ブログ(製品・サービス関連)

GoAuditParser: FireEye監査のスイス・アーミーナイフ

Mandiantコンサルタントは、FireEye Endpoint SecurityRedlineを駆使し、調査のために、監査データと呼ばれるエンドポイント痕跡からフォレンジック情報を収集します。どちらのソリューションも、収集された監査データをレビューするための統合手法を提供します。ただし、インテリジェンス強化、頻度分析の実行、データからの特定の情報の一括抽出など、データをプログラムで操作する必要がある場合があります。

GoAuditParserを作成し、アナリストを支援するためにオープン・ソースにしました。

GoAuditParserの主な目的は、FireEye Endpoint Securityバルク監査要請、トリアージ、およびRedlineパッケージのXMLデータをさまざまなユースケース用のCSV形式に変換することです。CSVフォーマットでは、アナリストはMicrosoft Excelでデータをレビューし、SIEMなどの適切なレビュー・プラットフォームに容易にデータを取り込むことができます。また、データをプログラム的に操作するためにあらゆるカスタム・ツールを使用することができます。監査MANSファイルまたは未処理XML監査データでGoAuditParserを選択するだけで、データを迅速かつ効率的にCSV形式に抽出したり、パースしたりすることができます!

XML形式からCSVへのFireEye監査の解析

前述のFireEyeツールを用いて監査データを取得する場合、通常はXML形式とします。図1は、MFTおよびINDXレコードの列挙を含むFireEyeファイル項目監査例の抜粋をXML形式で示したものです。


図1:サンプルFireEye XMLファイル項目監査

GoAuditParserはXML監査ファイルを動的に解析します。つまり、監査で使用可能なすべての情報を取得するための静的テンプレートに依存しないため、常に新しいフィールドや新しいタイプの監査データ・ソースを解析しようとします。監査データがFireEye監査の想定するXMLスキーマに適合する限り、それを解析できます。

ツールには多くの異なるコマンド・ライン引数がありますが、図2に示すコマンド・ライン構文で簡単に実行することができます。

> GoAuditParser -i path/to/input -o path/to/output

図2:単純なGoAuditParserの利用構文

ツールを使用してXML監査ファイルを解析した後、解析されたCSV監査ファイルを出力ディレクトリで参照できます。図3は、図1で参照されているサンプルFireEyeXML監査の構文解析結果を示しています。このブログの記事の図に含まれるスプレッドシートの列の一部は、分かりやすくするために手動で除外されている部分があることに注意してください。


図3:FileItem監査の解析された出力

FireEye監査タイムライン

GoAuditParserの主要な能力は、解析された監査データからタイムラインを作成する能力です。ユーザーは、図2に示すコマンド構文に-tlフラグを追加して、解析されたすべての監査データから結合されたタイムラインを作成できます。タイムライン・ファイルには、タイムスタンプの詳細、「Summary」列(この列の詳細については後述します) 、および「MD5」、「Size」、「User」などの特定の属性列が含まれます。図4は、FileItem、EventLogItem、RegistryItemなどの複数の監査ソースを含む監査タイムラインのサンプルを示しています。


図4:単一システムの監査タイムライン

タイムラインの「Summary」列には、各監査エントリの重要なフィールドが含まれています。重要な監査フィールドは、監査ソースでカスタマイズ可能なタイムライン設定ファイルに基づいてこの列に結合されます。このプロセスは、図5のRegistryItem監査ソースについてまとめられています。GoAuditParser設定ファイルのドキュメントは、GitHubページで入手できます。


図5:タイムライン「Summary」プロセスの概要

タイムラインは、複数のシステムの監査データを使用して作成することもできます。これは、図6に示すように、異常を識別するための一種の頻度分析を実行するために使用できます。


図6:複数システム監査タイムラインでの頻度分析を使用した、複数システム間での異常のハント

最適化とその他の機能

GoAuditParserは、FireEye Endpoint Securityのトリアージ・パッケージを1分未満で解析できます。これは非常に最適化されており、以下を含むいくつかの追加機能が実装されています:

  • 速度とメモリ消費を最適化するために、異なる解析手法を自動的に選択
  • 時間を節約するために、処理前に大きなファイルを自動的に小さなチャンクに分割
  • 大量のデータの解析を一時停止し、後で再開する必要がある場合に、進行状況を自動的にキャッシュ
  • これにより、Microsoft Excelでの解析設定監査の操作が容易に
  • 文書化およびカスタマイズ可能なパーシングおよびタイムライニング設定ファイル
  • FireEye Endpoint Securityのデータ取得からファイルを一括で抽出可能
  • プロジェクトのGitHubページに記載されているその他の多数の小さな機能

結論

GoAuditParserをパブリックかつオープン・ソースにすることで、私たちのツールを使用する人たちが悪意にさらされても、より汎用性とカスタマイズ性を持って使用できるようにしたいと考えています。

GoAuditParserのコンパイルされたバイナリは、FireEye Marketplaceから、Windows、Mac、Linuxで利用できます。ドキュメントとソース・コードは、MandiantのGitHubで入手できます。

 

ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:February 25, 2021 「GoAuditParser: The FireEye Audit Swiss Army Knife