SplunkのセキュリティApp InfoSecを徹底的に解説(その2)
Splunkの無料相関分析AppのInfoSecのダッシュボード解説シリーズ第2回目の記事です
2024.09.04本シリーズは全3篇でお送りしています。
セキュリティの相関分析App InfoSec のダッシュボードについて解説しています。
- Security Posture(セキュリティ全体概要)、Continuous Monitoringの各種ダッシュボード
- Advanced Threats、Investigation(調査)の各種ダッシュボード(本記事)
- Compiance、Excutive View、アラートの各種ダッシュボード
ダッシュボードの説明については、おおよそ以下のような構成で記載しています。
[ダッシュボードの名前]
[ダッシュボード全体の説明]
[ダッシュボードが対象としているログソース]
- [ログソースの分類と具体的なデバイスやシステムの例]
[ダッシュボードパネルのスクリーンショット]
- [スクリーンショット番号のパネルに使われているクエリの説明]
- [分析用途、分析観点]
- [スクリーンショット番号のパネルに使われているクエリの説明]
- [分析用途、分析観点]
- [スクリーンショット番号のパネルに使われているクエリの説明]
- [分析用途、分析観点]
では早速ダッシュボードパネルを紹介していこうと思います。
Advanced Threats
Access Anomalies(アクセス異常)
ユーザーの認証やアクションタイプなどの異常値に焦点を当てて分析する
(対象とするログソース)
- 認証系のログ(Windows Event, AWS CloudTrail, Linux セキュアログ, MS AD 監査ログ, Microsoft 365監査ログ, Oracle DB監査ログ, Paloalto製品システムログなど)
- 最新の1日間の認証活動が過去のデータと比較して統計的に異常(2標準偏差以上の逸脱)であり、かつ少なくとも7つのデータサンプルがある場合、そのユーザーの活動を異常値として検出
- 通常よりも多くの異なる宛先へのログイン試行をしているユーザーを特定
- 特に通常よりも多くの異なる宛先に接続しているユーザーを特定
- 通常のパターンから大きく逸脱した認証活動を示すユーザーを特定する
- 潜在的なセキュリティ侵害や異常な行動を検出する
- 急激に多くの異なる宛先に接続しているユーザーを見つける。
- 成功したログインがあり、かつ多数の失敗(20回以上)があるユニークな送信元の数
- ブルートフォース攻撃の対象となっているユーザーアカウント
- パスワードの推測攻撃を受けているアカウント
- 共有アカウントや不適切に使用されているアカウント
- パスワードを忘れたユーザーによる多数の失敗した認証試行
- 成功したログインがあり、かつ多数の失敗(20回以上)があるユニークな送信元のリスト
- ブルートフォース攻撃や認証情報の推測攻撃などの潜在的なセキュリティ脅威を特定する
- 多数の失敗した認証試行の後に成功した認証がある疑わしいIPアドレスを見つける
- 潜在的な攻撃者が正しい認証情報を取得した可能性がある状況を特定する
- 成功したログインがあり、かつ多数の失敗(20回以上)があるユニークなユーザーアカウントの数
- ブルートフォース攻撃の対象となっているユーザーアカウント
- パスワードの推測攻撃を受けているアカウント
- 共有アカウントや不適切に使用されているアカウント
- パスワードを忘れたユーザーによる多数の失敗した認証試行
- 成功したログインがあり、かつ多数の失敗(20回以上)があるユニークなユーザーアカウントのリスト
- アカウント侵害の可能性
- 不適切なパスワード管理
- 共有アカウントの不適切な使用
- ユーザーのセキュリティ意識向上の必要性
- 10回以上の認証試行があり、かつその80%以上が失敗している、ユニークなユーザーアカウントの数
- ブルートフォース攻撃の対象となっている可能性が高いユーザーアカウント
- パスワードの推測攻撃を受けている可能性が高いアカウント
- 不正アクセスの試みがある可能性が高いアカウント
- パスワードを忘れたユーザーによる多数の失敗した認証試行
- 10回以上の認証試行があり、かつその80%以上が失敗しているユーザーアカウントのリスト(各アカウントの成功回数、失敗回数、失敗率)
- リストは、失敗率と失敗回数の多い順にソートされるため、最も注意を要するユーザーアカウントが上位に表示される
- アカウント侵害の可能性
