ブログ(製品・サービス関連)

Mandiant Advantage のYARAルール拡張によるマルウェアの検出とハント

毎日何百万もの新しいマルウェア・サンプルが発見されていく一方で、最新の正確で実用的な脅威インテリジェンスが準備されているということは、コストの高いセキュリティ侵害と事業継続性の相違を意味します。

これが、新しいMandiant Advantageの YARAルール拡張を誇る理由です。現在、セキュリティのプロたちは、Mandiant AdvantageからYARAルールをダウンロードし、文字列またはバイナリ・パターン・マッチングに基づいてマルウェアを識別および分類するYARA互換ツールに対して実行できます。この拡張により、インシデント対応者、セキュリティ・オペレーション・センター(SOC)のアナリスト、検知エンジニアは、マルウェアを高精度検索し、プロアクティブな脅威検知が可能となります。

どのように機能するか?

Mandiant AdvantageのYARAルール拡張は使いやすく、特別なインストールは必要ありません。登録いただいている方は誰でも、Mandiant Advantage "Malware"タブ内のYARAルール・フィルタをクリックすれば、YARAルールを含む2,000近くのマルウェア・ファミリーにアクセスでき、特性やインジケーターといった他のインテリジェンスの上に表示されます。

Mandiant Advantage のYARAルール拡張は、マルウェアのハンティングに入る多くの手動コード記述を排除することで、アナリストの時間を年間で数千時間も節約できます。特定のマルウェア・ファミリーのYARAルールをダウンロードするだけで、アナリストはその特定のマルウェア・ファミリーをITインフラストラクチャ全体で検索できるようになります。YARAルールは、瞬時に動作可能な状態になります。

図1は、ランサムウェアの一種であるBADRABBITのYARAルール例を示しています。


図1:BADRABBITマルウェア・ファミリーの例:YARAルール

YARAルールの機能

マルウェア・ハンティングにおいては、時間が重要です。Mandiant AdvantageのYARAルール拡張は、分析者のツールセットを即座に強化し、組織にとって問題となる可能性がある脅威のハンティングにフォーカスできるようにします。これで、YARAルールセットで定義されている悪意のあるコードや他のマルウェア機能を直接探し、脅威が見つかるとすぐに復旧対策の処置を開始できるようになります。

アクション可能な脅威インテリジェンスは、セキュリティ・チームがセキュリティ脅威に迅速に対応する際にチームが必要とする増強剤です。これにより、組織にとって最も重要な脅威を検知、調査、対応することができます。そのインテリジェンスが明確で、できるだけ多くのオーバーヘッドから取り除かれ、直接的に実行可能な場合、チームは協調して行動し、マルウェアや他の形式のサイバー攻撃との戦いに成功することができます。

YARAルール拡張のリリースは、Mandiantが登録者にアクション可能な脅威インテリジェンスを提供できるひとつの事例です。詳細については、Mandiant Advantage: Threat Intelligenceでご覧ください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:March 19, 2021 「Hunt and Detect Malware With Mandiant Advantage YARA Rules Extension