このページで
異常検知ルール
異常検知ルールは、保存されたフローまたはイベント検索の結果をテストし、ネットワークで異常なトラフィック パターンが発生した場合を検出します。
異常検知ルールには、共通のパラメーターを中心にグループ化された保存済みの検索と、有効になっている時系列グラフが必要です。通常、異常ルールが異常値、しきい値、または動作の変化のパターンを識別する結果を返す前に、検索でデータを蓄積する必要があります。
異常ルール
より長い期間と比較する場合、短期イベントの変更について、イベントとフロートラフィックをテストします。たとえば、ネットワークに表示される新しいサービスやアプリケーション、Web サーバーがクラッシュし、ファイアウォールがすべてトラフィックを拒否し始めます。
例:ネットワークが攻撃を受けている可能性があるため、ファイアウォール デバイスの 1 台が通常よりも多く報告されている場合に通知を受ける必要があります。1 時間で 2 倍のイベントを受信した場合に通知を受け取る必要があります。次の手順に従います。
ログソースでグループ化した検索を作成して保存し、カウント列のみを表示します。
保存した検索を異常ルールに適用し、ルール テストを追加します。 最後の 1 時間のカウントの平均値(間隔ごと)が、過去 24 時間の同じプロパティの平均値(間隔ごと)と少なくとも 100% 異なる場合。
しきい値ルール
指定した範囲以下の活動のテスト イベントまたはフロー。これらのルールを使用して、アプリケーションの帯域幅使用の変化、サービスの障害、VPNに接続されたユーザー数、大規模なアウトバウンド転送の検出を検出します。
例:以前のインシデントに関与したユーザーは、大規模なアウトバウンド転送を行います。
ユーザーが以前の攻撃に関与した場合は、自動的にルール応答を [参照] セットに追加するように設定します。ユーザーのウォッチ リストがある場合は、そのユーザーを [参照] セットに追加します。しきい値ルール内で許容可能な制限を調整します。
検索には、参照セット、WatchUsers、キー:ユーザー名が必要です。
次の検索を完了し、しきい値ルールに適用します。
select assetuser(sourceip, now()) as ’srcAssetUser’, Applicationname(applicationid)as ’AppName’, long(sum(sourcebytes +destinationbytes)) as ’flowsum’ from flows where flowdirection = ’L2R’ and REFERENCESETCONTAINS(’Watchusers’, username)group by ’srcAssetUser’, applicationid order by ’flowsum’ desc last 24 hours
動作ルール
外れ値を検出するために定期的なパターンで発生するボリュームの変化について、イベントまたはフローをテストします。例えば、オープンリレーを持ち、突然多くのホストと通信するメールサーバーや、多数のアラートアクティビティを生成し始めるIPS(侵入防御システム)などです。
動作ルールは、事前に定義されたシーズンにおけるプロパティのレートまたは量を学習します。シーズンでは、評価対象のベースライン比較タイムラインを定義します。1 週間のシーズンを設定すると、その 1 週間の間のプロパティの動作が学習され、ルール テストを使用して重大な変更を警告します。
動作ルールを設定した後、季節は自動的に調整されます。シーズン中のデータを学習する際には、シーズン内にビジネスの成長をプロファイリングするように継続的に評価されます。ルールを変更する必要はありません動作ルールの実行が長いほど、より正確になります。その後、ルールのレスポンスを調整して、より微妙な変更をキャプチャできます。
次の表では、動作ルール テスト パラメーター オプションについて説明します。
ルール テスト パラメーター |
説明 |
|---|---|
シーズン |
最も重要な価値。シーズンは、テストするプロパティのベースライン動作と、他のルールテストで使用するプロパティを定義します。シーズンを定義するには、監視するトラフィックのタイプを検討します。たとえば、人とのやり取りを含むネットワーク トラフィックやプロセスの場合、1 週間は適切なシーズン タイム フレームになります。パターンが一貫性のある場所で自動化されたサービスを追跡するために、1日という短いシーズンを作成して、その行動パターンを定義することができます。 |
現在のトラフィック レベル |