- 進行中の攻撃
- ユーザーのセキュリティ意識向上の必要性
- パスワードポリシーの見直しの必要性
- 各ソースIPアドレスから認証に成功したユニークなユーザー数とそのユーザーリスト
- ユニークユーザー数の多い順にソートされるため、最も注意を要するIPアドレスが上位に表示される
- 複数のユーザーアカウントで認証に成功しているソースIPアドレスを特定する
- 潜在的な共有アカウントや不適切なアカウント使用を検出する
- 異常な認証パターンを持つIPアドレスを見つける
- 各ソースIPアドレスから認証に失敗したユニークなユーザー数とそのユーザーリスト
- リストは、ユニークユーザー数の多い順にソートされるため、最も注意を要するIPアドレスが上位に表示される
- ブルートフォース攻撃の試み
- パスワード推測攻撃
- 自動化されたスクリプトやボットによる不正なログイン試行
- 複数のユーザーアカウントを標的とした攻撃
- 過去30日分のデータの中で、特権認証を行った時間から24時間以内で初めての認証だったユーザーの数を計算
- 新しく特権アクセスを獲得したユーザーを特定する
- 潜在的な権限昇格や不正なアクセス権限の付与を検出する
- 特権アカウントの使用パターンの変化を監視する
- 最新の24時間で特権認証を行ったユーザーの数を計算
- 特権認証を行ったユニークなユーザーの数を把握
- 過去30日分のデータの中で、特権認証を行った時間から24時間以内で初めての認証だったユーザーをリスト
- 新しく特権アクセスを獲得したユーザーを特定する
- 新規特権ユーザーがアクセスした宛先(システムやリソース)を特定
- 突然の特権アクセスの付与や不正な特権昇格を検出
- 最も頻繁に特権アクセスを使用しているユーザー
- 特権アクセスを最も頻繁に使用しているユーザーを特定
- 通常とは異なる特権アクセスパターンを持つユーザーを識別する
- 特権アクセスの使用状況を監視し、潜在的な乱用や不正使用を検出
- スパークラインを使用して、各ユーザーの特権アクセス使用の短期的なトレンドを視覚化
- Windowsアカウントの最も短い存続期間(アカウント作成から削除までの時間)の順にソート
- 短期間(3時間未満)で作成され削除されたアカウントを特定
- セキュリティインシデント発生時に、関連する短命アカウントの活動を迅速に特定
- ユーザーの連続するログインの送信元IPアドレスの地理的位置を比較して、移動不可な場所からのログインイベントを検出
- 物理的に不可能な速度で異なる地理的位置からログインしているユーザーを特定
- 移動不可な場所からのログインイベントを地図にマッピング
- ユーザーの異常なログイン位置を地図上に視覚化
Network Anomalies
異常値に焦点を当ててネットワークトラフィックを分析する
(対象とするログソース)
- Firewallなどネットワーク機器からのログ(Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など)
- ネットワークトラフィックデータから1日単位の送信元IPアドレスごとの宛先IPの個数を調べ標準偏差を使って異常値を検出
- 通常とは異なる振る舞いをしている送信元IPアドレスを特定
- マルウェア感染したデバイスは通常と異なる通信パターンを示すことがあるため、異常値に注目することでその可能性を検出
- 特定のIPアドレスから異常に多くの通信が発生している場合、DDoS攻撃の可能性を検出
- 同上の分析を、送信元IPアドレス、最新のカウント、平均値、上限値をリスト表示
- 通常とは異なる振る舞いをしている送信元IPアドレスを特定
- 各異常値について、実際の値(count)、平均値(avg)、許容上限(upper_bound)を提供し、異常の程度を定量化
- 送信元ごとに100を超えるユニークな宛先ポートまたは100を超えるユニークな宛先IPにアクセスした送信元IPアドレスをカウント
- 多数の異なるポートにアクセスしている送信元IPを特定することで、ポートスキャン活動を検出
- 多数の異なる宛先IPにアクセスしている送信元IPを特定することで、ネットワークスキャン活動を検出
- マルウェアやハッキング活動のような、一つのホストが短時間で多数の異なるポートや宛先にアクセスする行動を検出
- 同上の分析を、宛先IPアドレス数の降順でソートしリスト表示
- 多数の異なるポートにアクセスしている送信元IPを特定することで、ポートスキャン活動を検出
- 多数の異なる宛先IPアドレスにアクセスしている送信元IPアドレスを特定することで、ネットワークスキャン活動を検出
