Live Responseによるデータの収集

Tanium Live Response 1.1.2

インシデント対応プロセスの重要なステップは、侵害されたエンドポイントから詳細なフォレンジック分析を行うためのデータの収集です。Live Responseを使用すると、PowerShell 2.0以降を搭載したWindowsシステムから大量のデータを収集できます。

Live ResponseはPowerShell 2.0以降がインストールされているWindows XPおよびWindows 2003エンドポイントでも作動する可能性がありますが、サポートはされていません。

Live Responseパッケージは、エンドポイントからフォレンジック情報を収集し、結果を指定された場所に転送します。[Live Response - Windows]パッケージには、収集するデータとデータのコピー先を指定する設定ファイルが含まれています。

使用を開始する前に

コピー先とエンドポイントを設定する

  • 収集するフォレンジックデータを保存するには、コピー先が必要です。Live Responseから情報を受け取るサーバは、Amazon S3バケットであることも、SFTP、SCP、またはSMBプロトコルで通信することもできます。
  • SMBコピー先は、エンドポイントとユーザーにはサーバを共有としてマウントし、ディレクトリに書き込むためのアクセス許可が必要です。認証ドメインコンピュータでは、書き込み先ディレクトリを書き込み専用共有として構成します。必要な高度なアクセス許可:

    • 読み取り属性
    • ファイルの作成/データの書き込み
    • フォルダの作成/データの追加
    • 書き込み属性
  • Amazon S3バケットコピー場所の場合、クライアントがタイムサーバと同期していることを確認してください。クライアントの時刻がサーバの時刻と15分以上異なると、転送に失敗します。

Live Responseパッケージを設定する

[Live Response - Windows]パッケージを転送する前に、転送およびコレクタ構成をカスタマイズします。

このパッケージには異なる構成の複数のJSONファイルをアップロードできます。パッケージをデプロイするときは、適切な構成を選択します。

Live Responseをアップグレードすると、カスタム構成ファイルは保存されません。詳細については、Live Responseをアップグレードする前に構成ファイルを保持する を参照してください。

Live Responseパッケージを編集する

  1. パッケージを編集するために開きます。
    1. メインメニューで[Authoring (作成)] > [Packages (パッケージ)]をクリックします。
    2. 検索ボックスに「Live Response」と入力します。
    3. [Live Response - Windows]パッケージを選択して[Edit (編集)]をクリックします。
  2. (オプション) パッケージのタイムアウトを更新します。

    Live Responseパッケージをエンドポイント上のアクションとしてデプロイする場合、アクションの最小有効期限は[Command Timeout (コマンドタイムアウト)]値と[Download Timeout (ダウンロードタイムアウト)]値の和です。デフォルト値を変更して、アクションをデプロイするときのタイムアウトを増減できます。
    これらのタイムアウトは、Live Responseパッケージのエンドポイントへの転送にのみ影響します。Live Responseは分離モードで実行されるため、ファイル転送はアクションの完了に関連付けられません。

転送構成ファイルを更新する

収集されたファイルは、転送構成ファイルで指定するネットワーク送信先に送信されます。

  1. 転送先に関する情報を追加します。
    パッケージの[File (ファイル)]セクションには、サポートされている転送方式ごとにサンプル転送構成ファイルが含まれています(SMB.jsonSCP.jsonSFTP.jsonS3.json)。設定する転送先へのファイルをダウンロードし、コンテンツを更新して転送先の詳細を指定します。構成ファイルの形式の詳細については、参照:転送構成を参照してください。
  2. 次のような転送先のIDを確認するために必要なファイルを追加します。 
    • SSHやSFTPなど、SSHベースの転送方式のknown_hostsファイル
    • RSAキーを使用している場合はRSAファイル
    • Amazon S3バケットを使用している場合はS3の秘密キーファイル