季節性の変更とランダム エラーを含む元のデータの重み付けを考慮します。このルール テストでは、「データは昨日と同時に同じですか?」という質問をします。 |
現在のトラフィックトレンド |
各時間間隔のデータの変更の重み。このルール テストでは、「この分を前の分と比較した場合、データはどのくらい変わりますか?」という質問をします。 |
現在のトラフィックの動作 |
各期間の季節の効果の重量。このルール テストでは、「データの量は、第 1 週から第 2 週のデータと同様に、第 2 週から第 3 週に増えましたか?」と尋ねます。 |
予測値 |
予測値を使用してベースラインを拡張し、アラートの機密性を高めたり軽減したりできます。 |
(n+1)番目の間隔からの値のフォレキャストは、以下の式を使用して計算されます。
Fn+1 = Bn + Tn + Tn+1-s
F が予測値である場合、B は間隔 n の基本値であり、T は間隔 n のトレンド値、T はシーズン間隔前のトレンド値であり、s はシーズン内の間隔の数です。
基本値は、以下の式を使用して計算されます。
Bn+1 = (0.2 + 0.3*(<Current traffic level>100.0))*(valuen+1 – Tn+1-s) + (1 – (0.2 + 0.3*(<Current traffic level> /100.0)))*Tn
トレンド値は、以下の式を使用して計算されます。
Tn+1 = (0.2 + 0.3*(<Current traffic trend> / 100.0))*(Bn+1 - Bn) + (1 - (0.2 + 0.3*(<Current traffic trend> / 100.0)))*Tn
平滑化偏差Dは、以下の式を使用して計算されます。
Dn+1 = (0.2 + 0.3*(<Current traffic level>/ 100.0))*|valuen+1 – Fn+1| + (1 – (0.2 + 0.3*(<Current traffic level> /100.0)))*Dn+1-s
動作ルールは、以下の式が false の場合、間隔のアラートを生成します。
F – (1 + (sensitivity / 100.0)*3)*D <= value <= F + (1 + (sensitivity / 100.0)*3)*D
最初のシーズンは、動作ルールが将来の計算のために学習し、アラートは生成されません。
異常検知ルールの作成
異常検知ルールは、保存されたフローまたはイベント検索の結果をテストして、ネットワークで発生する異常なトラフィック パターンを検索します。行動ルールは、「季節」のトラフィックレベルとトレンドに従って、イベントとフロートラフィックをテストします。しきい値ルールは、構成済みのしきい値以下、しきい値以下、または指定範囲内のアクティビティのテスト イベントとフロー トラフィックをテストします。
[ ログ アクティビティ ] タブで異常検知ルールを作成するには、[ ログ アクティビティの 維持] のカスタム ルール ロール権限が必要です。
[ ネットワーク アクティビティ] タブで異常検知ルールを作成するには、[ ネットワーク アクティビティの 維持] ロール権限が必要です。
デフォルトおよび以前に作成した異常検知ルールを管理するには、[攻撃] タブの [ ルール ] ページ を 使用します。
異常検知ルールを作成すると、保存した検索条件に基づいて、デフォルトのテスト スタックがルールに表示されます。デフォルトのテストを編集したり、テストスタックにテストを追加したりできます。少なくとも 1 つの 累積プロパティ テストは、テスト スタックに含まれている必要があります。
既定では、[ルール テスト スタック エディター] ページで、各 [グループ] の [選択累積プロパティ] の値を個別にテストするオプションが選択されています。
異常検知ルールは、各イベントまたはフロー グループに対して選択された累積プロパティを個別にテストします。たとえば、選択した累積値が UniqueCount(sourceIP)の場合、ルールは各イベントまたはフロー グループごとに一意の送信元 IP アドレスをテストします。
各 [グループ] の [選択した累積プロパティ] 値を個別にテストすることは動的です。[選択された累積プロパティ] 値は、既定のテスト スタックのこの累積プロパティ テスト フィールドに対して選択するオプションによって異なります。[group] 値は、保存された検索条件で指定されたグループ化オプションによって異なります。複数のグループ化オプションが含まれている場合、テキストが切り捨てられる場合があります。マウス ポインタをテキストの上に移動して、すべてのグループを表示します。