- マルウェアやハッキング活動のような、一つのホストが短時間で多数の異なるポートや宛先にアクセスする行動を検出
- 宛先IPアドレス数で降順にソートすることで、最も広範囲にスキャンを行っている可能性のある送信元を優先的に確認
- 送信元と宛先のペアごとにイベント数、平均時間差、時間差の分散を計算し、平均時間差が50秒未満で、イベント数が500を超えるペアのみを抽出し、条件を満たすユニークな送信元数
- 短い間隔(平均50秒未満)で頻繁に(500回以上)通信を行っている送信元と宛先のペアを特定
- 通常のネットワークトラフィックとは異なる、高頻度で持続的な通信を検出
- 同上の分析を、平均時間差(avg_gap)の昇順でソートしリスト表示
- 短い間隔(平均50秒未満)で頻繁に(500回以上)通信を行っている送信元と宛先のペアを特定
- 通常のネットワークトラフィックとは異なる、高頻度で持続的な通信を検出
- 平均時間差でソートすることで、最も頻繁に通信を行っているペアを優先的に調査
- 特定のポート(445と139)に対するネットワークトラフィックを分析し、それらのポートに接続している送信元IPアドレスとその接続先の数を特定し、宛先IPアドレス数の降順でソートしリスト表示
- ポート445(SMB over TCP)とポート139(NetBIOS Session Service)は主にWindowsファイル共有やプリンタ共有の活動を監視
- WannaCryやランサムウェアの拡散、不正アクセスの試みなどにも使用される可能性があるため、異常でないかを監視
- 攻撃者がネットワーク内の共有リソースを探索しようとしている可能性
- DNS(ポート53)トラフィックに対して、異常に大量のデータを送信しているホストを特定し、そのホスト情報をリスト表示
- 通常よりも大量のDNSトラフィックを生成しているホストを特定
- DNSトンネリングなどの手法を使用したデータ漏洩の試みを検出
Email (SMTP/SEG) / Custom Use Case
- 既知の乱用ドメインのリストと照合し、ブランド乱用(brand abuse)の可能性がある電子メールを検出しイベント情報をリスト表示
- 既知の乱用ドメインからのメールを特定し、ブランドの不正利用や詐欺的な活動を検出
- 特定のドメインから送信される大量のメールを特定し、スパムキャンペーンを追跡
Investigation(調査)
User Investigation
上部のフィルタにユーザーアカウントを特定して分析、調査を行う
(対象とするログソース)
- 認証系のログ(Windows Event, AWS CloudTrail, Linux セキュアログ, MS AD 監査ログ, Microsoft 365監査ログ, Oracle DB監査ログ, Paloalto製品システムログなど)
- 特定のユーザーでフィルタ、認証アクティビティの成功・失敗をフィルタ
- 特定のユーザーの認証アクティビティを、最大50の送信元IPアドレスごとに時系列で可視化
- 潜在的な脅威、特にブルートフォース攻撃のような短時間での多数の認証試行を検出するのに有効
- 長期的な分析では、個々のユーザーの認証パターンの変化を観察し、ユーザー行動の傾向を分析することができる
- 特定のユーザーの認証アクティビティを、最大50の宛先IPアドレスごとに時系列で可視化
- ユーザーの通常の作業パターンや、アクセスすべきでないリソースへの試行を特定できる
- 通常とは異なる宛先へのアクセス試行や、特定のリソースへの急激なアクセス増加を検出
- 特定のユーザーの認証アクションごとのカウントを時系列で可視化
- 各種認証アクション(ログイン、ログアウト、パスワード変更など)の頻度を可視化
- 時間帯ごとの認証アクションの分布を示し、通常の使用パターンを理解
- 通常とは異なる認証アクションの急増や、予期せぬパターンを特定
- 特定のユーザーのアプリケーションごとのカウントを時系列で可視化
- 各アプリケーションの使用頻度を可視化
- ユーザーが通常使用するアプリケーションと、その使用パターンの把握
- 通常使用しないアプリケーションへのアクセスや、特定のアプリケーションへの急激なアクセス増加を特定
- どのアプリケーションが最も頻繁に使用されているかを理解し、リソース配分の最適化に役立てる
- 不適切なアプリケーションアクセスや、権限外のアプリケーション使用を検出
- 特定のユーザーのアカウント管理のアクションごとのカウントを時系列で可視化
- 特定のユーザーによって実行されたアカウント管理関連のアクションを時系列で分析
