「Malop」について
EDR製品のCybereason EDRは、既知の悪意あるサイトはもちろん、未知の脅威に対しても、脅威判定を行うことができます。
仮に、そのサイトが今作られたばかりの知られていないサイトであったとしても、サイバー攻撃の一連の挙動に利用されている可能性があれば脅威として検知され、利用者に通知されます。この通知をCybereason独自の用語で、「Malop」(マロップ)と呼びます。
「Malop」を受け取った利用者は内容を精査し、本当に危険だと判断した場合、そのURLやIPアドレスなどをプロキシサーバーやファイアウォールのブラックリストとして登録することで対処します。あるいはMDR(Cybereason社によるSOCサービス)を契約している場合、それに準じた内容で対処します。
Cybereason EDRによるInterSafe WebFilterの補完
WebフィルタリングソフトのInterSafe WebFilterも、日々、有害なサイトを収集し、専任リサーチャーによる目視確認を経てデータベースに登録しているため、高い網羅率を誇ります。しかし、今作られたばかりのサイトは実体が不明なため、有害サイトだと判断を下すことができません。疑わしきは罰せず、です。
一方、仮に先の組織がサイバー攻撃の被害を受けていたとしたなら、Cybereason EDRによって発生したMalopに記載のあるURLやIPアドレスは、その組織全体でアクセスをブロックするべきですが、Cybereason EDRは検知に特化したサービスとなっています。
そこで、Cybereason EDRでMalopが発生した場合、そこに記載されたURLやIPアドレスを自動で登録する仕組みをご紹介します。
Sumo Logic を使ってInterSafe WebFilterへの自動登録を実現
Sumo Logic は当社で取り扱っているSIEM製品で、Cybereason EDRのMalop情報をクラウドtoクラウドで収集できます。さらに、収集した情報を条件に遠隔で命令を実行する機能があります。
◆構成イメージ
InterSafe WebFilter以外でも利用可能
今回は、InterSafe WebFilterへの登録を例に自動登録の仕組みをご説明しました。WindowsまたはLinux上からのコマンドを受け付けられるシステムであれば、どのようなシステムでも対応が可能です。オープンソースのプロキシキャッシュサーバーであるSquidへのブラックリスト登録についても実績があります。
まとめ
いかがだったでしょうか。昨今、日本ではIT人材が不足していると言われ続けており、SOAR(インシデントレスポンスの自動化)などが注目されています。今回ご紹介した仕組みも、Malopを受け取った後、そのMalopに記載された脅威のあるURLやIPアドレスを自動的に登録するいわゆるSOARサービスです。
高度化するサイバー攻撃に対応するには、セキュリティファーストの考え方が重要です。Malopが発生した後、それを何日もかけて精査して対応するのではなく、Sumo Logicを活用して自動登録を即時化する運用をご検討ください。
実際のデモをご覧いただくことも可能ですので、ご興味があれば、お気軽にご相談ください。