Applied Threat Intelligence Fusion フィードの概要
Mandiant Fusion インジケーター フィードは、ハッシュ、IP、ドメイン、URL などのセキュリティ侵害インジケーター(IOC)のコレクションであり、既知の脅威アクター、マルウェア ストレイン、アクティブ キャンペーン、完成したインテリジェンス レポートに関連付けられています。最大限の価値を確保するために、フィードには、Mandiant Intelligence がオープンソース フィードから慎重にチェックおよび検証した IOC も組み込まれ、高い精度が保証されます。Mandiant のキュレーション プロセスは以下の手順で構成されます。
最前線のインシデント対応: Mandiant のアナリストは、侵害を調査しながら、攻撃者のツールと手法を直接把握します。
脅威調査: 専門チームが脅威アクターの追跡、マルウェアの分析、新たな攻撃インフラストラクチャの発見します。
コンテキスト化: IOC は特定の脅威とキャンペーンにマッピングされるため、インシデントの理解と優先順位付けに役立ちます。
Breach Analytics のフィードは Fusion を基盤としており、Mandiant が現在調査している新たな侵害に関連するインジケーターを追加しています。最新の攻撃の傾向に関するリアルタイムの分析情報を提供します。YARA-L ルールでは、Applied Threat Intelligence Fusion フィードからのコンテキスト情報を活用して、シンプルなインジケーター マッチング ルールを強化できます。これには、関連する脅威グループ、侵害された環境におけるインジケーターの存在、悪意に関する Mandiant の自動信頼スコアが含まれます。
Fusion フィードで YARA-L ルールを作成する
Fusion フィードを使用して YARA-L ルールを記述するプロセスは、他のコンテキスト エンティティ ソースを使用して YARA-L ルールを記述する場合と同様です。この種類の YARA-L ルールを記述する方法の詳細については、コンテキストアウェア分析を作成するをご覧ください。
イベントと一致セクション
ルールを書き込むには、選択したコンテキスト エンティティ グラフをフィルタします。この場合は Fusion フィードです。次に、特定のインジケーター タイプでフィルタします。例: FILE次に例を示します。
events:
$context_graph.graph.metadata.product_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.vendor_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.source_type = "GLOBAL_CONTEXT"
$context_graph.graph.metadata.entity_type = "FILE"
コンテキスト エンティティを使用しない YARA-L ルールと同様に、events セクションにイベントやコンテキスト エンティティの他の条件を追加できます。コンテキスト エンティティと UDM イベント フィールドからフィールドを結合できます。次の例では、プレースホルダ変数 ioc を使用して、コンテキスト エンティティとイベントの間に推移的結合を行っています。次に、このプレースホルダ変数を match セクションで使用して、特定の期間で一致するようにします。
$ioc = $context_graph.graph.entity.file.md5
$ioc = $e1.principal.process.file.md5
match:
$ioc over 1h
YARA-L ルールで活用できるコンテキスト エンティティ フィールドの詳細については、Fusion フィードのコンテキスト エンティティ フィールドをご覧ください。
結果セクション
前の例に引き続き、基本インジケーター マッチング ルールは、graph.entity.file.md5 フィールドと principal.process.file.md5 UDM フィールドのコンテキスト エンティティ内のファイル ハッシュ場所に対して設定されます。この単純なマッチング ルールは、多数のイベントに一致する場合があります。そのため、関心のある特定のインテリジェンスを持つコンテキスト エンティティに対してルール一致を絞り込むことをおすすめします。たとえば、これには、Mandiant によってインジケーターに割り当てられた信頼スコア、侵害された環境で検出されたかどうか、インジケーターに関連付けられたマルウェア ファミリーが含まれます。これらの操作はすべて、ルールの outcome セクションで行うことができます。
outcome:
// Extract the Mandiant Automated Intel confidence score of maliciousness
$confidence_score = max(if($context_graph.graph.metadata.threat.verdict_info.source_provider = "Mandiant Automated Intel", $context_graph.graph.metadata.threat.verdict_info.confidence_score, 0))
// Extract the status of the indicator as seen in a breached environment
$breached = max(if($context_graph.graph.metadata.threat.verdict_info.pwn = true, 1, 0))
// Intermediary outcome variable to combine conditions of intelligence extracted in the previous outcome variables.
