1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

[PhantomでSOAR] 不審メールの調査まとめをSlackに飛ばす

Last updated at Posted at 2020-06-05

はじめに

  • Phantom過去記事も見ておいてください
  • Phantomを触り始めた方のためにハマりポイントを交えてappやplaybook作成方法を残していきます
  • 今回は不審なメールをphantomに取り込み、分析結果をslackで受け取る方法です
  • 利用Phantom Version
    • 4.8.24304

想定シナリオとワークフロー

####不審メール調査フロー

  1. ユーザーが所定のメールボックスに不審なメールを転送
  2. IMAP連携でphantomにメールを取り込む
  3. 添付ファイル/URLをレピュテーション/Sandboxサービス評価
  4. 評価結果をまとめてslack通知
スクリーンショット 2020-06-05 11.39.44.png

設定方法

  • まずはこのSAMPLEプレイブック(Mail_Investigation_Sample.tgz)をphantomにインポートしてみてください

  • ↑のフローをphantom上で表現したものがこちらです

スクリーンショット 2020-06-05 12.16.59.png

  • 不足しているApp(及びAsset)の警告がでると思いますのでを以下のAppを設定し、実在するAsset名と紐付けてあげれば再利用できます。

    • 必要なApp
      • IMAP:メール取り込み用
      • VirusTotal:レピュテーションチェック
      • Hybrid Analysis※:Sandboxサービズ
      • Slack:通知
  • URL/Domainのホワイトリストを作成してください。不要なレピュテーションチェックを避けるために有効です。list内のレコードは部分一致ができないので要注意

スクリーンショット 2020-06-05 13.57.32.png

一番設定に苦労した2つのappの設定ポイントを紹介

IMAP App

  • spam調査用のメールアカウントを作成し、不審メール投げ込み先のメールボックスを用意(今回はtrashフォルダ)
  • ポイントはメールボックスを英語で用意しておくことです
スクリーンショット 2020-06-05 13.39.36.png
  • trashフォル名を指定します
スクリーンショット 2020-06-05 13.25.29.png
  • メールは2分間隔でIMAPサーバから自動取り込みして、emailラベルを適用します
スクリーンショット 2020-06-05 13.28.13.png
  • このemailラベルと「Mail_Investigation_Sample」のplaybookのラベルを合わせておくと、自動的に処理されます
スクリーンショット 2020-06-05 13.42.53.png

Slack App

Hybrid Analysis(Falcon Sandbox)

  • 無償のSandboxサービスが利用できます。
  • Sandbox環境のOSを指定してfile/urlを投げ込み解析をします。投げ込み先の環境IDはplaybook内のactionで指定しています。

スクリーンショット 2020-06-05 14.03.15.png

実行するとこんな感じになります

  • 見たい情報にまとめた通知内容
スクリーンショット 2020-06-05 13.19.52.png
  • Phantom画面上でもplaybook内のaction結果のサマリが確認できます
スクリーンショット 2020-06-05 13.20.37.png

ハマリポイント

  • 通知先をslackからSMTPに変更した時の注意点
    • SMTP Appをつかってメール送付する際に、日本語文字を使いたい。そんなときは以下Enableを忘れないこと

スクリーンショット 2020-05-22 23.30.55.png

まとめ

  • Detonate Fileはセキュリティ的に危なくないか?
    • ファイル/URL自体をコミュニティSandboxサービスに投げるので、ファイルが共有されてしまうリスクは理解しておきましょう。ただしあくまで不審なメールとしてユーザによって調査してくれとリクエストがあったものです。不審メール問い合わせ運用の注意書きに書いておきましょう。
  • 試してみたけど、、、salck通知文をもっとわかりやすくしたほうがいいなどのフィードバックあればいただけるとありがたいです。
1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?