その他のリソース

リリースノート

サポートナレッジベース
(ログインが必要です)

Traceの概要

Traceを使用して、ネットワーク上のLinux、Mac、およびWindowsエンドポイントの主要なフォレンジックおよびセキュリティイベントを直接調査します。Traceは、プロセス実行、ログオン履歴、ネットワーク接続、ファイルとレジストリの変更を含む、重要なイベントのライブビューと履歴ビューを提供します。Traceソリューションは、次3つの部分で構成されています。

  • エンドポイントのイベントデータをモニターするTraceイベントレコーダー
  • エンドポイントのTraceデータを検索および管理できるTraceインターフェイス
  • Traceデータ用にエンタープライズ全体で検索を発行するセンサー

Traceイベントレコーダーについて

Traceイベントレコーダーは、重要なフォレンジックエビデンスを継続的に各エンドポイントに保存します。イベントレコーダーは、エンドポイントカーネルとその他の下位レベルのサブシステムを監視し、さまざまなイベントを捕捉します。

アイドル状態のシステムでも、迅速にデータを蓄積します。Traceは同様のイベントをインテリジェントに照合し、効率的にローカルデータベースに保存します。デフォルトの構成では、履歴データを数か月間まで保持できます。Traceが消費するローカルストレージの容量をカスタマイズし、記録されたエビデンスのタイプをフィルタリングすることができます。

従来のディスクやメモリのフォレンジック技術では、エンドポイントのアクティビティの断片を正常に再構築できますが、これは基盤となるオペレーティングシステムがネイティブに保持するエビデンスに限定されます。対象期間からのこのタイプのエビデンスは、時間の経過とともに急速に劣化する可能性があります。Traceは、完全で解釈しやすいイベント履歴を保持するので、最新のシステムイベントを再現することができます。

記録されたイベントのタイプ

Traceは、追加のコンテキストとメタデータ、およびタイムスタンプ(UTC)など、イベントを幅広く記録します。記録されるイベントの例は、プロセスの実行、ファイルシステムのアクティビティ、レジストリの変更、ネットワーク接続、ドライバとライブラリの読み込み、ユーザー認証などがあります。Traceが記録するプロセス、レジストリ、ネットワーク、ファイル、セキュリティイベントを指定できます。

データべースをより有用にするため、また、より長い期間データを保持するため、発生回数の多いイベント、たとえばLanguageListレジストリ値などを除外することを検討してください。

イベントは次のタイプに基づきフィルタリングします。

T: 表1: イベントのタイプ
イベントのタイプ 説明
ドライバ フルパスとハッシュを含むドライバの読み込みイベント。ドライバがデジタル署名され、エンティティを署名している場合、Windowsにも含まれます。

ドライバイベントは通常、全体的に少数のイベントを作成します。ドライバイベントをフィルタリングすることはできません。

ファイル エンドポイントのディレクトリに書き込まれたファイルなど、ファイルシステムイベント。関連するプロセスとユーザーコンテキストが含まれます。

可能性のある例は、Windows Updateが使用する場所にコピーされたマルウェアファイル、またはファイルに対するコンテンツの変更です。

ネットワーク 関連するプロセスとユーザーコンテキストを含む、インターネットロケーションへのHTTP要求などのネットワーク接続イベント。すべてのインバウンドとアウトバウンドのTCPと、UDP接続のイベントが記録されます。
  • アウトバウンド:接続、試行、成功、切断、失敗が記録されます。
  • インバウンド:受け入れられた接続と切断のみが記録されます。
プロセス プロセス作成、子プロセス作成、およびプロセス終了のイベント。フルコマンドライン、MD5ハッシュ、親プロセスメタデータ、およびユーザーコンテキストが含まれます。
レジストリ [Windowsのみ] レジストリキーと値の作成や変更など、レジストリの変更。関連するプロセスとユーザーコンテキストが含まれます。
セキュリティ セキュリティイベントには、認証、特権エスカレーションなどが含まれます。このイベントタイプには、オペレーティングシステムログがローリングした場合でも、ログオンイベントが含まれます。
DNS [Windows 8.1以降] プロセスパス、ユーザー、クエリ、応答、および操作の種類を含むDNS要求情報。
イメージ