[ログ アクティビティ] または [ネットワーク アクティビティ] タブをクリックします。
集約型検索を実行します。
プロパティをグループに追加するには、新しい履歴検索 を 使用するか、現在の検索ページの [表示 ] リストからプロパティを選択します。
検索結果ページで、[ 構成] をクリックし、次のオプションを構成します。
[値からグラフへ] リストからプロパティを選択します。
[値からグラフへ] リストからグラフ タイプとして時系列を選択します。
[時系列データのキャプチャ] チェック ボックスをオンにします。
[保存] をクリックし、検索の名前を入力します。
[OK] をクリックします。
時系列グラフが読み込むのを待つ間、[時間範囲] リストから最後の 5 分を選択します。
その累積プロパティのルール テストを実行するには、[ 値からグラフへ ] リストで選択したプロパティの時系列データが必要です。
[ ルール ] メニューから、作成するルール タイプを選択します。
異常ルールの追加
しきい値ルールの追加
動作ルールの追加
[ ルール テスト スタック エディター ] ページの [ ここにルール名を入力 ] フィールドに、このルールに割り当てる一意の名前を入力します。
既定のテストを使用してルールを適用するには、異常テスト グループ リストで最初のルールを選択します。
検索条件で保存した [値] から [グラフ] リストから選択したプロパティ に 累積プロパティ パラメーターを設定する必要がある場合があります。結果をより早く確認したい場合は、パーセンテージを 10% などの低い値に設定します。 過去 24 時間 を 1 時間など、より短い期間に変更します。集約されたフィールドをリアルタイムで異常検知テストして異常なネットワーク アクティビティを警告するため、ネットワーク トラフィック内のイベントやフローを増減できます。
ルールにテストを追加します。
[テスト グループ] ボックスの一覧でオプションをフィルター処理するには、[ フィルターの種類] フィールドにフィルター対象のテキストを入力します。
[テスト グループ] リストから、このルールに追加するテストの種類を選択します。
除外されたテストとしてテストを識別するには、[ルール] ウィンドウでテストの開始時と先頭をクリックします。と は、 として表示されます。と は表示されません。
下線付き構成可能パラメーターをクリックして、テストの変数をカスタマイズします。
ダイアログ ボックスで変数の値を選択し、[送信] をクリックします。
各イベントまたはフロー グループで選択した累積プロパティの合計をテストするには、 各 [グループ] の [選択された累積プロパティ] 値を個別にテスト無効にします。
[グループ] ウィンドウで、このルールを割り当てるグループを有効にします。
[ メモ ] フィールドに、このルールに含めるメモを入力し、[ 次へ] をクリックします。
[ ルールの応答] ページで、このルールで生成する応答を構成します。
異常検知ルールのルールレスポンスページパラメーターの詳細については、こちらをご覧ください。
次の表は、ルール タイプが [異常] の場合のルール応答ページ パラメーターを示します。
表 2:異常検知ルールのレスポンス ページ パラメーター パラメーター
説明
新しいイベントの発送
このルールは、システム内の他のすべてのイベントと同様に処理される元のイベントまたはフローで新しいイベントを送出することを指定します。デフォルトでは、このチェック ボックスはオンであり、クリアできません。
オフェンスの命名規則
攻撃の名前にイベント名の情報を投稿する場合は、 [この情報は関連する攻撃の名前に貢献する必要があります] オプションを選択します。
構成したイベント名が攻撃の影響を受ける可能性がある場合は、この情報を選択して 、関連する攻撃の名前を設定するか、置き換えます。
メモ:攻撃の名前を入れ替えた後、攻撃が閉じられるまで名前は変更されません。たとえば、攻撃が複数のルールに関連付けされ、最後のイベントが攻撃の名前を上書きするように設定されたルールをトリガーしない場合、攻撃の名前は最後のイベントによって更新されません。代わりに、オフェンス名は、オーバーライド ルールによって設定された名前のままです。
重大 度
イベントに割り当てる重大度レベル。範囲は 0(最低)から 10(最高)、デフォルトは 5 です。重大度は、イベントの詳細の注釈ウィンドウに表示されます。
信頼性
