インシデント解析のためのログ収集システム【SIEM/Cybereason】
古典的なマルウェア感染等のインシデントの検知/解析は、エンドポイントや中継器といったそれぞれのノード単一での情報に基づいて行ってきました。しかし、DDoSや情報窃取などのマルウェアの振る舞いは、ネットワークを通じて複数のノードにまたがって行われますので、監視したいネットワークにおけるあらゆるノードのログを収集して、総合的に分析(相関分析)する方が好ましいです。これを実現する製品、サービスについて学んだので、後学のためにメモしておこうと思います。
ログ収集に基づく異常検知システムの目的
導入の目的は主に以下の2点です。
- セキュリティインシデントの予兆を収集し、予防に役立てる
- ログ解析によりインシデント発生後の調査・対応に役立てる
これらを実現するためには、ログ収集し分析する製品が必要となります。
実際の製品/サービス
ログの収集を行い、分析に応用することができる実際の製品/サービスを紹介していこうと思います。ここで紹介するのはあくまで分析用のものであり、マルウェアを駆除する機能は別途確保する必要があります。
Cybereason
各エンドポイントのログデータを収集し、AIを用いた分析を行うことで、サイバー攻撃に加担するプロセスの兆候・現状などをリアルタイムで検出するサービスです。また、ログ収集のために各エンドポイントにはCybereasonセンサを導入する必要があります。
Cybereasonで可視化される情報を具体的に挙げると、マルウェアと疑われるプロセスのファイルのハッシュ値、ファイルへの署名の有無、プロセスの通信ログ、通信先及びファイルの信頼性評価(Reputation)等があります。
Cybereasonソリューションはクラウドベースで展開されており、ログやファイルの評価情報・分析結果などの詳細はブラウザを通してGUIベースで確認できます。
SIEMと違った利点として特に挙げられるのは、プロセスに焦点を置いた振る舞いの詳細を見ることができる点です。欠点としては、エンドポイントのログしか収集できないことが挙げられます。
▼参考リンク
SIEM
SIEMはSecurity Information and Event Managementの略称です。
SIEM自体は特定のサービスやソフトウェアを指す用語では無く、サーバ、ネットワーク機器、セキュリティ機器、アプリケーション等から得られるログを収集し、異常があった際に管理者に通知する仕組み、機能を指します。実際にSIEMを実装している製品としてはMcAfee SIEMがあり、以後これについて解説します。
様々な製品のログから必要な情報を、統一フォーマットで抜き出して可視化します。主要なネットワーク製品のログ用パーサーはベンダが用意してくれていますが、マイナーな製品のログは運用側でパーサーを作成してログの切り分けを自前で行う必要があります。また、MaCafee SIEMの場合、ソフトウェアとハードウェア一式での提供となっていました。インシデントはその重要度ごとにランク付けされ、必要に応じて管理者にアラートを流すことができます。アラートを出すルールを管理者が設定することも出来る。
利点はネットワークのエンドポイントだけでなく中継ノードからも情報を収集できることです。これによって、インシデントの及ぼしている影響をネットワークの全体像を踏まえて観測できます。具体的にいうと、FW、IDS/IPS、Webプロキシなどの情報も相関的な分析に含めることができるので、攻撃者の偵察から攻撃までのプロセスを可視化できます。例で言うと、FWで空いていないポート群へのアクセス(ポートスキャン)を検知した後に、同様の送信元IPアドレスからIDSでディレクトリトラバーサルを検知していれば、それぞれの通信の関連性が見えてきます。
▼参考リンク
※補足:単一ノードのログ可視化サービス
CybereasonやSIEMなどは複数ノードのログを総合的に可視化しましたが、単一ノードのログ可視化サービスもあり、Mackerelなどが挙げられます。CPUやメモリの使用率などを時系列で可視化しパラメータが閾値を越えたら通知するアラート機能もあります。
ログ収集システムの併用について
ここで紹介したSIEMとCybereasonのようなものは互いの欠点に補うように併用することもできます。
SIEMで怪しい通信の全体像を把握した後、対象ノード上の詳細なプロセスの振る舞いをCybereasonで観測するといった使い分けができます。
これらのログ収集システムが動的に連携を取る仕組みについては現在のところ把握していませんが、そのうち登場するかもしれません。
ログ収集の課題
ログ収集システムは、各所で得られたログを一元化することでその恩恵を得ます。そのため、あまりにもログの量が膨大だと、一元化する先のマシンの性能次第では処理が追い付かなくなってしまいます。そのため、運用者側でのログの取捨選択などが必要となってきます。このジレンマにより、企業によっては、取りたくても取れないログが出てきているようです。
ログの外部吐き出しの恩恵
クラッカーは潜入したエンドポイントの情報改ざんを行った場合、 その痕跡を消すべくログの改ざんも試みる場合があります。しかし、適切なタイミングでログを外部へ吐きだしていれば、エンドポイントの改ざん後のログと外部へ吐きだされた正規のログを見合わせることで、改ざんの痕跡発見につながることもあります。