正侵入検知イベントのステータス ( 続き ) 160 IBM Internet Security Systems

161 攻撃ステータスの表示ステータス理由説明 Attack failure No vulnerability 脆弱性評価スキャンはホストがこの攻撃に対して脆弱でないと示しているため攻撃はおそらく失敗しました Failed attack Simulated block Rolled-back change Wrong OS Connection reset Process terminated File not accessed Port not open Blocked at host Dynamically blocked at host Blocked by Proventia appliance Attacker quarantined by Proventia appliance Proventia appliance in simulation mode Protection not enabled センサーはレジストリーキーまたは共有のような保護されたシステムオブジェクトに対する不正な変更を検出し以前の状況にオブジェクトを戻しましたホストはこの攻撃に対して影響を受けにくいオペレーティングシステムを実行していますエージェントまたはファイアウォールは攻撃者の接続をリセットしますターゲットプロセスまたはサービスは終了しました攻撃者はターゲットホストのファイルにアクセスすることができませんでしたターゲットポートはターゲットホストまたはファイアウォール上で開きませんでしたホストを保護しているセンサーまたはエージェントが攻撃をブロックしたため攻撃が失敗しましたホストを保護しているエージェントが動的に攻撃をブロックしたため攻撃が失敗しましたインラインプロテクションモードでホストを保護しているアプライアンスが攻撃をブロックしたため攻撃が失敗しましたホストを保護しているアプライアンスが攻撃を検疫したため攻撃が失敗しましたアプライアンスがシミュレーションモードだったためアプライアンスは攻撃をブロックしませんでしたアプライアンスはプロテクションモードの場合に攻撃をブロックしますプロテクションがアプライアンス上で有効でないためアプライアンスは攻撃をブロックしませんでした表 53: 不正侵入検知イベントのステータス ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

162 第 9 章 : 攻撃は脅威ですか? ステータス理由説明 Not Compliant Application access blocked ネットワークにアクセスしようとしているホストが準拠せずホストがアプリケーションへのアクセスをブロックされたとエージェントは判断しました Corporate access blocked Network access blocked ネットワークにアクセスしようとしているホストが準拠せずホストが企業ネットワークへのアクセスをブロックされたとエージェントは判断しましたネットワークにアクセスしようとしているホストが準拠せずホストがネットワークへのアクセスをブロックされたとエージェントは判断しました表 53: 不正侵入検知イベントのステータス ( 続き ) 手順エージェントまたはエージェントグループの攻撃ステータスを表示するには次の手順に従います 1. [Go to] リストから [Analysis] を選択します 2. [Status] 列を含む [Event Analysis] ビューを開きます 3. アセットのグループに対するイベントを表示し次の作業を行います検索対象成功しそうな攻撃成功する可能性のある攻撃失敗した攻撃および失敗しそうな攻撃相関を防止する問題 Status 列で検索するステータス Success likely (target vulnerable) Unknown impact (SecurityFusion not licensed) Failure possible (scanned, vuln not confirmed) Unknown impact (no correlation) Unknown impact (OS check indeterminate) Failed attack (blocked at host) Failed attack (blocked by Proventia appliance) Failure likely (no vulnerability) Failure likely (rolled-back change) Failure likely (wrong OS) Unknown impact (SecurityFusion not enabled) Unknown impact (not scanned recently) 162 IBM Internet Security Systems

163 セクション B: 手動による攻撃の評価概要 SecurityFusion Module が無効またはモジュールによって提供された影響分析データが確実でない場合ほかの分析ツールを使用して攻撃の脅威レベルを評価することができますこのセクションを参考にしてほかの SiteProtector システム分析ツールを使用し攻撃が脅威であるかどうかを判断することができますこのセクションの内容このセクションでは次のトピックについて説明しますトピックページ攻撃の X-Force 危険度の決定 164 攻撃対象は脆弱でしたか? 166 ターゲットサービスまたはオペレーティングシステムが影響を受けやすいですか? 169 SiteProtector System User Guide for Security Analysts Version 2.0, SP