- どのような種類のアカウント管理アクションが、どの程度の頻度で行われているかを可視化
- 通常とは異なる頻度や種類のアカウント管理アクションを特定
- 特定のユーザーのアカウント管理権限の使用状況を詳細に追跡
- 不適切なアカウント管理アクションや、権限の濫用を検出
- アカウント管理活動の時間的パターンを理解し、通常の業務時間外の活動を特定
- 特定のユーザーの全てのアプリケーションと全ての認証アクションを送信元、送信先でグループ化し10分間隔で集計。さらに60分間隔でスパークラインを表示
- カウントでソートすることで、最も頻繁に使用される接続パスを特定
- 通常とは異なる送信元や送信先、または異常に高い頻度の接続を特定
- ユーザーのネットワーク内での移動パターンを把握
- 特定ユーザーの認証アクションを送信元IP、送信元ユーザー、宛先、ユーザーでグループ化してカウントし降順でリスト表示
- ソース、宛先、アクションタイプなどの重要な情報を集計
- 最も頻繁に発生する認証イベントを特定
- 特定ユーザーの最初の10,000イベントのみを取得し、ホストとソースタイプの組み合わせごとにイベント数をカウント、カウント数の降順(多い順)に結果をソート
- 特定ユーザーに関連する情報セキュリティイベントを分析
- どのホスト(エンティティ)とデータソース(ソースタイプ)の組み合わせが最も多くのイベントを生成しているかを特定
- 特定ユーザーの認証アクションのユーザー、ソース、宛先でグループ化して、ソースと宛先の組み合わせをネットワークグラフで可視化
- ユーザーの活動範囲(接続先のホスト数)を把握
- 潜在的な異常な接続パターンを特定
- ユーザーのアクセス権限や行動を監査
- 特定ユーザーの検索結果の最初の100件を表示
- 最近のセキュリティ関連活動の概要を素早く把握
- 潜在的なセキュリティ問題や異常な活動を初期調査
- アクティビティログの一部をサンプリングして確認
Host Investigation
上部のフィルタにホスト・IPアドレスを特定して分析、調査を行う
(対象とするログソース)
- Firewallなどネットワーク機器からのログ(Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など)
- IDS/IPS機能を持つプロダクトからのログ(Paloalto NGFW, Symantec Endpoint Protection, Juniper, Cisco ASA など)
- マルウェア攻撃に分類されるようなAV、EDR等のログ(Symantec Endpoint Protection, CrowdStrike, SentinelOneなど)
- IP、ホストでフィルタ。ネットワークトラフィックであればNetwork Communicationのグラフに、認証系ログであればAuthentications and Changes、マルウェア攻撃系のログ・IDS系のログであればMalware Intrusionのグラフに結果を表示、Eventsはいずれのログにおいても結果を表示
- ネットワークトラフィックの特定のホスト/IPのトラフィックの種類ごとのイベント数を時系列で可視化
- 特定のホスト/IPのネットワーク活動パターンを時間軸で分析
- 異常なトラフィックパターンや急激な変化を検出
- ネットワークの使用状況やトレンドを把握
- ネットワークトラフィックの特定のホスト/IPのTCP/UDPプロトコルごとのイベント数を時系列で可視化
- 特定のホスト/IPのネットワーク活動パターンを時間軸で分析
- 異常なトラフィックパターンや急激な変化を検出
- ネットワークの使用状況やトレンドを把握
- 異なるトランスポートプロトコルの使用傾向を把握
- ネットワークトラフィックの特定のホスト/IPのアプリケーションごとのイベント数を時系列で可視化
- 特定のホスト/IPのネットワーク活動パターンを時間軸で分析
- どのアプリケーションやプロトコルが主に使用されているかを把握
- 異常なアプリケーション使用パターンや急激な変化を検出
- ネットワークの使用状況やトレンドを把握
- ネットワークトラフィックの特定のホスト/IPの送信元・宛先の組み合わせの250件までをネットワークグラフで可視化
- 特定のホスト/IPがどのIPアドレスと通信しているかを把握
- 最も頻繁に通信している相手先を特定
- 潜在的な異常な通信パターンを検出
- ネットワークの接続関係を理解
- 認証系ログの特定のホスト/IPの認証アクションごとのイベント数を時系列で可視化
