イベントを識別およびグループ化するためのタグの適用

Deep Securityでは、イベントを特定したりソートしたりするときに使用するタグを作成できます。たとえば、タグを使用して、安全なイベントと調査の必要があるイベントを区別できます。また、ダッシュボードのカスタマイズやレポートの作成にも使用できます。

イベントのタグ付けはさまざまな目的に使用できますが、本来の目的はイベント管理の負担を軽減することです。あるイベントを分析して安全であると判断した場合は、コンピュータ (および構成やタスクが類似しているその他のコンピュータ) のイベントログを調べて、類似イベントを検索し、同じラベルを適用できます。こうすると、各イベントを個別に分析する必要がなくなります。

現在使用中のタグを表示するには、[ポリシー]→[共通オブジェクト]→[その他]→[タグ] の順に選択します。

タグによってイベント自体のデータが変更されることや、ユーザにイベントの削除が許可されることはありません。タグはManagerによって指定される追加属性です。

タグ付けには次の方法があります。

  • 手動によるタグ付け: 必要に応じて特定のイベントをタグ付けできます。
  • 自動タグ付け: 既存イベントをモデルとして使用し、同一または別のコンピュータの類似イベントに自動でタグ付けします。「類似性」のパラメータを定義するには、タグを適用する場合にモデルイベントの属性と一致する必要があるイベント属性を選択します。
  • 信頼済みのソースを使用したタグ付け: 信頼済みのソースの既知のイベントとの類似性に基づいて、変更監視イベントに自動でタグ付けします。
標準のタグ付けと信頼済みのソースを使用したタグ付けには重要な違いがあります。[今すぐ既存のイベントに実行] を実行できるのは、標準のタグ付けのみです。

手動によるタグ付け

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。イベントを右クリック (または複数のイベントを選択して右クリック) し、[タグを追加] をクリックします。
  2. タグの名前を入力します。Deep Security Managerによって、入力した名前に一致する既存のタグの候補が表示されます。
  3. [選択された [イベントの種類] イベント] を選択します。[次へ] をクリックします。
  4. 必要に応じてコメントを記入し、[完了] をクリックします。

イベントリストの [タグ] 列にタグが表示されます。

自動タグ付け

Deep Security Managerでは、類似イベントに同じタグを自動的に適用するルールを定義できます。保存済みの既存の自動タグ付けルールを表示するには、任意の [イベント] 画面で、メニューバーの [自動タグ付け] を選択します。この画面から、保存済みのルールを手動で実行できます。

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。ベースにするイベントを右クリックし、[タグの追加] を選択します。
  2. タグの名前を入力します。Deep Security Managerによって、入力した名前に一致する既存のタグの候補が表示されます。
  3. [選択されたものと類似の [イベントの種類] イベントに適用] を選択し、[次へ] をクリックします。
  4. イベントの自動タグ付けを行うコンピュータを選択し、[次へ] をクリックします。
  5. イベントの類似性を判定する基準となる属性を選択します。属性オプションは [イベント] リスト画面の列に表示される情報とほとんど同じです。イベントの選択処理に含めるための属性を選択したら、[次へ] をクリックします。
  6. 次の画面で、イベントにタグを付けるタイミングを指定します。[既存の [イベントの種類] イベント] を選択した場合は、[今すぐ自動タグルールを適用する] を選択して自動タグ付けルールをすぐに適用するか、[バックグラウンドで自動タグルールを適用する] を選択し、優先度を下げてバックグラウンドで実行するかを選択できます。今後発生するイベントに自動タグ付けルールを適用するには、[今後の [イベントの種類] イベント] を選択します。また、[自動タグルールの保存] を選択して必要に応じて名前を入力することで、自動タグ付けルールを保存することもできます。[次へ] をクリックします。
  7. 自動タグ付けルールの概要を確認し、[完了] をクリックします。

イベントリストで、ベースにしたイベントおよび同様のすべてのイベントにタグが付けられていることを確認できます。

イベントのタグ付けが実行されるのは、AgentまたはApplianceから取得されたイベントがDeep Security Managerのデータベースに登録された後です。

自動タグ付けルールに優先度を設定する

自動タグ付けルールを作成したら、[優先度] 値を割り当てることができます。将来のイベントに自動タグ付けルールを適用するように設定した場合、設定された自動タグ付けルールを受信イベントに適用する順番は、ルールの優先度によって決まります。たとえば、すべての「ユーザのログオン」イベントに自動タグ付けルール「suspicious」をタグ付けする優先度が「1」のルールと、対象 (ユーザ) が自分自身であるすべての「ユーザのログオン」イベントから「suspicious」タグを削除する優先順位が「2」のルールを設定したとします。この結果、将来発生するすべての「ユーザのログオン」イベントのうち、ユーザが自分以外のものに「suspicious」タグが適用されます。