164 第 9 章 : 攻撃は脅威ですか? 攻撃の X-Force 危険度の決定 X-Force 危険度によりイベントの詳細を分析せずに素早く攻撃の危険度を判断することができます X-Force 危険度を使用して攻撃が脅威かどうか判断することができますコンソールでの X-Force 危険度の表示方法 X-Force ではコンソールに表示される各イベントの危険度を提供しています危険度 (High Medium Low) が次のとおりアナリシスビューの [Severity] 列に表示されます図 8: コンソールでの X-Force 危険度の表示 X-Force 危険度 X-Force は危険度を割り当ててセキュリティー問題によって発生する可能性のある損害の程度について説明します考えられる危険度は次のとおりです危険度 High ( 高 ) Medium ( 中 ) 説明リモートやローカルの即時アクセスまたは不正な権限を使用したコードやコマンドの即時実行を許可するセキュリティー問題例としてほとんどのバッファオーバーフローバックドアデフォルトパスワードやパスワードなしファイアウォールやほかのネットワークコンポーネントでのセキュリティーの回避などが挙げられます複雑または冗長なエクスプロイトプロシージャによってアクセス権を付与したりコード実行を許可したりする可能性のあるセキュリティー問題または主要なインターネットコンポーネントに適用される低危険度の問題例としてクロスサイトスクリプティング man-in-the-middle 攻撃 SQL インジェクション主要アプリケーションのサービス不能サービス不能によるシステム情報の公開 ( コアファイルなど ) が挙げられます表 54: X-Force 危険度の説明 164 IBM Internet Security Systems

165 攻撃の X-Force 危険度の決定危険度 Low ( 低 ) 説明サービスを拒否したりターゲットに対する構造化された攻撃を構築するのに使われる可能性のあるシステム以外の情報を提供したりするが直接的には不正アクセスに結びつかないセキュリティー問題例としてブルートフォース攻撃システム以外の情報 ( 構成パスなど ) の公開サービス不能攻撃が挙げられます表 54: X-Force 危険度の説明 ( 続き ) SiteProtector System User Guide for Security Analysts Version 2.0, SP

166 第 9 章 : 攻撃は脅威ですか? 攻撃対象は脆弱でしたか? ターゲットホストが脆弱でない場合攻撃はおそらく脅威ではありませんこのトピックでの情報を参考にしてターゲットホストが脆弱かどうかを判断することができますターゲットが脆弱かどうかを判断するためのガイドライン次のガイドラインを使用して攻撃を受けたホストをスキャンします攻撃者が使用している特定のエクスプロイトがわかっていてこのエクスプロイトを実行することができる場合コンソールコンピューターからエクスプロイトを実行する攻撃者が使用している特定のエクスプロイトがわからない場合次のチェックが有効な Internet Scanner または Enterprise Scanner ポリシーを使用してホストをスキャンする Windows:DCOM LSASS ASN およびヌルセッション Unix: ルーターソフトウェアのデフォルトのコミュニティー文字列オープン NFS マウントおよび一般的なバッファオーバーフロー攻撃者が使用している特定のエクスプロイトがわかっている場合攻撃者が使用しているエクスプロイトに対応するチェック ( 複数可 ) のみと Internet Scanner または Enterprise Scanner ポリシーを使用してスキャンする Internet Scanner または Enterprise Scanner L5 ポリシーが適用されたターゲットホストの前回のスキャンデータを検索する攻撃対象に対する Internet Scanner を使用したスキャンの実行 Internet Scanner を使用して特定エクスプロイトの攻撃対象に対する脆弱性スキャンを実行するには次の手順に従います 1. [Go to] リストから [Asset] を選択します 2. アセットを右クリックしポップアップメニューから [Scan] を選択します [Remote Scan] ウィンドウが表示されます 3. [Internet Scanner] を選択します 4. 使用するスキャナーを [Agent Name] リストから選択します 5. 左ウィンドウ枠で [Scan Policy] アイコンを選択します 6. 攻撃者が使用しているエクスプロイトがわかっていますか? わかっている場合右ウィンドウ枠のリストから空白のポリシーを右クリックしポップアップメニューから [Derive from new] を選択して手順 7 に進みますわかっていない場合 [Policy] ボックスで使用する Internet Scanner ポリシーを選択し手順 9 に進みます 7. [Derive New] ウィンドウに新しいポリシーの名前を入力します選択したポリシーがポリシーエディターで開きます 8. エクスプロイトに対応するチェック ( 複数可 ) を選択しポリシーを保存します 9. 左ウィンドウ枠で [Scan Session] アイコンを選択してからこのスキャンで使用するセッションを右ウィンドウ枠のリストから選択します 10. [OK] をクリックします 11. スキャンが完了したら [Asset] ビューでホストを右クリックしメニューから [What are the known vulnerabilities] を選択しますホストで検出された脆弱性が [Vuln Analysis - Vuln Name] ビューに表示されます 166 IBM Internet Security Systems

