攻撃調査

攻撃を選択して調査する

左側のナビゲーション オプションを使用して、さまざまな視点から攻撃を表示します。たとえば、[ 送信元 IP 別 ] または [ 宛先 IP 別 ] を選択して、反復犯罪者、多くの攻撃を生成する IP アドレス、または継続的に攻撃を受けているシステムに関する情報を表示します。表示する攻撃の期間を選択するか、検索パラメーターを変更することで、リスト内の攻撃をさらに改善できます。

また、さまざまな基準に基づく攻撃を検索することもできます。攻撃の検索の詳細については、「 Offense Searches」を参照してください。

1. [ オフェンス ] タブをクリックします。

2. ナビゲーション メニューで、表示する攻撃のカテゴリを選択します。

3. 選択したカテゴリに応じて、以下のフィルタリング オプションを選択できます。

   1. [ビュー オフェンス] リストからオプションを選択し、特定のタイム フレームに対する攻撃のリストをフィルタリングします。

   2. [現在の検索パラメータ]ペインで、[フィルタ リンクのクリア]をクリックして、攻撃のリストを絞り込みます。

4. ネットワーク上で発生しているすべてのグローバル攻撃を表示するには、「 すべての攻撃」をクリックします。

5. あなたに割り当てられた攻撃をすべて表示するには、[ マイオフェンス]をクリックします。

6. ハイレベル カテゴリでグループ化された攻撃を表示するには、[ カテゴリ別] をクリックします。

   1. 特定の高位カテゴリーの下位カテゴリー・グループを表示するには、高位カテゴリー名の横にある矢印アイコンをクリックします。

   2. 低レベルのカテゴリーの攻撃のリストを表示するには、低レベルのカテゴリーをダブルクリックします。

      イベント/フロー数やソースカウントなどのカウントフィールドでは、ユーザーのネットワーク権限は考慮されません。

7. 送信元 IP アドレス別にグループ化された攻撃を表示するには、[ ソース IP 別] をクリックします。

   オフェンスのリストには、アクティブな攻撃を持つ送信元IPアドレスのみが表示されます。

   1. 表示するソース IP グループをダブルクリックします。

   2. 送信元 IP アドレスのローカル宛先 IP アドレスのリストを表示するには、ソース ページのツールバーの [宛先] をクリックします。

   3. この送信元 IP アドレスに関連付けられている攻撃のリストを表示するには、ソース ページツールバーの [攻撃] をクリックします。

8. 宛先 IP アドレス別にグループ化された攻撃を表示するには、[ 宛先 IP 別] をクリックします。

   1. 表示する送信元 IP アドレス グループをダブルクリックします。

   2. 宛先 IP アドレスに関連付けられている攻撃のリストを表示するには、[宛先] ページツールバーの [攻撃] をクリックします。

   3. 宛先 IP アドレスに関連付けられた送信元 IP アドレスのリストを表示するには、[宛先ページ] ツールバーの [ソース] をクリックします。

9. ネットワーク別にグループ化された攻撃を表示するには、[ ネットワーク別] をクリックします。

   1. 表示するネットワークをダブルクリックします。

   2. このネットワークに関連付けられた送信元 IP アドレスのリストを表示するには、ネットワーク ページツールバーの [ソース] をクリックします。

   3. このネットワークに関連付けられた宛先 IP アドレスのリストを表示するには、ネットワーク ページツールバーの [宛先] をクリックします。

   4. このネットワークに関連付けられた攻撃のリストを表示するには、ネットワーク ページツールバーの [攻撃] をクリックします。

10. 攻撃をダブルクリックすると、詳細な情報が表示されます。

攻撃の概要と詳細の情報を使用して、攻撃を調査し、必要な措置を講じます。

概要情報を使用した攻撃の調査

[ 攻撃の概要 ] ウィンドウには、 JSA の攻撃を調査するために必要な情報が表示されます。調査中に最も重要な情報は、調査する攻撃のタイプによって異なる場合があります。