  1. イベントリストで、[自動タグ付け] をクリックして、保存済みの自動タグ付けルールのリストを表示します。
  2. 自動タグ付けルールを右クリックし、[詳細] をクリックします。
  3. [一般] タブで、ルールの [優先度] を選択します。

セキュリティログ監視イベントを自動でタグ付けする

セキュリティログ監視イベントは、ログファイル構造内でのグループに基づいて自動でタグ付けされます。これにより、Deep Security Manager内のセキュリティログ監視イベントの処理が簡略化および自動化されます。セキュリティログ監視グループのタグを自動的に付加するには、自動タグ付けを使用します。セキュリティログ監視ルールのグループは、ルールに関連付けられています。次に例を示します。

<rule id="18126" level="3">
<if_sid>18101</if_sid>
<id>^20158</id>
<description>Remote access login success</description>
<group>authentication_success,</group>
</rule>

<rule id="18127" level="8">
<if_sid>18104</if_sid>
<id>^646|^647</id>
<description>Computer account changed/deleted</description>
<group>account_changed,</group>
</rule>

それぞれのグループ名には、わかりやすい名前の文字列が関連付けられています。上記の例では、「authentication_success」には「Authentication Success」、「account_changed」には「Account Changed」が関連付けられています。このチェックボックスを設定すると、そのイベントのタグとして、このわかりやすい名前が自動的に追加されます。複数のルールがトリガされる場合は、複数のタグがイベントに追加されます。

信頼済みのソースを使用したタグ付け

信頼済みのソースを使用したイベントのタグ付けは、変更監視保護モジュールによって生成されたイベントにのみ使用できます。

変更監視モジュールを使用すると、コンピュータ上のシステムコンポーネントおよび関連属性に関する変更を監視できます。「変更」には編集だけでなく、作成と削除も含まれます。変更を監視できるコンポーネントには、ファイル、ディレクトリ、グループ、インストールされたソフトウェア、待機ポート番号、プロセス、レジストリキーなどがあります。

分析の必要があるイベントの数を削減するには、信頼済みのソースを使用したイベントのタグ付けを指定して、許可された変更に関連するイベントが自動識別されるように設定します。

変更監視モジュールでは、類似イベントの自動タグ付けだけでなく、[信頼済みのソース] で検出されたイベントやデータの類似性に基づいてイベントにタグ付けできます。信頼済みのソースには、次のいずれかを使用できます。

  1. 信頼済みのローカルコンピュータ
  2. トレンドマイクロの[ソフトウェア安全性評価サービス]
  3. 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。

信頼済みのローカルコンピュータ

信頼済みのコンピュータは、安全なイベントまたは無害なイベントのみを生成することが判明している、「モデル」コンピュータとして使用されるコンピュータです。「対象」コンピュータは、不正な、または予想外の変更が発生しないか監視されているコンピュータです。自動タグ付けルールでは、対象コンピュータのイベントが調査され、これらのイベントと信頼済みのコンピュータのイベントが比較されます。一致するイベントがあった場合は、これらのイベントに自動タグ付けルールで定義されたタグが付けられます。

保護されているコンピュータのイベントと信頼済みのコンピュータのイベントを比較する、自動タグ付けルールを設定できます。たとえば、あるパッチの計画済みロールアウトを、信頼済みのコンピュータに適用するとします。パッチの適用に関連するイベントには「Patch X」のタグを付けることができます。その他のシステムで発生した類似イベントには自動でタグ付けをして許容される変更として識別し、フィルタで除外して評価が必要なイベント数を減らすことができます。

対象コンピュータのイベントと信頼済みのソースコンピュータのイベントの一致をDeep Securityで判別する仕組み

変更監視イベントには、状態の変化に関する情報が含まれています。つまり、イベントにはイベント前およびイベント後の情報が含まれています。イベントを比較すると、自動タグ付けエンジンによってイベント前後の状態が比較されます、2つのイベントでイベント前後の状態が同じ場合、これらのイベントは一致すると判定され、2番目のイベントにタグが適用されます。これは作成および削除イベントにも当てはまります。

信頼済みのソースを使用したイベントのタグ付けに、信頼済みのコンピュータを使用している場合は、変更監視ルールによって生成されたイベントにタグが付けられます。つまり、変更監視ルールを使用して対象コンピュータでイベントを生成している場合は、この変更監視ルールを信頼済みソースのコンピュータでも実行する必要があります。
信頼済みソースのコンピュータを最初に検索する必要があります。
Linuxのprelinkingのような、システムのファイルの中身を定期的に変更するユーティリティは、信頼済みのソースを使用したイベントのタグ付けと干渉することがあります。

