セキュリティ脅威の相関分析を自動化する Cloud SIEM Enterprise をご紹介 #Sumo Logic

最初に

自社を取り巻く環境へのセキュリティ対策を考える中で、実際にサイバー攻撃を受けたときの「被害の内容や影響範囲の洗い出し」「調査にかかる時間」に課題を感じている方も多いのではないでしょうか。

それらを完全に掌握できないのがセキュリティ脅威分析の難しさの１つではありますが、今回ご紹介する Sumo Logic の Cloud SIEM Enterprise を活用することで分析能力を大きく強化することができるかもしれません。

サイバー攻撃の被害は年々増えており、その攻撃手法も進化しているため、セキュリティ対策として分析基盤も見直してみるのはいかがでしょうか。

セキュリティ脅威分析で大切なこと

まずは簡単にログ分析基盤（SIEM）とセキュリティ脅威分析における SIEM の重要性をご説明します。

SIEM とは

Security Information and Event Management の頭文字をとって SIEM と呼ばれており、あらゆる IT 製品のログを一元管理し、横断的に相関分析をしてサイバー攻撃を正確にハンティングするためのツールです。

「相関分析」というのは2つ以上のログの関係性を分析することをいいます。例えば、関係性のあるログA とログB においては、ログA に変化があればログB も変化すると考えられますので、その変化がどのようなもので、何に影響しているのかを調査する分析方法になります。

サイバー攻撃に対して言うと、SIEM の相関分析に期待できることは以下となります：

• 被害個所の特定
• 攻撃の深度の把握
• 攻撃者の特性（痕跡）の洗い出し

では、どう活用できるのかを知るためにランサムウェアの攻撃がなされた場合で考えてみましょう。簡略化して6ステップで表示しています。

STEP 1：
まずはメールでランサムウェアを送り付けてきます。業務メールと非常に似ている内容が記載されており、ランサムウェアは巧妙に隠して内包されています。

STEP 2：
メールに添付されていた MS ドキュメントを開くことで、ランサムウェアを稼働させる実行ファイルが立ち上がります。

STEP 3:
STEP 2 の結果、社員 の PC でランサムウェアが稼働して、攻撃者がアクセスする環境が整ってしまいました。

STEP 4:
この先は攻撃者の意図とする通りに攻撃がなされます。今回は、社内のドメインを探索されてしまっています。

STEP 5:
アカウントの権限変更や昇格などの操作が行われて、重要サーバへもアクセスを許してしまい、感染が広がります。

STEP 6:
最終的には、攻撃者が C&C サーバを介して情報を持ち出されてしまい、この後で身代金の要求へつながります。

これらは、各種セキュリティ製品（Mail セキュリティ、EDR、プロキシなど）でログが記録されていると思います。それらを相関分析にかけることで、STEP 1 のデバイス情報（IP アドレスやユーザ情報など）をもとに STEP 2 以降の操作記録を結び付けて、STEP1 ~ 6 のプロセス（全体像）が見えます。そのため、攻撃の手段や、被害を受けた正確な経路、攻撃者がアクセスした痕跡などを追跡することができ、適切な封じ込めに繋げることが出来ます。

ですが、冒頭述べた通り大量のログがあるわけですよね。社員の PC や、受け取っているメール、ユーザドメイン、EDR、プロキシ、etc.. たくさんの製品が出力する無数のログがあるので正確かつ、短時間での分析が難しいわけです。

というところで、今回は、相関分析を自動化する Sumo Logic の Cloud SIEM Enterprise（CSE）についてご紹介します。

Cloud SIEM Enterprise（CSE）

CSE は、大量のログをリアルタイムで自動的に相関分析して、さらにごく少数のインサイトにまとめてくれる Sumo Logic のプラットフォームの１つです。

Sumo Logic - CSE の画面 - original

ここには、CSE を構成するファクターとして、RECORDS、SIGNALS、INSIGHTS の3つが存在します。それぞれの意味は以下になります。

つまり、この画面ですと、705000件の RECORDS に対して、CSE の検知ルールにマッチした SIGNALS が 18000件、その中でもセキュリティアナリストが見るべきは 14件の INSIGHTS と解釈できます。非常にごく少数まで絞り込まれていることが分かります。

アラートが上がってもおよそ 2万件を調査するのは非現実的です。有事の際は特に時間も惜しいなか、ご自身で篩にかけなければなりません。 しかし、CSE であれば大量のログ（RECORDS）のアラート（SIGNALS）を自動的に相関分析して、本当に見るべき洞察（INSIGHT）に絞ってくれるため、調査時間を大幅に削減できます。

また、攻撃の手法や、深度も INSIGHT 画面ですぐに把握できます。ここで実際に INSIGHT を見てみましょう。

CSE - INSIGHT の画面 - original

沢山の項目が並んでいますので順番にどのような情報が表示されているのかご紹介します。下記は INSIGHT 自体の詳細画面になります。

画像の中で、特に重要な情報が2つございます。

1つ目は、Entity というものです。こちらは、IP アドレスや、ユーザ名、Mac アドレスなどを表示しており、相関分析を行う際に起点となる情報でございます。例えば、AWS 環境や AD サーバであれば INSIGHT 画面を眺めるだけで、どのユーザが、何時、何を行ったかをすぐに把握することが出来ます。