// Return 1 if conditions are met, otherwise return 0.
$matched_conditions = if($confidence_score >= 80 AND $breached = 1, 1, 0)
YARA-L ルールの outcome セクションで、max 関数でラップされた if statement を使用して信頼スコアが抽出されます。この手法は、マルチイベント ルールでは必須です。同じ手法を使用して、verdict_info から pwn 変数を抽出します。この変数は、Mandiant によって識別された侵害環境でインジケーターが検出されたかどうかを示します。
これら 2 つの結果変数は、別の matched_conditions 変数に結合され、condition セクションでチェーン ロジックを使用できます。
条件セクション
condition セクションでは、e1、context_graph、matched_conditions が存在し、指定された条件と一致することが保証されます。
condition:
// Ensure $e1, $context_graph and $matched_conditions conditions are met.
$e1 AND $context_graph AND $matched_conditions = 1
YARA-L ルールを完成させる
この時点で、ルールは使用可能になり、次のようになります。
rule fusion_feed_example_principal_process_file_md5 {
meta:
rule_name = "File Hash - Applied Threat Intelligence"
description = "Matches file hashes against the Applied Threat Intelligence Fusion Feed."
events:
// Filter graph
$context_graph.graph.metadata.product_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.vendor_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.entity_type = "FILE"
$context_graph.graph.metadata.source_type = "GLOBAL_CONTEXT"
// Do join
$ioc = $context_graph.graph.entity.file.md5
$ioc = $e1.principal.process.file.md5
match:
$ioc over 1h
outcome:
// Extract the Mandiant Automated Intel confidence score of maliciousness
$confidence_score = max(if($context_graph.graph.metadata.threat.verdict_info.source_provider = "Mandiant Automated Intel", $context_graph.graph.metadata.threat.verdict_info.confidence_score, 0))
// Extract the status of the indicator as seen in a breached environment
$breached = max(if($context_graph.graph.metadata.threat.verdict_info.pwn = true, 1, 0))
// Intermediary outcome variable to combine conditions of intelligence extracted in the previous outcome variables.
// Return 1 if conditions are met, otherwise return 0.
$matched_conditions = if($confidence_score >= 80 AND $breached = 1, 1, 0)
condition:
// Ensure $e1, $context_graph and $matched_conditions conditions are met.
$e1 AND $context_graph AND $matched_conditions = 1
}
Fusion フィードのコンテキスト エンティティ フィールド
ルールでは、Mandiant Fusion インジケーター フィードの多くのフィールドを使用できます。これらのフィールドはすべて、統合データモデルのフィールド リストで定義されます。次のフィールドは、指標の優先順位付けに関連しています。
| エンティティ フィールド | 可能値 |
|---|---|
metadata.threat.associations.type |
MALWARE、THREAT_ACTOR |
metadata.threat.associations.name |
脅威の関連付け名 |
metadata.threat.verdict_info.pwn |
TRUE、FALSE |
metadata.threat.verdict_info.pwn_first_tagged_time.seconds |
タイムスタンプ(秒) |
一部のフィールドには Key-Value ペアがあり、正しい値にアクセスするために組み合わせて使用する必要があります。次に例を示します。
| エンティティ フィールド 1 | 値 | エンティティ フィールド 2 | 値 |
|---|---|---|---|
metadata.threat.verdict_info.source_provider |
Mandiant のグローバル インテリジェンス | metadata.threat.verdict_info.global_hits_count |
Integer |
metadata.threat.verdict_info.source_provider |
Mandiant のグローバル インテリジェンス | metadata.threat.verdict_info.global_customer_count |
Integer |
metadata.threat.verdict_info.source_provider |
Mandiant のアナリスト インテリジェンス | metadata.threat.verdict_info.confidence_score |
Integer |
metadata.threat.verdict_info.source_provider |
Mandiant の自動インテリジェンス | metadata.threat.verdict_info.confidence_score |
Integer |
YARA-L ルールの outcome セクションで、次のコマンドを使用して、特定のキーで指定された値にアクセスできます。
$hit_count = max(if($context_graph.graph.metadata.threat.verdict_info.source_provider = "Mandiant Global Intel", $context_graph.graph.metadata.threat.verdict_info.global_hits_count, 0))
Google Security Operations でエンティティの一致を調べると、データを包括的に把握し、インジケーター アラートの優先度とコンテキストの評価に役立つ追加のフィールドを確認できます。
以下に、初期参照ポイントとしての Fusion フィード コンテキスト エンティティの例を示します。
{
"metadata": {
"product_entity_id": "md5--147d19e6-cdae-57bb-b9a1-a8676265fa4c",
"collected_timestamp": {
"seconds": "1695165683",
"nanos": 48000000
},
"vendor_name": "MANDIANT_FUSION_IOC",
"product_name": "MANDIANT_FUSION_IOC",
"product_version": "1710194393",
"entity_type": "FILE",
"creation_timestamp": {
"seconds": "1710201600"
},
"interval": {
"start_time": {
"seconds": "1"
},
"end_time": {
"seconds": "253402300799"
}
},
"threat": [
{
"category_details": [
"A phishing email message or the relevant headers from a phishing email."
