2025年9月6日土曜日

NDR/EDR/NGFW連携

 

  1. MITRE ATT&CKで検知マップ作成(Execution/C2に厚め)

  • 優先テクニック(例):

    • T1059 Command & Scripting Interpreter(PowerShell/WSH/ bash)

    • T1071 Application Layer Protocol(HTTP(S)/DNS/メール等でのC2)

    • T1078 Valid Accounts(正当アカウント悪用)
      まずはこの3本柱を“必須検知”として赤塗り→データソース紐付け(EDR/NDR/AD/メール/プロキシ/Firewallログ)。 MITRE ATT&CK+2MITRE ATT&CK+2

  • 最低限のイベント指標

    • EDR:Office系→powershell/wscript/spawn、暗号化/エンコード引数、LOLBin(rundll32/regsvr32/mshta等)

    • NDR:低スループット周期ビーコン、JA3/JA4異常、DNS/DoHトンネル徴候、長寿命TLS、SNI不整合

    • NGFW/Proxy:新規/低評点FQDN、国際移動直後のVPN、未分類アプリ通信
      実際に2023年の大規模ネット観測でもC2と実行アクティビティが突出しており、優先領域として妥当です。 ホワイトペーパー ダウンロードセンター

  • NDR⇄EDR⇄NGFW 連携運用の整備

    • 相互トリガー(Playbook例)

      • NDR高確度C2検知 → EDR APIで端末隔離 → NGFWへ宛先FQDN/IPを動的アドレスグループに投入して遮断

      • EDR実行系高リスク(T1059) → NDRへ当該端点のフロー抽出要求 → NGFWへ“ユーザ/端点タグ”で送信遮断

      • NGFW脅威ログ(新規C2カテゴリ)→ EDRにコンテキスト送付しプロセスツリー自動調査

    • 役割分担:NDR=横展開/ネット痕跡、EDR=端点の真偽判定と隔離、NGFW=即時封じ込めの境界実施。EDRとNDRは補完関係で“両輪運用”が推奨。 ITmedia

    • 回避技術への備え:近年は“EDR回避”手口が台頭→ネット側(NDR/NGFW)からも押さえる二重化が有効。 ITmedia

    1. 正当アカウント悪用の監査強化(T1078)

    • クラウド/SSO:異常サインイン(Impossible Travel/新端末/高リスクIP)、新規OAuth同意、MFA再登録、特権ロール付与を日次レビュー

    • オンプレ/AD:イベントID 4624/4625(ログオン/失敗)、4768/4769(Kerberos)、4728/4729(特権グループ変更)を相関

    • ポリシー:全アカウントにMFA、休眠/共有/デフォルト口座の廃止、緊急用Break-glassの保護。T1078の一次対策はMFA徹底です。 MITRE ATT&CKCenter for Threat-Informed Defense

  • XDR/自動化:SOARまたはXDRで上記プレイブックを標準化(隔離・ブロック・証跡保全を“ワンクリック/自動”)。MITRE CoAの参照プレイブック(T1059/T1071/T1078)を雛形に。 Cortex XSOAR+2Cortex XSOAR+2

  • 検証計画:T1059/T1071/T1078のレッドテスト(安全なシミュレーション)→検知率とMTTD/MTTRを測定し閾値調整。

  • ダッシュボード:C2疑いの新規FQDN件数、周期ビーコン件数、実行系高リスク検知、正当アカウント異常の週次トレンドを可視化。

  • 網羅化:横展開用にLateral Movement(T1021/SMB/RDP・Pass-the-Hash 等)とPersistence(T1053 タスク登録等)を追加。

  • サプライチェーン/メール:T1566(フィッシング)→メール/代理送信・DMARC失敗の相関をNDR・EDRと接続。

  • 運用標準:RACI(SOC/ネット/端末/ID管理)、保全・復旧・再発防止の3文書テンプレを完成。

参考(一次情報)

投稿者