第18章 インシデントの調査
インシデントは、ネットワークに関する攻撃を示す、規則によって相互に関連付けられた一連のイベントです。MARS では、インシデントの検出、軽減、レポート、および分析が簡素化され、迅速に処理されます。Network Summary の Dashboard および Incident ページを使用すると、最近のインシデントを検出して、インシデントを構成する規則およびイベントを表示できます。軽減機能は、ネットワーク内のチョーク ポイントとして機能する実行デバイスを識別および設定して、攻撃側ネットワーク デバイスと被害側ネットワーク デバイスを分離する MARS の機能です。クエリーおよびレポートは、問題の範囲を明らかにし、分析および適合規格のためのデータを収集します。すべての情報は、ケース管理によってケース レポートに取り込み、関連するユーザに通知できます。
インシデントの概要
攻撃は、偵察アクティビティ(ポート スキャンなど)、侵入(バッファ オーバーフローなど)、ターゲット ホストに関する悪意のあるアクティビティ(ローカル権限のエスカレーション攻撃やバックドアのインストールなど)の順番で構成される場合があります。
Local Controller で生成されたインシデントは、攻撃シナリオを構成する関連イベントを収集し、規則を使用してこれらのイベントを記述します。MARS にはユーザが微調整可能な、定義済みのシステム規則があります。また、MARS で独自の規則を作成することも可能です。
インシデントは複数のインスタンスに分割されるため、攻撃シナリオの調査が容易になります。インスタンスは、それぞれが完全な攻撃シナリオに対応します。
たとえば、ネットワークが DoS 攻撃に対してプローブされてから攻撃を受けた場合、追加攻撃が検出されると、規則が起動されます。このインシデントにより、この攻撃のインスタンスが表示されます。
図 18-1 DoS プローブと後続の DoS 攻撃
Incidents ページ
Incidents タブをクリックして、Incidents ページにナビゲートします。Incidents ページに、最近のインシデントが表示されます。
インシデントは、特定の規則の基準を満たし、この規則を起動したイベントおよびセッションの集合です。インシデントの継続期間に含まれるのは、インシデントを起動したイベントのみです。
図 18-2 インシデント ナビゲーション
I
Incident ページの表の項目は、次のとおりです。
・
Incident ID
インシデントの一意な ID
・Severity
低(グリーン)、中(イエロー)、および高(レッド)のアイコン
・Event Type
レポート デバイスから送信される標準化されたシグニチャ
・Matched Rule
基準が満たされた規則
・Action
この規則の起動時に送信される通知の説明(ePAGE、電子メールなど)
・Time
特定の時刻または時間範囲(詳細については「インシデントの時間範囲」を参照)。
・Incident Path
インシデントのパス図に移動するアイコン
・Incident Vector
送信元、イベント タイプ、および宛先に関する図に移動するアイコン
インシデントの時間範囲
Time カラムには、特定の時刻(Sep 6, 2003 12:09:54 PM PDT)、時間範囲(Sep 6, 2003 12:06:43 PM PDT - Sep 6, 2003 12:06:47 PM PDT)が表示されます。
特定の時刻は、すべての起動したイベントが同じ秒内に受信されたことを示します。インシデントの継続期間に含まれるのは、インシデントを起動したイベントのみです。
Incident Details ページ
Incident ID をクリックすると、Incident Details ページに移動します。Incident Details ページには、情報および情報収集ツールが多数示されています。このページで、インシデントの起動元、発生したイベントの種類、発生時刻、実行対象などの情報を収集できます。
図 18-3 Incident Details ページ
このページの上部に、インシデント ID およびセッション ID を検索して一致した規則を表示するためのツールが配置されています。
セッション ID またはインシデント ID の検索手順
ステップ 1 該当するフィールドに ID を入力します。
ステップ 2 Show ボタンをクリックします。
部分的に非表示の規則を表示する手順は、次のとおりです。
Rule Description の横にある Show ボタンをクリックします。
Incident Details テーブル
Incident Details テーブルの各行は、特定のセッション、またはセッション グループに共通の情報を表します。縮小されたセッション情報をすべて表示するには、プラス記号をクリックして、グループを展開します。インシデント情報をすべて展開または縮小するには、それぞれ Expand All または Collapse All ボタンをクリックします。
注 基準に従って並べ替えるには、カラムのヘッダーをクリックします。この並べ替えは文字単位で実行されるため、31250 は 235634 よりも大きくなります。これらの並べ替えはオフセット内、およびインスタンス内で実行されます。
図 18-4 テーブル内の行の展開
情報密度の濃いテーブルでは、インシデントを深いレベルまで展開できます。特定の基準に基づいて照会するには、このページの任意の場所で、Query 
アイコンをクリックします。特定のセッションの未処理イベントを表示するには、Raw Events 
アイコンをクリックします。Tune リンクをクリックすると、フォールス ポジティブ用にインシデントを調整できます(「False Positive ページ」を参照)。攻撃を軽減するには、Mitigate リンクをクリックします。
図 18-5 Incident テーブル
次に、このテーブルの詳細をいくつか示します。
・Instances
行が複数のインスタンスに分割されることがあります。異なるインスタンス間の関係は、同じ時間枠内で同じ規則を起動したということのみです。
・Session/Incident ID
このカラムには、インシデントの原因となったセッション、およびこれらのセッションが属するその他のインシデントが表示されます。
・Events カラム
Events カラムには、起動イベントのタイプが表示されます。1 つのセッションに対して、同じタイプの起動イベントが同時に複数表示されます。
・Time カラム
インシデントの継続期間に含まれるのは、インシデントを起動したイベントのみです。
軽減機能
軽減機能は、実行デバイス(通常はスイッチ、ルータ、またはファイアウォール)の設定を変更して、攻撃するネットワーク要素からのネットワーク アクセスを制限するアクションです。CS-MARS は軽減機能に関連する次のアクションを実行できます。
・攻撃元ホストおよび攻撃対象ホストの識別
・軽減ポイントおよび実行デバイスを特定するための、被害を受けたネットワーク セグメントのレイヤ 2 およびレイヤ 3 トポロジーのプロット
・レイヤ 2 およびレイヤ 3 実行デバイスに対する設定コマンドの推奨
・サポート対象レイヤ 2 デバイスへの推奨設定コマンドのプッシュ(ダウンロード)