167 攻撃対象は脆弱でしたか? Enterprise Scanner を使用したアドホックアセスメントスキャンの実行 Enterprise Scanner を使用してアセットのグループ全体または 1 つ以上の選択したアセットのアドホックアセスメントスキャンを実行するには 1. [Go to] リストから [Asset] を選択します 2. 次のいずれかを行います左ウィンドウ枠でグループを選択します右ウィンドウ枠でアセットを 1 つ以上選択します 3. スキャンするグループまたはアセットを右クリックして [Scan] を選択します [Remote Scan] ウィンドウが表示されます 4. [Enterprise Scanner] を選択します 5. [Adhoc Scan Control] アイコンをクリックします 6. [Ad hoc Assessment] セクションで [Perform one-time assessment scan of this group] チェックボックスをオンにします 7. [Command Jobs] ウィンドウに表示された場合にジョブを識別するための名前を [Job name] に入力します 8. スケジューリング済みのスキャン期間に限ってスキャンを実行する場合は [Run only during open discovery windows] チェックボックスをオンにします 9. 左ウィンドウ枠で [Assessment] をクリックします 10. バックグラウンドアセスメントポリシーの設定と同じ方法でポリシーを設定します 11. [OK] をクリックしますアドホックアセスメントスキャンが [Command Jobs] ウィンドウに表示されます Enterprise Scanner を使用してアドホックディスカバリースキャンを実行ネットワーク上で実行しているデバイスを検出するために IP アドレス範囲を使用する Enterprise Scanner からワンタイムアドホックディスカバリースキャンを実行するには : 1. SiteProtector のナビゲーションウィンドウ枠でポリシービュー以外のビューでタブを設定します 2. サイトを展開してスキャン対象グループを表示します 3. スキャンするグループを右クリックして [Scan] を選択します [Remote Scan] ウィンドウが表示されます 4. [Enterprise Scanner] を選択します 5. [Ad hoc Assessment] セクションで [Perform one-time assessment scan of this group] チェックボックスをオンにします 6. [Command Jobs] ウィンドウに表示された場合にジョブを識別するための名前を [Job name] に入力します 7. スケジューリング済みのスキャン期間に限ってスキャンを実行する場合は [Run only during open discovery windows] チェックボックスをオンにします 8. 左ウィンドウ枠で [Discovery] をクリックします 9. [IP range(s) to scan] ボックスにスキャン対象の IP アドレス範囲 ( 単数または複数 ) を入力します 10. 除外するアセットの IP アドレス ( ドット付き 10 進法または CIDR 表記 ) を [IP range(s) to scan] ボックスに入力します IP アドレスを入力し [ENTER] キーを押します IP アドレス範囲を入力し [ENTER] キーを押します例 : SiteProtector System User Guide for Security Analysts Version 2.0, SP

168 第 9 章 : 攻撃は脅威ですか? 一連の個別 IP アドレスおよび / またはカンマ区切りのアドレス範囲を入力します注記 : データが検証されるまでの間 [IP range(s) to scan] ボックスのあたりに赤いボックスが表示されます 11. スキャンの定義を行ったグループに新しく検出されたアセットを追加するには (Ungrouped Assets グループに追加するのではなく ) [Add newly discovered assets to group] チェックボックスをオンにします 12. [OK] をクリックしますアドホックアセスメントスキャンが [Command Jobs] ウィンドウに表示されます 168 IBM Internet Security Systems

