Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Dojo 20221130 Searching famous Malware
Search
YasuIchikawa
December 01, 2022
Technology
0
270
Dojo 20221130 Searching famous Malware
Dojo 20221130 Searching famous Malware
YasuIchikawa
December 01, 2022
Tweet
Share
More Decks by YasuIchikawa
See All by YasuIchikawa
Dojo 20240830 COBOL to Java on Z
ichikawayasuhisa
0
310
Dojo 20240430 COBOL on Z
ichikawayasuhisa
0
260
Dojo 20231226 Ansible on IBM Z
ichikawayasuhisa
1
280
Dojo 20230523 .Net on Mainframe
ichikawayasuhisa
0
160
Other Decks in Technology
See All in Technology
フロントエンド設計にモブ設計を導入してみた / 20241212_cloudsign_TechFrontMeetup
bengo4com
0
1.9k
KubeCon NA 2024 Recap: How to Move from Ingress to Gateway API with Minimal Hassle
ysakotch
0
200
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
160
Wantedly での Datadog 活用事例
bgpat
1
410
KubeCon NA 2024 Recap / Running WebAssembly (Wasm) Workloads Side-by-Side with Container Workloads
z63d
1
240
AWS re:Invent 2024 ふりかえり
kongmingstrap
0
130
バクラクのドキュメント解析技術と実データにおける課題 / layerx-ccc-winter-2024
shimacos
2
1k
.NET 9 のパフォーマンス改善
nenonaninu
0
500
Storage Browser for Amazon S3
miu_crescent
1
130
ずっと昔に Star をつけたはずの思い出せない GitHub リポジトリを見つけたい!
rokuosan
0
150
MLOps の現場から
asei
6
630
Postman と API セキュリティ / Postman and API Security
yokawasa
0
200
Featured
See All Featured
Facilitating Awesome Meetings
lara
50
6.1k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
28
900
A better future with KSS
kneath
238
17k
Building Better People: How to give real-time feedback that sticks.
wjessup
365
19k
Testing 201, or: Great Expectations
jmmastey
40
7.1k
Typedesign – Prime Four
hannesfritz
40
2.4k
We Have a Design System, Now What?
morganepeng
51
7.3k
Optimizing for Happiness
mojombo
376
70k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.2k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.9k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
44
9.3k
Transcript
QRadar SIEMの紹介 有名なマルウェアを探してみた 1 日本アイ・ビー・エム テクノロジー事業本部 カスタマー・サクセス・マネージャー 市川 泰久 井口
勇弥 2022/11/30(水曜日) online
自己紹介 2 氏名 市川泰久 IT業界歴 25年目 直近の職歴 映像関連機器商社 テクニカルサポート 外資系IT企業
テクニカルアカウントマネージャー ソフトウェア開発会社 テクニカルサポート 経験のある製品 Microsoft製品、映像関連機器、ストレージ 趣味 ドライブ(屋根無し)と将棋観戦 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
自己紹介 3 Property Value 氏名 井口 勇弥 IT業界歴 11年目 直近の職歴
Oracle 3年, IBM 1年目 経験のある製品 OS:Linux, Solaris NW:Cisco, F5 DB:Oracle Database ERP:Oracle E-Business Suite Monitor:Zabbix LinkedIn https://www.linkedin.com/in/yuyaiguchi 趣味 ラーメン食べ歩き、旅行 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