信頼済みのローカルコンピュータに基づいてイベントにタグを付ける

  1. 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. イベントを自動的にタグ付けするコンピュータで、信頼済みソースのコンピュータと同じ (または部分的に同じ) 変更監視ルールを実行していることを確認します。
  3. Deep Security Managerで、[イベントとレポート]→[変更監視イベント] に進み、ツールバーの [自動タグ付け] をクリックします。
  4. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  5. [信頼済みのローカルコンピュータ ] を選択して [次へ] をクリックします。
  6. リストから信頼済みのソースとして使用するコンピュータを選択し、[次へ] をクリックします。
  7. 信頼済みソースコンピュータのイベントに一致した対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
    新しいタグをテキストで入力するか、既存のタグのリストから選択します。
  8. 信頼済みソースとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  9. オプションで、ルールの名前を指定し、[完了] をクリックします。

トレンドマイクロのソフトウェア安全性評価サービスに基づいてイベントにタグを付ける

ソフトウェア安全性評価サービスは、トレンドマイクロが保持している、信頼できる既知のファイル署名の許可リストです。このタイプの信頼済みソースのタグ付けでは、対象コンピュータにファイル関連の変更監視イベントが発生していないかが監視されます。イベントが記録された場合は、変更後のファイルの署名が、信頼できる既知のトレンドマイクロのファイル署名リストと比較されます。一致が見つかると、イベントにタグが付けられます。

  1. Deep Security Managerで、[イベントとレポート]→[変更監視イベント] に進み、ツールバーの [自動タグ付け] をクリックします。
  2. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  3. ソフトウェア安全性評価サービスを選択して [次へ] をクリックします。
  4. ソフトウェア安全性評価サービスに一致した場合に対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
  5. ソフトウェア安全性評価サービスとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  6. オプションで、ルールの名前を指定し、[完了] をクリックします。

信頼済みの共通ベースラインに基づいてイベントにタグを付ける

信頼済みの共通ベースライン方式では、コンピュータグループ内でイベントを比較します。コンピュータグループが特定されると、グループ内のコンピュータで有効になっている変更監視ルールの監視対象のファイルおよびシステムのステータスに基づいて、共通ベースラインが生成されます。グループ内のあるコンピュータで変更監視イベントが発生した場合、変更後の署名が共通ベースラインと比較されます。ファイルの新しい署名と一致するものが共通ベースライン内にある場合、イベントにタグが付加されます。信頼済みのコンピュータ方式では変更監視イベントの前と後のステータスが比較されますが、信頼済みの共通ベースラインでは、イベント後のステータスだけが比較されます。

この方法では、共通グループ内のすべてのコンピュータが、保護されていて不正プログラムがないことを前提とします。共通ベースラインが生成される前に、グループ内のすべてのコンピュータで不正プログラム対策のフルスキャンを実行してください。
あるコンピュータに対して変更監視のベースラインが生成されると、Deep Securityは、そのコンピュータが信頼済みの共通ベースライングループに含まれているかどうかを最初に確認します。信頼済みの共通ベースライングループに含まれている場合、コンピュータのベースラインデータを、グループの信頼済みの共通ベースラインに追加します。これにより、共通ベースライングループのコンピュータに変更監視ルールが適用される前に、信頼済みの共通ベースラインの自動タグ付けルールが実施されます。
  1. 信頼済みの共通ベースラインを構成するコンピュータグループに追加するすべてのコンピュータで、不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. Deep Security Managerで、[イベントとレポート]→[変更監視イベント] に進み、ツールバーの [自動タグ付け] をクリックします。
  3. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  4. [信頼済みの共通ベースライン] を選択して [次へ] をクリックします。
  5. 信頼済みの共通ベースラインに一致した場合にイベントに割り当てるタグを1つ以上指定します。[次へ] をクリックします。
  6. 信頼済みの共通ベースラインの生成に使用するグループに含めるコンピュータを特定します。[次へ] をクリックします。
  7. オプションで、ルールの名前を指定し、[完了] をクリックします。

タグを削除する

  1. イベントリストで、削除するタグが付いたイベントを右クリックし、[タグの削除] を選択します。
  2. 削除するタグを選択します。[選択された [イベントの種類] イベント] からタグを削除するか、[選択されたものと類似の [イベントの種類] イベントに適用] を選択します。[次へ] をクリックします。
  3. 必要に応じてコメントを記入し、[完了] をクリックします。