169 ターゲットサービスまたはオペレーティングシステムが影響を受けやすいですか? ターゲットサービスまたはオペレーティングシステムが影響を受けやすいですか? 不正アクティビティーが悪意のあるものであっても悪用しようとしている対象オペレーティングシステムは影響を受けにくい可能性がありますアセットが影響を受けやすいかどうかを判断することができるようにこのトピックの情報を使用してエクスプロイトと対象アセットに関するセキュリティー情報を表示することができますタスクの概要このトピックでは次のタスクについて説明しますタスク説明 1 イベントに関するセキュリティー情報へアクセスする 2 ターゲットホスト上で実行しているオペレーティングシステムを判断する 3 攻撃の対象であるサービスを判断する表 55: タスクの概要サービスやオペレーティングシステムに関する情報脆弱性データの完全性によりターゲットに関する情報がどのくらい正確で詳細かを判断することができますたとえばホストまたはオペレーティングシステムバージョン上で実行しているサービスに関する詳細情報はこの情報をチェックするポリシーを使用してターゲットがスキャンされた場合使用できない可能性があります注記 : ターゲットホストが最近スキャンされていない場合ターゲットに対してアドホックスキャンを実行するよう検討してください攻撃対象は脆弱でしたか? (166 ページ ) を参照してくださいオペレーティングシステムの影響の受けやすさ図 9 は Sun RPC rwall メッセージオーバーフローのセキュリティー情報を示しています Unix が [Systems affected] の下にリストアップされている唯一のオペレーティングシステムであることに注意してください Windows のホストはこのエクスプロイトによって攻撃を受ける可能性はありません SiteProtector System User Guide for Security Analysts Version 2.0, SP

170 第 9 章 : 攻撃は脅威ですか? 図 9: Unix オペレーティングシステムのみに影響を与えるエクスプロイトの例サービスの影響の受けやすさ図 10 は PeopleSoft Iclient サーブレットのセキュリティー情報を示しています PeopleSoft がこのエクスプロイトによって影響を受ける唯一のサービスであることに注意してください 170 IBM Internet Security Systems

171 ターゲットサービスまたはオペレーティングシステムが影響を受けやすいですか? 図 10: PeopleSoft サービスのみに影響を与えるエクスプロイトの例イベントに関するセキュリティー情報へのアクセスイベントに関するセキュリティー情報へアクセスするには次の手順に従います [Event Analysis] ビューでイベントを右クリックしポップアップメニューから [Open Event Details] を選択します選択したイベントのセキュリティー情報が右ウィンドウ枠に表示されます対象アセットのオペレーティングシステムの判断攻撃の対象であるアセットのオペレーティングシステムを判断するには次の手順に従います 1. [Go to] リストから [Analysis] を選択します 2. [Event Analysis - Event Name] ビューを選択し問い合わせるイベントを右クリックしてから [What are the targets of this event?] を選択します攻撃の対象である 1 つ以上の IP アドレスをリストアップした [Event Analysis - Target] ビューが表示されます SiteProtector System User Guide for Security Analysts Version 2.0, SP

すべて見る

IBM Internet Security Systems NTFS ファイルシステム必須一覧の以後にリリースされた Service Pack (Release 2 等は除く ) は特に記載の無い限りサポートいたしますメモリ最小要件 512MB 推奨要件 1GB 最小要件 9GB 推奨要件

IBM Internet Security Systems NTFS ファイルシステム必須一覧の以後にリリースされた Service Pack (Release 2 等は除く ) は特に記載の無い限りサポートいたしますメモリ最小要件 512MB 推奨要件 1GB 最小要件 9GB 推奨要件 SiteProtector 2.0 Service Pack 9.0 システム要件 2012 年 2 月 13 日 SiteProtector 2.0 Service Pack 9.0 システム要件... 1 Service Pack 9.0 - SiteProtector システム要件... 1 Service Pack 9.0 仮想環境... 1 Deployment Manager のインストール要件...