4 この資料に含まれる情報は可能な限り正確を期しておりますが、 日本アイ・ビー・エム株式会社の正式なレビューを受けておらず、 当資料に記載された内容に関して日本アイ・ビー・エム株式会社 が何ら保証するものではありません。 従って、この情報の利用は使用者の責任において為されるもので あり、資料の内容によって受けたいかなる被害に関しても一切の 補償をするものではありません。 免責事項 Global
Markets - Cloud Platform Sales / © 2022 IBM Corporation
アンケート Global Markets - Cloud Platform Sales / © 2022
IBM Corporation
🥅 本セッションのゴール ⚽ 有名なマルウェアについて理解する ⚽ QRadar SIEMの使用方法について理解する Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
目次 ①有名なマルウェアとは ②QRadar SIEMとは ③QRadar SIEMでの有名なマルウェアの探し方 ④リンク集 Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
有名なマルウェアとは 2021年に確認されたランサムウェアのタイプ 出典:IBM X-Force 脅威インテリジェンス・インデックス2022 https://www.ibm.com/downloads/cas/QA59ZP3P オペレーショナルテクノロジーのタイプ2021年 Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
有名なマルウェア・ランサムウェア 名前 概要 特徴 REvil メール等で侵入し、ファイルを暗号化、データをネッ トに公開するとして、仮想通貨で身代金を要求するラ ンサムウェア。 別名Sodinokibi 2020−2021年10月に猛威
2022年1月ロシアで逮捕 その後軽く復活 Ryuk 主にメールで侵入し、ファイルを暗号化、仮想通貨で 身代金を要求するランサムウェア。 別名Hermesの亜種 法人組織や医療機関を狙う LockBit 脆弱性やRDP等から侵入し、ファイルの先頭4KBのみ 高速暗号化、データをネットに公開するとして、身代 金を要求するランサムウェア。 ドメインコントローラを狙い、ドメイン環境に拡散 ロシア語環境を攻撃しない 壁紙で内通者を募集する 脅迫状をプリンタで印刷 Conti メール等で侵入し、ファイルを暗号化、データをネッ トに公開するとして、身代金を要求するランサムウェ ア。 シャドウコピーを削除して復旧不能にする ネットワーク共有上のファイルも暗号化する 主に北米で流行 Emotet メールに添付のWordやExcelファイルなどから感染し、 メールで拡散。 アクセス情報を犯罪者グループに販売 さまざまなマルウェアをダウンロード 2022年日本で再流行 メールの日本語の精度が高い Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz① 有名なマルウェアはどこにいる? (1)インターネットのどこかからあなたを狙って来ます (2)全てのパソコンの中に元々います (3)宇宙の他の星に退避しています (4)現実には存在せず、あなたの心の中にいます Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
Quiz② ランサムウェアはどのように動く? (1)ファイルを利用不能にして身代金を要求する (2)ファイルを増やしてユーザー混乱させる (3)ファイルを消してザマアミロと言う (4)ファイルを覗き見して改善点を指摘する Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
デモ① 🕺 有名なマルウェアを実行してみる Global Markets - Cloud Platform Sales /
© 2022 IBM Corporation
IBM QRadar SIEMとは SIEM Security Information and Event Management •
ログの集約 • 横断的なログの検索 • ルールによる自動検知と通知 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
SIEM...Security Information and Event Management Firewallなどのセキュリティー機器・ネットワーク機器からログを収集し相関分析を行うことで、外部からの 攻撃やマルウェア感染などの検知を行うことを目的とした仕組み 14 「SIEM」ってなに? アナリスト
SIEM 集約したログをルールのふるいにかけ、アラートを発報 アラート Cloud VPN ログを集約 一括して分析 認証情報 侵入検知装置 社内サーバー Firewall Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
15 SIEMに集約されたログは、共通する任意のパラメーターでマッチングが可能、ログに検 索をかけることで脅威を検知します。 どうやって脅威を検知するのか? ファイアウォール 認証情報 SIEM 検索パラメータ:宛先IPアドレス 条件:123.45.xx.xx 侵入検知装置
条件に一致したログ: FW拒否 認証成功 不審な通信 + + Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
16 また、設定したルールに基づく自動分析で脅威を検出可能です。 どうやって脅威を検知するのか? ファイアウォール 認証情報 SIEM ルール内容:以下の条件のときにアラート FW拒否 認証失敗 不審な通信
侵入検知装置 + + かつ かつ の後に 認証成功 の後に FW許可 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