],
"severity_details": "HIGH",
"confidence_details": "75",
"risk_score": 75,
"first_discovered_time": {
"seconds": "1683294326"
},
"associations": [
{
"id": "threat-actor--3e5e6bdf-5b4e-5166-84fa-83045e637f23",
"type": "THREAT_ACTOR",
"name": "UNC2633"
},
{
"id": "threat-actor--3e5e6bdf-5b4e-5166-84fa-83045e637f23",
"country_code": [
"unknown"
],
"type": "THREAT_ACTOR",
"name": "UNC2633",
"description": "UNC2633 is a distribution threat cluster that delivers emails containing malicious attachments or links that lead to malware payloads, primarily QAKBOT, but also SNOWCONE.GZIPLOADER (which leads to ICEDID) and MATANBUCHUS. Historically, UNC2633 has distributed ZIP files containing malicious Excel files that download malware payloads. In early 2023, UNC2633 started distributing OneNote files (.one) that usually led to QAKBOT. It has also leveraged HTML smuggling to distribute ZIP files containing IMG files that contain LNK files and malware payloads.",
"alias": [
{
"name": "TA570 (Proofpoint)"
}
],
"first_reference_time": {
"seconds": "1459085092"
},
"last_reference_time": {
"seconds": "1687392000"
},
"industries_affected": [
"Aerospace & Defense",
"Agriculture",
"Automotive",
"Chemicals & Materials",
"Civil Society & Non-Profits",
"Construction & Engineering",
"Education",
"Energy & Utilities",
"Financial Services",
"Governments",
"Healthcare",
"Hospitality",
"Insurance",
"Legal & Professional Services",
"Manufacturing",
"Media & Entertainment",
"Oil & Gas",
"Pharmaceuticals",
"Retail",
"Technology",
"Telecommunications",
"Transportation"
]
}
],
"campaigns": [
"CAMP.23.007"
],
"last_updated_time": {
"seconds": "1695165683",
"nanos": 48000000
},
"verdict_info": [
{
"source_provider": "Mandiant Automated Intel",
"confidence_score": 75
},
{
"verdict_type": "ANALYST_VERDICT",
"confidence_score": 75
},
{
"source_count": 91,
"response_count": 1,
"verdict_type": "PROVIDER_ML_VERDICT",
"malicious_count": 1,
"ioc_stats": [
{
"ioc_stats_type": "MANDIANT_SOURCES",
"second_level_source": "Knowledge Graph",
"quality": "HIGH_CONFIDENCE",
"malicious_count": 1,
"response_count": 1,
"source_count": 8
},
{
"ioc_stats_type": "MANDIANT_SOURCES",
"second_level_source": "Malware Analysis",
"source_count": 4
},
{
"ioc_stats_type": "MANDIANT_SOURCES",
"second_level_source": "Spam Monitoring",
"source_count": 1
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"second_level_source": "Crowdsourced Threat Analysis",
"source_count": 71
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "MISP",
"second_level_source": "Trusted Software List",
"source_count": 3
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "Threat Intelligence Feeds",
"second_level_source": "Digitalside It Hashes",
"source_count": 1
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "Threat Intelligence Feeds",
"second_level_source": "Tds Harvester",
"source_count": 1
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "Threat Intelligence Feeds",
"second_level_source": "Urlhaus",
"source_count": 1
}
]
},
{
"source_provider": "Mandiant Analyst Intel",
"confidence_score": 75,
"pwn": true,
"pwn_first_tagged_time": {
"seconds": "1683911695"
}
}
],
"last_discovered_time": {
"seconds": "1683909854"
}
}
],
"source_type": "GLOBAL_CONTEXT",
"source_labels": [
{
"key": "is_scanner",
"value": "false"
},
{
"key": "osint",
"value": "false"
},
{
"key": "misp_akamai",
"value": "false"
},
...
