※本記事は2016年5月3日に米国で掲載されたブログ記事の抄訳を基にしています。

 Palo Alto NetworksのAutoFocus脅威インテリジェンス サービスにより、固有の標的型攻撃に関する分析ワークフローおよび対応ワークフローがスピードアップします。このサービスを利用すれば、AutoFocus APIを介して膨大な脅威インテリジェンスが手に入るため、既存のセキュリティ システムまたはワークフローの質が向上します。セキュリティ チームはAutoFocus Pythonクライアント ライブラリ(af_lenz.py)スクリプトを使い、簡単にAutoFocusからデータを抽出、自動化が可能で、セキュリティ脅威への対応または事前対策を行うことができます。

 AutoFocus LenzスクリプトはPythonクライアント ライブラリを拡張したものであり、オペレーショナル インテリジェンスや各種調査に利用できる関連情報の迅速な抽出を可能にする出力が得られます。

このツールの使用例をご覧頂くために、短いビデオを作成しました。ぜひ、ご覧ください。

 このビデオには以下のものが含まれています。

  • 悪意のある電子メール攻撃を受ける恐れのある標的を動的挙動に基づいて列挙
  • 遮断する、パターンを改良する、またはリサーチをさらに進めるために事前対策としてC2ドメインを識別
  • 動的分析情報をメモリ内検索用のYARAシグネチャに変換

 最初のリリースでは、クエリに基づいてAutoFocusからデータを過去に遡って抽出し、分析を促進し様々な方法でそのデータを表示する8個の「関数」を用意しています。  

  • hash_scrape – 一番単純な関数です。分析レポートの各セクション(たとえばネットワーク、DNS、HTTP、ファイル、レジストリ、プロセス)用に簡素な出力を提供します。コマンド ラインを介して他のユーティリティと連携することができます。複数のサンプルに関して大量の挙動情報を過去に遡って取り出すのに、この関数を実行することができます。
  • common_artifacts – この関数はAutoFocusクエリを必要とします。識別されたサンプルすべてにわたって反復適用され、このセット全体に対する各サンプル中に存在する動的な痕跡を出力します。共通性のパーセンテージを“-c”フラグの使用により調整することが可能なため、サンプルの75%以内に存在するものを見つけるといったことができます。マルウェア ファミリーまたはマルウェア攻撃全体にわたって真に固有の痕跡を識別することで、ご利用のセキュリティ ツール スタック全体に対して検出シグネチャまたは予防シグネチャの構築を試行する際に有効です。
  • common_pieces – common_artifacts関数に似ていますが、さらに1ステップを追加し、痕跡エントリを細分化します。common_artifactsが“sample.exe, DeleteFile, C:\importantfile”でマッチングする可能性がある場合、common_piecesは“sample.exe”、“DeleteFile”および“C:\importantfile”でマッチングします。マルウェアがランダムにファイルを生成する、あるいはランダムなプロセスを注入するが、マッチングする数が多くなるためノイズの恐れが強くなる場合、このようなマルウェアへの対処に、この関数は特に有効です。
  • uniq_sessions – 関連性が高い一部のセッション フィールド(たとえばファイル名、電子メールの件名、配信用アプリケーション)全体に対して一意的な値を表示します。これによりブルー チームは電子メール攻撃の標的ユーザーやエンドポイント上の目的のファイルをすばやく識別し、脅威に対して迅速な対応をとることができます。
  • http_scrape、dns_scrapeおよびmutex_scrape – これらの関数は識別されたサンプルすべてにわたって反復適用され、挙動の痕跡の各セクションに関して一意的な値を掻き出し、レイアウトをして簡潔に印字出力します。これらは、マルウェアの種類を得る目的で見つけたコールバックをすべて識別しようとする際、コールバックはHTTPおよびDNSトラフィックに関連するため、特に有用となり得ます。事前対応としてツール スタックに障害物を入れ込むのに利用することが可能です。
  • meta_scrape – この最後の関数は、お客様が実行したAutoFocusクエリにマッチングする項目に関して、高レベルでの全体像となります。この関数は、AutoFocus UIではなくCLIから使います。この関数はSHA256、ファイルの種類、最初の参照日時、悪意ありの判定、ファイル サイズおよび付随するAutoFocusタグを提供します。

 関連性の最も高いデータだけを過去に遡って抽出するのに役立つよう、関数が返す出力は、ファイル群からなるAutoFocusコーパスを通して、痕跡が広まっている度合いに基づいてフィルタリングすることが可能です。たとえば、ある痕跡が100万個のサンプル中で確認された場合、その痕跡はそのサンプルに対して固有のものとはならず出力から除外される可能性があります。

 詳細と使用例につきましては、弊社のPalo Alto NetworksGitHubにあるLenzレポジトリをご確認ください。

 判定の決定、オペレーショナル インテリジェンス、ネットワークの防御および脅威の防止を求めて情報を迅速に確認する際、AutoFocus LenzがAutoFocusユーザー様にとって便利なツールであることをご理解頂ければ幸いです。