ユーザーから報告されたフィッシングおよびマルウェア攻撃のサイティング検索

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:12分

    • メールまたは観測事象に対してサイティング検索を実行して、フィッシング攻撃や悪意のある IP や URL との通信などの特定のタイプの攻撃がネットワーク上でどの程度の頻度で発生しているのかを把握することができます。各発生は 1 回のサイティングと見なされます。観測事象のサイティング検索は、ログストアまたはセキュリティ情報およびイベント管理 (SIEM) に対して設定する必要があります。

    サイティング検索機能を使用してフィッシングされたユーザーを特定し、ネットワーク上のログストア内でフィッシングとマルウェアの観測事象を追跡する方法については、この 3 分間のビデオをご覧ください。

    ユーザーから報告されたフィッシング攻撃を説明するために次の用語が使用されます。
    • フィッシングされたユーザー:フィッシングメールを受信したユーザー。
    • 被害者ユーザー:(一般的にはフィッシングメールのリンクをクリックすることにより) フィッシング URL とのインタラクションを持ったユーザー。このアクションにより、認証情報が攻撃者に公開される可能性があります。
    フィッシングインシデントの分析を始める際、メールサイティング検索を実行するか、観測事象のサイティング検索を実行して、同じフィッシング攻撃の影響を受けている組織内の他のユーザーを特定できます。ログストアを検索して、フィッシングされたユーザーと被害者ユーザーを特定します。影響を受けているユーザーのリストを特定したら、セキュリティインシデントレスポンス で利用可能なツールを使用して包括的なインシデント応答手順を実行するための子セキュリティインシデントを作成します。
    注:
    次のアプローチを使用してサイティング検索を実行することもできます。
    • 移動先 セキュリティインシデント > すべてのインシデントを表示 セキュリティインシデントをクリックします
    • [関連リンク] で [IoC を表示] をクリックします。観測事象のリストが表示されます。
    • リストから観測事象を選択し、[アクション] リストから次のオプションのいずれかを選択します。
      • Web トラフィックのサイティング検索を実行する
      • メールトラフィックサイティング検索の実行
    • 期間を指定し、[検索] をクリックしてサイティング検索を実行します。

    保存済みのサイティング検索構成

    サイティング検索を構成し、観測事象のインスタンスの SIEM または他のログストアの保存済みの構成を作成して、環境内の悪意のある観測事象の存在を確認します。
    注:
    保存された検索とインプレースクエリは、Splunk Integration でのみサポートされています。

    ユーザーから報告されたフィッシング攻撃のメールサイティング検索の実行

    フィッシングメールを受信したユーザーを、メールの件名、送信者名、メッセージ ID などの観測事象に基づいて検索します。その後、これらのフィッシングメールを封じ込めて組織から根絶することができます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    Splunk メールトラフィックログを検索して、不審なメールの受信者のリストを収集します。検索は、セキュリティインシデントで条件として関連付けられているメール送信者、メールメッセージ ID、またはメールの件名を使用して実行できます。
    注:
    • メールベースの観測事象のサイティング検索の実装は、Splunk Enterprise ログストアでのみテストされています。
    • サイティング検索クエリで正確な結果を返すには、Splunk ログイベントが共通情報モデル (CIM) に準拠している必要があります。

    手順

    1. チームにアサインされたセキュリティインシデントを確認するには、次の場所に移動します。 セキュリティインシデント > インシデント (新規 UI).
    2. [セキュリティインシデント] リストから、いずれかのフィルター ([オープン中のインシデント][自分にアサインされているすべてのインシデント (all incidents assigned to you)][すべてのインシデント] など) を選択します。

      重大なインシデントやフィッシングメールなど、特定のタイプのセキュリティインシデントを表示するには、いずれかの [クイックフィルター] をクリックします。

      セキュリティインシデント
    3. 分析するセキュリティインシデントをクリックします。

      [概要] タブで、観測事象のリスト、影響を受けるユーザー、および類似のセキュリティインシデントを含む、セキュリティインシデントの概要を確認できます。

      [概要] タブ
    4. [探索] タブをクリックします。
    5. インシデントデータ」で、 調査 > メールと観測事象を検索.
      メールの検索
    6. [検索条件] セクションを展開します。
    7. 実行する検索のタイプとして [メールの検索] を選択し、残りの検索条件を指定します。
      表 : 1. 検索条件フォーム
      フィールド 説明
      統合 統合のタイプ。リストから [ログストア] を選択します。
      注:
      この機能は、Splunk ログストアでのみサポートされています。
      送信元 送信者の正確なメールアドレス (jane.doe@example.com など)。
      メッセージ ID ログストアからのメールメッセージ ID。
      件名 フィッシングメールの件名。
      検索ウィンドウ 検索の期間 (過去 24 時間など)。
    8. [アクションを選択] リストから [検索] を選択し、[実行] をクリックします。

      入力した条件を使用して Splunk ログストアが検索され、フィッシング攻撃のターゲットとなったユーザーが [メールの検索結果] タブに表示されます。フィッシングメールの合計数と、各メールの詳細 (受信したメールの日付、受信者、メッセージ ID など) が表示されます。

    9. フィッシングメールを受信したユーザーのリストを表示するには、[検索日] 列で [>] 記号をクリックします。
      メールの検索結果
    10. メールを受信したユーザーのリストを表示するには、次の場所に移動します。 ユーザー > 影響を受けるユーザー.

