Embed Size (px)
Citation preview
McAfee SIEM相関分析の活用1
~リスト攻撃による不正ログイン対策~
2014年8月株式会社ディアイティ
活用例:リスト攻撃による不正ログイン• 問題点会員制ウェブサイトでECサイトを運用しているA社は、リスト攻撃と思われる、いわゆるなりすましログインによる被害が発生している。顧客側で、他の複数の会員制ウェブサイトで同一のID/パスワードを使い回ししていると思われる問題を含め対応を進めるが、人海戦術の負荷は高まる一方。負荷を減らし、顧客に迷惑をかけず、なりすましをリアルタイムで発見する方法を模索している。
Copyright 2014 dit Co., Ltd. All rights reserved. 2
相関分析を行うに当たってのポイント
• 分析対象のシステムの把握
• 目的をはっきりさせる
• 分析ルールはできるだけシンプルに!
Copyright 2014 dit Co., Ltd. All rights reserved. 3
観点:矛盾を発見する
• 認証ログから、一定期間/時間内に、異なる国/地域から、同一アカウントでログインしているパターンをリアルタイムで検出
• 検出したアカウントを即時停止することで、被害を最小限にとどめる
Copyright 2014 dit Co., Ltd. All rights reserved. 4Copyright 2014 dit Co., Ltd. All rights reserved.
JAPAN
同一アカウントでのログインを検出
A国
B国
C国
D国
E国
F国
なりすまし発見の為の分析ルール条件作成
• フィルター条件• 正規化された認証ログ(成功)
• 監視対象フィールド(チェックする箇所)• 送信元の位置情報(国/地域、SIEMが情報を付与)
• しきい値• 時間軸:XX分間• (同一アカウントの)検出:2回
• カウント方法• 同一アカウント毎
Copyright 2014 dit Co., Ltd. All rights reserved. 5
認証ログから相関分析エンジンで検出
Copyright 2014 dit Co., Ltd. All rights reserved. 6
アメリカ合衆国
中華人民共和国
フランス共和国
SIEM相関分析エンジン
• SIEMにより正規化された認証ログの送信元IPアドレスから位置情報を判別
• 相関分析エンジンによる不正利用を検出• アラートメール送信
From:アメリカ合衆国時間:10:10ログインユーザ名:taro-yamada
From:フランス共和国時間:10:31ログインユーザ名:taro-yamada
From:中華人民共和国時間:10:22ログインユーザ名:taro-yamada
なりすましの疑いが高いログインを発見!即刻アカウント停止!
IIS/Apache等のWebサーバ「認証ログ」を即時SIEMへ送信
成功!
成功!
成功!
一定時間内に世界各国から
「taro-yamada」でログインされていた!
検出アラート名:User Logon from Multiple GeoLocation