Telnet、SSH、または SNMP を使用してスイッチやルータにアクセスする場合、CS-MARS は実行デバイスに軽減設定を推奨およびプッシュするほか、インタラクティブなトポロジーおよびインシデント パスに関する図を生成できます。Telnet、SSH、または SNMP アクセスを使用しない場合も、一部の軽減情報は、特定の IEEE 802.1X ポートベースのネットワーク アクセス制御プロトコル設定を実行するシスコ製スイッチから取得できますが、推奨される軽減コマンドは実行デバイスで手動で設定する必要があります。CS-MARS 軽減コマンドを受け取るようにレイヤ 2 デバイスを設定するための情報および手順については、「レイヤ 2 パスの分析および軽減機能の設定」を参照してください。
静的および動的なネットワーク情報
比較的永続的なレイヤ 2 およびレイヤ 3 デバイスにアクセスして取得されるトポロジー情報は、HTML インターフェイスでは静的情報といいます。動的情報とは、頻繁に変更される情報(ホスト名など)や、動的イベントを報告するデバイスやエージェント(802.1X アクセス制御設定、Cisco Security Agent、その他のセキュリティ スイート ソフトウェアなど)を介して取得した、DHCP が割り当てる IP アドレスのことです。Cisco 802.1X 対応スイッチで DHCP スヌーピングが稼働し、Cisco Access Control Server(ACS)を介して RADIUS 認証されている場合、CS-MARS は軽減ポイントおよび実行デバイスを判別できます。DHCP スヌーピング トランザクションが完了すると、スイッチは ACS にログ メッセージを送信します。ACS ログは CS-MARS に送信され、各 802.1X クライアントの送信元 IP アドレス、ユーザ名、接続の開始時刻と停止時刻、物理インターフェイス、および MAC アドレスが報告されます。802.1X クライアントは、モバイルであることが多いため、802.1X 軽減アクションが発生するのは、攻撃元ホストが現在ネットワークに接続されている場合のみです。
注 802.1X スイッチの設定によっては、CS-MARS が軽減機能のプッシュ先となる物理インターフェイスを正しく判別できません。この状況は、Cisco Catalyst 3550 マルチレイヤ スイッチなど、ファスト イーサネット およびギガビット イーサネット ポートに同じモジュール/ポート(0/1 など)が指定されているスイッチに対して発生します。CS-MARS は、このモジュール/ポート情報のみを Cisco ACS ログから受け取るため、特定のポートを識別して軽減機能を実行することはできません。このような場合は、次のメッセージが表示されます。
No mitigation possible.Enforcement device exists but interface names conflict.Determine appropriate interface and mitigate manually.
802.1X ネットワーク マッピングによる軽減の要件
CS-MARS との 802.1X ネットワーク マッピングを使用して軽減機能を実行するための要件は、次のとおりです。
・シスコ製スイッチで Cisco CatOS または IOS が稼働し、IEEE 802.1X ポートベースのネットワーク アクセス制御プロトコルが設定されていること
・CS-MARS Security and Monitoring Information ページ(Admin > Security and Monitor Devices)でスイッチのレポート IP アドレスが設定されていること
・スイッチでシスコの DHCP スヌーピングがイネーブルになっていること
・スイッチが ASC を介して Remote Access Dial-In User Service(RADIUS)の Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)を実行していること
・Cisco ACS で、ログを CS-MARS に送信する pnLogAgent が稼働していること
・Cisco ACS がアップデート(ウォッチドッグ)パケットを記録するように設定されていること
攻撃の軽減
この手順では、Network Summary ページでインシデントを観察し(図 18-6 を参照)、802.1X ネットワーク マッピングを使用して軽減します。
図 18-6 軽減するインシデントが表示された Summary ページ
ステップ 1 軽減する最近のインシデントの Incident ID をクリックします。
ステップ 2 Incident ID をクリックして、セッションのサマリーを表示します(図 18-7 を参照)。
図 18-7 レッドの Mitigation アイコンが表示された Incident Detail ページ
ステップ 3 Path/Mitigation カラムに表示されるレッドのパス情報アイコンをクリックします。
Mitigation ポップアップ ウィンドウが表示され、考えられる静的なトポロジーおよび軽減情報が示されます(図 18-8)。
CS-MARS は実行デバイスおよび軽減コマンドを推奨します。静的情報については、ネットワーク全体が検出され、CS-MARS がレイヤ 2 実行デバイスにコマンド レベルでアクセスできる場合、Push ボタンはレッドで表示されます。それ以外の場合は、グレーで表示されます。図 18-8 の CS-MARS は、レイヤ 2 実行デバイスを識別するための十分な静的情報を保持していませんが、検出されたレイヤ 3 デバイス(Cisco PIX ファイアウォールやシスコ製ルータ)に軽減コマンドを提示できます。レイヤ 3 デバイスでは、レイヤ 3 軽減コマンドを手動で設定する必要があります。
図 18-8 Path Information ポップアップ ウィンドウ
ステップ 4 Dynamic Info をクリックして、802.1X 設定から取得したレイヤ 2 軽減の推奨事項を表示します。
Dynamic Mitigation ウィンドウが表示され、ホスト名、IP アドレス、MAC アドレス、および接続ステータスが示されます(図 18-9 を参照)。
図 18-9 動的な軽減情報
ステップ 5 実行デバイスを確認します。
ステップ 6 推奨されるポリシー/コマンドを確認します。
ステップ 7 Push をクリックして、推奨される軽減コマンドを実行デバイスにダウンロードします。軽減確認ダイアログが表示されます(図 18-10 を参照)。
Push ボタンがグレーの場合は、実行デバイスに軽減コマンドを手動で設定する必要があります。
注 802.1X ターゲット ホストがネットワーク上にあり、CS-MARS が実行デバイスにコマンドを使用してアクセスできる場合は、Push ボタンがレッドで表示され、有効です。そうでない場合は、グレーで表示され、有効ではありません。
図 18-10 軽減確認ダイアログ
ステップ 8 Yes をクリックして確認します。
動的なデバイス情報の表示
802.1X 接続の IP アドレスに関する現在の情報、セッション情報、およびすべての履歴情報を表示する手順は、次のとおりです。
ステップ 1 Incident ID をクリックして、セッションのサマリーを表示します(図 18-7 を参照)。
ステップ 2 セッションの Source IP/Port または Destination IP リンクをクリックします。