      [フィッシングされたユーザー] 列は、メールの受信者を示します。

      注:
      [影響を受けるユーザー] ページには、ServiceNow インスタンスに存在するユーザーレコードのみが表示されます。
    11. フィッシング攻撃のターゲットであるユーザーをさらに調査するには、次の手順を実行します。
      1. ユーザー名の横にあるチェックボックスをオンにします。
      2. リストから [子のセキュリティインシデントの作成] を選択し、[実行] をクリックします。
      子セキュリティインシデントが作成されたことを示すメッセージが表示されます。親インシデントに関連付けられた子セキュリティインシデントを表示するには、[ 探索 ] タブをクリックし、 インシデント > 子セキュリティインシデント.

    タスクの結果

    フィッシングされたユーザーのリストが表示されます。

    ユーザーから報告されたフィッシングおよびマルウェア攻撃の観測事象サイティング検索の実行

    観測事象のサイティング検索を実行して、特定の期間内に特定の悪意のある/不審な Web サイトを訪問したユーザーの数を確認します。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    セキュリティインシデントに関連付けられた URL、宛先ホスト、宛先 IP アドレスなどの観測事象のネットワークトラフィック検索を実行できます。
    注:
    • 観測事象のサイティング検索の実装は、Splunk Enterprise ログストアでのみテストされています。
    • サイティング検索クエリで正確な結果を返すには、Splunk ログイベントが共通情報モデル (CIM) に準拠している必要があります。

    手順

    1. チームにアサインされているセキュリティインシデントを確認するには、次の場所に移動します: セキュリティインシデント > インシデント (新規 UI).
    2. [セキュリティインシデント] リストから、すべての [自分に割り当てられたインシデント][すべてのオープンインシデント][すべてのインシデント] など、別のフィルターを選択します。

      重大なインシデントやフィッシングメールなど、特定のタイプのセキュリティインシデントを表示するには、いずれかの [クイックフィルター] をクリックします。

      セキュリティインシデント
    3. 分析するセキュリティインシデントをクリックします。

      観測事象のリスト、影響を受けるユーザー、および類似のセキュリティインシデントを含む、セキュリティインシデントの概要を確認できます。

      [概要] タブ

      [観測事象 (Observables)] セクションで、[観測事象 (Observable)] 列にメールアドレス、件名、および URL が表示されていることを確認します。また、[結果] 列には、フィッシングメールが送信されたときにその URL が自動的にスキャンされ、既知の悪意のある URL であると判断されたことが表示されます。[インシデント数] 列には、同じ観測事象を共有する他のインシデントが表示されます。これらのアーティファクトは、組織内の何人のユーザーが影響を受けたかを判断するなど、このフィッシング攻撃の封じ込め手順に進む準備ができていることを示しています。

      観測事象

    4. 移動先 探索 > 調査 > メールと観測事象を検索.
    5. [検索条件] セクションを展開し、[観測事象の検索] をクリックします。
      観測事象の検索
    6. 検索する観測事象と、検索する期間 (「過去 24 時間」など) を入力します。
    7. [アクションを選択] リストから [検索] を選択します。
      入力した条件を使用して Splunk ログストアが検索され、悪意のある攻撃のターゲットにされた主なユーザーが [観測事象の検索結果] タブに表示されます。観測事象の検索結果
    8. メールを受信したユーザーを表示するには、次の場所に移動します。 ユーザー > 影響を受けるユーザー.

      [フィッシングされたユーザー] 列はフィッシングメールの受信者を識別し、[ユーザーのインタラクション] 列はフィッシング URL をクリックしたか、または不審なメールアドレスとやり取りをしたユーザーを識別します。[ユーザーのインタラクション] 列は、ユーザーが悪意のあるリンクまたは IP をクリックしたかどうかに応じて true または false に設定されます。

      注:
      [影響を受けるユーザー] ページには、ServiceNow インスタンスに存在するユーザーレコードのみが表示されます。
    9. フィッシングメールをクリックし、認証情報を盗まれた可能性があるユーザーをさらに調査するには、次の手順を実行します。
      1. [フィッシングされたユーザー] 列と [ユーザーのインタラクション] 列の両方で、[true] と表示されているユーザー名の横のチェックボックスをオンにします。
      2. [子セキュリティインシデントの作成] をクリックし、[実行] をクリックします。
        子セキュリティインシデントが作成されたことを示すメッセージが表示されます。親インシデントに関連付けられた子セキュリティインシデントを表示するには、[ 探索 ] タブをクリックし、 インシデント > 子セキュリティインシデント.

