- はじめに
- ソリューション
- 最小要件
- High Concern Index と High Target Index アラーム
- キーイベント
- High Concern Index と High Target Index アクティビティを調査する
- トラフィックのボリュームが正常であるか判断する
はじめに
本ドキュメントでは、アラームカテゴリの High Concern Index と High Target Index について説明します。Stealthwatch バージョン 6.9 を使用して作成されていますので、スクリーンショットはバージョン 6.9 の画面となっています。そのため、新しいバージョンとは画面遷移や機能に差異がある場合があります。
ソリューション
Cisco Stealthwatch は、ベースライン化されてポリシーで制御された Concern Index (CI) と Target Index (TI) 値を使って、異常検知をホストレベルに提供します。CI と TI 値は単に累積したセキュリティイベントに対してホストに割り当てられるデメリット値です。Stealthwatch Management Console (SMC) Web User Interface (UI) を使用して、CI や TI 値がベースラインを超過した、もしくは閾値を急激に増加させているホストを追跡します。
最小要件
Cisco Stealthwatch システム構成の最小要件は以下の通りです。
- Core/Distribution レイヤから全てのホスト間通信が見えること。
- Stealthwatch バージョン 6.9 またはそれ以降を使用していること。
High Concern Index と High Target Index アラーム
Stealthwatch は物理的なネットワークセグメントを論理的なホストグループに分離することができます。これらの仮想敵な分離を使い、Stealthwatch はネットーワク上の新規ホストと通信し始めるホストに CI、TI 値を割り当て、追跡します。
High CI と High TI カテゴリは同じイベントを使います。もしイベントが送信元ホストで発生した場合、High CI カテゴリアラームが上がります。もしイベントが宛先ホストで上がった場合、High TI アラームが上がります。
セキュリティイベントが発生すると紐づいているアラームにポイントを付与します。セキュリティイベントには複数のアラームカテゴリと紐づいているものもあります。この場合、複数のアラームカテゴリに対してポイントを付与します。アラームは発生したセキュリティイベントのタイプに基づいて生成されます。
以下のセキュリティイベントは、Stealthwatch 6.9 において High Concern Index と High Target Index アラームに紐づいています。2つめのカラムは各セキュリティイベントが発生した際にアラームカテゴリに付与されるデフォルトのポイント数を示しています。いくつかのセキュリティイベントはデフォルトの固定ポイントを持っておらず観測したフローに基づいて付与するポイントが決定します。
(注)アラームカテゴリと紐づいているセキュリティイベントの種類とポイント数は Stealthwatch のバージョンによって変わりますので、他のバージョンに関しましては、ご利用のバージョンの "Security Events and Alarm Categories" ドキュメントを参照してください。
| セキュリティイベント名 | デフォルトでカテゴリに割り当てられるポイント数 |
| Addr Scan Talking Detect | 3000 |
| Addr_Scan/TCP | 3000 |
| Addr_Scan/UDP | 3000 |
| Bad_Flag_ACK | 200 |
| Bad_Flag_All | 200 |
| Bad_Flag_NoFlg | 200 |
| Bad_Flag_Rsrvd | 200 |
| Bad_Flag_RST | 200 |
| Bad_Flag_SYN_FIN | 200 |
| Bad_Flag_URG | 200 |
| Beaconing Host | 1000 |
| Bot Infected Host - Attempted C&C Activity | 50000 |
| Bot Infected Host - Successful C&C Activity | 10000 |
| Brute Force Login | 3000 |
| Command And Control | 500000 |
| Connection from Bogon Address Attempted | 100 |
| Connection from Bogon Address Successful | 1000 |
| Connection to Bogon Address Attempted | 100 |
| Connection to Bogon Address Successful | 1000 |
| Frag:First_Too_Short | 100 |