攻撃元ホストを調査する場合に関連性が高いのは、Source IP アドレスです。
ステップ 3 現在の接続情報を示すポップアップ ウィンドウが開き、静的な接続情報が表示されます。
ステップ 4 Dynamic Info をクリックして、現在の接続情報を表示します(図 18-10 を参照)。
動的情報は 802.1X 設定、Cisco Security Agents、またはその他のセキュリティ ソフトウェア スイートから取得できます。現在の接続情報は、選択された IP アドレスに対して使用可能な最新のネットワーク情報です。
ステップ 5 Session をクリックして、特定のセッションに関連する接続を表示します(図 18-12 を参照)。
図 18-11 動的情報—現在の接続ステータス
ステップ 6 All をクリックして、指定された IP アドレスの動的情報全体を表示します(図 18-12 を参照)。
図 18-12 指定された IP アドレスの動的情報履歴
ステップ 7 Push ボタンが使用可能な場合はクリックします。またはデバイスから軽減を実行します。Push ボタンをクリックすると、確認画面が表示されます。
注 アクセス タイプが SNMP のデバイスに軽減を実行するには、読み取り/書き込みコミュニティ ストリングが設定されていなければなりません。
ステップ 8 Yes ボタンをクリックして、軽減コマンドを確認し、有効にします。
フォールス ポジティブの確認
インシデントを調査している場合は、決まってフォールス ポジティブ イベントが発生します。場合によっては、起動イベントが MARS によって、システム確認済みのフォールス ポジティブおよび未確認のフォールス ポジティブに自動的に分類されます。通常は、脆弱性スキャンよってフォールス ポジティブ イベントが識別されますが、イベントを調査して有効性を判別しなければならない場合もあります。
フォールス ポジティブの用語、およびユーザ インターフェイス内でどのような作業を行うべきかを把握するには、想定される攻撃に関連する 3 つの条件(正規の攻撃、有効なターゲット、および攻撃の検出)がそれぞれ満たされているかどうかを調べる必要があります。これらの違いについては、表 18-1 を参照してください。
|
正規の攻撃 |
有効なターゲット |
攻撃の検出 | |
|---|---|---|---|
|
無効なシナリオ |
0 |
0 |
0 |
|
フォールス ポジティブ |
0 |
0 |
1 |
|
無効なシナリオ |
0 |
1 |
0 |
|
フォールス ポジティブ |
0 |
1 |
1 |
|
フォールス ネガティブ |
1 |
0 |
0 |
|
攻撃/アラーム(ノイズ) |
1 |
0 |
1 |
|
トゥルー フォールス ネガティブ |
1 |
1 |
0 |
|
侵入/トゥルー アラーム |
1 |
1 |
1 |
表 18-1 に示された有効になる条件に基づいて、フォールス ポジティブの用語を明確に区別できます。
・正規の攻撃は、攻撃者が既知の方法で特定のホストにアクセスしたり、その情報を取得しようとしたりすることです。
・有効なターゲットは、起動された攻撃の被害を受けやすいホストです。ホストに適切なパッチを当てるか、ローカル ファイアウォール、ウイルス スキャナ、侵入防御ソフトウェアなど、攻撃からホストを保護するその他の対処法を講じると、ホストは無効なターゲットになれます。
・攻撃の検出は、モニタリング デバイスが攻撃を検出して、アラームを生成したかどうかを意味します。
・フォールス ポジティブは、モニタリング システムが無害な条件に対してアラームを生成する状態です。この場合、アラームが生成されますが、正規の攻撃は存在しません。
・未確認のフォールス ポジティブは、モニタリング システムが、レポート デバイスで使用できないデータに基づいて、アラームがフォールス ポジティブであると判断した状態です。未確認とは、管理者がフォールス ポジティブであるという判断を確認して、それを受け入れるか、または拒否する必要があるという意味です。
・フォールス ネガティブは、モニタリング システムが正規の攻撃を検出できない状態です。
・ノイズは、無効なターゲットが攻撃されたためにトリガーされたアラームを意味します。これらのアラームが生成された場合は、実際に攻撃が発生していますが、ターゲットに対策が施されているため被害はありません。ノイズ カテゴリに分類される攻撃は、調査および軽減に関して二次的な重要性があります。
・侵入は、ホストに対する攻撃に成功し、ホストが攻撃者から被害を受けることです。
・トゥルー フォールス ネガティブは、侵入が発生し、モニタリング システムで検出されていない状況です。
・トゥルー アラームは、侵入が発生し、モニタリング システムによって検出されている状況です。
Local Controller が受信したイベントは、定義済み規則の条件と対照して判断されます。イベントが規則条件を満たす場合は、インシデントがトリガーされます。イベントがインシデントをトリガーした場合、このイベントは起動イベントといいます。このような起動イベントにフォールス ポジティブ分析が実行されて、フォールス アラーム数が削減されます。
組み込みの脆弱性に関するイベント データ、学習済みのトポロジー パス、セッション化されたイベント データ、L2 および L3 レポート デバイスの Access Control List(ACL; アクセス制御リスト)分析、サードパーティ製の Vulnarability Analysis(VA; 脆弱性分析)ソフトウェア(Foundstone や eEye など)のデータのサポート、およびユーザが入力したホスト情報を使用して、MARS は報告された起動イベントを分析し、高度なレビューが必要かどうかを判別します。
MARS の場合、システム確認済みのフォールス ポジティブは、さらなる分析後、起動イベントが無効であると判別された状態です。システム確認済みのフォールス ポジティブの例は、次のとおりです。
・ファイアウォール外のネットワークをモニタしている IDS デバイスが攻撃を報告した場合。ただし、ファイアウォールはこのセッションを、標準アクセス制限の一部として廃棄します。したがって、攻撃はターゲットに到達しません。
・Cisco Security Agent が攻撃を検出し、ブロックした場合。
未確認のフォールス ポジティブは、さらなる分析後、主に攻撃対象が無効なターゲットであるという理由により、起動イベントが無害であると判断された状態です。未確認のフォールス ポジティブの例は、次のとおりです。
・レポート デバイスがホストに対する有効な攻撃を報告したにもかかわらず、攻撃対象が別の OS(オペレーティング システム)であるために、このホストが攻撃の被害を受けない場合。これらのタイプのフォールス ポジティブを削減するには、レポート デバイスに OS フィンガープリント テクノロジーを採用します。
・レポート デバイスがホストのアプリケーションに対する有効な攻撃を報告したにもかかわらず、攻撃対象が別のアプリケーションであるために、このホストが攻撃の被害を受けない場合。
・レポート デバイスが TCP ポート 80 に対する有効な Web 攻撃を報告したにもかかわらず、ダイナミック プローブによって、ターゲット ホストのどのサービスも TCP ポート 80 を待ち受けていないと判別された場合。