    タスクの結果

    フィッシングされたユーザーのリストが表示されます。

    サイティング検索設定レコードの作成

    複数のサイティング検索設定レコードを作成し、複数のログストアを照会したり、検索パラメーターを変更したりするときに使用します。

    始める前に

    必要なロール:sn_si.admin

    • CIM アドオンが Splunk インスタンスにインストールされている必要があります。
    • 保存された検索とインプレースクエリは、Splunk Integration でのみサポートされています。

    このタスクについて

    サイティング検索設定レコードを作成して、Splunk エンタープライズログストアで保存済みの検索を呼び出すこともできます。
    注:
    検索構成クエリは、Splunk 共通情報モデル (CIM) に準拠するために Splunk ログデータに依存しています。
    保存済みの検索構成を使用して、次のことができます。
    • 複数のイベントレコードを組み合わせたカスタム検索の作成
    • 設計効率に優れ、効果的な検索
    • Splunk の保存済みの検索でパラメーター化された入力を使用

    ベースシステムには、次の画像に示すサンプル構成が含まれています。

    図 : 1. 保存済みの検索の構成
    検索構成
    この保存済みの検索とインプレース構成クエリはサンプルクエリです。パラメーターは、お使いの環境に合わせて適宜置き換えてください。必要に応じて、保存済みの検索構成を追加で作成します。保存済みの検索構成を定義するときに、検索クエリの名前とパラメーターは、Splunk インスタンスで定義した保存済みの構成と一致させる必要があります。名前とパラメーターが同じでない場合、サイティング検索を実行しても正確な結果が表示されない可能性があります。
    注:
    Splunk インスタンスで、[検索、レポート、およびアラート (Searches, Reports, and Alerts)] ページに移動し、保存済みの検索クエリを見つけます。[権限 (Permissions)] リンクをクリックして [権限 (Permissions)] ページに移動します。[すべてのアプリ (All Apps)] ラジオボタンを選択し、[全員 (Everyone)][読み取り権限 (Read Permission)] オプションを有効にします。これにより、保存済みの検索クエリの [共有 (Sharing)] 列の値が [プライベート (Private)] から [アプリ (App)] に変更されます。これが設定されていない場合、保存済みの検索クエリが何も結果を返さない可能性があります。

    保存済みの検索構成が Splunk インスタンスで定義した構成と一致するかどうかを確認するには、次の手順を実行します。

    1. 移動先 設定 > 検索、レポート、アラート.
    2. [アプリコンテキスト][すべて] に変更します。

      検索レポートのリストが表示されます。

    3. 保存済みの検索クエリがリストに存在することを確認します。
    たとえば、[サイティング検索構成] フォームには、メールアドレスとメール送信者が検索パラメーターとして含まれています。
    図 : 2. [サイティング検索構成] フォーム
    保存済みの構成

    Splunk インスタンスで、同じ「Default Saved Search - Emails (デフォルトの保存済みの検索 - メール)」という名前で、同じ検索パラメーター (メールアドレスとメールの件名) の保存済みの検索を定義します。名前と検索パラメーターが同じでない場合、サイティング検索で正確な結果が生成されない可能性があります。

    手順

    1. 移動先 Security Operations > 統合 > サイティング検索構成 をクリックし、新しいレコードを作成します (フィールドの説明についてはテーブルを参照)。
      表 : 2. [サイティング検索構成] フォーム
      フィールド 説明
      名前 構成の名前。
      保存された検索 このオプションを選択すると、保存された検索構成が作成されます。
      サイティング検索ソース サイティング検索のソース。ソースとして Splunk ログストアを選択します。
      有効 保存済みの検索ステータスのオプション。サイティング検索に使用できるのは、アクティブな検索構成だけです。
      観測可能タイプ [観測事象タイプ] には、IP、ハッシュ値、URL、ドメイン名などの任意の観測事象タイプを指定できます。
      検索あたりの最大観測事象の数 検索から返される観測事象の最大数。
      検索 デフォルトの検索文字列は $(observable) ですが、Splunk ログストアでサポートされているパラメーターを指定することで、独自の検索クエリを定義できます。
    2. [Submit] をクリックします。

    タスクの結果

    これでサイティング検索設定レコードを作成できました。

    次のタスク

    検索クエリを定義した後、[サイティング検索テストクエリを生成] をクリックし、観測事象値のリストを指定して、この保存済みの検索構成に基づいてテストクエリを生成します。