セキュリティインシデントの緊急対応において、セキュリティインシデント調査者が直面する課題の一つは、攻撃者の活動、使用されたツール、マルウェア、または IOC と呼ばれるその他の攻撃の指標を含む調査プロセスからのすべての情報を整理する効果的な方法を見つけることです。OpenIOCは、インシデントを調査する際に遭遇する分析結果を記述するための標準フォーマットと用語を提供し、異なる組織間で共有できるようにします。
以下の説明を始める前に、IOCsはシグネチャーではないので、シグネチャーの機能を果たすためのものではないことを明確にしておく必要があります。IOCsは調査、あるいはあなたが脅威情報を共有する相手である他の人々の調査に役立てるために設計されています。
最も一般的なIOCの使用例を以下にいくつか挙げます:
マルウェア/ツールベース:
これは最も一般的な使用例で、基本的に、このタイプのIOCは、バイナリやそのファイル属性、またはいくつかの事前読み取りファイル、レジストリキーなどの実行中に作成された機能を検索することにより、特定の既知のタイプのマルウェアや悪意のあるツールを検出するために使用することができます。
方法論タイプ:
マルウェア/ツールを直接特定できる最後のタイプとは異なり、このタイプのIOCは、必ずしも知らないことを発見できる調査手掛かりを生成するように設計されています。例えば、署名されておらず、「windowssystem32」ディレクトリの外からロードされたDLLを特定したい場合、その状態を記述するIOCを書くことができます。方法論的IOC」のもう一つの良い例は、レジストリの「.jpg」で終わるすべての「Run」キーを探すことで、このIOCは異常な状況を表します。この IOC は異常事態を表し、セキュリティ調査で は、悪意のある悪用の可能性の証拠を示します。
「袋詰め」タイプ:
多くの組織が脅威インテリジェンスを購読しており、これらの購読フィードは通常MD5またはIPアドレスリストを配信します。このタイプのIOCは白か黒のどちらかであり、通常、調査インシデントの正確な照合に使用されます。
ケースの種類を調査します:
環境内の疑わしいシステムを調査しているときに、インストールされたバックドア、実行された悪意のあるツール、盗まれたファイルなどに関するメタデータなど、悪意のある活動の証拠を特定すると、IOCでこの情報を追跡できます。このタイプのIOCは、「バギング」IOCと多少似ていますが、調査IOCには、調査対象のイベントのインジケータのみが含まれ、このタイプのIOCは、調査するシステムの優先順位付けに役立ちます。
以下は、IOCの構成要素の説明です:
メタデータ
定義
これは現在 IOC の中核であり、調査者が IOC を記述することを決定した重要な要素を含みます。例えば、ファイルの MD5 値、レジストリのパス、プロセスメモリで見つかった手がかりなどが含まれます。いわゆる指標は、この定義フィールドにリストされるか、式に組み合わされます。条件式を簡単に組み合わせることができることです。
これらの論理的判断条件の適用例を示します。
1.サービス名が「MSタイムサービス」または
2.evil.exeまたはevil.exeという名前のDLLコールを含むサービス。
3.ファイル名は「bad.exe」で、ファイルサイズは4096~10240バイトです。
AND表現式の両側が真でなければならない。
OR表現式の両辺のうち、片方だけが真である必要がある。この AND OR の関係を理解すると、IOC をマッチさせるために上記の例を使用する場合、IOC は if-else 文ではなく、常に存在する必要もないことがわかります。セキュリティインシデントの調査において、「MS 1atent time services」という名前のサービスが見つかれば、IOC で記述された悪意のあるファイルがホスト上に存在するかどうかに関係なく、IOC にマッチします。