未確認のフォールス ポジティブの場合は、アラームを手動で調査して、それが実際にフォールス ポジティブであるかどうかを Local Controller で指定する必要があります。実際にフォールス ポジティブである場合は、イベントの廃棄規則を定義する必要があります。廃棄規則を定義するということは、イベントがデータベースに格納されなくなるということではありません。インシデント評価によってイベントを廃棄するかどうか、また、データベースにイベントを格納するかどうかを選択できます。イベントをデータベースに格納するかどうかに関係なく、イベントタイプおよびターゲット ホストが一致するイベントは、起動イベントとして機能できなくなります。この方法でイベント処理を改善することによりユーザの作業時間は短縮され、ユーザはより正確にイベントをインシデントに相関付けて、ノイズを削減し、実際のインシデントに集中することができます。
運用方針の一環として、イベントの生成および処理を調整して、フォールス ポジティブの可能性を遮断する必要があります。このような調整をデバイス レベルで実行するには、イベントの生成が可能なトラフィックまたはアクションを絞り込み、Local Controller レベルでネットワーク情報をさらに入力します。入力する情報は、Local Controller のモニタ対象ネットワーク セグメントに接続されたホストの OS などです。
False Positive ページ
False Positives ページにナビゲートするには、Incidents をクリックしてから、False Positives サブタブをクリックします。
False Positives ページでは、False Positives のグループを参照できます。
カテゴリをフィルタリングするには、Select False Positive ドロップダウン リストでクリックします。選択できるタイプは、次のとおりです。
・Unconfirmed false positive type
このタイプの場合、MARS には、ターゲット ホストが該当するイベント タイプに対して脆弱であるかどうかを判別するために、ユーザ確認が必要です。
・User confirmed false positive type
このタイプの場合、ユーザは起動イベントがフォールス ポジティブであることを確認しています。
・User confirmed positive type
このタイプの場合、ユーザは起動イベントが実際に攻撃として機能していることを確認しています。
・System determined false positive type
このタイプの場合、システムによって、起動イベントがフォールス ポジティブであることが確認されています。
False Positives テーブルには、フォールス ポジティブが発生するセッション数、イベント タイプ、フォールス ポジティブ ステータス確認アイコン、イベント タイプ情報アイコン、宛先 IP およびそのポート、宛先 IP 情報アイコン、プロトコル、ゾーンが表示され、フォールス ポジティブに関連するセッションを参照できます。
図 18-13 False Positive テーブル
次の表に、フォールス ポジティブ ステータスの確認および重大度に関するアイコンを示します(フォールス ポジティブの調整)。
|
アイコン |
説明 |
|---|---|
 |
確認が必要な、重大度が低、中、および高のフォールス ポジティブ |
 |
ユーザが決定した、重大度が低、中、および高のフォールス ポジティブ |
 |
システムによって決定された、重大度が低、中、および高のフォールス ポジティブ |
Incidents ページまたは False Positives ページで、フォールス ポジティブを調整し、トゥルーであるか、またはフォールスであるかを確認できます。
フォールス ポジティブの調整
ステップ 1 いずれかの Confirm False Positive アイコンをクリックします。
ステップ 2 False Positive Confirmation ページで情報を確認します。
ステップ 3 イベント タイプがフォールス ポジティブであることを判別したら、Yes オプション ボタンをクリックして、次項「未確認フォールス ポジティブのフォールス ポジティブへの調整」のステップに従います。
ステップ 4 イベント タイプがトゥルー ポジティブであることを判別したら、No オプション ボタンをクリックして、次項「未確認フォールス ポジティブのトゥルー ポジティブへの調整」のステップに従います。
未確認フォールス ポジティブのフォールス ポジティブへの調整
ステップ 1 フォールス ポジティブがフォールスであることを確認して、Yes ボタンをクリックしたら、Next をクリックします。
ステップ 2 次のページで、該当するオプション ボタンを選択し、MARS がこのイベント タイプをデータベースに保存するように設定するかどうかを決定します。
–Dropping these events completely(これらのイベントのロギングを停止する)
–Log to DB only(データベースにイベントを記録する)
ステップ 3 決定したら、Next ボタンをクリックします。
ステップ 4 次のページで、フォールス ポジティブおよび新しい規則の情報を慎重に確認します。
ステップ 5 この新しい情報をコミットする準備ができたら、Confirm ボタンをクリックします。
未確認フォールス ポジティブのトゥルー ポジティブへの調整
ステップ 1 フォールス ポジティブがトゥルーであることを確認して、No ボタンをクリックしたら、Next をクリックします。
ステップ 2 これがトゥルー ポジティブであることを最終的に確認したら、Confirm ボタンをクリックします。
フォールス ポジティブ廃棄規則のアクティブ化
フォールス ポジティブの調整を完了したら、Activate をクリックして、ただちに変更を実装します。
クエリーおよびレポート
Local Controller では、実行できる多数のクエリーがあります。送信したクエリーは、レポートまたは規則として保存できます。
定義済みのシステム レポートはグローバル レポートとして処理されます。Global Controller を Local Controller に接続すると、Global Controller はレポート データを受け取ります。以前(Local Controller を管理する前)のレポート結果は、Global Controller にプッシュされません。したがって、レポートを表示しても、Local Controller がアクティブになる前の情報は表示されません。
Query ページ
Query ページでは、オンデマンド クエリーとしてレポートを実行したり、独自のクエリーを作成したりすることができます。その他のページに配置された多数のリンクをクリックすると、Query ページに移動し、クエリー基準の一部が読み込まれます。
図 18-14 Local Controller のクエリー テーブル
クイック クエリーの実行方法
ステップ 1 クイック クエリー フィールドに、送信元 IP、宛先 IP、またはサービスを入力します。
ステップ 2 Submit Inline ボタンをクリックして、クエリーを実行します。
図 18-15 クイック クエリーの実行
フリー形式クエリーの実行方法
ステップ 1 クイック クエリー フィールドに、送信元 IP、宛先 IP、またはサービスを入力します。
