Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Dojo 20221130 Searching famous Malware
Search
YasuIchikawa
December 01, 2022
Technology
0
270
Dojo 20221130 Searching famous Malware
Dojo 20221130 Searching famous Malware
YasuIchikawa
December 01, 2022
Tweet
Share
More Decks by YasuIchikawa
See All by YasuIchikawa
Dojo 20240830 COBOL to Java on Z
ichikawayasuhisa
0
310
Dojo 20240430 COBOL on Z
ichikawayasuhisa
0
260
Dojo 20231226 Ansible on IBM Z
ichikawayasuhisa
1
280
Dojo 20230523 .Net on Mainframe
ichikawayasuhisa
0
160
Other Decks in Technology
See All in Technology
AIのコンプラは何故しんどい?
shujisado
1
190
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
1
230
LINEヤフーのフロントエンド組織・体制の紹介【24年12月】
lycorp_recruit_jp
0
530
Wvlet: A New Flow-Style Query Language For Functional Data Modeling and Interactive Data Analysis - Trino Summit 2024
xerial
1
110
CustomCopを使ってMongoidのコーディングルールを整えてみた
jinoketani
0
220
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
180
20241220_S3 tablesの使い方を検証してみた
handy
3
190
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
830
.NET 9 のパフォーマンス改善
nenonaninu
0
360
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa53
0
250
DevOps視点でAWS re:invent2024の新サービス・アプデを振り返ってみた
oshanqq
0
180
マイクロサービスにおける容易なトランザクション管理に向けて
scalar
0
110
Featured
See All Featured
Music & Morning Musume
bryan
46
6.2k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
5
440
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Building Your Own Lightsaber
phodgson
103
6.1k
Optimising Largest Contentful Paint
csswizardry
33
3k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Being A Developer After 40
akosma
87
590k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
Raft: Consensus for Rubyists
vanstee
137
6.7k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
28
2.1k
Transcript
QRadar SIEMの紹介 有名なマルウェアを探してみた 1 日本アイ・ビー・エム テクノロジー事業本部 カスタマー・サクセス・マネージャー 市川 泰久 井口
勇弥 2022/11/30(水曜日) online
自己紹介 2 氏名 市川泰久 IT業界歴 25年目 直近の職歴 映像関連機器商社 テクニカルサポート 外資系IT企業
テクニカルアカウントマネージャー ソフトウェア開発会社 テクニカルサポート 経験のある製品 Microsoft製品、映像関連機器、ストレージ 趣味 ドライブ(屋根無し)と将棋観戦 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
自己紹介 3 Property Value 氏名 井口 勇弥 IT業界歴 11年目 直近の職歴
Oracle 3年, IBM 1年目 経験のある製品 OS:Linux, Solaris NW:Cisco, F5 DB:Oracle Database ERP:Oracle E-Business Suite Monitor:Zabbix LinkedIn https://www.linkedin.com/in/yuyaiguchi 趣味 ラーメン食べ歩き、旅行 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
4 この資料に含まれる情報は可能な限り正確を期しておりますが、 日本アイ・ビー・エム株式会社の正式なレビューを受けておらず、 当資料に記載された内容に関して日本アイ・ビー・エム株式会社 が何ら保証するものではありません。 従って、この情報の利用は使用者の責任において為されるもので あり、資料の内容によって受けたいかなる被害に関しても一切の 補償をするものではありません。 免責事項 Global
