内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

クラウドアプリケーションを守るSIEM相関ルール

SIEM相関ルール作成の知見に読んでみる。

参考:
www.skyformation.com


1.Brute Force Attack

概要

同一のIPからログイン失敗を繰り返し・長時間に渡り行う

コメント

"長時間に渡る攻撃"
を観測できないSIEMのほうが多いと思う。
タイムレンジ60分では、機械的試行を補足できないのでは。

2.Distributed Brute Force Attack

概要

複数のIPから短時間で大量のログイン失敗

コメント

平時の認証失敗件数を学習できるSIEMなら良さげ。
しきい値を思いつきで決めるのは止めたい。

3.Concurrent Access From Different GEO

概要

異なる国から、同一アカウントでアクセス

コメント

これは使えそうなルール。

4.App Dormant User Becomes Active

概要

休暇など、発生し得ないユーザによるログインイベント

コメント

AD連携を行えるならよい

5.Departed User Access

概要

存在しないユーザ名によるアクセス

コメント

AD連携を行えるならよい

6.New Admin Created And Deleted

概要

短時間で、Adminユーザの作成と削除イベント

コメント

ActiveDirectoryの監視は、SIEMの役割の大きな一つですね。

7.Sign In From Blacklisted IP

概要

ブラックリストIPから、ログインなどのイベント

コメント

ソースに寄るけど、ブラックリストIPは信用ならない。信憑性ではブラックリストドメインのほうがいい気がする。
サービスによるけど、ホワイトリストができるならいいけど。

8.Departing User Admin Actions

概要

組織を去るユーザによる、Admin操作

コメント

"これから去るユーザ"の管理ってしているところあるのかしら。

9.Man In The Cloud

概要

(オンラインストレージなど)ファイル共有システムを利用して、
攻撃者のコンピュータと情報共有される

コメント

どうやって捕捉するんだろう?
プロキシで、オンラインストレージへの通信を捕捉するほうが早そうだけど。

10.Massive Resources Deletion

概要

短期間で、大量のファイルやアカウント情報の削除

コメント

「ActiveDirectoryのログ」、「ミドルウェアのログ」、「アプリケーションのログ」
それぞれでルールが作成できますね。

おわりに

特権管理関係が多い。
SIEMで適切な検知をさせるためには、人手によるメンテナンスが必須という事になりそう。

稼働を減らすのは難しいなー(。・_・。)