ページの先頭です

ページ内を移動するためのリンク
本文へ (c)

ここから本文です。

セキュリティオペレーションの統合 Cisco Threat ResponseからCisco Secure Xへ

ライター:尾山 和宏
ネットワン入社以来、セキュリティ製品の担当として、ベンダー製品の評価・検証・技術サポート業務に従事。CISSP#502642、CCIE Security#64214。第3回 シスコテクノロジー論文コンテスト 最優秀賞。

目次

SIEM? SOAR? セキュリティオペレーションの課題

近年、増え続ける脅威アラートと少ない人員に頭を悩ませている情報セキュリティ担当者が多いのではないでしょうか?
このような環境において情報セキュリティ担当者に求められるのは、有象無象の脅威アラート全てに対応することではありません。真に情報漏洩やシステム停止に繋がるような脅威の兆候を発見し、それらの対応にリソースを集中することです。

上記の課題を解決するため、SIEM(Security Information Event Management)や、SOAR(Security Orchestration, Automation and Response)の導入を検討されている組織も多いのではないかと思います。

SIEMを用いたログの相関分析や、SOARによるセキュリティオペレーションの自動化は、上手く統合できれば見落としていた脅威の発見や、インシデントレスポンスの効率化に繋がります。一方で、システムの導入や維持にかかるコスト、実装面での複雑さ、不完全な統合による脅威の見落とし、SIEMやSOAR自体の定期的な最適化に伴う負荷などの課題も存在します。

今回、このような問題に対する解決策となりうるCisco Systems社のCisco Threat ResponseとCisco Secure Xについて、実際に触ってみた感触を含めて取り上げてみました。

Cisco Threat Response

Cisco Threat Renponse(以後、CTRと呼称)とは、複数のCisco Security製品の脅威ログや、サードパーティー製品を含む脅威インテリジェンス情報を一つのコンソールに集約し、脅威の検出・調査・修復を統合的に実施できるようにしたセキュリティプラットフォームです。Cisco AMP for Endpoints、Umbrella、ThreatGridの内、どれか一つの製品を持っていれば無料で使用することが可能です。

Cisco Security製品や、サードパーティー製品をCTRに統合するためのAPIモジュールが用意されているため、対象製品であれば、ボタンを数回クリックするだけでCTRへの統合が完了します(図1)。

- 図1-

CTRの特徴的な機能の一つがRelations Graphです。下の図2は、Eicarという疑似マルウェアのハッシュ値を検索した際に表示されたRelations Graphです。統合したCisco Security製品やサードパーティーの脅威情報からEicarのハッシュ値に関連する情報が抽出されてグラフィカルに表示されます。

図2を詳しく見ていきます。検索したEicarのハッシュ値を中心に、関連する端末、ファイル、フォルダパス、IPアドレスやURLなどが、一つの図に表示されています。この組織では5台の端末がEicarに感染していること、またEicarに関連する親マルウェアの存在なども見えてきます。

本機能を用いることで、ニュースなどで話題となったマルウェアが組織内に存在するのか、どの範囲まで感染が拡散しているかといった影響範囲の可視化に役立ちます。

- 図2-

調査フェーズにおいてもCTRは役に立ちます。図3ではマルウェアと疑われるファイルがどこからやってきたのかを調査しています。

Eメールセキュリティ製品(ESA)とエンドポイントセキュリティ製品(AMP for Endpoints)をCTRに連携させているため、対象ファイルを送信したメールアドレス、受信メールアドレス、対象メールの件名、ファイルを持つ端末名や、ファイルパスまで確認できます。

この図3を詳しくみることで、メールを経由して組織内の端末にマルウェア感染が広がっていった感染経路が浮かび上がってきます。このようにCTRは感染経路の迅速な特定にも利用することができます。さらに詳細なログ調査を実施する場合は、この画面からAMP for Endpointsの画面を呼び出して、EDRのログを用いて調査することが可能です。(AMP for Endpoints購入時)

- 図3-


修復フェーズにおいてもCTRは役立ちます。調査結果からマルウェアと疑われるファイルや、脅威の疑いのあるドメインが見つかった場合、CTRの画面から直接、AMP for Endpointsに対して対象のハッシュを持つファイルをブロックする、Umbrellaに対して脅威ドメインをブロックするといった修復を行うことができます。個別の製品にログインして操作を行う必要がないため、迅速に修復することが可能となります(図4)。

- 図4-

Cisco Secure X

Cisco Secure Xは、6月30日に発表されたCisco Systems社の新たなセキュリティプラットフォームです。全てのCisco Security製品を本プラットフォームに統合することができます。Cisco Secure Xは、CiscoのSecurity製品をどれか一つ持っていれば無料で使用することが可能です。

Dashboardでの脅威情報や統計情報の可視化、AutomationやWorkflowを用いたOrchestration、豊富なサードパーティー製品連携などが特徴です。次にいくつかの機能を紹介します。

・Dashboard

複数のCisco Security製品の脅威情報や、統計情報を表示させることができます。Dashboardは自由にカスタマイズしたり、1人で複数のDashboardタイルを持つことも可能です(下の図5ではAMPとUmbrellaの情報を表示)

- 図5-

・Integration

全てのCisco Security製品に加えて、30個程度のサードパーティー製品との統合が用意されています。サードパーティ―製品との統合は、今後さらに拡張される予定です(図6:利用可能なサードパーティー製品例)。

- 図6-

・Orchestration

Workflowを用いたOrchestrationが実行できます。下の図7では、AMP for Endpointsを用いて、端末の存在を確認し、フォレンジック情報の採取、その後に端末を隔離するといったWorkflowの実行例です。

-図7-

上記以外にも管理者にEmail通知する、Webex Teamと連携してインシデントを通知する、Service NOWにインシデントチケットを登録する。といった様々な要素をWorkflowに組み込むことができます。

Secure X OrchestrationはCisco Action Orchestrator の流れを汲んでいるため、EC2インスタンスの作成、といったセキュリティオペレーションとは直接関連の薄そうな要素も存在します。Cisco Secure Xの活用方法次第では、SecOpsだけではなく、ITOpsや、NetOpsとしての利用も可能かもしれません。

また OrchestrationはCTRの画面から実行することも可能です。同様にCisco Secure XからもCTRは起動できます。Cisco Secure XとCTRは相互に補完する関係となっています(図8)。

-図8-

おわりに

本ブログでは、Cisco Threat Response、Cisco Secure Xについて紹介させていただきました。

製品を触ってみた感想としては、製品統合が簡単に行える点、複数製品を情報ソースとした際のRelations Graphによる幅広い可視性、Secure X Orchestrationが魅力的に感じました。Cisco Secure Xはリリースされて間もないため、今後の機能拡張なども継続して確認していきたいと思います。

ネットワンシステムズは今後もCisco Systems社の製品をいち早く評価し、迅速にお客様にお届けしていきます。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

RECOMMEND