図 18-16 フリー形式クエリーの実行
ステップ 2 クエリーの名前をクリックするか(名前を保存しなかった場合は、名前に [None] が表示されます)、または Edit をクリックしてクエリーの残りの部分を入力します。括弧アイコン(
)をクリックして、ネストされたクエリーに括弧を追加したり、ゴミ箱アイコン(
)をクリックして括弧を削除できます。
ステップ 3 Search String に、問い合わせるストリングを入力します。Operation で、演算子(AND、OR、NOT)を選択します。リストの最後の項目では、None を選択します。
ステップ 4 Apply ボタンをクリックします。
ステップ 5 Submit ボタンをクリックして、クエリーを実行します。
注 フリー形式クエリーは規則として保存できません。
バッチ クエリーの実行方法
ステップ 1 単純なクエリーまたはフリー形式クエリーのデータを入力します。クエリーの実行時間が長くなると予測される場合は、Submit Inline でなく、バッチ クエリーとしてクエリーを実行するオプションを指定できます。
図 18-17 バックグラウンドで実行するクエリーの構築(バッチ クエリー)
ステップ 2 Submit... をクリックして、選択します。
図 18-18 クエリー送信方法の選択
クエリーを標準インライン クエリーとして送信するには、Submit Inline をクリックします。クエリーをバッチ クエリーとして送信するには、Submit Batch をクリックします。クエリーが送信され、Batch Query タブに自動的に移動します。
クエリーが大量にある場合は、Save as Rule、Save as Report、または Submit Batch のオプションのみが表示されます。
図 18-19 クエリー基準の変更
クエリーをバッチ クエリーとして送信するには、Submit Batch をクリックします。クエリーが送信され、Batch Query タブに自動的に移動します。
図 18-20 バッチ クエリーの選択
ステップ 3 クエリーのステータスをリアルタイムで表示するには、ドロップダウン リストを使用して、Page Refresh Rate を Never(デフォルト)から 1、3、5、10、15、または 30 分に変更します。
ステップ 4 実行中のバッチ クエリーの結果を表示するには、View Results をクリックします。この処理は、クエリーの進行中に実行できます。
MARS のユーザ プロファイル内の電子メール アドレスが有効な場合は、バッチ クエリーが完了すると、バッチ クエリーの結果がユーザに電子メールで送信されます。QUERY / REPORTS > Batch Query > View Results の順にクリックして、結果を表示することもできます。
注 クエリーの進行中に、View Results をクリックすると、その時点までにコンパイルされた結果が再計算されます。この処理を実行すると、結果をコンパイルした場合よりも、表示に時間がかかることがあります。
バッチ クエリーの停止方法
ステップ 1 QUERY/REPORTS をクリックして、Batch Query タブをクリックします。
ステップ 2 Stop をクリックします。クエリーの Status が Finished に変わります。
バッチ クエリーの再送信方法
バッチ クエリーを再開する場合は、再送信できます。再送信されたバッチ クエリーは以前の計算結果を使用するため、クエリーを最初に送信した場合よりも高速にクエリーが実行されます。
ステップ 1 QUERY/REPORTS をクリックして、Batch Query タブをクリックします。
ステップ 2 Resubmit をクリックします。クエリーの Status が In Progress に変わります。
バッチ クエリーの削除方法
ステップ 1 QUERY/REPORTS をクリックして、Batch Query タブをクリックします。
ステップ 2 Delete をクリックします。
ステップ 3 確認ウィンドウで、Delete をクリックして確認します。
注 表示できるのは、独自のバッチ クエリーおよびクエリー結果のみです。その他のバッチ クエリーおよび結果はユーザに表示されません。その他のユーザにも、ユーザのバッチ クエリーおよび結果は表示されません。
クエリー タイプの選択
図 18-21 Query Type または Edit リンクのクリック
別のクエリー基準を選択するには、Query Type リンクまたは Edit ボタンをクリックします。このようにすると、クエリーの結果フォーマット、ランク、時間、起動イベントのみを使用するかどうか、および戻された行番号を判別できます。
図 18-22 クエリー基準Result ページ
Result Format
・Event Type Ranking
最も多く報告されたイベント タイプを戻します。ランク基準は、少なくとも 1 つのイベント タイプを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Event Type Group Ranking
定義済みまたはユーザ定義のグループ化イベント タイプを戻します。ランク基準は、グループ内の少なくとも 1 つのイベント タイプを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Source IP Address Ranking
送信元 IP アドレスを戻します。ランク基準は、該当する送信元 IP アドレスを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Network Ranking
MARS 内の最上位ネットワークを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。
・Network Group Ranking
MARS 内の最上位ネットワーク グループを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。
・Source Network Ranking
MARS 内の最上位送信元ネットワークを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。
・Source Network Group Ranking
MARS 内の最上位送信元ネットワーク グループを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。
・Destination Network Ranking
MARS 内の最上位宛先ネットワークを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。
・Destination Network Group Ranking
MARS 内の最上位宛先ネットワーク グループを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。
・Destination IP Address Ranking
宛先 IP アドレスを戻します。ランク基準は、該当する宛先 IP アドレスを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Source Port Ranking