{
"key": "has_pwn",
"value": "2023-05-12T17:14:55.000+0000"
}
],
"event_metadata": {
"id": "\\000\\000\\000\\000\\034Z\\n\\2545\\237\\367\\353\\271\\357\\302\\215t\\330\\275\\237\\000\\000\\000\\000\\007\\000\\000\\000\\206\\000\\000\\000",
"base_labels": {
"log_types": [
"MANDIANT_FUSION_IOC"
],
"allow_scoped_access": true
}
}
},
"entity": {
"file": {
"sha256": "000bc5900dc7a32851e380f418cc178ff0910242ee0561ae37ff424e6d3ec64a",
"md5": "f0095b0a7480c826095d9ffc9d5d2d8f",
"sha1": "8101315b9fbbf6a72bddbfe64837d246f4c8b419"
},
"labels": [
{
"key": "is_scanner",
"value": "false"
},
{
"key": "osint",
"value": "false"
},
{
"key": "misp_akamai",
"value": "false"
},
...
]
}
}
複雑な条件
コンテキスト エンティティで一度に複数のフィールドを使用するには、複数の結果変数を組み合わせて、より複雑な条件付きロジックを作成できます。複数のフィールドを組み合わせるには、中間結果変数を作成します。これらの変数は、結合されて新しい結果変数が作成され、condition セクションで使用できます。
次に例を示します。
// Value will be 1 if threat.associations.type = "MALWARE"
// Wrapper max function required for multi-event rules
$is_attributed_malware = max(if($entity_context.graph.metadata.threat.associations.type = "MALWARE", 1, 0))
// Value will be 1 if threat.associations.type = "THREAT_ACTOR"
$is_attributed_actor = max(if($entity_context.graph.metadata.threat.associations.type = "THREAT_ACTOR", 1,0))
// Value will be the sum of the $is_attributed_malware $is_attributed_malware and $is_attributed_actor
$is_attributed = if($is_attributed_malware = 1, 1, 0)
+
if($is_attributed_actor = 1, 1, 0)
// If the value of $is_attributed is greater than 1, this indicates the indicator has been attributed at least once with the type "MALWARE" or "THREAT_ACTOR"
この場合、2 つの中間結果変数 is_attributed_malware と is_attributed_actor が結果変数 is_attributed に結合されます。
この例では、中間結果の値が数値を返します。これにより、新しい結果変数で数値比較が可能になります。この例では、インジケーターに MALWARE または THREAT_ACTOR タイプの脅威の関連付けが少なくとも 1 つある場合、is_attributed は 1 以上の値になります。
YARA-L での柔軟な結合
IOC 間の柔軟な結合により、複数の UDM フィールドをコンテキスト エンティティに対して結合できます。これにより、複数の UDM フィールドがコンテキスト エンティティと結合される場合に必要なルールの数が軽減されます。
以下は、複数の UDM フィールドにフレキシブル結合を使用する event セクションの例です。
events:
// Filter graph
$mandiant.graph.metadata.product_name = "MANDIANT_FUSION_IOC"
$mandiant.graph.metadata.vendor_name = "MANDIANT_FUSION_IOC"
$mandiant.graph.metadata.entity_type = "FILE"
$mandiant.graph.metadata.source_type = "GLOBAL_CONTEXT"
$mandiant.graph.entity.file.md5 = strings.coalesce($e.target.process.file.md5, $e.target.process.file.md5) OR
$mandiant.graph.entity.file.md5 = strings.coalesce($e.principal.process.file.md5, $e.principal.process.file.md5)