[Cortex XSOAR] 不審メール処理のユースケース

aikenaga · ‎05-22-2022

CSIRTやSOCの業務として、従業員に対して送られてきた不審なメールが、本当に問題があるメールなのかを調査し判断することをしています。判断が容易である場合も多いですが、他の業務もある中で件数が多くなってくると負担になってしまいます。ここでは、一般的に行う不審メール処理のフローとCortex XSOARにより効率化されたフローを比較した結果を記載します。

◆ 一般的によく行われている不審メール処理フロー

通常、不審なメールを受け取ったユーザーは、CSIRTやSOCの担当者に対して報告を行います。

報告を受けたCSIRT、SOCの担当者は、不審メールのメールヘッダ、本文から以下の情報を抽出して調査を行います。

送信元メールアドレス
送信元IP、ホスト名
中継メールサーバホスト名、IPアドレス
返信先メールアドレス
本文中にあるリンク、添付ファイル

メールヘッダの例

AutoFocusでURLを確認した場合

抽出された情報を、インターネット上で利用可能な有償、無償の脅威インテリジェンスサービスで確認することで、すでに悪意のあるサイトと判明しているか、マルウェアと判定されているか、スパムメールなどの送信元として判断されていないかなどを確認し、明らかに不審な点があるメールを問題のあるメールとして判断します。

収集された脅威インテリジェンス情報だけでは、明確に問題があると判断できない場合には、本文の文章やリンク先のページを確認するなどを行い目で見て判断をします。

報告された不審メールに脅威があると判定した場合には、報告者にメールを削除することを連絡し、必要に応じて組織内に注意喚起を行います。

一連の調査を行う場合、1通の不審メールの処理には平均的には30分程度の時間がかかると考えられます。

1日に2件の対応を行なったと仮定すると、1ヶ月（20営業日）で、20時間もの時間を費やすことになります。

◆ Cortex XSOARを活用した不審メール調査フローの効率化

Cortex XSOARを活用することで、調査作業を自動化、CSIRT / SOC担当者の対応時間を大幅に削減することで、より効率的に不審メール処理を行うことが可能となります。こちらは、不審メール処理フローをCortex XSOARで実装した場合の対応フローイメージ図になります。

プレイブックのフローイメージ Cortex XSOARのプレイブック

このプレイブックの例では、従業員が不審メールを報告するための専用メールボックスを監視し、送られたメールを自動的に取得し処理が開始されます。報告メールに添付された不審メールを自動的に分析し、調査対象となる情報をメールから自動的に抽出し、IP、ドメイン、ファイル、URLなどに分類することができます。分類された情報を、連携されている脅威インテリジェンスサービスに対して一括で問い合わせを行い、その結果から不審メールの危険性が高いのか低いのかを判定し申請者に通知するまでを、人手を介すことなく、すべて自動的に処理を行います。

Mail Listener インテグレーション

インジケーター抽出コマンド

レピュテーション問い合わせ結果

プレイブックの中で、申請者に通知を行う前に内容を人で確認して最終判断を行うプロセスを入れることも可能です。その場合には、申請されてきたメールの内容や自動化された処理によって収集された情報を、担当者がひと目で確認できる画面を用意することで、情報を確認する負担を軽減することが可能です。情報が集められている画面を確認するだけであれば、1通あたり5分程度で処理できます。同じ条件（1日 2通、20営業日）で考えると、1ヶ月に3時間程度に抑えることができます。