17 ログだけではわからない脅威はどうやって検知するのか? A. フローの活用が重要 例えば… • 通信のサイズ(パケット数、バイト数) • 通信の時間(開始時刻、終了時刻) ログだけではわからない情報
Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
18 フローとログの違いについて(ログ) エンドポイント サーバー エンドポイント ファイア ウォール サーバー 宛先IP:123.45.x.x 日時:2021/11/11
15:00 ポート:22 内容:許可 ssh ssh ssh ssh ssh ssh ログはパケット単位で情報を取得 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
19 フローとログの違いについて (フロー) エンドポイント サーバー ssh ssh ssh ssh ssh
ssh PCAP で取得 フローはセッション単位で情報を取得 開始時刻 2021/11/11 15:00 終了時刻 2021/11/11 15:10 パケット数 17230 バイト数 3150853 byte 宛先IP 123.45.x.x 宛先ポート 22 プロトコル ssh 電話の通話履歴のようにセッション 開始から終了までのデータ量を記録 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
20 フロー ログ(Firewall) 1 デバイス時刻 2 送信元IP 送信元IP 3 宛先IP
宛先IP 4 送信元ポート 送信元ポート 5 宛先ポート 宛先ポート 6 プロトコル プロトコル 7 ユーザー名 ユーザー名 8 開始時刻 9 終了時刻 10 パケット数 11 バイト数 フローとログの違いについて ログに比べて、フローにはセッションに関する情報が含まれています。 セッションの時刻やパケット数、バイト数は異常を検知する上で重要 な要素となります。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
21 QRadar SIEMではフロー情報を利用し、通信量を元にしたルールで検知が可能です。 フローを活用した検知ルール 認証情報 QRadar SIEM ルール内容:以下の条件のときにアラート 認証失敗 大量データ転送
フロー情報 + + かつ の後に 認証成功 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
相互の関連性を調べる「ルール」 22 イベント 同一の送信元から、宛先に対して、 5分以内に400回以上のアクセスを試み、 FWで遮断 カテゴリ イベント 時間 送信元IP
宛先IP Firewall拒否(1) deny 2022/04/11 13:03:45 xxx.yyy.zzz. aaa.bbb.ccc Firewall拒否(2) deny 2022/04/11 13:03:45 xxx.yyy.zzz. aaa.bbb.ccc Firewall拒否(3) deny 2022/04/11 13:03:46 xxx.yyy.zzz. aaa.bbb.ccc : : : : : Firewall拒否 (510) deny 2022/04/11 13:08:11 xxx.yyy.zzz. aaa.bbb.ccc 同一のイベントが起きた? イベントが起きた時間は? 各イベントにおける送信元IPは 同一なのか? 各イベントにおける宛先IPは 同一なのか? 正規化されたイベントの中身の関連性を調べる基準が設定され た「ルール」です。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz③ この中でQRadar SIEMでは実現できないことは? (1)多様な機器からログを集める (2)集めたログから脅威のパターンと照合する (3)脅威が確認されたら自動でメール通知する (4)通知された問題をフローに従い自動処理する Global Markets -
Cloud Platform Sales / © 2022 IBM Corporation
デモ② ♨ フローを活用した異常の検知(基本編) Global Markets - Cloud Platform Sales /
© 2022 IBM Corporation
25 QRadar SIEMでの有名なマルウェアの探し方 民間最大級のセキュリティー研究機関であるIBM X-Forceでは、日々アップデートされていく脅威情報を収 集、発信しています。QRadarは最新の脅威情報を無償で自動受信し、ログやフローの分析に活用できます。 さらに、お客様ご自身で必要な外部脅威情報(ex.ブロックリスト)もQRadar SIEMに取り込めます。 ü ボットネット
C&C ü 匿名プロキシー ü 動的IP ü スパム ü マルウェア ü スキャンIP 脅威インテリジェンス QRadar イベント情報と脅威情報の突合 複数の脅威情報による分析 X-Force提供の脅威情報 外部脅威情報 / 独自ソース X-Force アラート URL IP IBM X-Force × 外部脅威情報 で脅威検知をより効率的に STIX,TAXIIを使用 さまざまなログソース からのイベント IP URL URL URL IP IP IP Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz④ X-Forceが教えてくれる情報って何? (1)アクセスしてもいいURL (2)アクセスしてはいけないURL (3)アクセスできないURL (4)アクセスしてほしいURL Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
