Cb Defense で は、セ ン サ ー に よ っ て、動 作 が 個 別 の TTP (Tactics, Techniques, and Procedures: 攻撃⼿口) として捕捉されます。Cb Defense クラウドの分析コンポーネン トによって、TTP はグループとして分析され、(適宜) アラートにコンパイルされま す。“TTP のリファレンス ” を参照してください。
Cb Defense の技術によりエンドポイント情報を環境全体から収集し、データ サイエンス を活用して攻撃者の動作を分析し、それに応じて自動的に調整します。TTP は、アラート につながるさまざまなアクションのディスクリプターとして使用されます。TTP は Cb Defense のポリシー アクションによって検出、防止された攻撃に関するコンテキストを 示します。適用されるポリシーは、TTP によって決定されるのではありません。
適用されるポリシーが TTP によって決定されないため、TTP が特定のポリシー アクショ ンの実⾏時点を示すとは限りません。ただし、特定のレピュテーションまたは名前 / パス を持つアプリケーションに特定のポリシー ルールが適用された時点で通常表面化する TTP については、[Investigate(調査)] ページでクエリを実⾏できます。“ アラートの調 査 ” を参照してください。
例として processEffectiveReputation:[Reputation] というクエリが挙げられ ます。Reputation は次のいずれかの値に置き換えます。
• KNOWN_MALWARE です。
• COMPANY_BLACK_LIST
• UNKNOWN(未知)
• PUP
• SUSPECT_MALWARE です。
• NOT_LISTED
TTP は、ブロックおよび分離操作と相関付けられていません。ただし、[Investigate(調査)
] ページで、threatIndicators および TTP 文字列を、processEffectiveReputation およびレピュテーションと組み合わせて使用して、特定の検索結果を生成できます。このよ うにすると、指定したブロックと隔離のルールによって、どのアプリケーションがブロック された可能性があるのかを把握しやすくなります。
たとえば、ルール "Tries to scrape memory of another process(他のプロセスのメモ リ スクレイピングを試⾏)" をトリガーできる Not Listed (リストにない) アプリケー ションを検索するために、次のクエリを実⾏できます。
processEffectiveReputation:NOT_LISTED and threatIndicators:RAM_SCRAPING or
threatIndicators:READ_SECURITY_DATA クエリの例を次の表に示します。
ヒント
processEffectiveReputation
は、⼤文字と小文字が区別されます。
表 28: TTP クエリの例
操作 クエリ⽂字列
Executes code from memory
(メモリからコー ドを実⾏)
• threatIndicators:SUSPICIOUS_BEHAVIOR
• threatIndicators:PACKED_CALL
Scrapes memory of another process
(他のプロセスの メモリに対するス クレイピング)
• threatIndicators:RAM_SCRAPING
• threatIndicators:READ_SECURITY_DATA
Communicates over the network
(ネットワーク経 由で通信)
• threatIndicators:NETWORK_ACCESS(成功した接続)
• threatIndicators:ATTEMPTED_SERVER(失敗した受信接続)
Performs ransomware-like behavior
(ランサムウェア のような振る舞 いを実⾏)
• threatIndicators:KNOWN_RANSOMWARE
• threatIndicators:DATA_TO_ENCRYPTION?trusted_whitel ist でない場合)
• threatIndicators:SET_SYSTEM_FILE or KERNEL_ACCESS
Injects code or modifies memory of another process
(コードを挿入ま たは他のプロセス のメモリを変更)
• threatIndicators:INJECT_CODE
• threatIndicators:HAS_INJECTED_CODE
• threatIndicators:COMPROMISED_PROCESS
• threatIndicators:PROCESS_IMAGE_REPLACED
• threatIndicators:MODIFY_PROCESS
• threatIndicators:HOLLOW_PROCESS
Invokes an untrusted application
(信頼できないア プリケーション を起動)
• threatIndicators:ADAPTIVE_WHITE_APP
• threatIndicators:UNKNOWN_APP
• threatIndicators:DETECTED_SUSPECT_APP
• threatIndicators:DETECTED_PUP_APP
• threatIndicators:DETECTED_BLACKLIST_APP
• threatIndicators:DETECTED_MALWARE_APP Invokes a
command interpreter
(コマンド イン タープリターを 起動)
このポリシーにマップされる TTP のセットはありません。