このドキュメントでは、Mandiant IOC エディタで侵入の痕跡(IOC)署名ファイルを作成する方法、Cisco FireAMP ダッシュボードにこのファイルをアップロードする方法、およびエンドポイント IOC スキャンを開始する方法について説明します。
エンドポイント IOC スキャンを実行する前に、ドライブに1 ギガバイト以上の空き容量があることを確認することを推奨します。
このドキュメントの情報は、Cisco FireAMP Windows Connector バージョン 4.0.2 以降で利用可能なエンドポイント IOC スキャナに基づいています。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
エンドポイント IOC スキャナ機能は、複数のコンピュータにわたり、セキュリティ侵害後のインジケータをスキャンするために使用する、強力なインシデント対応ツールです。
IOC シグニチャ ファイルは、既知の脅威、攻撃者の攻撃手法、またはその他の侵害の証拠を特定する技術特性を説明する、拡張可能な XML スキーマです。
エンドポイント IOC は、OpenIOC ベースのファイルからコンソール経由でインポートされます。このファイルは、名前、サイズ、ハッシュなどのファイル プロパティと、プロセス情報、実行中のサービス、Microsoft Windows レジストリ エントリなどのシステム プロパティをトリガーとして使用するように作成されています。 IOC 構文は、インシデント対応者が特定のアーティファクトを検索したり、マルウェア ファミリの洗練された相関検出を作成するロジックを使用したりするために使用できます。
IOC シグニチャ ファイルでスキャンを実行するには、以下の 3 つのステップを完了する必要があります。
以降のセクションで、これらのステップについて説明します。
IOC シグニチャ ファイルを作成するには、次の手順を実行します。
スキャンを実行するには、IOC ファイルを FireAMP ダッシュボードにアップロードする必要があります。 IOC シグニチャ ファイル、XML ファイル、あるいは複数の IOC ファイルが含まれる zip アーカイブを使用できます。 ダッシュボードによって圧縮解除されて、IOC シグニチャを含むファイルが解析されます。 構文エラーがある場合や、サポートされていないプロパティが使用されている場合は、通知されます。
以下の手順に従って、IOC シグニチャ ファイルを FireAMP ダッシュボードにアップロードします。
シグニチャ ファイルをアップロードした後、フル スキャンを実行します。 最初に実行するスキャンはフル スキャンでなければなりません。フル スキャンにより、コンピュータ全体のメタデータのカタログを構築する必要があるためです。フル スキャンには 1 ~ 2 時間かかる場合があります。 フル スキャンによってシステムのカタログが構築された後は、フラッシュ スキャンを実行できます。
IOC スキャンを実行するには、2 つの方法を使用できます。 1 つは、イベントまたはダッシュボードから即時スキャンを実行するという方法です。 このスキャンは、次回 PC がクラウドにハートビートを送信するとトリガーされます。
もう 1 つの方法は、ダッシュボードの [Outbreak Control]メニューから、スケジュールされたエンドポイント IOC スキャンを作成することです。 オフピーク中にスキャンを実行したい場合は、このオプションが最適です。 スケジュールされたタスクを作成し、[Log on as Batch] グループ ポリシー アクセス権限を許可するには、対象のコンピュータへのアクセス権限が割り当てられたアカウントのクレデンシャルを入力する必要があります。
エンドポイント IOC スキャンをスケジュールする際に、以下の警告メッセージが表示されます。
入力したクレデンシャルが有効であれば、次回 PC がハートビートを送信するときに以下のようなジョブが Windows タスク スケジューラに表示されます。
スキャンが開始すると、以下のメッセージが表示されます。
スキャンが完了した後、[Endpoint IOC Scan Detection Summary]を表示できます。 以下の例に、test.txt IOC シグニチャ ファイルの一致結果を示します。