デモ③ 🍲 Threat Intelligenceを活用した脅威のスキャン Global Markets - Cloud Platform Sales
/ © 2022 IBM Corporation
QRadar Advisor with Watsonによる分析 28 QRadar Advisor with WatsonがQRadarから出たアラート(オフェンス)を分析することで初期の調査・ 分析に関わる作業とエスカレーションの要否判断を効率化します。
SIEM FW IPS EDR Proxy Analyst リアルタイムアラート 調査・分析 分析結果 QRadar Advisor with Watson ü 脅威情報(IOC)の抽出・突合 ü 関連レポートの提示 ü 優先順位付け ü MITRE ATT&CKとの関連付け ü 自動分析 ・ ・ ・ Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Quiz⑤ Watsonは何がすごいの? (1)例外発生時にデバッグしてくれる (2)脅威の分析時間を短縮する (3)サイバー攻撃を受けると自動的に反撃する (4)身代金の値引き交渉をしてくれる Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
デモ④ 🕵 QRadar Advisor with Watsonを活用した有名なマルウェアの発見 Global Markets - Cloud
Platform Sales / © 2022 IBM Corporation
31 IBM Security QRadar SIEM https://www.ibm.com/jp-ja/products/qradar-siem (4) リンク集 一元化された可視性とインテリジェントなセキュリティー分析によって、重大な サイバーセキュリティー脅威を検知して調査し、対処します。
Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
32 IBM X-Force Exchange https://exchange.xforce.ibmcloud.com/ IBM X-Force Exchangeは、脅威インテリ ジェンスの取り込み、共有、対応を可能に するクラウド・ベースの脅威インテリジェ
ンス・プラットフォームです。最新のグ ローバルなセキュリティー脅威を素早く調 査し、対処可能なインテリジェンスを収集 して、専門家と相談し、他の担当者と連携 して作業できます。 IBM X-Force Exchangeは人間のインテリ ジェンスと各種のソフトによって生成され るインテリジェンスの両方を取り入れてお り、IBM X-Forceの規模を活用してユー ザーが新たな脅威に先行して対処すること を支援します。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
Japan QRadar User Group 日本のQRadarユーザーのためのオンライン・コミュニティです。 日々QRadarを活用して得られた気づきや意見交換の場としてご活用ください。 https://ibm.biz/japanqradarusergroup • ディスカッション・フォーラムは、ベスト・プラクティス、回避すべき落とし穴、そしてお互いから学ぶために、コミュニティーのメンバーに質 問する場です。
投稿する前にCommunity Netiquetteを必ず読んでください。 • 製品に関してサポート関連の質問がある場合は、IBM Security Supportおよび「サポート・コミュニティ」のご案内にアクセスしてください。 • セキュリティー製品の機能強化や新機能に関するアイデア(いわゆる製品改善要望)を入力するには、RFEにリクエストを送信してください。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
QRadar 101シリーズ QRadarを使いこなす上で活用いただける、技術情報のポータルです。 APARs 101 バージョンごとの障害情報 Deploy Changes 101 「変更のデプロイ」に関する問題判別方法
Disk Space 101 ディスク容量に関する情報 Support Assistance 101 IBMへのサポート依頼方法やツールのご案内 https://www.ibm.com/community/qradar/ Technical Notes 101 詳細な技術情報(technote) WinCollect 101 Windowsログ収集エージェント(WinCollect)の情報 Support Tools 101 QRadar自体の情報収集等に使用するコマンドの情報 101ページの一部には日本語でご利用いただけるものがあります。ページ最下部から少し戻ったところにある 「Japanese/日本語」のリンクからアクセス可能です。 34 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation
IBM Security Learning Academy QRadarはもちろん、その他のIBM Security製品についてスキルアップに活用いただけるe-learningコン テンツが多数掲載されています。 https://www.securitylearningacademy.com/ 35 Global
Markets - Cloud Platform Sales / © 2022 IBM Corporation
Q&A,フィードバック 36 Global Markets - Cloud Platform Sales / ©
2022 IBM Corporation
37 Global Markets - Cloud Platform Sales / © 2022
IBM Corporation