[Windowsのみ] イメージ読み込みイベントには次が含まれます。

  • フルパスとハッシュ

  • イメージに署名したエンティティ、またはイメージが署名されていない場合は 「署名なし」の表示。

可能性のある例は、署名されていないDLLの読み込みです。

イベントレコーダーデータのソース

イベントレコーダーは、複数のソースから、エンドポイントの1つのローカルデータベースにデータを収集します。カーネルイベントは、Linux、Mac、およびWindowsツールから収集されます。Windowsエンドポイントでは、オプションのMicrosoft Sysmonを設定することで、実行されたプロセスに関する追加情報が提供されます。

Traceレコーダーの一部の機能には、特定のバージョンのWindowsが必要です。

T: 表2: Traceレコーダーの機能
機能 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2以降 Windows 7 Windows 8 Windows 8.1以降
DNSイベント 利用不可 利用不可 利用可能 利用不可 利用不可 利用可能
プロセスハッシュとコマンドライン情報 Sysmonが
必須
利用可能 利用可能 Sysmonが必須 利用可能 利用可能
ドライバ読み込み 利用可能* 利用可能 利用可能 利用可能* 利用可能 利用可能

* Sysmonが設定されている場合、Sysmonによって記録されたドライバの読み込み情報が使用されます。

他のTanium製品との統合

他のTanium製品と組み合わせると、調査中または調査後に、結果を適用することができます。調査の結果は、短期および長期の修正計画に必須の情報です。開始時から調査と並行して展開することができます。

Tanium™ Connect

Traceは、Tanium Connectのデータを使用して、プロセスおよびドライバハッシュイベントを説明します。ソースデータは、複数の脅威インテリジェンスプロバイダからの一目でわかる評判ステータス評価のために、これらのイベントの詳細を追加します。

Tanium™ Incident Response

Traceは、Tanium Incident Responseと連携し、エンタープライズ規模に拡大し追跡を行います。いずれかのソリューションのセンサーを使用して、オペレーティングシステムまたは侵入のライフサイクルフェーズ、および特定のタイプのエビデンスに基づいて、エンドポイント間を検索します。たとえば、Autorun Program Detailsセンサーを使用して、環境内のすべての永続バイナリを検索します。一部のセンサーは、WindowsエンドポイントでのTraceの実行プロセス PowerShellの疑わしいコマンドライン引数検索といった、パラメータフィールドを入力する一般的な利用法ボタンが含まれます。すべてのエンドポイントからの結果は、Traceで実行可能なInterectのグリッドとして表示されます。

Tanium™ Detect

分析したエンドポイントから、Traceの保存されたエビデンスを使用し、Tanium Detect ICOのIntelドキュメントを作成してネットワーク全体のエンドポイントをスキャンします。イベントレコーダーは、Detectのシグナルを監視し、イベントがシグナルと一致するかどうかDetectに通知します。感染したシステム、バックドアのコマンド&コントロールアドレス、または感染したユーザーの資格情報セットが不明な場合、攻撃者は簡単に再度アクセスし、修正作業全体を無効にする可能性があります。

Tanium™ Protect

Traceの結果を使用して、Tanium ProtectでWindowsエンドポイントのプロセスとネットワークのルールポリシーを作成し、ネットワークにおける将来のインシデントを防止します。インシデント発生中に悪用された、より根本的な脆弱性を識別して対処できない場合、組織はセキュリティ状況を完全に改善することはできません。

Tanium™ Trends

Traceのデータ全体をグラフィカルに表示するには、Tanium TrendsボードおよびパネルにあるTraceで保存された質問のいずれかを使用します。Trendsは、エンドポイント別の特定のレスポンスを全体的な視点からTanium Interactにピボットすることができます。

F: 図3: エンドポイント数別にTraceデータベースの健全性を表すTrendsの棒グラフ

これら、または他のTanium製品のライセンスを取得するには、テクニカルアカウントマネージャ(TAM)にお問い合わせください。

最終更新:2019/04/2917:41| フィードバック

Powered by Translations.com GlobalLink OneLink Software