送信元ポートを戻します。ランク基準は、該当する送信元ポートを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Destination Port Ranking
宛先ポートを戻します。ランク基準は、該当する宛先ポートを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Protocol Ranking
最も使用されるプロトコルを戻します。ランク基準は、該当するプロトコルを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Reporting Device Ranking
最もアクティブなレポート デバイスを戻します。ランク基準は、デバイスからのイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Reporting Device Type Ranking
最もアクティブなレポート デバイス タイプを戻します。ランク基準は、該当するタイプのデバイスからのイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Reported User Ranking
レポート デバイス(Windows クライアント、Solaris クライアントなど)からユーザ情報を戻します。ランク基準は、報告されたユーザからのイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。
・Matched Rule Ranking
最上位の起動規則を戻します。ランク基準は、インシデント数です。
・Matched Incident Ranking
インシデントを戻します。ランク基準は、インシデントの原因となった基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内のリアルタイム送信バイト数です。
・All Matching Sessions
基準を満たすイベントを含むすべてのセッションを戻します。一般的なイベント タイプ セットを含むセッションは、グループ化されます。また、セッション送信元 IP アドレスおよびセッション宛先 IP アドレスを基準としてサブグループ化されます。同じサブグループ内のセッションは、時間に従って並べ替えられます。この結果タイプでは、結果をリアルタイムで表示できます。
・All Matching Events
イベントを戻します。ランク基準は時間です(最新のものが先頭になります)。この結果タイプでは、結果をリアルタイムで表示できます。
・All Matching Event Raw Messages
イベントに関連する未処理メッセージを戻します。ランク基準は時間です(最新のものが先頭になります)。この結果タイプでは、結果をリアルタイムで表示できます。
・NAT Connection Report
NAT 接続を戻します。ランク基準は時間です(最新のものが先頭になります)。
・MAC Address Report
MAC アドレスを戻します。ランク基準は時間です(最新のものが先頭になります)。
・Unknown Event Report
MARS が完全に処理していないイベントを戻します。場合によっては、5 タプル(送信元 IP、送信元ポート、宛先 IP、宛先ポート、およびプロトコル)などのイベント情報が存在しないため、リアルタイムでのクエリーを実行できないことがあります。
Order/Rank By
この基準を選択すると、クエリー結果のランキングまたは順番が決まります。これらの選択内容は、クエリーを実行する際に使用する Result Format の種類によって決まります。
・Session Count
インシデントの原因となった基準を満たすイベントを含むセッション数
・Bytes Transmitted
クエリー基準を満たすイベントを含むセッション内の送信バイト数
・Time
最新の結果が先頭に表示されます。
・Incident Count
インシデント数が最大のものが先頭に表示されます。
Filter By Time
・Last
現在時刻から、入力した日数、時間、分だけさかのぼった時刻
・Start/End
日付から分までの単位で定義された、絶対的なリテラル時間範囲
・Real Time
最近の時刻から現在までの一連の定期的なリアルタイム結果。リアルタイムで機能する Result Format はAll Matching Sessions、All Matching Events、All Matching Event Raw Messages です。
リアルタイム結果は、通常のブラウザ ウィンドウに表示されます。スクロール バーを移動すると、「スクロール」動作が停止します。ページの下部にある Resume ボタンをクリックすると、スクロールが再開します。
図 18-23 Resume ボタンのクリックによるページ スクロールの開始
Use Only Firing Events
情報を戻すインシデントを起動したイベントのみを表示する場合に、選択します。
Maximum Number of Rows Returned
表示する行数を選択します。
クエリー基準の選択
基準の選択方法
ステップ 1 編集する基準をクリックして、選択します。
図 18-24 基準を狭めるための ANY のクリック
ステップ 2 クエリーを実行する項目の横にあるチェックボックスを選択し、Equal および Not Equal ボタンをクリックして、フィルタの右から左にクエリーを実行する項目を移動します。
図 18-25 変数の選択
ステップ 3 Filter ページでは、さまざまな変数、イベント、デバイス、アドレスを選択できます。次に示す番号は、上の図の番号に対応します。
1. Sources Selected フィールド内の項目の横にあるチェックボックスをオンにして選択し、Toggle Equal ボタンをクリックして、equal と not equal を切り替えます。
2. Select All ボタンをクリックして、Sources Selected フィールド内のすべての項目を選択します。(注:Sources Selected フィールドで強調表示にした項目がある場合に、Select All をクリックすると、強調表示された項目の選択が解除されます)。
3. Equal および Not Equal ボタンを使用して、Sources Available フィールドから Sources Selected フィールドに、強調表示された項目を移動します。
4. このドロップダウン リストで、送信元をフィルタリングします。
5. 検索テキストを入力し、Search をクリックして、検索基準と一致する項目を Sources Available フィールドから Sources Selected フィールドに移動します。
6. 送信元に新しい項目を追加するには、Add ボタンをクリックします。既存の送信元を編集または削除するには、Edit または Delete ボタンをクリックします。詳細については「IP 管理」を参照してください。
7. Sources Selected フィールド内の項目を 1 つまたは複数クリックして、Remove ボタンをクリックします。
8. Sources Selected フィールドに IP 値を移動するには、Equal 
