SECDO インテグレーション v1.1 の
Resolution
SECDO の紹介
SECDO は、最初で唯一のプリエンプティブなインシデント応答ソリューションです。単一のプラットフォームから、セキュリティおよび IR チームは、インシデントの応答時間を分単位に削減し、エンドポイントの可視性を向上させ、将来の攻撃を防ぐためにサイバー防御を強化することができます。
SECDO は、すべてのホスト法医学データを連続的に記録および保存し、因果関係の連鎖を作成するために SECDO 因果分析エンジン™を使用して自動的に分析することによって、比類なきスレッドレベルのホスト可視性を提供します。任意のソースからのアラートは、手動または自動的に SECDO に取り込まれ、すでに確立された因果関係の連鎖と相関し、即座にコンテキストに入れられ、攻撃に関与するすべてのエンティティの法医学的なタイムラインの結果、視覚的な攻撃の連鎖根本原因、正確な被害評価、関連するエンティティ、感染したエンドポイントとサーバー ("ホスト")、動作などに戻る。アナリストは、すべての質問に決定的な答えを持ち、すべてのアラートの背後にある "who、what、where、いつ、どのように" をすぐに理解できるため、アラートを即座に検証できます。
ホストがどのように侵害されたかを完全に分析することで、SECDO は数分で脅威の封じ込めと修復を可能にします。プロセスを凍結し、ホストを隔離するなど、リアルタイムできめ細かい応答ツールの強力なセットを通じて、アナリストは任意のホストでコマンドとコードを対話的に実行し、メモリフォレンジックをリモートで実行できます。SECDO は、ビジネスの生産性に影響を与えることなく、任意のエンドポイントで迅速かつ外科的応答と修復を可能にします。
違反のタイムライン、根本原因と損害評価を含む攻撃の決定的な理解を武器に、セキュリティチームは、その防御のギャップを完全に理解し、どのように将来の攻撃を防ぐためにそれらを閉じるために取得します。
統合
今日では、サイバー脅威は、すべての角度から私たちに来て、多くの異なる点で私たちを攻撃している。当社は、知的財産、個人情報、その他のデジタル貴重品を保護するため、多数のサイバーセキュリティシステムを導入し、ネットワーク、エンドポイント、サーバー、その他のターゲットを監視しています。包括的なサイバー・セキュリティ・エコシステムを提供するためには、多くの場合、異種の統合が必要になります。
SECDO は、AVs、ファイアウォール、SIEMs などの無数のサイバーセキュリティシステムと容易に統合できるように設計されています。SECDO のユーザーは、警告などの重要なセキュリティデータを共有するユニまたは双方向の通信を簡単に実装して、サイバー防御全体を向上させることができます。
さらに、SECDO は IT およびサイバーセキュリティチームが外部システムから SECDO データベースを照会するための統合機能を提供します。
このドキュメントでは、使用可能な2つのインターフェイスについて説明します。
- アプリケーションプログラムインターフェイス (API) を使用して、外部アプリケーションから生成されたアラートに関する SECDO 調査を行う
- URL による SECDO の照会
アプリケーションプログラムインターフェイス (API)
SECDO のお客様は、SECDO の独自の機能を使用して、サードパーティのシステムから生成されたアラートをそのストアドエンドポイントデータと関連づけることができるため、セキュリティアナリストは、適切な分析、検証、およびサイバーへの対応につながる、完全にフォレンジック画像を提供します。事件。
このセクションでは、SECDO REST api を使用して外部システムから SECDO 内のアラートを調査する方法について説明します。
api を介して、セキュリティ製品からの警告を送信することができます-AVs、IPS など-で収集したデータを使用して自動的にそれらを調査する SECDOエンドポイントとサーバーから SECDO ます。
パロ・アルト・ネットワークを利用した例
パロアルトネットワークゲートウェイサービスは、オンラインプロキシサービスに接続しようとしている LAN 内のエンドポイントに対してアラートを生成します。パロアルトは、接続をブロックしています。
このアラートは、パブリック API を使用して SECDO に投稿できます。
{
' 会社 ': ' secdo '、'
apikey ': ' b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 '、' タイムスタンプ ': '
1490209247000 '、
' ベンダ ': ' パロアルトネットワーク '、
' 製品 ': ' 汎 OS '、'
source_port ': ' 59661 '、
'destination_ip ': ' 66.186.100.181 '、
' source_ip ': ' 192.168.204.133 '、'
destination_port ': ' 9000 '、
' タイプ ': ' OutgoingConnectionEvent '、'
重大度 ': ' 低 '、
' event_id ': ' 871151 '、
}
SECDO は、SECDO エージェントがプロキシサービスへの接続を開始したエンドポイントから収集したデータとパンアラートのデータを照合して関連付けます。
SECDO アラート画面に移動することにより、アナリストはアラートを表示できます。パロアルトネットワークのアラートは、ベンダーの列に明確にマークされています。