(オプション)コレクタ構成を更新する

コレクタ構成は、収集されるデータを制御します。[Live Response - Windows]パッケージをデプロイする場合には次の構成のいずれかを選択します。

  • Standard_Collection.json:デフォルトのデータに使用します。
  • Extended_Collection.jsonStandard_Collection.jsonと同じデータ、およびカーネル、MFT、USNジャーナル、イベントログ、レジストリハイブファイルなど、ファイルベースのアーティファクトの収集に使用します。
  • Memory_Collection.json: メモリの取得に使用します。
  • Custom_Collection.json: 独自のPowerShellスクリプトをLive Responseに追加する場合の例として使用します。

各ファイルについて何が収集されるかの詳細については、デフォルトのデータモジュールを参照してください。

(オプション) デフォルト値を設定する

[Parameters (パラメータ)]セクションで、パラメータを選択します。パッケージをデプロイするときに選択するデフォルト値を選択できます。


エンドポイントからデータを収集する

エンドポイントからデータを収集するには、Live Responseパッケージをデプロイします。

エンドポイントでのリソースの過負荷を防ぐには、このアクションを手動でのみ発行します。予定済みアクションを作成しないでください。

  1. データ収集の対象エンドポイント。オペレーティングシステムベースのQuestionを使用します。例: 「Get Computer Name from machines with Is Windows containing "True" (「Is Windows (Windows)」が「True (真)」のすべてのコンピュータからコンピュータ名を取得する)」
  2. データを収集したいエンドポイントを選択し、[Deploy Action (アクションをデプロイ)]をクリックします。
  3. [Deployment Package (デプロイパッケージ)]フィールドで、「Live Response - Windows」と入力します。
  4. コレクタと転送の設定を定義します。
  5. [Show Preview to Continue (プレビューを表示して続行)]をクリックします。
  6. アクションをデプロイする先のエンドポイントのリストをプレビューした後、[Deploy Action (アクションをデプロイ)]をクリックします。

Live Responseは、LRConnectionTestファイルをデプロイ先に書き込むことで接続をテストします。書き込みが失敗した場合、アクションは構成ファイルにリストされている順序で、転送構成内の他のデプロイ先を試行します。すべての接続テストが失敗した場合、Live Responseアクションは続行されません。

Tanium Serverは、パッケージがエンドポイントにダウンロードされ次第、パッケージを完了として表示します。Live Responseが分離モードで実行されるため、この完了は正確ではありません。アクションが完了した後も、ファイル転送が続行されます。

転送を完了する実際の時間は、エンドポイントのアクティビティとエンドポイントと転送先システム間の接続速度によって異なります。

ログを収集する

エンドポイントの標準アクションログ(<Tanium Client>\Downloads\Action_###\Action_####.log)に加えてLive Responseアクティビティのログファイルが同じディレクトリに含まれます。このファイルは、次の命名規則に従います:YYYYMMDDhhmm_LR.log

Live Responseが完了すると、YYYYMMDDhhmm_LR.logが送信先にコピーされます。アクションログは送信先にはコピーされません。

問題のトラブルシューティングには、アクションログとLive Responseログファイルの両方を使用します。アクションログは、標準エラー(stderr)に書き込まれたメッセージを取得します。

参照:転送構成

Live Responseには、ファイル転送用の次の構成ファイルが含まれています。 

  • S3.json
  • SCP.json
  • SFTP.json
  • SMB.json

すべての転送構成ファイルには1つの接続文字列が含まれている必要があります。

{
 "dest":[
 "scp://<...>" 
	],
 "throttlembps": 0.5
}	

throttlembpsパラメータは、転送が消費することが許可されるエンドポイント帯域幅の最大量をメガビット/秒で指定します。最大レートを指定しなければ、データはエンドポイントで収集されたレートで送信されます。

これらの設定ファイルの内容はURLエンコードされている必要があります。たとえば、%23で置き換えます。URLに含めるその他の特殊文字には次のものがあります。
  • スペース - %20
  • & - %26

  • # - %23

  • ? - %3F

  • : - %3A

  • = - %3D

  • @ - %40

  • % - %25

サポートされているプロトコルとファイル転送オプションを表示する

サポートされているすべてのプロトコルと各プロトコル固有のオプションを表示するには、taniumfiletransfer.exeファイルを実行します。。Live Responseパッケージには、taniumfiletransfer_32.exetaniumfiletransfer_64.exeファイルが含まれます。パッケージがデプロイされると、エンドポイントのビット数に適したファイルがエンドポイントにコピーされ、名前がtaniumfiletransfer.exeに変更されます。

taniumfiletransfer_32.exeまたはtaniumfiletransfer_64.exeファイルを[Live Response - Windows]パッケージからダウンロードします。

