UEBA Archives - Exabeam
Cybercrimes are continually evolving. Make the Exabeam website and blog a regular source for your information security knowledge.

Stay ahead with Exabeam’s news, insights, innovations, and best practices covering information security and cyber threat detection and response for the security professional.

Or get our RSS feed

Advanced Analyticsユースケース:侵害された資格情報を見破る

資格情報の盗難は根深い問題であり、組織はこの問題の効果的な対策をいまだに見いだせていません。クレデンシャルスタッフィング攻撃のニュースは毎週のように流れます。この攻撃では、攻撃者が盗んだ資格情報で組織の環境にログインし、水平方向に移動して特権アクセスを取得します。すべての活動の焦点はプライベートデータや価値の高いアセットにアクセスするという目的に置かれます。MITRE ATT&CKは攻撃者が用いる戦術、手法、技巧に関する情報をナレッジベースで提供しており、セキュリティチームは強力なセキュリティプロセスを構築するのに役立てることができます。Exabeamでは攻撃のMITREへのマッピングなどの分析を通じて組織がこうした活動を検知するために有効な支援を提供しています。機械学習を活用した当社の分析ソリューションを使って担当顧客のサポートに成功した筆者の事例を以下に紹介します。 最近筆者は、顧客の既存SIEMにExabeamの最新強化デプロイメントに従事していました。Exabeamを完全にデプロイする前に、既存のSIEMからのSyslogフィードをExabeam分析エンジンに使用して環境のモデリングを開始しました。その段階でExabeam Advanced Analyticsが要注意ユーザーのトリガーを発生しました。それ以降我々は、アカウントの切り替えとラテラルムーブメントを通じてそのユーザーのアカウントが侵害アカウントに変化していくのを目撃しました。発覚までの経緯を以下に記します。 5月7日木曜日 Exabeamがリスクスコア93点の要注意ユーザーのアラートをトリガー。 図1:通常と違う量のユーザー活動を最初に検知。 5月7日、22:20 これがそのユーザーにとってきわめて異常であることの明確な兆候がTrend Timelineに表示される。 図2:Trend Timelineでこの活動を見るとこのユーザーの正常活動と比べて急増が確認される。 動的KPIを使用すると、それ以前の日々におけるそのユーザーのどの活動にも通常これほど高水準のリスクスコアは生成されないこと、これほど多くのアカウントの使用やこれほど多くのアセットへのアクセスは見られないことを確認できます。  図3および4:過去数日にわたるこのユーザーの行動を振り返ると、発せられたアラートに匹敵するレベルのリスクは確認されません。 ユーザーを詳しく調べたところ、このユーザーが要注意になった大まかな理由はすぐ確認できましたが、さらに何が発生したのかを理解するためにTimelineビューをクリックしました。 図5:さらに詳しく見てみると、リスク要因が合計1,044スコアにまで達した要因を確認できます。 Timelineでは21:15にこのユーザーのシンガポールからのVPNingに対してExabeamがリスクスコア20点のフラグを立てたことが確認できます。この行動はこのユーザーにとっても組織の他のユーザーにとっても初めて観察されたものであったため、リスクスコアを20点追加するきっかけとなりました。今まで観測されたことがないISPからの接続と同時に、過去に関連付けられたことがないユーザーエージェント文字列からの接続もあったため、リスクスコアはさらに22点加算されました。 この段階で用いられたMITRE ATT&CK技巧:外部リモートサービス (T1133) と有効なアカウント (T1078)。 図6:ExabeamはシンガポールからのVPNingにより20点、該当ユーザーにとっても全組織の他のユーザーにとっても初めての行動であったことによりさらに20点、 新しいISPからの接続により22点のリスクスコアを加算し、フラグを立てました。 データモデルを調べるとこうした接続はWindowsマシンからTridentでなくMozillaを使用するのが通例であることが明確に確認されました。そのため、このリスクはタイムラインに適用されました。 図7:ユーザーはWindowsマシンからTridentでなくMozillaを使って接続するのが通常であるためこの活動にフラグが立てられます。 ユーザーのタイムラインでのリスクスコアは62点となりました。1時間後の22:15に、ユーザーは今までアクセスしたことのないアセットにアクセスし始めました。アクセスごとにリスクスコアが10点加算されていきます。22:15の2つのアセットへのアクセスによりリスクスコアは20点加算され、22:16の別のアクセスで要注意ユーザーの世界的基準値であるリスクスコア93点を超えました。この時点でこのユーザーの調査アラートが発せられました。 この段階でタイムラインに適用されるリスクの100%は、異常なログオンロケーションから通常接触しないか一切接触したことがないアセットにアクセスするという逸脱行動に基づくものでした。 5月8日、3:48 他のアセットへの攻撃を数百回試みた後で、ユーザーは最初のホストから切り替え、横方向に移動するための資格情報を遂に見つけました。Exabeamはこの情報をアカウント切り替え活動としてタイムラインに織り込み、当初使用されたユーザー名と切り替え先のユーザー名と移動先のホストを表示しました。 使用されたMITRE ATT&CK技巧:探索 (TA0007)、アカウント探索 (T1087)、ネットワーク共有探索 (T1135)、ラテラルムーブメント (TA0008)、リモートサービス:リモートデスクトッププロトコル (T1021.001) 図8:ユーザーは切り替え用の資格情報を見つけ、当初のホストを離れ侵入を拡大していきます。 不運なことにこの組織には、その時点では年中無休でセキュリティアラートを夜間に管理するためのSOCがなく、ユーザーはMimikatzからダンプされた233件の資格情報を介して合計487のアセットにアクセスしてから、当初の侵害ホストを離れ環境にある別のアセットへと移動していきました。そのアセットを通じてさらに60の資格情報がダンプされ、環境全体で使用が試行されました。 この組織はExabeam Entity Analyticsを使用していたため、ユーザーが侵入を拡大したアセットが翌朝03:04に要注意になったことも確認できます。ここでもアセットに対する行動の変化がトリガーの原因でした。 Mimikatzはアカウントのログインとパスワード情報をプレーンテキストで取得できる資格情報ダンパーです。MITRE ATT&CKフレームワークで説明される技巧で検知されます。例えば、アカウント操作 (T1098)、資格情報のダンプ (T1003)、不正ドメインコントローラ (T1207) といった技巧が挙げられます。 図9:侵害されたユーザーは組織全体を移動し続けます。 Exabeamが要注意アセットをトリガーした直後に、顧客のEDRツールのライトが点灯し、Mimikatzツールの通知も使用されました。これらアラートもAssets Timelineに織り込まれ、合計リスクスコアをさらに引き上げました。 図10:顧客のEDRツールには使用しているMimikatzツールの通知が表示されています。 Exabeam Timelinesとモデリングツールを使用すると、完全に行動に基づいて、要注意ユーザーとアセットをトリガーする一方で、各イベントを明確につなぎ合わせて、攻撃の進行中に起きたことの全貌を把握できます。… Read more »


UEBA Articles


Get the Latest on Information Security

We cover the latest in cyber security, data science, artificial intelligence, machine learning, User and Entity Behavior Analytics (UEBA), and next-gen SIEM. Make the Exabeam website and blog a regular source for your information security knowledge.

Or get our RSS feed