パロアルトのネットワークから SECDO に入ってきた任意のアラートを右クリックすると、アナリストは、アラートにつながった完全な因果関係の連鎖を見ることができます。
グラフの右側では、アナリストは、パロアルトネットワークによって報告されたアラート、およびエンドポイントから SECDO エージェントによって収集された接続試行に至る完全な因果関係の連鎖を見ることができます。このデータとシンプルなグラフィック形式では、アナリストはすぐに攻撃を理解することができます正確に応答を実行します。
調査の種類
API は現在、SECDO システム内の2種類の調査をサポートしています。
- ネットワークイベント
- ファイル/プロセスイベント
ネットワークイベント調査用 API
ネットワークイベントの API を使用すると、ネットワークイベントに基づいて SECDO 内の自動調査が可能になります。一般的にこのタイプのイベントを生成するシステムは、FW、IPS、Web ゲートウェイなどです。
SECDO に投稿するには、次のようにします。https://secdo-server/publicapi/v2/enrich_with_secdo/
SECDO に投稿されたデータには、以下の属性が含まれています。
| 属性 | 説明 |
| 会社 | Secdo UI の会社名 (必須) に従って、貴社または組織名 |
| apikey | SECDO サポートから取得したキー (必須) 注: このキーを取得するには、SECDO サポートセンター (secdo.desk.com) でチケットを開きます |
| タイムスタンプ | 警告のタイムスタンプ。UTC (エポック) タイムスタンプ (ミリ秒単位) (必須) |
| ベンダー | 警告を生成した警告 (必須) 製品製品を生成した製品のベンダ (例: パロアルトネットワーク) (必須) |
| source_port | 通信の発信元ポート |
| destination_ip | 通信の宛先 IP (必須) |
| source_ip | 通信の発信元 IP (必須) |
| destination_port | 通信先ポート (必須) |
| タイプ | 必須次の値を指定できます。
|
| 重要度 | 値を
|
| event_id | 警告のイベント id/td > |
例
{
' 会社 ': ' secdo '、' apikey ': ' b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 '、' タイムスタンプ ': '
1493209485000 '、'
ベンダ ': ' チェックポイント '、
' 製品 ': ' ファイアウォール-1 GX '、
' source_port ': ' 59661 '、
'destination_ip ': ' 137.254.120.31 '、
' source_ip ': ' 192.168.52.131 '、'
destination_port ': ' 80 '、
' タイプ ': ' OutgoingConnectionEvent '、'
重大度 ': ' 高 '、
' event_id ': ' 1674573196751 '、
}
ファイルとプロセスのイベント調査のための API
ファイルおよびプロセスイベントの API により、特定のマシン上のファイルパスまたは MD5 に基づいて、SECDO 内の自動調査が可能になります。一般的にこのタイプのイベントを生成するシステムは、AV、EPP、NGAV、ヒップなどです。
このような SECDO への投稿: https://secdo-server/publicapi/v2/enrich_with_secdo/
SECDO に投稿されたデータには、次の属性が含まれ ています。
| 属性 | 説明 |
| 会社 | Secdo UI の会社名 (必須) に従って、貴社または組織名 |
| apikey | SECDO サポートから取得したキー (必須) 注: このキーを取得するには、SECDO サポートセンター (secdo.desk.com) でチケットを開きます |
| タイムスタンプ | 警告のタイムスタンプ。UTC (エポック) タイムスタンプ (ミリ秒単位) (必須) |
| ベンダー | 警告を生成した警告 (必須) 製品製品を生成した製品のベンダ (例: パロアルトネットワーク) (必須) |
| 製品 | アラートを生成した製品 (例: パロ・アルト・ネットワーク) (必須) |
| agent_ip | ファイルが報告されたホスト (必須) |
| file_path | 完全なファイルパス (必須) |
| タイプ | SuspiciousFileEvent でなければなりません (必須) |
| 重要度 | 値を
|
| event_id | 警告のイベント id/td > |
例
{
' 会社 ': ' secdo '、'
apikey ': ' b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 '、' タイムスタンプ ': '
1493209485000 '、
' ベンダ ': ' マカフィー '、
' 製品 ': ' ePO '、' agent_ip ': '
192.168.52.131 '、
' file_path ':' c:\\temp\\55\\pageant.exe '、'
型 ': ' SuspiciousFileEvent '、
' 重大度 ': ' 高 '、
' event_id ': ' 1674573196751 '、
}
完全な Python スクリプト