サポートされているプロトコルを一覧表示するには、使用しているビット数に応じて、次のいずれかのコマンドを実行します。

taniumfiletransfer_64 protocol
taniumfiletransfer_32 protocol

プロトコル接続文字列のオプションを含むscpプロトコルの詳細を表示するには、次のコマンドを実行します。 

taniumfiletransfer_64 protocol scp

参照: コレクタ構成

Live Responseパッケージのデプロイ時に収集されるデータとファイルをカスタマイズできます。ウイルス対策ファイルまたは隔離ファイルを持つエンドポイントなど、特定のタイプのエンドポイント用に複数のバージョンの構成ファイルを用意すると便利です。

Live Responseには、次のサンプル構成ファイルが含まれます。 

  • Standard_Collection.json:デフォルトのデータに使用します。
  • Extended_Collection.jsonStandard_Collection.jsonと同じデータ、およびカーネル、MFT、USNジャーナル、イベントログ、レジストリハイブファイルなど、ファイルベースのアーティファクトの収集に使用します。
  • Memory_Collection.json: メモリの取得に使用します。
  • Custom_Collection.json: 独自のPowerShellスクリプトをLive Responseに追加する場合の例として使用します。

グローバル設定

Live Response設定ファイルの基本設定を構成できます。モジュールまたはファイルコレクションの設定では、適切なセクションに設定名と値を含めることで、これらの基本設定を上書きできます。

"options":{
 "disk_info": true, 
 "copy": true, 
 "depth": 0, 
 "max_num_files": -1, 
 "raw": false, 
 "raw_fallback": false, 
 "hashes": ["md5","sha256"], 
 "log_level": "info" 
	}

 

disk_info

MFTからタイムスタンプ情報を収集するかどうかを指定します。(デフォルト: true)

trueなら、MFTからStandard_Informationスタンプからのタイムスタンプを収集します。生ファイルの収集が行われる場合、[File_Name (ファイル名)]属性タイムスタンプもMFTから収集されます。次のいずれかのプロパティを設定して、生ファイルの収集を有効にします:raw:  「true」またはraw_fallback: 「true」 
false:タイムスタンプ情報は収集されません。 

copy

ファイルをコピー先にコピーするかどうかを指定します。デフォルトのグローバルオプションはtrueで、オーバーライドはプロセスの詳細、モジュールの詳細、およびドライバの詳細モジュールはfalseです。

true:Live Response処理の一環として、すべてのファイルをコピー先にコピーします。このファイル群には、プロセス、ロードされたモジュール(dll)、ドライバファイルなどに関連するすべてが含まれます。ファイルをコピーする場合、プロセスに多大な時間、帯域幅、およびストレージスペース要件が加わります。一般的に、特定の関心に関するファイル群を対象とします。
false:ファイルはコピーされません。 

depth

正規表現が評価されるサブディレクトリの数を指定します。

max_num_files

収集するファイルの最大数を指定します。無制限数の場合は、-1に設定します。

raw

Windows APIモードを使用するか、マスターファイルテーブル(MFT)を解析するかを指定します。APIモードは、MFTを解析するよりも高速です。
false: (デフォルト) APIモードを使用します。
true:マスターファイルテーブルを解析します。

raw_fallback

APIコールが失敗した場合にMFTを解析するかどうかを指定します。有効にするにはtrueに設定します。

hashes

ファイルに対して計算するハッシュのタイプを指定します。
有効な値:md5、sha256  SHA1

log_level

Live Responseログファイルへのロギングを制御するために予約されています。

 

Scripts (スクリプト)

独自のPowerShellスクリプト(ps1ファイル)を設定して、Live Responseの一部として実行できます。たとえば、次のような構成では、collect-test-script.ps1ファイルを実行できます。また、スクリプトファイルをパッケージにアップロードする必要があります。例:collect-test-script.ps1 

