はじめに
本ドキュメントでは Stealthwatch と Cognitive Intelligence を連携させて、検出されたブラウザベースの攻撃について調査する方法について説明します。
ソリューション
Cisco Cognitive Intelligence は、Web テレメトリの自動ふるまい解析を使用して不正なブラウザ・アドオンのファミリーを発見しました。シスコの研究者はこのような不正なアドオンを 4000 個以上発見しました。研究者はこれらのアドオンファミリーに関連するネットワークトラフィックを1年分解析し、これらのアドオンファミリーからのHTTPトラフィックは、いくつかの共通の特徴を持っていることを発見しました。Cisco Stealthwatch を Cognitive Intelligence と連携させ、Stealthwatch Management Console (SMC) のホストレポートや利用可能な様々なツールに切り替えることにより、これらの脅威をさらに解析することができます。
最小要件
Cisco Stealtwatch システム構成の最小要件は以下の通りです。
- Core/Distribution レイヤから全てのホスト間通信が見えること。
- Cognitive Intelligence が有効になっていること。
- Stealthwatch バージョン 6.9.1 またはそれ以降を使用していること。
SMC Web UI 上の Cognitive Intelligence
Cognitive Intelligence は SMC Web UI の Security Insight Dashboard に "Cognitive Threat Analytics" という名前のウィジェットとして表示されます。このウィジェットは Cognitive Intelligence の機械学習機能によって検出された攻撃の上位リストへのクィックビューを提供します。
この脅威についてもっと情報を取得するには、IPアドレスの右側の (…) 記号をクリックして、"Open in Cognitive Threat Analytics" を選択します。
Cognitive Intelligence Dashboard は脅威の全ライフサイクルに関する情報を表示します。以下の図は、このホストは Amazon のような正当なサイトにアクセスしていることを示していますが、機械学習と Threat Grid 解析によると、ブラウザベースの脅威が存在していることが確認されました。
確認された脅威についてさらに詳細を見ていくには、脅威のコンフィデンスレベル(confidence) の隣にあるドロップダウンメニューをクリックします。
それぞれのケース番号には、シビリティ番号に対応する脅威に関する情報が含まれています。ケース番号 #CADP01 は AdPeak と呼ばれるマルウェアに関係しています。このマルウェアはユーザが表示したWebページに勝手に広告を挿入するという動作をします。
ケース番号 #CDPY01 は潜在的に迷惑なアプリケーション(Potentially Unwanted Applications, PUAs) に関係しています。PUA はブラウザセッションに広告を挿入します。それによりさらなるマルウェアの感染に繋がります。
脅威のタイムラインに表示されているそれぞれのホストについてさらに調査するには、"SMC" をクリックして Stealthwatch に切り替えます。
SMC にて Host Report が表示されます。その中には "Traffic by Peer Host Group"、そのホストが所属しているホストグループ(Development)、"Top Security Events" などが表示されます。