プレゼンテーション

Similar documents

Logstorage for VISUACT 標的型サイバー攻撃対策レポートテンプレート

Microsoft PowerPoint - ã…Šã…¬ã…ﬁã…¥ã…¼ç›‹_MVISONCloudè£½åﬁ†ç´¹ä»‰.pptx

WannaCry とは WannaCry はランサムウェアの一種 WannaCry はランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします一般的にランサムウェアに感染すると以下のようなデータを使用できないように暗

Trend Micro Cloud App Security ご紹介資料

やよいの顧客管理

弥生給与/やよいの給与計算

弥生シリーズ

弥生会計プロフェッショナル/スタンダード/やよいの青色申告

弥生会計/やよいの青色申告

弥生会計ネットワーク/プロフェッショナル2ユーザー

PowerPoint プレゼンテーション

_mokuji_2nd.indd

マイナンバー対策マニュアル（技術的安全管理措置）

PowerPoint プレゼンテーション

ハピタスのコピー.pages

Copyright 2008 All Rights Reserved 2

相続支払い対策ポイント

150423HC相続資産圧縮対策のポイント

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウン

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

needlework_update_manual_rev1.4

McAfee Application Control ご紹介

ACTIVEプロジェクトの取り組み

0. 目次 Ahkun EX Antimalware ソフト使用マニュアルデスクトップ上での操作方法 1. インストールについて P.3 2. 操作画面の起動方法 P.6 3. アップデートの手動実行 P.7 4. リアルタイム監視の操作 P.9 5. プログラム情報の表示方法 P ソフ

incidentcase_0507

CloudEdgeあんしんプラス月次レポート解説書（1_0版） _docx

KDDI ビジネスメール一般ユーザ用カスタマーコントロール操作ガイド Ver.2.04 Copyright , KDDI Corporation All rights reserved 1

Corp ENT 3C PPT Template Title

PowerPoint プレゼンテーション

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

弊社アウトソーシング事業

エンドポイントにおける Web アクセス制御概要ガイド

PPTテンプレート集 ver.1.0

Microsoft PowerPoint - 入門編：IPSとIDS、FW、AVの違い(v1.1).ppt

初心者にもできるアメブロカスタマイズ新2016.pages

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスしログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロードボ

- 2 Copyright (C) All Rights Reserved.

UCSセキュリティ資料_Ver3.5

エンドポイントにおける Web コントロール概要ガイド

Copyright 2017 JAPAN POST BANK CO., LTD. All Rights Reserved. 1

Copyright 2008 NIFTY Corporation All rights reserved. 2

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

EVA監査レポート

PowerPoint プレゼンテーション

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P P.11 P.14 P.15 P.16 P.16 P.17 P.19 P.20 P.22 P P P P P P P P P

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P.10 P.12 P.13 P.14 P.14 P.15 P.17 P.18 P.20 P P P P P.25 P.27 P.28 Copyright 2016 JAPAN POST BA

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

PowerPoint Presentation

なぜIDSIPSは必要なのか？(v1.1）.ppt

Copyright All Rights Reserved. -2 -!

Fuji Xerox Co., Ltd. All rights reserved.

Technical Report 年 8 月 31 日株式会社セキュアソフト注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが日本国内で多数配

目次実習 1 ネットワーク接続状況の確認... 2 実習 2 不審プロセスの確認... 5

IPA:セキュアなインターネットサーバー構築に関する調査

Microsoft Word - 最終版　バックせどりismマニュアル .docx

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスしログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

マルウェアレポート 2017年12月度版

Mozilla Thunderbird アカウント設定手順株式会社アマダアイリンクサービス

不正送金対策フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアムのご案内広島県信用組合ではインターネットバンキングを安心してご利用いただくため不正送金フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアムを導入しました無料でご利用

目次 1. はじめに動作環境ログインログインページへのアクセスログイン ID とパスワードの入力ワンタイムパスワードの発行ワンタイムパスワードによるログインマスタ設定

モバイル統合アプリケーション障害切り分け手順書

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます注意 OpenVPN 接続は仮想 IP を使用しますローカル環境にて IP 設定が被らない事をご確認下さい万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Microsoft PowerPoint - Logstorageé•£æ’ºã…‚ã……ã‡¯_for_SKYSEA_Client_View_ pptx

DocuWorks Mobile 障害切り分け手順書

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P P.11 P.13 P.15 P.16 P.17 P.17 P.18 P.20 P.21 P.23 P P P P P P P P.31

項目 1. 画面デザイン変更画面デザイン変更 ( ホーム ) 画面デザイン変更 ( ファイル一覧 ) 画面デザイン変更 ( 管理画面 )[ 管理者機能 ] 画面デザイン変更 ( ユーザー管理 )[ 管理者機能 ] 2. クライアントアクセス制限クライアントアクセス制限 [ 管理者機能 ] 3.