ログ ソースに割り当てる信頼性。例えば、ログ ソースはノイズが多いか、それとも高価なのでしょうか。リスト ボックスを使用して、イベントの信頼性を選択します。範囲は 0(最低)から 10(最高)、デフォルトは 5 です。信頼性は、イベントの詳細の注釈ウィンドウに表示されます。
関連
資産の重量に割り当てる関連性。例えば、その資産に対する関心はどのくらいですか?リストボックスを使用して、イベントの関連性を選択します。範囲は 0(最低)から 10(最高)、デフォルトは 5 です。イベントの詳細の注釈ペインに関連性が表示されます。
派遣されたイベントが攻撃の一部であることを確認する
このルールの結果、イベントは判事に転送されます。攻撃が存在する場合は、このイベントが追加されます。[オフェンス]タブでオフェンスが作成されなかった場合は、新しいオフェンスが作成されます。
通知
このルールの結果として生成されるイベントは、[ ダッシュボード ] タブの [システム通知] 項目に表示されます。通知を有効にする場合は、 応答リミッタ パラメータを設定します。
ローカル SysLog への送信
イベントまたはフローをローカルにログに記録する場合は、このチェック ボックスをオンにします。デフォルトでは、このチェック ボックスはオフになっています。
メモ:JSA アプライアンスでローカルにログに記録できるのは、正規化されたイベントのみです。未加工のイベント データを送信する場合は、転送先の送信オプションを使用してリモート syslog ホストにデータを送信する必要があります。
リファレンス セットに追加
このルールの結果として生成されるイベントを参照セットに追加します。データを参照セットに追加するには、管理者である必要があります。
データを参照セットに追加するには、次の手順に従います。
最初のリストから、追加するイベントまたはフローのプロパティを選択します。
2 番目のリストから、指定したデータを追加する参照セットを選択します。
参照データに追加
このルールの応答を使用するには、参照データ収集を作成する必要があります。
リファレンス セットから削除
このルールで参照セットからデータを削除する場合は、このチェック ボックスをオンにします。
参照セットからデータを削除するには、次の手順に従います。
最初のリストから、削除するイベントまたはフローのプロパティを選択します。
2 番目のリストから、指定したデータを削除する参照セットを選択します。
参照データから削除
このルールの応答を使用するには、参照データ収集が必要です。
カスタム アクションの実行
ネットワークイベントに応じて特定のアクションを実行するスクリプトを作成できます。例えば、ログイン失敗の繰り返しに応じて、ネットワークから特定の送信元 IP アドレスをブロックするファイアウォール ルールを作成するスクリプトを作成できます。
このチェック ボックスをオンにして、実行するカスタム アクションの一覧から カスタム アクションを 選択します。
カスタム アクションを追加および構成するには、[管理] タブの [アクションの定義] アイコンを使用します。
IF-MAP サーバーでパブリッシュする
IF-MAP パラメータがシステム設定で構成および展開されている場合は、このオプションを選択して IF-MAP サーバーに関する攻撃情報を公開します。
応答リミッタ
このチェック ボックスをオンにし、リスト ボックスを使用して、このルールの応答頻度を設定します。
ルールを有効にする
このルールを有効にするには、このチェック ボックスをオンにします。デフォルトでは、このチェック ボックスがオンになっています。
SNMP 通知は次のようになります。
"Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification Rule ’SNMPTRAPTst’ Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name: ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited, QID: 1000156, Category: 1014, Notes: Offense description"Sep 28 12:39:01 localhost.localdomain ECS: Rule ’Name of Rule’ Fired: 172.16.60.219:12642 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID: 1000398, Category: 1011, Notes: Event description[ 次へ] をクリックします。
[ 完了] をクリックします。