はじめに
- Phantom過去記事も見ておいてください
- Phantomを触り始めた方のためにハマりポイントを交えてappやplaybook作成方法を残していきます
- 今回は不審なメールをphantomに取り込み、分析結果をslackで受け取る方法です
- 利用Phantom Version
- 4.8.24304
想定シナリオとワークフロー
####不審メール調査フロー
- ユーザーが所定のメールボックスに不審なメールを転送
- IMAP連携でphantomにメールを取り込む
- 添付ファイル/URLをレピュテーション/Sandboxサービス評価
- 評価結果をまとめてslack通知
設定方法
-
まずはこのSAMPLEプレイブック(Mail_Investigation_Sample.tgz)をphantomにインポートしてみてください
-
↑のフローをphantom上で表現したものがこちらです
-
不足しているApp(及びAsset)の警告がでると思いますのでを以下のAppを設定し、実在するAsset名と紐付けてあげれば再利用できます。
- 必要なApp
- IMAP:メール取り込み用
- VirusTotal:レピュテーションチェック
- Hybrid Analysis※:Sandboxサービズ
- Slack:通知
- 必要なApp
-
URL/Domainのホワイトリストを作成してください。不要なレピュテーションチェックを避けるために有効です。list内のレコードは部分一致ができないので要注意
一番設定に苦労した2つのappの設定ポイントを紹介
IMAP App
- spam調査用のメールアカウントを作成し、不審メール投げ込み先のメールボックスを用意(今回はtrashフォルダ)
- ポイントはメールボックスを英語で用意しておくことです
- trashフォル名を指定します
- メールは2分間隔でIMAPサーバから自動取り込みして、emailラベルを適用します
- このemailラベルと「Mail_Investigation_Sample」のplaybookのラベルを合わせておくと、自動的に処理されます
Slack App
- Slack Appの設定手順が若干古い
- 修正依頼をかけていますが、英語でメモは残してあります。以下ご参考ください
- https://github.com/phantomcyber/phantom-apps/issues/262
Hybrid Analysis(Falcon Sandbox)
- 無償のSandboxサービスが利用できます。
- Sandbox環境のOSを指定してfile/urlを投げ込み解析をします。投げ込み先の環境IDはplaybook内のactionで指定しています。
- 110の場合は何かというと以下Hybrid AnalysisのAPIガイドに記載あります
- https://www.hybrid-analysis.com/docs/api/v2
- "/system/environments" endpointを見るとわかります。
実行するとこんな感じになります
- 見たい情報にまとめた通知内容
- Phantom画面上でもplaybook内のaction結果のサマリが確認できます
ハマリポイント
- 通知先をslackからSMTPに変更した時の注意点
- SMTP Appをつかってメール送付する際に、日本語文字を使いたい。そんなときは以下Enableを忘れないこと
まとめ
- Detonate Fileはセキュリティ的に危なくないか?
- ファイル/URL自体をコミュニティSandboxサービスに投げるので、ファイルが共有されてしまうリスクは理解しておきましょう。ただしあくまで不審なメールとしてユーザによって調査してくれとリクエストがあったものです。不審メール問い合わせ運用の注意書きに書いておきましょう。
- 試してみたけど、、、salck通知文をもっとわかりやすくしたほうがいいなどのフィードバックあればいただけるとありがたいです。