第3回 招かざるセキュリティの脅威、マシンデータから見つけるには：実践 Splunk道場（2/3 ページ）

[矢崎誠二，ITmedia]

マシンデータから問題を見つける

　前回までマシンデータ・プラットフォームのSplunkについて解説してきたが、Splunkはセキュリティ専用装置ではないにもかかわらず、セキュリティのユースケースが広がっている。

　上述したサイバーキルチェーンを見つけるためには、Splunk単体では何もできない。各々のセキュリティデバイスでも個々の事象判別、限定対応に留まる。しかし、サーバやネットワーク、Webなどの非セキュリティのマシンデータとセキュリティデータを活用することでサイバーキルチェーンを見つけ出し、連動する脅威の分断に寄与できる。いわゆる「SIEM」と呼ばれる領域だ。マシンデータを分析することで得られる幾つかの特徴のうち、Splunkの主な3つの特徴を見てみたい。

1.キルチェーンを検出するためのファーストトリガー

　複数のログの相関分析を行い、アラームを出力する。メッセージ内容、時間軸、回数、カテゴリ別にイベントを生成、ユーザーの意図によって相関することは自由自在だ。例えば、次のようなことができる。

• Active Directoryに存在しないユーザーIDによる認証失敗を検出
• 認証失敗が5回以上発生した1分以内にログインの成立の検出
• ファイアウォールを通過したアドレスに対して3分以内にIDS（侵入検知システム）で検知され、かつサーバまで到達した通信は何か
• 脆弱性のCVE番号を利用してIDSで検出した攻撃が脆弱性スキャナによって、同じ脆弱性のCVEの存在有無の確認により危険度の上下動
• KPIを用いたベースライン分析による異常検出
• HTTPやDNSのログを利用した異常通信の検出
• 脅威インテリジェンスとの照合

　例えば、ランダムジェレネートされたDNSは攻撃元に利用され、また、情報漏えいでDNSがトンネル対象としても度々利用されるようになった。このため、DNSのログやパケットキャプチャから名前解決のNameを解析対象とすることも重要である。よって、Nameの異常性や生存頻度、アクセス頻度から問題を割り出すことで、DNSはサイバーキルチェーンを見つけだすファーストトリガーとして利用できる（図5参照）。

図5：DNSからサイバーキルチェーンを見つけだす

　またHTTPのログを利用し、User Agentの異常を見出すことも重要である。異常なUser Agentからのアクセスは、不正な端末からのアクセスの可能性が高く、中間者攻撃の場合、攻撃者はWebブラウザを利用しないため、この手の検出の有効性は特に高い（図6参照）。

図6：User Agentからサイバーキルチェーンを見つけだす