セキュリティ運用現場における 最新テクノロジーの利活用方...
TRANSCRIPT
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
セキュリティ運用現場における最新テクノロジーの利活用方法とは?
25th/Sep/2019
マクニカネットワークス株式会社
第2営業統括部 第1部 第1課
FireEye Product Team
高橋 秀雄
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
セキュリティ運用に求められること
22
運用負荷の低減 スキル不足の解消
人的リソース活用の最適化
インシデント対応のスピードアップ
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
これまで行ってきたセキュリティ対策の限界
3
インシデント対応で取扱う製品の幅が広がってきている
アラート≠脅威?
脅威の発見が高度化してきている
少ない有識者へのスキルやナレッジへの依存度が高くなってきている
脅威発生から終了までの時間が短くなってきている
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
運用負荷の低減 スキル不足の解消
インシデント対応のスピードアップ
人的リソース活用の最適化
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved. 4
• 重要なアラートを見逃す可能性が高くなり、容易にセキュリティ
インシデントを引き起こす要因となる
• セキュリティツール、および、アラートの連携がないことにより、
時間とリソースの浪費に加え、セキュリティ運用コストが膨らむ
• コンピテンシー、コンテキスト、および脅威の優先順位度付けの
欠如により、本来やるべきアラートへの対応が後手に回り、影響が
拡大する
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
セキュリティ運用の課題があることによる悪影響
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
今後のセキュリティ運用に必要な機能
5
運用状況を
システムで可視化し、
迅速に把握できること
様々な製品のログを
一か所に集約でき、
管理を一元化できること
脅威のリスクレベルを
判断できる
インテリジェンスを持つこと
作業を自動化し、
重要な業務に
フォーカス出来ること
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved. 6
意訳:セキュリティ運用を自動化して対応を行う(運用自動化プラットフォーム)
SOAR
Security Orchestration and Automated Response
Automation
Intelligence
Dashboard
Collaboration
Case Management
Orchestration
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Orchestration
AutomationCase
Management
CollaborationIntelligence
Dashboard
ネットワーク、スイッチ等
ネットワーク機器Proxy, VPN, DNS…
セキュリティ機器FW, IPS/IDS, URL Filter
エンドポイントEDR, NGAV, AV
運用管理システム
集める
貯める
検索する
ダッシュボード
分析機能
独自のルールセット
タスク管理
チケット管理
単純作業
機器間の連携
既存システム ログコレクター 相関分析ケース
マネジメント自動化
About Security Orchestration and Automated Response
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
重要な業務に
が
フォーカス出来る仕組みづくり
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
セキュリティにおける自動化・・・
88
記録 情報収集 設定変更
内容
・作業内容、結果の記録-エクセルへのマニュアル入力
条件を満たした場合にStatus変更
単純作業の自動化Automation
機器同士の自動連携Orchestration
内容
・検知の正誤確認-ウェブでの参考情報取集-関連情報集め
Virus Total照合や、検知アラートとの関連情報を検索して表示
内容
・設定変更による対処、復旧-端末隔離-ポリシー変更
セキュリティ機器で検知した情報を別の機器に反映する
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Playbook
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Orchestrationを最大化する為のAPI連携
9
感染端末隔離アクセス制御
メールで通知ネットワーク設定変更
追加の情報収集クラウドポリシー変更
レポート作成
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
FireEye Product Portfolio
10Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
FireEye Expertise
FireEye Mandiant FireEye Managed DefenseFireEye Threat Intelligence
Expertise On-DemandFireEye と 3rd party アプリ FireEye Market
SIEM オーケストレーションと自動化
文脈依存のインテリジェンス
コンプライアンスレポート
アラートケース管理
FireEye Network Security FireEye Email Security FireEye Endpoint Security (3rd party Solutions)
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Orchestration
AutomationCase
Management
CollaborationIntelligence
Dashboard
ネットワーク、スイッチ等
ネットワーク機器Proxy, VPN, DNS…
セキュリティ機器FW, IPS/IDS, URL Filter
エンドポイントEDR, NGAV, AV
運用管理システム
集める
貯める
検索する
ダッシュボード
分析機能
独自のルールセット
タスク管理
チケット管理
単純作業
機器間の連携
既存システム ログ 相関分析ケース
マネジメント自動化
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
アラートをトリガーにインテリジェンスが自動的に紐付く
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
About Intelligence
12
Source: IPA脅威情報構造化記述形式STIX概説より抜粋 https://www.ipa.go.jp/security/vuln/STIX.html
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Intelligence for …
13Indicators
Campaigns
Incidents
Campaigns
Indicators
Threat_Actors
Courses_Of_Action
Incidents
Exploit_Target
Indicators
分析のための
インテリジェンス
検知のための
インテリジェンス
対処のための
インテリジェンス
攻撃を検知するための指標 サイバー攻撃活動の意図 脅威に対処するために取るべき措置
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
What Intelligence?
14
Campaigns
Incidents Indicators
Threat_Actors
Incidents
Exploit_Target
Indicators
攻撃前に得られる
インテリジェンス
攻撃後に得られる
インテリジェンス
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
FireEye Threat Intelligence FireEye Mandiant
14Indicators Campaigns Courses_Of_Action
攻撃の検知するための指標 サイバー攻撃活動の意図 脅威に対処するために取るべき措置
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
FireEye HelixにおけるSOAR活用
15
Automation
Intelligence
Dashboard
Collaboration
Case Management
Orchestration
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved. 16
エビデンスコレクター他社製品を含む多くのログを収集
ファイアウォール、Proxyなど他社製品からのログ
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved. 17
相関分析FireEyeの専門知識に基づくルールセット
組み込みルール数: 2,608
取り込んだイベントによるルールカバー率
ルールに対するクエリーを確認可能
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved. 18
Dashboardコンプライアンスレポーティング
さまざまな状況に応じた豊富な組み込みのダッシュボード
指定された期間で定期的にダッシュボードのスナップショットを取得することでコンプライアンスレポートにも利用可能
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
インテリジェンスリアルタイムの脅威インテリジェンス
マルウェアの情報 攻撃者の情報
攻撃フェーズの情報 ファイルハッシュの情報
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved. 20
Automationガイド付きの調査(インベスティゲーション)
どのようなことを確認すれば良いかガイドしてくれる。→それに対する回答をすぐに確認できる。
関連するインテルヒット
送信元/宛先IPアドレスが含まれるイベント
同一のIOCを検出したホスト
Copyright © 2004-2019 Macnica Networks Corp. All Rights Reserved.
Contact
21
• 本資料に記載されている会社名、商品、サービス名等は各社の登録商標または商標です。なお、本資料中では、「™」、「®」は明記しておりません。
• 本資料は、出典元が記載されている資料、画像等を除き、弊社が著作権を有しています。
• 著作権法上認められた「私的利用のための複製」や「引用」などの場合を除き、本資料の全部または一部について、無断で複製・転用等することを禁じます。
• 本資料は作成日現在における情報を元に作成されておりますが、その正確性、完全性を保証するものではありません。
【本件についてのお問合せ先】
マクニカネットワークス株式会社
第2営業統括部 第1営業部 第1課
FireEye Product Team
高橋 秀雄
Mail: [email protected]
TEL:045-476-2010
URL : www. macnica.net