攻撃を簡単に調査できるように、オ フェンスサマリー ページの下部には、攻撃への主な貢献者に関する情報がグループ化されています。これらのフィールドには、そのカテゴリーの最新または最も重要な情報のみが表示されます。多くのフィールドには、そのフィールドにマウスカーソルを合わせると、より多くの情報が表示されます。一部のフィールドには右クリックメニューオプションがあります。

1. [攻撃] タブ を クリックし、調査する攻撃をダブルクリックします。

   [オフェンスの概要] ウィンドウが開きます。

2. データの最初の行を確認して、 JSA が攻撃に割り当てた重要性のレベルについて確認します。

   マグニチュード評価の詳細については、こちらをご覧ください。

   表 1:マグニチュード定格の詳細

   パラメーター	説明
   大きさ	攻撃の相対的重要性を示します。この値は、関連性、重大度、信頼性の評価に基づいて計算されます。
   ステータス	状態アイコンの上にマウスカーソルを合わせると、ステータスが表示されます。 攻撃がアクティブな場合、JSA はステータス アイコンを表示しません。
   関連	宛先の重要性を示します。 JSA は、管理者がネットワークとアセットに割り当てた重みによって関連性を判断します。
   重大 度	宛先が攻撃に対してどのように準備されているかに関して、攻撃が発生する脅威を示します。
   信頼性	ログ ソースで設定された信頼性の評価によって決定される攻撃の完全性を示します。複数のソースが同じイベントを報告すると、信頼性が高くなります。JSA 管理者は、ログ ソースの信頼性評価を構成します。

3. 攻撃のタイプと発生したタイムフレームの詳細については、[ Offense Summary](攻撃の概要 )ウィンドウの上部にある情報を確認します。

   攻撃に関する情報の詳細については、こちらをご覧ください。

   表 2:攻撃情報

   パラメーター	説明
   説明	攻撃の原因を示しています。 連鎖攻撃は 、その前に、新しいイベントやフローがオフェンスに追加されるにつれて攻撃が時間とともに変化したことを示しています。
   オフェンス タイプ	攻撃タイプは、攻撃を作成したルールによって決定されます。オフェンスタイプは、[オフェンスのソースの概要]ペインに表示される情報の種類を決定します。
   イベント/フロー数	攻撃に関与したイベントとフローのリストを表示するには、 [イベント ] リンクまたは [ フロー] リンクをクリックします。
   ソース IP	ネットワーク上のコンポーネントのセキュリティを侵害しようとするデバイスを指定します。デバイスはIPv4またはIPv6アドレスを持つことができます。 ソース IP タイプの攻撃は、常に 1 つの送信元 IP アドレスからしか発信されません。他のタイプの攻撃は、複数の送信元 IP アドレスを持つことができます。送信元 IP アドレスの詳細については、アドレスにマウスカーソルを合わせるか、右クリックおよび左クリックのマウス アクションを使用して表示できます。
   宛先 IP	送信元 IP アドレスがアクセスを試みたネットワーク デバイスを指定します。ネットワークデバイスは、IPv4またはIPv6アドレスを持つことができます。 攻撃にターゲットが 1 つだけの場合は、IP アドレスが表示されます。攻撃に複数のターゲットがある場合、ターゲットにされたローカルまたはリモートの IP アドレスの数。詳細については、アドレスにマウスカーソルを合わせるか、右クリックと左クリックのマウスアクションを使用して表示できます。
   開始	攻撃に対して最初のイベントまたはフローが発生した日時を指定します。
   期間	オフェンスに関連付けられた最初のイベントまたはフローが作成されてから経過する時間を指定します。
   ネットワーク	ターゲットとしたローカル宛先 IP アドレスのローカル ネットワークを指定します。JSA は、ネットワーク階層で指定されたすべてのネットワークをローカルと見なします。システムは、リモートネットワークまたは [管理 ]タブのリモートサービスとして指定されている場合でも、リモートネットワークを攻撃に関連付けません。