PowerPoint Presentation

<4D F736F F D2095DB8AC78AC7979D A E646F63>

NOSiDEパンフレット

CIAJ の概要 2017 年度 CIAJ の概要情報通信技術 (ICT) 活用の一層の促進により情報通信ネットワークに係る産業の健全な発展をはかるとともに情報利用の拡大高度化に寄与することによって社会的経済的文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

Solibri Model Checker 9.5 スタードガイド

エンドポイントにおける Web コントロール概要ガイド

アルファメールプラチナのについてご案内しますこの度はアルファメールプラチナをお申し込みいただきまして誠にありがとうございます本冊子はアルファメールプラチナをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されておりますお客様のご利用環境によってはご紹介した画面や操作とは異なる場合が

KSforWindowsServerのご紹介

QMR 会社支給・貸与PC利用管理規程180501

i.lon600 をリピータとして使うことができます元になるネットワークはの 1 本の線で構成を分割しリピータ設定済み ilon600 を挿入利点 LonWorksデバイスのサブネットデバイスアドレスはそのままで良い IP 媒体により遠隔接続が可能セルフインストールなネットワークでもOK

MC3000一般ユーザ利用手順書

感染条件感染経路タイプウイルス概要前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

出力ログ管理ソリューションカタログ

MWATCHAndroidロガーマニュアル

< E345F D834F88EA FD88B9295DB A5F F E786C7378>

第5回　マインクラフト・プログラミング入門

共通フィルタの条件を設定する迷惑メール検知 (SpamAssassin) の設定迷惑メール検知 (SpamAssassin) とは.

ネットワーク管理規程 1 趣旨対象者対象システム遵守事項設置基準導入時の遵守事項共通の遵守事項インターネット接続環境における導入時遵守事項社

Microsoft PowerPoint - SDK_info [äº™æ‘łã…¢ã…¼ã…›]

ALogシリーズ監査レポート集

ガイドブック A4.indd

- 2 Copyright (C) All Rights Reserved.

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

PowerPoint プレゼンテーション

Transcription:

統合ログ管理ソリューションでマルウェアを発見し情報漏洩を防ぐためには? McAfee SIEM と CAPLogger SFChecker

マルウェアの発見概要従来型アンチマルウェアによる発見新型アンチマルウェアによる発見振る舞い検知レピュテーションサンドボックス SIEM による不審動作発見マルウェア感染が疑われる PC の特定発見後の課題 Copyright 2014 dit Co., Ltd. All rights reserved. 2

発見後の対応概要マルウェアファイルの特定感染経路の特定影響範囲の調査マルウェアにより作成されたファイルの洗い出しマルウェアによる情報流出有無の確認マルウェア関連ファイルの他 PCへの拡散状況調査関連するファイルの除去マルウェア本体関連ファイル Copyright 2014 dit Co., Ltd. All rights reserved. 3

従来型アンチマルウェアによる対応クライアント型クライアント常駐 SaaS 連携ゲートウェイ型 Web プロキシメールゲートウェイ広義のアンチマルウェアアンチスパム URL フィルタ IPS 既知の脅威に対応 Copyright 2014 dit Co., Ltd. All rights reserved. 4

新型アンチマルウェアによる発見発見手法実施内容課題振る舞い検知レピュテーションサンドボックスファイル内容の解析ファイルの挙動を世界的な傾向から判断仮想環境内で実行し不審動作検知過剰検知と見逃しのバランス登場直後のマルウェアへの対応は難しい解析に時間がかかるためリアルタイムブロック不可 Copyright 2014 dit Co., Ltd. All rights reserved. 5

SIEM による発見上記アプローチはファイル内容の検査 SIEM ではネットワーク機器のログに現れるマルウェアの兆候を検知ファイアウォール Web プロキシスイッチルータの sflow/netflow データ IDS/IPS 主に以下の手法正常外抽出しきい値超過検知 Copyright 2014 dit Co., Ltd. All rights reserved. 6

正常外抽出の例社外サーバへの接続一般的な構成ではクライアントからの直接インターネット接続はブロックされる社内感染拡大存在しないプライベート IP アドレスへの接続の試み異常動作を定義リアルタイム検知 Copyright 2014 dit Co., Ltd. All rights reserved. 7

しきい値超過検知の例 Web 経由アップロード量の増大 Proxy DB から大量のデータ取得 DB PC 間での大量データ送受信 PC 平常時よりも大きなデータ量の通信をリアルタイム検知 Copyright 2014 dit Co., Ltd. All rights reserved. 8

SIEMによる解析の前提ログ取得がすべての基本 McAfee SIEM Webサーバ DBサーバルータスイッチファイルサーバ Webプロキシ認証サーバファイアウォール十分なログがあれば不審動作発見後のPC特定まで可能 Copyright 2014 dit Co., Ltd. All rights reserved. 9

