検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

AutoFocus Lenz: ブルー(チーム)ピルを飲み込む

Jeff White 5 10, 2016 at 04:00 午後

※本記事は2016年5月3日に米国で掲載されたブログ記事の抄訳を基にしています。

 Palo Alto NetworksのAutoFocus脅威インテリジェンス サービスにより、固有の標的型攻撃に関する分析ワークフローおよび対応ワークフローがスピードアップします。このサービスを利用すれば、AutoFocus APIを介して膨大な脅威インテリジェンスが手に入るため、既存のセキュリティ システムまたはワークフローの質が向上します。セキュリティ チームはAutoFocus Pythonクライアント ライブラリ(af_lenz.py)スクリプトを使い、簡単にAutoFocusからデータを抽出、自動化が可能で、セキュリティ脅威への対応または事前対策を行うことができます。

 AutoFocus LenzスクリプトはPythonクライアント ライブラリを拡張したものであり、オペレーショナル インテリジェンスや各種調査に利用できる関連情報の迅速な抽出を可能にする出力が得られます。

このツールの使用例をご覧頂くために、短いビデオを作成しました。ぜひ、ご覧ください。

 このビデオには以下のものが含まれています。

  • 悪意のある電子メール攻撃を受ける恐れのある標的を動的挙動に基づいて列挙
  • 遮断する、パターンを改良する、またはリサーチをさらに進めるために事前対策としてC2ドメインを識別
  • 動的分析情報をメモリ内検索用のYARAシグネチャに変換

 最初のリリースでは、クエリに基づいてAutoFocusからデータを過去に遡って抽出し、分析を促進し様々な方法でそのデータを表示する8個の「関数」を用意しています。  

  • hash_scrape – 一番単純な関数です。分析レポートの各セクション(たとえばネットワーク、DNS、HTTP、ファイル、レジストリ、プロセス)用に簡素な出力を提供します。コマンド ラインを介して他のユーティリティと連携することができます。複数のサンプルに関して大量の挙動情報を過去に遡って取り出すのに、この関数を実行することができます。
  • common_artifacts – この関数はAutoFocusクエリを必要とします。識別されたサンプルすべてにわたって反復適用され、このセット全体に対する各サンプル中に存在する動的な痕跡を出力します。共通性のパーセンテージを“-c”フラグの使用により調整することが可能なため、サンプルの75%以内に存在するものを見つけるといったことができます。マルウェア ファミリーまたはマルウェア攻撃全体にわたって真に固有の痕跡を識別することで、ご利用のセキュリティ ツール スタック全体に対して検出シグネチャまたは予防シグネチャの構築を試行する際に有効です。
  • common_pieces – common_artifacts関数に似ていますが、さらに1ステップを追加し、痕跡エントリを細分化します。common_artifactsが“sample.exe, DeleteFile, C:\importantfile”でマッチングする可能性がある場合、common_piecesは“sample.exe”、“DeleteFile”および“C:\importantfile”でマッチングします。マルウェアがランダムにファイルを生成する、あるいはランダムなプロセスを注入するが、マッチングする数が多くなるためノイズの恐れが強くなる場合、このようなマルウェアへの対処に、この関数は特に有効です。
  • uniq_sessions – 関連性が高い一部のセッション フィールド(たとえばファイル名、電子メールの件名、配信用アプリケーション)全体に対して一意的な値を表示します。これによりブルー チームは電子メール攻撃の標的ユーザーやエンドポイント上の目的のファイルをすばやく識別し、脅威に対して迅速な対応をとることができます。
  • http_scrape、dns_scrapeおよびmutex_scrape – これらの関数は識別されたサンプルすべてにわたって反復適用され、挙動の痕跡の各セクションに関して一意的な値を掻き出し、レイアウトをして簡潔に印字出力します。これらは、マルウェアの種類を得る目的で見つけたコールバックをすべて識別しようとする際、コールバックはHTTPおよびDNSトラフィックに関連するため、特に有用となり得ます。事前対応としてツール スタックに障害物を入れ込むのに利用することが可能です。
  • meta_scrape – この最後の関数は、お客様が実行したAutoFocusクエリにマッチングする項目に関して、高レベルでの全体像となります。この関数は、AutoFocus UIではなくCLIから使います。この関数はSHA256、ファイルの種類、最初の参照日時、悪意ありの判定、ファイル サイズおよび付随するAutoFocusタグを提供します。

 関連性の最も高いデータだけを過去に遡って抽出するのに役立つよう、関数が返す出力は、ファイル群からなるAutoFocusコーパスを通して、痕跡が広まっている度合いに基づいてフィルタリングすることが可能です。たとえば、ある痕跡が100万個のサンプル中で確認された場合、その痕跡はそのサンプルに対して固有のものとはならず出力から除外される可能性があります。

 詳細と使用例につきましては、弊社のPalo Alto NetworksGitHubにあるLenzレポジトリをご確認ください。

 判定の決定、オペレーショナル インテリジェンス、ネットワークの防御および脅威の防止を求めて情報を迅速に確認する際、AutoFocus LenzがAutoFocusユーザー様にとって便利なツールであることをご理解頂ければ幸いです。


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.