- 特定のホスト/IPの認証活動パターンを時間軸で分析
- 認証の成功率や失敗率の変化を監視
- 異常な認証パターンや急激な変化を検出
- ポテンシャルなセキュリティインシデント(例:ブルートフォース攻撃)を特定
- 認証系ログの特定のホスト/IPのユーザーごとのイベント数を時系列で可視化
- 特定のホスト/IPにおける各ユーザーの認証活動パターンを時間軸で分析
- 異常なユーザー認証パターンや急激な変化を検出
- ユーザーごとのシステム利用頻度や時間帯を把握
- 潜在的な不正アクセスや異常なアカウント使用を特定
- 認証系ログの特定のホスト/IPのアプリケーションごとのイベント数を時系列で可視化
- 特定のホスト/IPにおける各アプリケーションの認証活動パターンを時間軸で分析
- どのアプリケーションが最も頻繁に認証を行っているかを把握
- アプリケーション使用の時間的傾向を理解
- 異常なアプリケーション認証パターンや急激な変化を検出
- 認証系ログの特定のホスト/IPの送信元と宛先の組み合わせごとで集計してリスト
- 特定のホスト/IPの認証活動の全体像を把握
- 最も活発なユーザーやアプリケーションを特定
- 潜在的な異常や不正アクセスを検出
- ユーザーの行動パターンを分析
- 認証系ログの特定のホスト/IPの変更アクションごとのイベント数を時系列で可視化
- 特定のホスト/IPにおける変更活動のパターンを時間軸で分析
- どのタイプの変更が最も頻繁に行われているかを把握
- 変更管理の傾向や異常を検出
- システムの安定性や設定の変更頻度を監視
- マルウェア攻撃系ログの特定のホスト/IPのマルウェアアクションごとのイベント数を時系列で可視化
- 特定のホストにおけるマルウェア活動のパターンを時間軸で分析
- どのタイプのマルウェアアクションが最も頻繁に発生しているかを把握
- マルウェア攻撃の傾向や異常を検出
- セキュリティ対策の効果を評価
- マルウェア攻撃系ログの特定のホスト/IPのマルウェアシグネチャごとのイベント数を時系列で可視化
- 特定のホストにおけるマルウェア活動のパターンを時間軸で分析
- どのタイプのマルウェアが最も頻繁に検出されているかを把握
- 新しいマルウェアの出現や既知のマルウェアの増加を検出
- マルウェア攻撃の傾向や異常を特定
- IDS系ログの送信元が特定のホスト/IPの攻撃の重大度ごとでイベント数を時系列で可視化
- 特定のホストからの攻撃パターンを時間軸で分析
- 攻撃の重大度の分布と変化を監視
- 潜在的なセキュリティ脅威の傾向を把握
- 異常な攻撃パターンや急激な変化を検出
- 内部ネットワークの異常行動の分析
- IDS系ログの宛先が特定のホスト/IPの攻撃の重大度ごとのイベント数を時系列で可視化
- 特定のホスト/IPに対する攻撃パターンを時間軸で分析
- 攻撃の重大度の分布と変化を監視
- 潜在的なセキュリティ脅威の傾向を把握
- 異常な攻撃パターンや急激な変化を検出
- IDS系ログの特定のホスト/IPの送信元、宛先、重大度、アクション、シグネチャでグループ化しリスト
- 特定のホスト/IPに関連する攻撃の詳細な状況を把握
- 攻撃の送信元と宛先のパターンを分析
- 重大度に基づいて脅威の優先順位を付ける
- 特定の攻撃シグネチャの頻度と影響を評価
- 収集しているログ全体から特定のホスト/IPの最初の10,000イベントの送信元、宛先の組み合わせ結果をカウント数の降順でリスト
- 特定のホスト/IPの活動パターンを理解
- 特定のホスト/IPの最も一般的なセキュリティイベントタイプを特定
- 潜在的な異常や不審な活動を検出
- ネットワークトラフィックパターンを分析
- 収集しているログ全体から特定のホスト/IPの最初の100イベントを表示
- セキュリティアラートが発生した際の初期調査
- ネットワーク問題や異常な動作の原因を特定
- ホストの最近の活動を確認し、潜在的な問題を特定
まとめ
本シリーズは InfoSec のダッシュボードの解説を全3篇で紹介しています。
InfoSec でログ分析することで、包括的なログ相関分析が可能になります。
本記事をご参考いただき、具体的にどんな分析用途として使えるのかのマニュアルとしてご活用いただけると幸いです。
![[小ネタ] Splunk マルチアカウントで便利なAWSの分析](https://devio2024-media.developers.io/image/upload/v1730418429/user-gen-eyecatch/ow3kzcnbmysbjxcw237y.png)