4. オ フェンスの送信元概要 ウィンドウで、攻撃の送信元に関する情報を確認します。

   オ フェンスソースサマリー ウィンドウに表示される情報は、 オフェンスタイプ フィールドによって異なります。

   ソースサマリー情報の詳細については、以下をご覧ください。

   表 3:送信元サマリー情報:

   パラメーター	説明
   連鎖	宛先 IP アドレスがチェーン化されるかどうかを指定します。 連鎖されたIPアドレスは、他の攻撃に関連付けられています。たとえば、宛先 IP アドレスが別の攻撃の送信元 IP アドレスになる場合があります。宛先 IP アドレスがチェーン化されている場合は、[ はい ] をクリックしてチェーン違反を表示します。
   宛先 IP	送信元 IP アドレスがアクセスを試みたネットワーク デバイスを指定します。ネットワークデバイスは、IPv4またはIPv6アドレスを持つことができます。 攻撃にターゲットが 1 つだけの場合は、IP アドレスが表示されます。攻撃に複数のターゲットがある場合、このフィールドには、ターゲットにされたローカルまたはリモートの IP アドレスの数が表示されます。詳細については、アドレスにマウスカーソルを合わせるか、右クリックと左クリックのマウスアクションを使用して表示できます。
   場所	送信元または宛先 IP アドレスのネットワークの場所を指定します。場所がローカルの場合は、リンクをクリックしてネットワークを表示します。
   大きさ	送信元または宛先 IP アドレスの相対的重要性を指定します。 マグニチュード バーは、IP アドレスに関連付けられているアセットの CVSS リスク値を視覚的に示します。マウスをマグニチュード バーの上に置くと、計算されたマグニチュードが表示されます。
   重大 度	イベントまたは攻撃の重大度を指定します。 重大度は、攻撃に対する宛先 IP アドレスの準備方法に対する攻撃の発生レベルを指定します。この値は、攻撃に関連するイベント カテゴリーに直接マッピングされます。たとえば、サービス拒否(DoS)攻撃の重大度は 10 で、重大な発生を指定します。
   ソース IP	ネットワーク上のコンポーネントのセキュリティを侵害しようとしたデバイスを指定します。デバイスはIPv4またはIPv6アドレスを持つことができます。 ソース IP タイプの攻撃は、常に 1 つの送信元 IP アドレスからしか発信されません。他のタイプの攻撃は、複数の送信元 IP アドレスを持つことができます。送信元 IP アドレスの詳細については、アドレスにマウスカーソルを合わせるか、右クリックおよび左クリックのマウス アクションを使用して表示できます。
   名	オフェンスを作成したイベントまたはフローに関連付けられているユーザー名を指定します。 ユーザー名にマウス カーソルを合わせると、ユーザーのアセット モデル データベース内の最新の情報が表示されます。 ペイロードにユーザー名が含まれていないイベント、またはローカル コンピューターまたはシステム アカウントに属するシステムによって生成されたイベントは、[不明] と表示されます。 選択したユーザー名に関連付けられている詳細にアクセスするには、[アセットの表示] および [イベントの表示] メニュー オプションのユーザー名を右クリックします。
   脆弱 性	送信元または宛先の IP アドレスに関連付けられた、特定された脆弱性の数を指定します。この値には、アクティブおよびパッシブの脆弱性の数も含まれます。

   過去の攻撃の概要情報を表示する場合、 前回の既知 のデータフィールドには表示されません。

5. [ Offense Summary](攻撃の概要 )ウィンドウの下部で、攻撃に関して収集されたメモや注釈など、攻撃の主な貢献者に関するその他の情報を確認します。

