その他のリソース

リリースノート

サポートナレッジベース
(ログインが必要です)

Detectの概要

Detectを使用すると、疑わしい活動の分析を合理化し、侵入に対するリアルタイムの対応を可能にします。エンドポイントグループを継続的にスキャンするため、IOCについての情報をデプロイします。可能性のあるセキュリティ侵害が検出されると、アラートが生成されます。

脅威データの種類

グループに適用されるインテリジェンスをカスタマイズし、複数のソースからの脅威データを組み合わせることができます。

シグナル

エンドポイント上のプロセス、ネットワーク、レジストリ、およびファイルイベントを継続的にリアルタイムで評価するために、Tanium™ Traceとの統合によってシグナルを使用できます。シグナルは、Detectサービスが言語の構文と現在サポートされている利用条件の両方を取り込んで検証する特定の言語を実装しています。SignalはTaniumのフィードとして利用できます。もしくは独自のシグナルを作成することもできます。

インテリジェンスのドキュメント

インテリジェンスのドキュメントは、潜在的な侵入を検出して対応するためのアーティファクトのコレクションを表します。これらのアーティファクトには、MD5ハッシュ、ファイル名、ドメイン名、レジストリデータ、IPアドレス、プロセスハンドルなどがあります。セキュリティ侵害の証拠や痕跡(IOC)のインジケータは、グローバル一意識別子(GUID)によって識別される更新を伴うバージョニングの対象となる場合あります。一般的なフォーマットであるOpenIOCとSTIXは、特定の侵入に対する適応性を提供し、企業全体や、より広いコミュニティで共有することができます。インテリジェンスドキュメントは、手動でアップロードするだけでなく、次のようなソースからインポートまたはストリームすることもできます。

  • PwC Threat Intelligence (PwC脅威インテリジェンス)
  • TAXIIストリーム
  • iSIGHT Partners ThreatScape
  • STIXおよびOpenIOC形式のデータ
  • Tanium Trace

YARAファイル

YARAはパターンマッチングエンジンです。YARAファイルは、ルールを使用して、対象のエンドポイント上のファイル内の疑わしいコンテンツを分類して識別します。各ルールは、バイトパターン、文字列、および正規表現からなるユーザー定義の説明を結合するブール式で構成されています。テキストエディタまたはルールを自動生成するツールを使用することができます。YARAファイルは、定義された検索範囲と組み合わされると、検出スキャンのための通常のインテリジェンスのように使用されます。

詳細については、YARAのWebサイトを参照してください。

レピュテーションデータ

レピュテーションインテリジェンスを使用するように構成されたエンドポイントの場合、保存されたQuestionによって見つかったハッシュは、評価のためにサードパーティのレピュテーションサービスに送信されます。このインテリジェンスがアラートを生成すると、プロセスハッシュとドライバハッシュが装飾され、一目でわかる状態になります。既知の悪意のある一致であれば、対象コンピュータグループと、継続的なバックグラウンドスキャンに使用されるインテリジェンスドキュメントのクイックスキャンが自動的に開始されます。

インテリジェンススキャンを検出する

Detectパッケージは、グループが設定されたり、インテリジェンスがアップロードされたりすると、自動的に作成、デプロイされます。各パッケージはエンドポイントで別々にプッシュされ、独立して更新できます。パッケージは以下で構成されています。 

  • グループ構成パッケージ:Detectツール、評価エンジン、インテリジェンスマッピングファイル、およびブラックアウト期間が含まれています。
  • インテリジェンスパッケージ:エンドポイントを調査するためのインテリジェンスが含まれています。インテリジェンスパッケージは、同期パッケージ(すべてインテリジェンス)またはデルタパッケージ(前回の同期以降のインテリジェンスまたはデルタパッケージ)の場合があります。インテリジェンスが更新されると、デルタインテリジェンスパッケージがエンドポイントにプッシュされます。この更新プログラムパッケージの名前には、[Delta]が含まれています。例:Detect Intel for Windows Revision 51 Delta[Intel Package Publication Max Deltas (インテリジェンスパッケージ公開最大デルタ](デフォルト:10)の設定後、同期パッケージが再びデプロイされます。

インテリジェンスの集約とデプロイ

インテリジェンスがDetectワークベンチに取り入れられると、Tanium SignalsやOpenIOCなどのインテリジェンスのソースが特定され、カスタムラベルを適用できます。カスタムラベルを使用して、あらゆるタイプのインテリジェンスを特定の環境に適したセットに整理できます。たとえば、優先順位、インシデント事例、または該当する攻撃対象に基づいてインテリジェンスを並べ替えることができます。