(Up)アイコンまたは Not Equal 
(Up)アイコンをクリックします。
9. IP または Range の横にあるオプション ボタンをオンにして、それぞれのフィールドに特定の IP アドレスまたは IP アドレス範囲を入力します。
10. Sources Selected フィールド内の項目をクリックして、選択します。グループ名を入力し、Grouped As ボタンをクリックして、グループ化します。
11. 目的のクエリー基準を選択したら、Apply をクリックして、Query ページに戻ります。
その他のクエリー データにこの選択手順を繰り返します。
ステップ 4 Submit ボタンをクリックして、クエリーを実行します。
クエリー基準
次のリストに、Query Event Data テーブルの選択内容を示します。
Source IP
・Pre NAT source addresses
入力した制約が、セッション エンドポイントとなるように指定します。
・Post NAT source addresses
入力した制約が、宛先に表示される送信元となるように指定します。
・ANY
送信元 IP アドレスに制約はありません。
・Variables
特定の IP アドレスを示します。同じ変数をもつ複数のクエリーを同時に実行する場合のみ有効です。
・IP addresses
システム内のデバイス上の IP アドレス、またはユーザが入力したドット付きの 4 つの数字列
・IP ranges
ドット付きの 4 つの数字列 2 つの間のアドレス範囲
・Networks
トポロジー的に有効なネットワーク
・Devices
システム内にあるホストおよびレポート デバイス
Destination IP
・Post NAT destination addresses
入力した制約が、セッション エンドポイントとなるように指定します。
・Pre NAT destination addresses
入力した制約が、送信元に表示される宛先となるように指定します。
・ANY
送信元 IP アドレスに制約はありません。
・Variables
特定の IP アドレスを示します。同じ変数をもつ複数のクエリーを同時に実行する場合のみ有効です。
・IP addresses
システム内のデバイス上の IP アドレス、またはユーザが入力したドット付きの 4 つの数字列
・IP ranges
ドット付きの 4 つの数字列 2 つの間のアドレス範囲
・Networks
トポロジー的に有効なネットワーク
・Devices
システム内にあるホストおよびレポート デバイス
Service
・ANY
送信元または宛先ポート、あるいはプロトコルには制約がありません。
・Service variables
宛先ポートとプロトコルの特定のセットを示します。同じ変数をもつ複数のクエリーを同時に実行する場合のみ有効です。
・Defined services
データベースのサービス
Event Types
・ANY
イベント タイプに制約はありません。
・Event types
タイプにマージされたイベント
・Event type groups
イベント タイプのグループ
Device
・Devices
システム内にあるレポート デバイス。これにより、クエリー先は MARS に報告するデバイスのサブセットに制限されます。
Severity/Zone
・ANY
イベント タイプの重大度に制約はありません。
・Green
重大度が低いイベント
・Yellow
重大度が中のイベント
・Red
重大度が高いイベント
・Zone
指定ゾーン内のデバイスから報告されたイベント
Operation
・None
単一行クエリーを定義します。
・AND
複数行クエリーを定義するブール値「and」
・OR
複数行クエリーを定義するブール値「or」
・FOLLOWED-BY
複数行クエリーを定義する時間条件付きクエリー(例:Y は X のあとに発生する必要がある)
Rule
・Empty field - Rules Chosen field
このフィールドが空の場合は、ANY の選択した場合と同様に機能します。イベントのサブセットに制約はありません。
・Rule
クエリー対象を、起動した指定の規則からなるインシデントの原因となったイベントのサブセットに限定します。
Action
・Empty field - Empty Actions Chosen field
このフィールドが空の場合は、ANY の選択した場合と同様に機能します。イベントのサブセットに制約はありません。
・Actions
クエリー対象を、規則からなるインシデントの原因となったイベントのうち、指定された通知がアクションに含まれているイベントのサブセットに限定します。
クエリーの保存
クエリー基準を保存してレポートまたは規則として再使用することができます。
クエリーをレポートとして保存する場合
使用しているクエリーを使用して、レポートを作成します。レポートの作成については、「Reports ページ」を参照してください。
クエリーを規則として保存する場合
Rules ページにクエリーを表示して、規則および選択されたクエリー基準を読み込みます。同様に、規則を完了するには追加基準を特定する必要があります。規則の作成方法については、「規則」を参照してください。
Reports ページ
Reports ページを使用すると、繰り返し可能なクエリーの作成、現在のレポートの編集および削除、レポートの実行、レポートの HTML 形式や CSV(カンマ区切り値)形式での表示が可能になります。
レポートを表示すると、直前に実行されたインスタンスが表示されます。最新のレポートを表示する場合は、レポートを再送信してから表示してください。
注 リリース 4.1.3 では、レポート結果は MARS データベースに 1 年間保持されたあと、自動的に消去されます。4.1.3 より前のリリースでは、レポート結果は無期限に保持されます。消去間隔は変更できません。
レポート タイプ ビュー:Total、Peak、Recent の比較
アラートが発生して、プライオリティが高いインシデントの最新ビューが表示された場合は、レポートによってセッションを集約し、さまざまなビューで表示できます。レポートは 3 つのデータ ポイントに基づいて関連付けられています。
・期間
・クエリー基準
・ビュー タイプ
期間は、分析するセッション データの境界を記録時刻に基づいて定義します。クエリー基準は、集約対象となる一連のセッションを、使用基準と一致するセッションに限定します。基準には送信元アドレス、宛先アドレス、ネットワーク サービス、イベント、報告先ユーザ、レポート デバイスなどがあります。ビュー タイプは、一致したデータを重要なレポート ビュー(関心のある調査タイプと一致するレポート ビュー)に集約する方法を定義します。
注 各ビュー タイプではレポート基準を調整して、予期されるアクティビティ(既知のデータ)を除外できます。このアクティビティをフィルタリングするには、クエリー基準を調整します。これらの基準は、ネットワークごとに調整する必要があります。ネットワークの標準トラフィック フロー以外の動作を検出する場合に、レポートが役立ちます。予期されるアクティビティを判別するには、フィルタリングしないレポートを使用して、結果を標準ネットワークの使用状況と比較検討します。
MARS には 3 つのビュー タイプがあり、それぞれ、一致したセッション数がユーザによって定義された最大数 N に制限されます。これらのビュー タイプは、次のとおりです。