   JSA がカテゴリーで収集したすべての情報を表示するには、カテゴリー見出しの右側にあるリンクをクリックします。

   オフェンスの詳細に提示される情報の詳細については、こちらをご覧ください。

   表 4:オフェンスの詳細

   オフェンス詳細カテゴリー	説明
   最後の 5 つの注意事項	ノートを使用して、違反調査中に収集された重要な情報を追跡します。オフェンスにメモを追加することはできますが、ノートを編集または削除することはできません。
   ソースIPトップ5	マグニチュードが最大の IP アドレスの上位 5 つを示しています。この IP アドレスは、攻撃やポリシー違反の疑いがある場所です。 送信元 IP アドレスが 1 つだけの攻撃は、テーブル内に 1 つのエントリーしか表示されません。
   宛先 IP のトップ 5	攻撃の標的を示す可能性のある最大の規模の上位 5 つのローカル IP アドレスを示します。5 つ未満のローカル IP アドレスをターゲットとする攻撃は、テーブル内のエントリーの数を減らします。 [チェーン] 列は、宛先 IP アドレスが別の攻撃の送信元 IP アドレスであるかどうかを示します。この列の 「はい」は、攻撃者がこの IP アドレスでシステムを制御し、それを使用して他のシステムを攻撃していることを示しています。 [マグニチュード] 列には、存在する場合の総共通脆弱性スコア システム(CVSS)スコアが表示されます。CVSS スコアが利用できない場合、この列は IP アドレスが含まれるすべての攻撃の最も大きさを示しています。 宛先 IP アドレスにマウスカーソルを合わせると、[宛先の マグニチュード ] に CVSS スコアが表示されます。CVSS スコアが使用できない場合は、ゼロが表示されます。
   ログ ソーストップ 5	最も多くのイベントが攻撃に影響を与えるログ ソースを示しています。 カスタムルールエンジン(CRE)は、カスタムルールで指定されたテスト基準が受信イベントと一致すると、イベントを作成し、オフェンスに追加します。[説明] フィールドにカスタム ルール エンジンが表示されるログ ソースは、JSA がそのログ ソースからイベントを作成したことを示しています。 合計イベント は、オフェンスがアクティブだった間にこのログ ソースから受信したすべてのイベントの合計を示します。
   ユーザートップ5	JSA がこのテーブルを読み込むには、イベントにユーザー情報が含まれていなければなりません。
   トップ5のカテゴリー	攻撃に関与した最も多くのイベントを含む低レベルのカテゴリーを示しています。 ローカル宛先カウントは、 カテゴリー内のイベントによる攻撃の影響を受けるローカル宛先 IP アドレスの数を示します。すべての宛先 IP アドレスがリモートである場合、このフィールドには 0 が表示されます。
   過去 10 件のイベント	攻撃に関与した過去 10 件のイベントに関する情報を表示します。
   過去 10 個のフロー	攻撃に関与した過去 10 個のフローに関する情報を示します。 [総バイト数] 列には、両方向に転送されたバイトの合計が表示されます。
   注釈	JSA がイベントまたは観察されたトラフィックが脅威であると見なす理由について、注釈を付けてインサイトを提供します。 JSAは、イベントやフローを攻撃に追加するときに注釈を追加できます。最も古いアノテーションは、オフェンスが作成されたときにJSAが追加した情報を示しています。ユーザーは注釈を追加、編集、または削除できません。
   過去 5 件の検索結果	過去 5 回スケジュールされた検索の結果に関する情報を表示します。

6. JSA Risk Managerをインストールした場合は、「攻撃パスの表示」をクリックして、ネットワーク内のどのアセットが通信しているか確認し、攻撃がネットワークを通過することを許可します。

イベントの調査

イベントとは、ファイアウォールやルーター デバイスなどのログ ソースからのレコードで、ネットワークやホストでのアクションを説明します。攻撃に関連付けられたイベントにより、ネットワークで不審なアクティビティが発生していることを示す証拠が表示されます。イベント データを調べることで、攻撃の原因を理解し、脅威を分離して軽減する最善の方法を決定できます。

受信した未加工のイベントに基づいて作成されるイベントもあれば、 JSA カスタム ルール エンジン(CRE)によって作成されるイベントもあります。 JSA によって作成されたイベントは、未加工のイベントに基づいていないため、ペイロードを持っていません。