グループ構成を作成するときは、適用するインテリジェンスのソースとラベルのインテリジェンスマッピングファイルを作成します。インテリジェンスマッピングファイルは、インテリジェンスがどのようにコンパイルされ、エンドポイントに適用されるかを決定します。デプロイ中、すべてのエンドポイントですべてのインテリジェンスを受信します。インテリジェンスマッピングファイルは、評価中にエンジンが使用するインテリジェンスを決定します。完全なインテリジェンスパッケージをエンドポイントで利用できるようにすることで、簡単な構成変更により、適用されたインテリジェンスを迅速に変更できます。ソースとラベルを使用すると、評価に含まれるインテリジェンスのドキュメントとシグナルを動的に更新できます。

評価スキャンの仕組み

評価エンジンは、連続バックグラウンドスキャン、制限付き高速クイックスキャン、およびTraceによるライブイベント監視の3つの方法で、指定されたインテリジェンスのエンドポイントを検索します。

バックグラウンドスキャンは、何百ものエンドポイントアーティファクトを対象とした自動脅威スキャンを実施し、さまざまな種類の脅威インテリジェンスをサポートします。エンジンは、指定されたインテリジェンスを検索し、定義された対象群に対するインテリジェンスを評価します。一致が見つかると、エンジンはアラートを生成し、Detectサービスはスキャンが完了するのを待たずにこれらのアラートを定期的に収集します。

クイックスキャンは、一度に1つのコンピュータグループで1つのインテリジェンスのみで検索できるため、限られた容量で使用することを目的としています。クイックスキャンを開始すると、バックグラウンドスキャンが一時停止され、クイックスキャンが完了し、バックグラウンドスキャンが再開されます。このタイプのスキャンは、緊急度の高い状況で有効です。一致が見つかると、非同期的に報告されるアラートを生成します。スキャンが完了するまで待つ必要はありません。

スキャンで一致が検出されると、アラートはエンドポイントから収集され、Detectに報告を返します。そこから、Tanium Traceまたは他のTaniumのソリューションを介してエンドポイントをさらに調べることができます。

ミッションクリティカルなエンドポイントがある場合、またはDetectをアクティブにできるときにエンドポイントを制限する必要がある場合は、グループ構成にブラックアウト期間を含めることができます。このような場合は、どちらのタイプのスキャンも実行できません。

他のTaniumモジュールやコンポーネントとの統合

他のTanium製品やコンテンツと統合することにより、検出スキャンをより迅速かつ徹底的に実行することができます。

Tanium™ Connect

Detectで生成されたイベントとアラートは、Connectに送信されます。Connectを接続先に設定することで、この情報はTaniumの外部で実行可能になります。Detectは、保存されたQuestionからのハッシュ情報をConnectとレピュテーションサービスプロバイダに送信し、プロセスハッシュのレピュテーションステータスが一目でわかるよう詳述します。また、脅威データを作成するために、Palo Alto Wildfireなどのソースからの着信接続を構成することもできます。

Tanium™ Index

Indexを使用して、エンドポイントのローカルファイルシステム上に存在するファイルの完全索引を作成します。Indexは、ファイルとパスの情報、ハッシュ、およびマジックナンバーを取得します。Indexを使用すると、Detectにより、ファイルシステム全体をスキャンすることなく、特定のファイルがエンドポイントに存在するかを迅速に判断できます。インテリジェンスのドキュメントを作成して、完全または部分的なファイル名またはディレクトリパス、ファイルハッシュ(MD5、SHA1、およびSHA256)、およびマジックナンバーを検索できます。

Tanium™ Trace

Detectは、以下の方法でTraceと統合されます。 

  • 単一のエンドポイントからのTraceの証拠を使用して、Detectツールがインストールされている他のエンドポイントをスキャンすることができます。
  • イベントレコーダーによってキャプチャされたTraceの履歴データを使用して、各エンドポイントのインテリジェンス一致の証拠を詳細にスキャンすることができます。ライブプロセスイベントマッチングのために、Traceイベントレコーダーにシグナルが送信されます。
  • さらなる調査のために、Detectアラートから不審なエンドポイントへのライブ接続を行うことができます。

追加のDetectドキュメント

評価エンジンのドキュメント

評価エンジンのドキュメントでは、エンドポイントがどのようにインテリジェンスやスキャンタイプと相互作用するかを詳細に説明しています。ドキュメントには、インテリジェンスドキュメントタイプ、センサータイプ、予想されるエラーメッセージ、および評価に影響を与えるその他の機能の説明が記載されています。Detectのホームページから、[Help (ヘルプ)] をクリックし、それから[Evaluation Engine (評価エンジン)]タブをクリックします。

APIドキュメント

APIドキュメントには、パスとモデルのリストがあり、操作を試行するインタラクティブな機能が含まれます。Detectのホームページから、[Help (ヘルプ)] をクリックし、それから[API (API)]タブをクリックします。

外部リソース

インテリジェンスのドキュメントとその開発の詳細については、以下のリソースを参照してください。

最終更新:2019/04/2913:00| フィードバック

Powered by Translations.com GlobalLink OneLink Software