Markets - Cloud Platform Sales / © 2022 IBM Corporation
アンケート Global Markets - Cloud Platform Sales / © 2022
IBM Corporation
🥅 本セッションのゴール ⚽ 有名なマルウェアについて理解する ⚽ QRadar SIEMの使用方法について理解する Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
目次 ①有名なマルウェアとは ②QRadar SIEMとは ③QRadar SIEMでの有名なマルウェアの探し方 ④リンク集 Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
有名なマルウェアとは 2021年に確認されたランサムウェアのタイプ 出典:IBM X-Force 脅威インテリジェンス・インデックス2022 https://www.ibm.com/downloads/cas/QA59ZP3P オペレーショナルテクノロジーのタイプ2021年 Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
有名なマルウェア・ランサムウェア 名前 概要 特徴 REvil メール等で侵入し、ファイルを暗号化、データをネッ トに公開するとして、仮想通貨で身代金を要求するラ ンサムウェア。 別名Sodinokibi 2020−2021年10月に猛威
2022年1月ロシアで逮捕 その後軽く復活 Ryuk 主にメールで侵入し、ファイルを暗号化、仮想通貨で 身代金を要求するランサムウェア。 別名Hermesの亜種 法人組織や医療機関を狙う LockBit 脆弱性やRDP等から侵入し、ファイルの先頭4KBのみ 高速暗号化、データをネットに公開するとして、身代 金を要求するランサムウェア。 ドメインコントローラを狙い、ドメイン環境に拡散 ロシア語環境を攻撃しない 壁紙で内通者を募集する 脅迫状をプリンタで印刷 Conti メール等で侵入し、ファイルを暗号化、データをネッ トに公開するとして、身代金を要求するランサムウェ ア。 シャドウコピーを削除して復旧不能にする ネットワーク共有上のファイルも暗号化する 主に北米で流行 Emotet メールに添付のWordやExcelファイルなどから感染し、 メールで拡散。 アクセス情報を犯罪者グループに販売 さまざまなマルウェアをダウンロード 2022年日本で再流行 メールの日本語の精度が高い Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz① 有名なマルウェアはどこにいる? (1)インターネットのどこかからあなたを狙って来ます (2)全てのパソコンの中に元々います (3)宇宙の他の星に退避しています (4)現実には存在せず、あなたの心の中にいます Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
Quiz② ランサムウェアはどのように動く? (1)ファイルを利用不能にして身代金を要求する (2)ファイルを増やしてユーザー混乱させる (3)ファイルを消してザマアミロと言う (4)ファイルを覗き見して改善点を指摘する Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
デモ① 🕺 有名なマルウェアを実行してみる Global Markets - Cloud Platform Sales /
© 2022 IBM Corporation
IBM QRadar SIEMとは SIEM Security Information and Event Management •
ログの集約 • 横断的なログの検索 • ルールによる自動検知と通知 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
SIEM...Security Information and Event Management Firewallなどのセキュリティー機器・ネットワーク機器からログを収集し相関分析を行うことで、外部からの 攻撃やマルウェア感染などの検知を行うことを目的とした仕組み 14 「SIEM」ってなに? アナリスト
SIEM 集約したログをルールのふるいにかけ、アラートを発報 アラート Cloud VPN ログを集約 一括して分析 認証情報 侵入検知装置 社内サーバー Firewall Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
15 SIEMに集約されたログは、共通する任意のパラメーターでマッチングが可能、ログに検 索をかけることで脅威を検知します。 どうやって脅威を検知するのか? ファイアウォール 認証情報 SIEM 検索パラメータ:宛先IPアドレス 条件:123.45.xx.xx 侵入検知装置
条件に一致したログ: FW拒否 認証成功 不審な通信 + + Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
16 また、設定したルールに基づく自動分析で脅威を検出可能です。 どうやって脅威を検知するのか? ファイアウォール 認証情報 SIEM ルール内容:以下の条件のときにアラート FW拒否 認証失敗 不審な通信
侵入検知装置 + + かつ かつ の後に 認証成功 の後に FW許可 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