1. [ オフェンスの概要 ] ウィンドウで、[ イベント] をクリックします。

   [ イベントのリスト] ウィンドウには、攻撃に関連付けられているすべてのイベントが表示されます。

2. 特定のタイム フレーム内で発生したイベントを表示するには、[ 開始時間]、[ 終了時間]、および [表示 ] オプションを指定します。

3. イベント列ヘッダーをクリックして、イベントリストを並べ替えます。

4. イベントのリストで、イベント名を右クリックしてクイック フィルター オプションを適用し、確認するイベントの数を減らします。

   イベントリストの他の列にもクイックフィルターを適用できます。

5. イベントをダブルクリックすると、イベントの詳細が表示されます。

   [イベント情報] ウィンドウと [ソースと宛先情報] ウィンドウには、イベントに関する既知の情報のみが表示されます。イベントの種類によっては、一部のフィールドが空になる場合があります。

   イベント情報の時間フィールドの詳細については、こちらをご覧ください。

   表 5:イベント情報の時間フィールド:

   フィールド	説明
   開始時間	JSA がログ ソースから生のイベントを受信した時間。
   保存時間	JSA が正規化されたイベントを保存した時間。
   ソース時間のログ保存	ログ ソースからの生のイベントに記録される時間。

6. [ ペイロード情報 ] ボックスで、 JSA が正規化しなかった情報について生のイベントを確認します。

   正規化されていない情報は JSA インターフェイスには表示されませんが、調査に役立つ場合があります。

JSA を使用してイベント データを確認する方法の詳細については、「 ログ アクティビティの監視と検索」を参照してください。

フローの調査

JSAは、ネットワーク通信で不審なアクティビティを特定したときに、フローを攻撃に関連付けます。フロー分析は、Web ブラウザ、NFS、SNMP、Telnet、FTP などのアプリケーションのレイヤー 7(アプリケーション レイヤー)を可視化します。フローには、暗号化されていないトラフィックの IP アドレス、ポート、アプリケーション、トラフィック統計、パケット ペイロードなどの情報を含めることができます。

デフォルトでは、 JSA は最初の 64 バイトのフロー データから正規化されたフィールドとカスタム フロー プロパティを抽出しようとしますが、管理者はコンテンツ キャプチャの長さを増やして、より多くのデータを収集できます。詳細については、『 Juniper Secure Analytics Administration Guide』を参照してください。

1. [ オフェンスの概要 ] ウィンドウで、右上のメニューの [ フロー ] をクリックします。

   [フロー リスト]ウィンドウには、オフェンスに関連付けられているすべてのフローが表示されます。

2. 特定のタイム フレーム内で発生したフローを表示するには、[ 開始時間]、[ 終了時間]、および [表示 ] オプションを指定します。

3. フローリストをソートするには、フロー列ヘッダーをクリックします。

4. フローのリストでフロー名を右クリックし、クイック フィルター オプションを適用して、確認するフローの数を減らします。

   フロー リスト内の他の列にもクイック フィルタを適用できます。

5. フローをダブルクリックして、フローの詳細を確認します。

   フローの詳細については、こちらをご覧ください。

   表 6:フローの詳細

   フィールド	説明
   イベントの説明	アプリケーションがペイロード内で識別されていない場合、JSA は内蔵デコードを使用してアプリケーションを決定し、 イベント記述で状態ベースのデコードで検出されたアプリケーションを示します。
   送信元ペイロード と 宛先ペイロード	ペイロードのサイズを示します。 サイズが 64 バイトを超える場合、ペイロードには JSA インターフェイスに表示されない追加情報が含まれている場合があります。
   部分的に一致するカスタム ルール	しきい値を満たしていないが、一致したルールが示されます。
   流れの方向	フロー方向を指定します。ここでは L はローカル ネットワークを、R はリモート ネットワークを示します。

JSA を使用してフロー データを確認する方法の詳細については、「 ネットワーク アクティビティの調査とイベントおよびフローの検索」を参照してください。