Python スクリプトを使用して、API と対話することができます。
例:
インポートhashlib
jsonのインポート
インポート日時
インポートsys, os, 時間
pprint インポート pprint から urllib2 をインポートする
# コマンドラインからの受信データの解析
# ちょうどパラメータを使用して py スクリプトを呼び出す
alertType = str (システム argv [1])
alertTime = str (システム argv [2]) # エポックでなければなりません、エポックでない場合は、追加の処理が必要です
alertVendor = str (システム argv [3])
alertProduct = str (システム argv [4])
alertEventId = str (システム argv [5])
alertSeverity = str (システム argv [6])
secdoKey = str (システム argv [7])
secdoCompany = str (システム argv [8])
alertType で "SuspiciousFileEvent" の場合:
# ハンドルファイル関連のアラート
alertAgentIP = str (システム argv [9])
alertFilePath = str (システム argv [10])
データ = {
' 会社 ': secdoCompany、
' apikey ': secdoKey、
' agent_ip ': alertAgentIP、
' タイムスタンプ ': alertTime、
' event_id ': alertEventId、
' ベンダー ': alertVendor、
' 製品 ': alertProduct、
' file_path ': alertFilePath、
' 型 ': alertType、
' 重大度 ': alertSeverity
}
else:
# ネットワーク関連のアラートを処理します。
alertSourceAddress = str (システム argv [9])
alertSourcePort = str (システム argv [10])
alertDestinationAddress = str (システム argv [11])
alertDestinationPort = str (システム argv [12])
データ = {
' 会社 ': secdoCompany、
' apikey ': secdoKey、
' タイムスタンプ ': alertTime、
' ベンダー ': alertVendor、
' 製品 ': alertProduct、
' source_port ': alertSourcePort、
' destination_ip ': alertDestinationAddress、
' source_ip ': alertSourceAddress、
' destination_port ': alertDestinationPort、
' 型 ': alertType、
' 重大度 ': alertSeverity、
' event_id ': alertEventId
}
データの印刷 # データ解析の json 結果を出力します。
start_time = datetime. now ()
必須 =
urllib2要求 ('https://cloud1.us.secdo.net/publicapi/v2/enrich_with_secdo/')
_header の追加 (' コンテンツタイプ '、' アプリケーション/json ')
応答 = urllib2 urlopen (必須、json. ダンプ (データ))
応答を印刷します。コード # は ' 200 ' を返す必要があります
res = json. 読み込み (応答. read ())
end_time = datetime. now ()
pprint (res) # ' True ' を返す必要があります
###########################################################
# の呼び出しの例。py ファイルを使用して、Windows コマンドライン # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
# C:\Users\or\Desktop\secdo_api.py OutgoingConnectionEvent 1497457869000 "チェックポイント" "ファイアウォール-1 GX" 11111212 低 b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 secdo 10.212.134.102 2375 54.230.46.82 443
###########################################################
# C:\Users\or\Desktop\secdo_api.py SuspiciousFileEvent 1497457869000 "マカフィー" "ePO" 1121 高 b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 secdo 10.212.134.102 "c:\users\or\appdata\local\slack\app-2.6.3\slack.exe"
####################################################
URL による SECDO の照会