17 ログだけではわからない脅威はどうやって検知するのか? A. フローの活用が重要 例えば… • 通信のサイズ(パケット数、バイト数) • 通信の時間(開始時刻、終了時刻) ログだけではわからない情報
Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
18 フローとログの違いについて(ログ) エンドポイント サーバー エンドポイント ファイア ウォール サーバー 宛先IP:123.45.x.x 日時:2021/11/11
15:00 ポート:22 内容:許可 ssh ssh ssh ssh ssh ssh ログはパケット単位で情報を取得 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
19 フローとログの違いについて (フロー) エンドポイント サーバー ssh ssh ssh ssh ssh
ssh PCAP で取得 フローはセッション単位で情報を取得 開始時刻 2021/11/11 15:00 終了時刻 2021/11/11 15:10 パケット数 17230 バイト数 3150853 byte 宛先IP 123.45.x.x 宛先ポート 22 プロトコル ssh 電話の通話履歴のようにセッション 開始から終了までのデータ量を記録 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
20 フロー ログ(Firewall) 1 デバイス時刻 2 送信元IP 送信元IP 3 宛先IP
宛先IP 4 送信元ポート 送信元ポート 5 宛先ポート 宛先ポート 6 プロトコル プロトコル 7 ユーザー名 ユーザー名 8 開始時刻 9 終了時刻 10 パケット数 11 バイト数 フローとログの違いについて ログに比べて、フローにはセッションに関する情報が含まれています。 セッションの時刻やパケット数、バイト数は異常を検知する上で重要 な要素となります。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
21 QRadar SIEMではフロー情報を利用し、通信量を元にしたルールで検知が可能です。 フローを活用した検知ルール 認証情報 QRadar SIEM ルール内容:以下の条件のときにアラート 認証失敗 大量データ転送
フロー情報 + + かつ の後に 認証成功 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
相互の関連性を調べる「ルール」 22 イベント 同一の送信元から、宛先に対して、 5分以内に400回以上のアクセスを試み、 FWで遮断 カテゴリ イベント 時間 送信元IP
宛先IP Firewall拒否(1) deny 2022/04/11 13:03:45 xxx.yyy.zzz. aaa.bbb.ccc Firewall拒否(2) deny 2022/04/11 13:03:45 xxx.yyy.zzz. aaa.bbb.ccc Firewall拒否(3) deny 2022/04/11 13:03:46 xxx.yyy.zzz. aaa.bbb.ccc : : : : : Firewall拒否 (510) deny 2022/04/11 13:08:11 xxx.yyy.zzz. aaa.bbb.ccc 同一のイベントが起きた? イベントが起きた時間は? 各イベントにおける送信元IPは 同一なのか? 各イベントにおける宛先IPは 同一なのか? 正規化されたイベントの中身の関連性を調べる基準が設定され た「ルール」です。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz③ この中でQRadar SIEMでは実現できないことは? (1)多様な機器からログを集める (2)集めたログから脅威のパターンと照合する (3)脅威が確認されたら自動でメール通知する (4)通知された問題をフローに従い自動処理する Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
デモ② ♨ フローを活用した異常の検知(基本編) Global Markets - Cloud Platform Sales /
© 2022 IBM Corporation
25 QRadar SIEMでの有名なマルウェアの探し方 民間最大級のセキュリティー研究機関であるIBM X-Forceでは、日々アップデートされていく脅威情報を収 集、発信しています。QRadarは最新の脅威情報を無償で自動受信し、ログやフローの分析に活用できます。 さらに、お客様ご自身で必要な外部脅威情報(ex.ブロックリスト)もQRadar SIEMに取り込めます。 ü ボットネット
C&C ü 匿名プロキシー ü 動的IP ü スパム ü マルウェア ü スキャンIP 脅威インテリジェンス QRadar イベント情報と脅威情報の突合 複数の脅威情報による分析 X-Force提供の脅威情報 外部脅威情報 / 独自ソース X-Force アラート URL IP IBM X-Force × 外部脅威情報 で脅威検知をより効率的に STIX,TAXIIを使用 さまざまなログソース からのイベント IP URL URL URL IP IP IP Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz④ X-Forceが教えてくれる情報って何? (1)アクセスしてもいいURL (2)アクセスしてはいけないURL (3)アクセスできないURL (4)アクセスしてほしいURL Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
デモ③ 🍲 Threat Intelligenceを活用した脅威のスキャン Global Markets - Cloud Platform Sales