| Frag:Packet_Too_Long | 100 |
| Frag:Sizes_Differ | 100 |
| Half Open Attack | 監視対象フローに基づく |
| High SMB Peers | 1000 |
| ICMP Flood | 監視対象フローに基づく |
| ICMP_Comm_Admin | 1 |
| ICMP_Dest_Host_Admin | 1 |
| ICMP_Dest_Host_Unk | 1 |
| ICMP_Dest_Net_Admin | 1 |
| ICMP_Dest_Net_Unk | 1 |
| ICMP_Frag_Needed | 1 |
| ICMP_Host_Precedence | 1 |
| ICMP_Host_Unreach | 1 |
| ICMP_Host_Unreach_TOS | 1 |
| ICMP_Net_Unreach | 1 |
| ICMP_Net_Unreach_TOS | 1 |
| ICMP_Port_Unreach | 1 |
| ICMP_Precedence_Cutoff | 1 |
| ICMP_Proto_Unreach | 1 |
| ICMP_Src_Host_Isolated | 1 |
| ICMP_Src_Route_Failed | 1 |
| ICMP_Timeout | 1 |
| Long Ping | 1 |
| MAC Address Violation | 0 |
| Max Flows Initiated | 監視対象フローに基づく |
| New Flows Initiated | 監視対象フローに基づく |
| Packet Flood | 監視対象フローに基づく |
| Ping | 0 |
| Ping Scan | 3000 |
| Port Scan | 3000 |
| Reset/tcp | 1 |
| Reset/udp | 1 |
| Slow Connection Flood | 3000 |
| SSH Rev Shell | 1000 |
| Stealth_Scan/tcp | 8010 |
| Stealth_Scan/udp | 8010 |
| Suspect Long Flow | 1000 |
| Suspect Quiet Long Flow | 1500 |
| Suspect UDP Activity | 1000 |
| Syn Flood | 監視対象フローに基づく |
| Talks to phantoms | 1000 |
| Timeout/tcp | 1 |
| Timeout/udp | 1 |
| Tor Entry Attempted | 500 |
| Tor Entry Inside Host | 500 |
| Tor Entry Succeeded | 500 |
| Tor Exit Attempted | 500 |
| Tor Exit Inside Host | 500 |
| Tor Exit Succeeded | 500 |
| UDP Flood | 監視対象フローに基づく |
| Work Propagation | 3000 |
キーイベント
CI と TI アラームカテゴリに関するキーイベントについていくつか詳しく説明します。
Bad_Flag_ACK
パケットに TCP ACK フラグが含まれておらず、Reset または SYN 以外のフラグが含まれている場合は、送信元ホストでセキュリティイベントがトリガーされます。TCP パケット に無効なフラグが設定されていることは、通常はあり得ません。そのような事例が見つかった場合は、パケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性があります。というのも、システムの種類が異なれば、異なる組み合わせの異常フラグに対して異なる応答が返される可能性があるからです。
Bad_Flag_SYN_FIN
TCP SYN および FIN フラグが含まれているパケットがあった場合は、送信元ホストでセキュリティイベントがトリガーされます。TCP パケット に無効なフラグが設定されていることは、通常はあり得ません。そのような事例が見つかった場合は、パケットの送信先マシンに関する情報収集を目的として意図的に行われている可能性があります。というのも、システムの種類が異なれば、異なる組み合わせの異常フラグに対して異なる応答が返される可能性があるからです。
不良フラグ(Bad_Flag)アクティビティへの対応の次のステップ
このイベントのソースが内部ホストである場合、これ以外の偵察活動の兆候を探す価値があります。たとえば、ホストは不正なフラグの組み合わせを複数のホストに送信していないでしょうか。同じポートで多数のホストをスキャンしていないでしょうか。1 つのホスト上で多数のポートをスキャンしていないでしょうか。内部ホストによる偵察があれば、それは望ましくないアクティビティや侵害の兆候として捉えることができます。
Bot Command & Control Server
送信元ホストが Threat Intelligence License Command & Control (C&C) サーバリストに載っており、C&C サーバとして動作している可能性があります。