不十分なログ取得ログを取っていない保存期間が短いログは取られているが要素不足ファイアウォールドロップログしか取得してない送受信バイト数が記録されていない入出力インターフェイスが記録されていない Web プロキシアップロードバイト数が記録されていないアクセス先サイトの IP アドレスが記録されていない不十分なログ取得は解析の効率低下や調査可能範囲が狭くなる原因に Copyright 2014 dit Co., Ltd. All rights reserved. 10

ログ解析の目的は? 安心安全なシステムの実現マルウェア発見はゴールではない安心安全のためには除去だけではなくマルウェア活動の調査が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 11

マルウェア活動の調査確認事項不審動作の発生源特定過去動作の有無感染経路 PC 内の拡散状況他 PC への感染有無情報流出の有無マルウェアの除去対応にはクライアント PC 上の詳細ログ取得と指定ファイル検索削除機能が必要 CAPLogger SFChecker により対応可能 Copyright 2014 dit Co., Ltd. All rights reserved. 12

実際の事例 Copyright 2014 dit Co., Ltd. All rights reserved. 13

確認事項ごと調査方針確認事項調査方針必要なログ機能マルウェアファイルはどれか通信発生元プログラムの確認特定したプログラムの動過去動作の有無作履歴確認どこから感染したのかプログラムファイルの受マルウェアが作成したファイルはないのか他 PC の感染はないのか信方法確認マルウェアが作成したファイル等の確認特定したマルウェア関連ファイルの検索情報流出はあったのかマルウェアが読み書きしたファイル等の確認通信内容とプログラムの対応ログプログラム動作ログファイル入出力ログファイル入出力ログ組織内全 PC 対象のファイル検索機能ファイル入出力通信内容とプログラムの対応ログマルウェア関連ファイルマルウェア関連ファイル指定ファイルの削除機能はすべて削除されたのかの削除 Copyright 2014 dit Co., Ltd. All rights reserved. 14

マルウェアファイルはどれか通信元先の IP アドレスとポート番号は判明済 PC 上のどのプログラムが通信を行ったのか? iexplore.exe malware.exe 通信内容とプログラムの対応を確認できるログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 15

感染 DL 拡散収集送信消去過去動作の有無初期感染マルウェア本体をダウンロードネットワーク内での拡散機密データ収集蓄積蓄積したデータを攻撃者に送信蓄積データ及び自分自身を消去発見時点でどの段階だったのか? PC 上のプログラム動作詳細履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 16

どこから感染したのかメール添付不正 Web 閲覧 USB メモリ PC 上のファイル入出力履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 17

マルウェアが作成したファイルはないのかマルウェア用収集した機密情報ダウンローダーデータファイルマルウェア本体活動時の消去済作業用ファイルファイル PC 上のファイル入出力履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 18

他 PC の感染はないのかマルウェア発見マルウェア本体作業用ファイル等々の有無を確認社内 PC に対する指定ファイル検索機能が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 19

情報流出はあったのかマルウェアから外部への通信は成功したのかマルウェアはどのファイルへアクセスしていたのか通信内容とプログラムの対応を確認できるログが必要 PC上のファイル入出力履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 20

マルウェア関連ファイルはすべて削除されたのかマルウェア本体作業用ファイルマルウェア本体と作業用ファイルマルウェア本体社内 PC に対する指定ファイルの削除機能が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 21

具体的には機能通信内容とプログラムの対応ログプログラム動作ログファイル入出力ログ組織内全 PC 対象のファイル検索機能指定ファイルの削除機能対応製品 CAPLogger SFChecker Copyright 2014 dit Co., Ltd. All rights reserved. 22

CAPLogger (Communication And Process Logger) malware.exe malware.exe がファイルの読み込みと通信実施したことを確認 2014/11/12 10:00 iexplore.exe が malware.exe を保存 2014/11/12 11:00 malware.exe が起動 2014/11/12 12:00 malware.exe が file.txt を読み込み 2014/11/12 13:00 malware.exe が Web サーバ宛に通信実施 Copyright 2014 dit Co., Ltd. All rights reserved. 23

SFChecker(Suspicious File Checker) 指定ファイルの検索と処理 ( 削除隔離 ) 設定取得結果レポートの送付検索対象ファイルと処理方法の設定管理者ファイルサーバ結果レポートの閲覧 Copyright 2014 dit Co., Ltd. All rights reserved. 24

内部犯罪の可能性正常外動作や大量の通信の原因がマルウェアではなかった場合 IE発の大量通信意図的な操作? iexplore.exe ユーザ操作履歴の確認が必要プログラム動作ログからはユーザ操作履歴はわからない Copyright 2014 dit Co., Ltd. All rights reserved. 25

LAT(Log Audit Tracker) Microsoft SCCM/SCOMと連携しユーザ操作履歴を記録 Copyright 2014 dit Co., Ltd. All rights reserved. 26

まとめ SIEM の活用には十分なログが取得されていることが前提 SIEM による範囲は不審動作の発見まで発見はゴールではない発見後の調査には原因がマルウェアによるものでもユーザによる意図的なものであっても PC 上のイベント記録製品が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 27