・Total View - クエリー基準と一致する結果タイプごとに、指定期間内に発生した結果タイプの個数をカウントします。一致した結果タイプをセッション数でランク付けし(指定期間内の発生頻度が最も高いセッションを基準とする)、上位 N 個の合計数を表示します。これらのレポートを使用して、調査対象セッションに対するネットワーク状態を判別します。たとえば、このビューを使用すると、頻繁に発生する攻撃を識別できます。このビューにはネットワーク アクティビティの増加が反映されません。発生頻度が上位の結果タイプが表示されるだけです。
・Peak View - MARS では、すべてのレポートの結果データが 10 分のタイム スライスに格納されます。Peak View は指定期間内の 10 分間のタイム スライスをそれぞれ調べて、特定の結果タイプに関して一致したセッションが最も多く含まれているタイム スライスを特定します。同様に、ほかのピークに対して一意の結果タイプをそれぞれ識別する期間内ピークがさらに 9 つ決定されます。
各ピーク値をほかの 9 つのピークと比較するチャートが作成されます。Peak View には、ピーク値を含むタイム スライスごとに、一致した結果タイプのうちの上位 N 個が表示されます。同じタイム スライスに複数のピークが含まれることがあります。これは、ピークごとに一意とならなければならないのがタイム スライスでなく、結果タイプであるためです。
注 このビュー内で結果タイプを検出するには、その結果タイプのピークが標準トラフィックを超えていなければなりません。したがって、予期されるトラフィックを除外するように、クエリー データを調整する必要があります。
Total View と異なり、Peak View は発生した結果全体の上位に着目するのではなく、短期間に発生する大量のトラフィックを識別します。このビューの目的は、標準トラフィックの使用率を低下させる、ネットワーク上の一時的なトラフィック バーストを検出することです。これらのバーストは、ワームの急増など、想定される問題を識別します。
・Recent View - このビューは Total View と似ていますが、過去 1 時間に発生した結果タイプのうちの上位 N 個を識別する点が異なります。選択した期間にわたって、発生したこれらの結果タイプがすべてプロットされます。
・CSV - Total View を生成しますが、レポートは別のツールやスクリプトで処理できるように、CSV 形式で表示されます。このオプションの目的は、あと処理が必要な電子メール通知に使用することです。
レポートの作成
Query ページを使用してレポートを作成したり、Reports ページでゼロからレポートを作成したりすることができます。ここに記載された手順では Reports ページからレポートを作成する方法について詳細に説明しますが、レポートを編集したり、Query ページからレポートを作成したりする場合にも、この手順は適用されます。
新しいレポートの作成
ステップ 1 Reports ページで、Add ボタンをクリックします。
ステップ 2 Report Name および Report Description フィールドに、レポートの名前と説明をそれぞれ入力します。Next ボタンをクリックします。
ステップ 3 レポートのスケジュール パラメータを選択します。
ステップ 4 レポートのビュー タイプを選択します。これらのレポートは電子メールで受け取ったり、UI に表示できます。選択できるタイプは、Total View、Peak View、Recent View、および CSV です(「レポート タイプ ビュー:Total、Peak、Recent の比較」を参照)。Next ボタンをクリックします。
ステップ 5 ユーザ グループを展開し、ユーザまたはユーザ グループをクリックしてから Add ボタンをクリックして、Recipients Available フィールド内のユーザを選択します。詳細については「ユーザ管理」を参照してください。
ステップ 6 その他のユーザについて、ステップ 5 を繰り返します。Next ボタンをクリックします。
ステップ 7 クエリーを作成または変更します。クエリーの時間範囲を編集するには、Report タイプのリンクをクリックするか、Edit ボタンをクリックします。クエリー パラメータの詳細については、「Result Format」を参照してください。クエリーの作成方法については、「クエリー基準」を参照してください。Apply をクリックして、変更を保存します。クエリーが完成したら、Next をクリックします。
ステップ 8 Submit をクリックして、レポートを保存します。
既存レポートの処理
レポートの表示方法
ステップ 1 レポートの横にあるオプション ボタンをクリックします。
ステップ 2 ページの下部にあるドロップダウン リストで、次のいずれかを選択します。
–View HTML:レポートを HTML ファイルとして表示します。
–View CSV:レポートを CSV ファイルとして表示します。
ステップ 3 View Report ボタンをクリックします。
注 レポートを CSV ファイルとして表示するように選択した場合は、ファイルをコンピュータに保存し、サードパーティ製アプリケーションで CSV ファイルを開く必要があります。
レポートの実行方法
ステップ 1 レポートの横にあるオプション ボタンをクリックします。
ステップ 2 Run Now ボタンをクリックします。
注 キャッシングに問題が生じるため、時間範囲が 1 時間未満のレポートを作成することは推奨されていません。
注 リリース 4.1.3 では、レポート結果は MARS データベースに 1 年間保持されたあと、自動的に消去されます。4.1.3 より前のリリースでは、レポート結果は無期限に保持されます。消去間隔は変更できません。
レポートの削除方法
ステップ 1 レポートの横にあるオプション ボタンをクリックします。
ステップ 2 Delete ボタンをクリックして、レポートを削除します。
ステップ 3 Delete Confirmation ページで Delete をクリックします。
レポートの編集方法
システムによって生成されたレポートは編集できません。以前に生成されたレポートを微調整するには、レポート基準を編集します。
ステップ 1 レポートの横にあるオプション ボタンをクリックします。
ステップ 2 Edit ボタンをクリックして、レポートを編集します。
ステップ 3 Previous および Next ボタンを使用するか、レポート基準をクリックして、ナビゲートします。
図 18-26 基準をクリックして Recipients カラムにナビゲートする方法
ステップ 4 レポートを編集し、Apply ボタンをクリックして、レポートに変更を適用します。
ステップ 5 Submit ボタンをクリックして、レポートを完成させます。
注 レポートのクエリー基準を変更しても、新しい結果は再生成されません。編集された新しい基準のベースとなっているのは、以前に生成されたレポートです。特定の IP 送信元を除外するなど、特定の状況では、新しいレポートを作成する必要があります。
注 グローバルに生成されたレポートの電子メール通知は、Local Controller からでなく、Global Controller から送信されます。