"scripts":[{
	{
 "name": "collect-test-script", 
 "filename": "collect-test-script.ps1", 
 "safe_args": ["-i", "input_file.txt", "-o", "output_file.txt"], 
 "enabled": true, 
 "order": "01" 
	}
]

name

スクリプトの名前を指定します。

filename

ps1ファイルの名前を指定します。スクリプトファイルは、Live Responseパッケージにアップロードする必要があります。

safe_args

パラメータのリストとスクリプトのサンプル値を指定します。

enabled

Live Responseパッケージのデプロイ時にスクリプトを実行するかどうかを指定します。

order

スクリプトの実行順序を制御します。この秩序は、一般にデジタルフォレンジックとインシデント対応分野における「揮発性の順序」と呼ばれます。変化する可能性が最も高いデータをあまり変化しないデータより先に収集することをお勧めします。例えば、ディスク上に保存されている構成ファイルよりも頻繁に変更される実行中のプロセスの詳細を先に収集します。

Modules (モジュール)

モジュールセクションには、Live Responseに含まれるデータ収集関数があります。モジュール定義の例を次に示します。 

"modules":[
	{
 "name": "ProcessDetails", 
 "enabled": true, 
 "copy": false, 
 "order": "02" 
	},
]

name

モジュールの名前を指定します。

enabled

Live Responseパッケージのデプロイ中にモジュールを有効にするかどうかを指定します。

order

データが収集される順序を制御します。この秩序は、一般にデジタルフォレンジックとインシデント対応分野における「揮発性の順序」と呼ばれます。変化の頻度が低いデータを収集する前に、変更する可能性が最も高いデータを収集します。たとえば、実行中のプロセスの詳細を先に収集してから、次にディスクに保存された構成ファイルを収集します。

デフォルトのデータモジュール

次のデータはデフォルトでキャプチャされ、Standard_Collection.jsonファイルで構成を変更できます: 

  • プロセスの詳細
  • モジュールの詳細
  • ドライバの詳細
  • プリフェッチ
  • Amcache
  • シムキャッシュ
  • 予定済みタスク
  • 最近使用したファイル
  • ネットワーク接続
  • プロセスハンドルの詳細
  • 自動実行の詳細
  • ホストファイル

拡張データモジュール

以下のデータは、Extended_Collection.jsonファイルで構成を変更できます: 

  • プロセスの詳細
  • モジュールの詳細
  • ドライバの詳細
  • プリフェッチ
  • Amcache
  • シムキャッシュ
  • 予定済みタスク
  • 最近使用したファイル
  • ネットワーク接続
  • プロセスハンドルの詳細
  • 自動実行の詳細
  • ホストファイル

  • 標準およびマスターブートレコード
  • マスターファイルテーブル(MFT)
  • USNジャーナル、カーネル
  • レジストリハイブ
  • ユーザープロファイル
  • イベントログ
  • プリフェッチファイル
  • Chromeユーザーデータ
  • トレースデータベース(存在する場合)
  • インデックスデータベース(存在する場合)

Files (ファイル)

ファイルセクションでは、エンドポイントから収集するファイルと関連するメタデータを指定します。

"files":[
	{
						
 "name": "MFT", 
 "path": "%systemdrive%", 
 "regex": "(\\$MFT$)", 
 "hashes": ["md5","sha1","sha256"], 
 "enabled": true, 
 "order": "01", 
 "raw": true
			
	}
]

ファイルのプロパティ

name

ファイルのグループを記述する名前を指定します。

path

エンドポイント上のファイルパスを指定します。

regex

指定されたディレクトリパス上で実行される正規表現を指定します。一致するすべてのファイルが収集されます。

hashes

各ファイルに対して収集するハッシュのリストを指定します。md5、sha1、sha256を含めることができます。

enabled

説明

order

ファイルが収集される順序を制御します。変化の頻度が低いデータを収集する前に、変更する可能性が高いデータを収集します。

depth

正規表現が評価されるサブディレクトリの数を指定します。

最終更新:2019/04/2917:22| フィードバック

Powered by Translations.com GlobalLink OneLink Software