/ © 2022 IBM Corporation
QRadar Advisor with Watsonによる分析 28 QRadar Advisor with WatsonがQRadarから出たアラート(オフェンス)を分析することで初期の調査・ 分析に関わる作業とエスカレーションの要否判断を効率化します。
SIEM FW IPS EDR Proxy Analyst リアルタイムアラート 調査・分析 分析結果 QRadar Advisor with Watson ü 脅威情報(IOC)の抽出・突合 ü 関連レポートの提示 ü 優先順位付け ü MITRE ATT&CKとの関連付け ü 自動分析 ・ ・ ・ Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz⑤ Watsonは何がすごいの? (1)例外発生時にデバッグしてくれる (2)脅威の分析時間を短縮する (3)サイバー攻撃を受けると自動的に反撃する (4)身代金の値引き交渉をしてくれる Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
デモ④ 🕵 QRadar Advisor with Watsonを活用した有名なマルウェアの発見 Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
31 IBM Security QRadar SIEM https://www.ibm.com/jp-ja/products/qradar-siem (4) リンク集 一元化された可視性とインテリジェントなセキュリティー分析によって、重大な サイバーセキュリティー脅威を検知して調査し、対処します。
Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
32 IBM X-Force Exchange https://exchange.xforce.ibmcloud.com/ IBM X-Force Exchangeは、脅威インテリ ジェンスの取り込み、共有、対応を可能に するクラウド・ベースの脅威インテリジェ
ンス・プラットフォームです。最新のグ ローバルなセキュリティー脅威を素早く調 査し、対処可能なインテリジェンスを収集 して、専門家と相談し、他の担当者と連携 して作業できます。 IBM X-Force Exchangeは人間のインテリ ジェンスと各種のソフトによって生成され るインテリジェンスの両方を取り入れてお り、IBM X-Forceの規模を活用してユー ザーが新たな脅威に先行して対処すること を支援します。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Japan QRadar User Group 日本のQRadarユーザーのためのオンライン・コミュニティです。 日々QRadarを活用して得られた気づきや意見交換の場としてご活用ください。 https://ibm.biz/japanqradarusergroup • ディスカッション・フォーラムは、ベスト・プラクティス、回避すべき落とし穴、そしてお互いから学ぶために、コミュニティーのメンバーに質 問する場です。
投稿する前にCommunity Netiquetteを必ず読んでください。 • 製品に関してサポート関連の質問がある場合は、IBM Security Supportおよび「サポート・コミュニティ」のご案内にアクセスしてください。 • セキュリティー製品の機能強化や新機能に関するアイデア(いわゆる製品改善要望)を入力するには、RFEにリクエストを送信してください。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
QRadar 101シリーズ QRadarを使いこなす上で活用いただける、技術情報のポータルです。 APARs 101 バージョンごとの障害情報 Deploy Changes 101 「変更のデプロイ」に関する問題判別方法
Disk Space 101 ディスク容量に関する情報 Support Assistance 101 IBMへのサポート依頼方法やツールのご案内 https://www.ibm.com/community/qradar/ Technical Notes 101 詳細な技術情報(technote) WinCollect 101 Windowsログ収集エージェント(WinCollect)の情報 Support Tools 101 QRadar自体の情報収集等に使用するコマンドの情報 101ページの一部には日本語でご利用いただけるものがあります。ページ最下部から少し戻ったところにある 「Japanese/日本語」のリンクからアクセス可能です。 34 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
IBM Security Learning Academy QRadarはもちろん、その他のIBM Security製品についてスキルアップに活用いただけるe-learningコン テンツが多数掲載されています。 https://www.securitylearningacademy.com/ 35 Global
Markets - Cloud Platform Sales / © 2022 IBM Corporation
Q&A,フィードバック 36 Global Markets - Cloud Platform Sales / ©
2022 IBM Corporation
37 Global Markets - Cloud Platform Sales / © 2022
IBM Corporation