2つ目は、一番下の項目にある Tags というものです。続けて MITRE ATT&CK の Tactics と記載しましたが、こちらはセキュリティフレームワークの MITRE ATT&CK の情報を表示してくれています。以下の画像で、紫枠の部分が Tactics を表しており、それぞれ TA0001 などの識別番号を保持しています。また、MITRE ATT&CK のページでは、左～右に行くにつれて攻撃の深度が深まる様にまとめられています。つまり、CSE の Tag を確認したらどのレベルの攻撃がなされているのかを即時把握することが出来ます。（Tag はリンクにもなっているため、MITRE ATT&CK のページはすぐに表示できます。）

MITRE ATT&CK では具体的な攻撃手法とその緩和策や、攻撃団体がどの業種をターゲットとしているかなど、サイバー攻撃について幅広く知見を得ることが出来ます。

ここまで INSIGHT の詳細画面についてご説明しました。次に相関分析をした SIGNAL を見ていきます。

まず、一番上の SIGNALS 4 というのは、INSIGHT の中に SIGNAL がいくつあるかを表しています。

そして、時系列のグラフは SIGNAL として生成されている RECORD のタイムスタンプを表しています。

最後に一番重要な SIGNAL についてです。そもそも SIGNAL は RECORD が CSE の検知ルールに引っかかったものをアラートとして SIGNAL 化しています。この検知ルールというのは大きく分けて 6種類あります。※後述：検知ルール。

なお、SIGNAL は選択するとより詳細な画面に遷移します。表示されている項目は、ほとんどが RECORD のログから抽出されたデータでして、表示させる項目はカスタマイズが可能です。

抽出元となる RECORD の生データです。ちなみに生データはダウンロードすることも可能ですし、検知ルールの調節をする際にも使用します。

というところで各製品で何が起こったのかを知るために SIGNAL を順番に見てみます。

2023/09/11 12:05:06
Proofpoint TAP - User Received Email with Phishing Link：
こちらでは、メールセキュリティソフトの Proofpoint TAP でフィッシングリンク付きのメールの受信を検知しています。

2023/09/11 12:10:03
Check Point Threat Emulation Malicious File Allowednull：
次に Check Point の NGFW で 悪意のあるファイルを検知しています。
※ ここで Device IP が他と異なっているのは、DNAT で NAT 変換しているためでして、右下の Src Device IP が元となる端末になります。どの項目を検知ルールで識別させるのかは設定できます。

2023/09/11 12:15:06
CrowdStrike - DetectionSummaryEvent
EDR 製品の CrowdStrike では、悪意のあるファイルが脅威情報と一致していますということで Event を検知しています。

2023/09/11 12:15:06
Threat Intel - Matched File Hash：
最後にこちらでは、CSE の Threat Intelligence というルールに引っかかった RECORD が SIGNAL として表示されています。

この様に 1つの Entity（IP、MAC アドレス、ユーザ名、etc..）に対して、時系列で攻撃のプロセスを把握することが出来るため、いつ、どこで、何が起きているのかを即時に把握することが出来ます。また、検知ルールに沿って SIGNAL のトリアージも自動的に行ってれます。

検知ルール

では、上記の INSIGHT や SIGNAL はどのように生成されるのかについて、その仕組みを簡単にご説明させていただきます。

Sumo Logic はそもそも Continuous Intelligence Platform（CIP）と呼ばれるプラットフォームに各製品のログを収集します。その後、CSE にデータを転送して RECORD > SIGNAL > INSIGHT と分類されていきます。このプロセスの中で RECORD 化された時に SIGNAL 化をするか否かのルールにかけられます。「6種類の検知ルールがある」とお伝えしていたのはこのプロセスの検知ルールのことです。

検知ルールを設定して重要サーバへのアクセスや、シャドー IT のリソース展開などを検知すると、それに応じた重要度が SIGNAL に設定されます。

このスコアは Entity 情報と紐づいており、スコアの合計が過去 14 日間で 12 を超えると INSIGHT 化されます。 こういった部分を含めて CSE は各種調整が必要になります。

ですがご安心ください。
クラスメソッドでは、これらをまるっとご支援させていただくことも出来ます。

お客様のご要望に合わせて CSE プラットフォームを活用できるよう、共に並走してしっかりとご対応させていただきます。
また、これまでの弊社のナレッジを活かしてご提案もさせていただき、Sumo Logic で御社の大切なプロジェクトを支えるログ分析基盤の構築に尽力いたします。

ご興味ございましたら弊社までお気軽にお問合せください。

最後になりますが、耳寄りな情報を1つ。
Sumo Logic には検知後のアクションの自動化をする Cloud SOAR と呼ばれるプラットフォームも存在します。
実は、CSE をお使いいただくと Cloud SOAR の機能の一部を無料で統合することが出来ます！！
具体的には、CSE で検知した内容をもとに Cloud SOAR で対応の自動化まで出来てしまうというもので、例えば不正な IP アドレスによるアクセスを検知したら FW のブラックリストに登録させるなど、様々な攻撃の封じ込めが可能です。この辺りも後日、ブログ化していきますので、ご注目いただけますと幸いです。

まとめ

今回は、Sumo Logic の自動相関分析プラットフォーム、CSE についてご紹介させていただきました。そしてつい最近、Sumo Logic 社より細かく設定方法やユースケースなどもご説明いただきました。せっかくですので、CSE の具体的な使い方や検知ルールの柔軟性なども記事で紹介していきます。

本記事がどなたかの一助になれば幸いです。