Bot Infected Host - Attempted C&C Activity
送信元ホストが C&C サーバと通信しようとしています。通信は一方向のみであり、これは C&C サーバが応答していないことを意味します。
Suspect Quiet Long Flow
このセキュリティイベントは、一部の指揮統制(C&C)アクティビティで使用されるハートビート接続と、スパイウェア、IRC ボットネット、およびその他通信を隠れて行う方法など、他の疑わしい通信チャネルを識別します。このイベントは Beaconing Host に似ていますが、転送するデータの量が少ない場合に双方向通信が含まれることが異なります。このイベントでは、バックグラウンドの Web サイト ハートビートも特定できる点に注意してください。
High Concern Index と High Target Index アクティビティを調査する
SMC Web UI にて、アラームカテゴリは Security Insight Dashboard の一番上に横一列に表示されます。そして、それぞれのカテゴリにおいてイベントが発生したホストの数を示しています。以下の例では CI と TI イベントを発生させているホストはそれぞれ 3 個ずつであることを示しています。さらに情報を取得するには、カテゴリ内の数値をクリックします。
ホストレポートが表示され、イベントを発生させたホストと、ホストの IP アドレスやホストが所属するグループ等の情報が表示されます。この例では、CI カラムのパーセンテージに注目してください。CI のパーセンテージをクリックします。
Alarm Dashboard が表示されます。"Details" カラムには発生したアラームにおける超過した閾値と許容レベルが出力されています。さらに情報を取得するには、該当行の "Details" カラムのリンクをクリックします。
Security Events Details ウィンドウが表示され、Source/Target ホストとアラームカテゴリに紐づいていてアラームを発生させたセキュリティイベントの情報が表示されます。
トラフィックのボリュームが正常であるか判断する
目的はこのトラフィックは正常なアクティビティであるかどうか判断することです。通常はトラフィックの送信先をチェックすることで判断します。送信元IP、宛先IP、ポート番号、サービス、フローの開始時刻、地理的位置情報、ユーザ名(ISE と連携している場合)などのフローの詳細をさらに得るために、セキュリティイベントの関連フローの表示に切り替えるところから始めます。
Target が外部ホストである場合、External Lookup を実行し、IPの所有者を確認します。Target が既知のビジネスパートナーや信頼されたネットワークである場合、Target を適切なホストグループに分類します。External Lookup ではホストの身元について十分な情報が得られなかった場合、Top Peers レポートを実行して、このホストと通信しているほかのホストについて調査し、同じふるいまいをしているか調べます。さらに、Flow Traffic レポートを実行して、疑わしいトラフィックパターンを探します。C&Cサーバへのハートビートの場合は、転送バイト数が少ない周期的なトラフィックパターンが見られます。
関連フローを表示するには、調査したいイベントに対して "View Flows" をクリックします。セキュリティイベントの関連フローを表示するための検索条件があらかじめ自動的に入った Flow Search 画面が表示されますので "Search" をクリックすると検索結果が表示されます。
このイベントの Target は外部ホストであることが分かります。
External Lookup では調査対象ホストが誰なのかという情報が得られるため、信頼されたホストグループに追加する必要がある正当なホストであるか判断することができます。調査したい外部ホストIPのカラムで (…) をクリックして、External Lookup を実行します。
External Lookup の結果が表示されます。ホストの IPアドレスをクリックします。
ホストレポートが表示され、"Traffic by Peer Host Group (last 12 hours)" ウィジェットに、このホストが通信していたピアがグラフィカルに表示されます。
External Lookup の情報だけでは不十分である場合、Top Peers レポートを実行します。IPの隣の (…) をクリックして、"Top Reports > Top Peers" を選択します。
Top Peers Search の結果が表示され、Target と通信していている他のホストを特定し、同様のふるまいをしているか調べることができます。
Application Traffic ウィジェットには、このホストにおける内部と外部のアプリケーショントラフィックが表示されます。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