あなたは、URL クエリを介して SECDO の驚くべき調査機能を活用することができます。ここに方法があります。
URL パラメータ
URL 経由で SECDO をクエリするには、次のようなクエリを作成します。
http://secdo-server/#/investigationNG/builder?エンティティ={エンティティ}&アクション= {action1,action2} &属性= {attr_name:attr_value,attr_name2:attr_value2}
| エンティティ | アクション | 属性 | 値 |
|---|---|---|---|
| プロセス | 実行 | file_name | フリーテキスト |
| 親 | file_path | フリーテキスト | |
| 子 | process_hash | フリーテキスト | |
| インジェクション | pid | フリーテキスト | |
| インジェクター | thread_id | フリーテキスト | |
| ユーザー名 | フリーテキスト | ||
| cmd | フリーテキスト | ||
| Cgn | フリーテキスト | ||
| 署名 | 0 (符号付き)、1 (符号なし)、2 (無効な署名) | ||
| インスタンス Id | フリーテキスト | ||
| レジストリ | 存在します。 | key_name | フリーテキスト |
| write_registry | key_value | フリーテキスト | |
| rename_registry | thread_id | フリーテキスト | |
| delete_registry | インスタンス Id | フリーテキスト | |
| ファイル | 存在します。 | file_name | フリーテキスト |
| create_file | file_path | フリーテキスト | |
| write_file | file_hash | フリーテキスト | |
| read_file | old_file_path | フリーテキスト | |
| delete_file | thread_id | フリーテキスト | |
| rename_file | インスタンス Id | フリーテキスト | |
| ネットワーク | outgoing_network | remote_ip | フリーテキスト |
| incoming_network | remote_port | フリーテキスト | |
| failed_network | remote_host | フリーテキスト | |
| 国 | フリーテキスト | ||
| access_type | tcp/udp | ||
| local_ip | フリーテキスト | ||
| local_port | フリーテキスト | ||
| thread_id | フリーテキスト | ||
| インスタンス Id | フリーテキスト | ||
| ホスト | host_name | フリーテキスト | |
| host_ip | フリーテキスト |
一般的なクエリの例
ネットワークイベントとプロセスイベントについてクエリを実行する方法を示す例をいくつか示します。
ネットワークイベントに関するクエリ SECDO
この URL を作成します。
https://secdo-server/#/investigationNG/builder?エンティティ = ネットワーク&アクション = outgoing_network、incoming_network、failed_network&属性 = remote_ip:8.8.8.8 | 8.8.4.4
URL クエリは、この内部 SECDO クエリに相当します。
プロセスイベントに関するクエリ SECDO
この URL を作成します。
https://secdo-server/#/investigationNG/builder?エンティティ = プロセス&アクション = 実行&属性 = file_name: powershell 、cmd: * ダウンロード * | * エンコード *
URL クエリは、この内部 SECDO クエリに相当します。
ArcSight クエリの例
一部のサードパーティシステムでは、SECDO URL クエリを内部的に構築できます。ここでは ArcSight がそれを行う方法です。
- Java コンソールへのログイン
- [ツール] → [ローカルコマンド] → [設定] をクリックします。
- [新しい...] をクリックします。
- コマンドに名前を付けます。
- プログラムでは、"ファイル (x86) \Google\Chrome\Application\chrome.exe" (引用符を含む) を書き込みます。
- [プログラムパラメータ] の下に、SECDO の url と完全な url クエリ (引用符を含む) を記述します。最後に、変数を使用して、ユーザーがクリックした現在のセルから値を取ります。
「https://100.64.64.62/#/investigationNG/builder?エンティティ = ネットワーク&アクション = outgoing_network、incoming_network、failed_network&属性 = remote_ip:$selectedCell"
- [OK] をクリックします。
- IP → ' Tools ' →作成されたコマンドの名前を含む ArcSight 内の任意のフィールドを右クリックします。
- Chrome の新しいタブが開き、SECDO クエリビルダに関連するデータが既に入力されています。