[Permissions (権限)] パネル

In document cbd-userguide.book (Page 90-95)

権限ルールを使用すると、動作の許可、動作の許可と記録、または Cb Defense による特 定のパスの完全なバイパスを⾏うことができます。

たとえば、" パス … のアプリケーションが … の操作を実⾏しようとした場合、バイパス する " というルールでは、Cb Defense はそのパスでのすべての動作を棄却します。この バイパス ルールにより、このパスで処理される動作が⼀切認識されなくなるため、セキ ュリティ リスクが生じるおそれがあります。合致するパスから実⾏されるマルウェアは センサーによって検出されず、Cb Defense バックエンドに記録されません。

ポリシー ルール (バイパス ルールを含む) では、UNC パスがサポートされます。

権限ルールを作成するケースとして次が挙げられます。

その他の AV 製品やセキュリティ製品の例外の設定

ソフトウェア開発者のワークステーションの障害除去

[Policy (ポリシー)] ページの左側にある [Policy (ポリシー)] パネルでポリシーを選 択すると、そのポリシーに関連する権限が右側の [Permissions(権限)] パネルに表示さ れます。

権限ルールを作成または編集する :

1. 左側のパネルで、表示または編集するポリシーを選択します。

2. [Policy (ポリシー)] ページの右側のパネルで、[Cb Defense Settings (Cb Defense 設定)] タブをクリックし、[Permissions(権限)] の横にある矢印をクリックします。

3. [Add Application Path(アプリケーション パスの追加)] をクリックするか、既存の ルールの隣にある鉛筆アイコンをクリックして編集します。

4. アプリケーション パスを⼊力します。複数のパスをコンマで区切って⼊力できます。

5. [Operation Attempt (操作の試⾏)] と目的の [Action (アクション)] を選択し、

[Confirm (確認)] をクリックします。ごみ箱アイコンをクリックすると、ルールを 削除できます。

6. ポリシーの変更が完了したら、[Save (保存)] をクリックします。

ポリシーから別のポリシーまたはすべてのポリシーにルールをコピーすることができま す。“ ルールのコピー ” を参照してください。

次の表では、[Permissions (権限)] パネルについて説明します。

注意

任意のルールの横にある [Investigate (調査)] アイコンをクリックすると、

[Investigate (調査)] ページが開き、ルール プロパティに設定されている検 索パラメーターが使用されます。“ アラートの調査 ” を参照してください。

表 25: [Permissions (権限)] パネル

次の表では、各操作について説明します。

[Title

(タイトル)] 説明 Process

(プロセス)

権限ルールの最初の要素であるアプリケーションに関する説明が表 示されます。アプリケーション パスを⼊力する必要があります。

Operation Attempt

(操作の試⾏)

権限ルールの 2 番目の要素である操作に関する説明が表示されま す。選択可能な値は次のとおりです。

Performs any operation (なんらかの操作を実⾏)

Performs any API operation (なんらかの API 操作を実⾏)

Runs or is running (実⾏または実⾏中)

Communicates over the network (ネットワーク経由で通信)

Scrapes memory of another process (他のプロセスのメモリに 対するスクレイピング)

Executes code from memory (メモリからコードを実⾏)

Invokes a command interpreter (コマンド インタープリターを 起動)

Performs ransomware-like behavior (ランサムウェアのような 振る舞いを実⾏)

Executes a fileless script (ファイルレス スクリプトを実⾏)

Injects code or modifies memory of another process (コードを 挿⼊または他のプロセスのメモリを変更)

表 26、「各操作の概要」 を参照してください。

[Action

(アクション)]

[Application (アプリケーション)] と [Operation (操作)] の選択 に基づいて実⾏されるアクションに関する説明が表示されます。選 択可能な値は次のとおりです。

[Allow (許可)] - 指定されたパスで、指定された動作を許可しま す。このパスでの指定された動作はログ記録されず、データが Cb Defense バックエンドに送信されることもありません。

[Allow & Log (許可および記録)] - 指定されたパスで、指定され た動作を許可します。すべてのアクティビティがログに記録さ れ、Cb Defense バックエンドに報告されます。

[Bypass (バイパス)] - このオプションは [Tries to perform any operation (なんらかの操作の実⾏を試⾏)] または [Tries to perform any API operation (なんらかの API 操作の実⾏を試⾏)

] を選択した場合にのみ使用できます。センサーによって実⾏可 能ファイルが監視されません。何もブロックされず、何もログに 記録されません。アクティビティを⼀切参照できないため、この アクションは最後の⼿段として考える必要があります。

表 26: 各操作の概要

Operation

Attempt

(操作の試⾏)

説明

Performs any operation

(なんらかの操作 を実⾏)

この操作は [Runs or is running(実⾏または実⾏中)] に似ています が、操作を実⾏しようとしている実⾏可能ファイルが Cb Defense に よって監視される点が異なります。

Performs any API operation

(なんらかの API 操作を実⾏)*

Cb Defense による防止が有効になっている場合、サードパーティ ア プリケーションによっては、パフォーマンスの問題が発生すること があります。この場合、すべての API 操作をバイパスするように権 限ルールを構成すると、そうしたサードパーティ アプリケーション との相互運用性の問題に対処できます。この権限ルールでは、そう したアプリケーションの実⾏が許可されますが、Cb Defense が次の ポリシー レビューについて防止を強制しなくなります。

Tries to scrape memory (メモリ スクレイピングを試⾏)

Tries to inject code (コード インジェクションを試⾏)

Tries to execute code from memory (メモリからのコードの実

⾏を試⾏)

Master Boot Record protection for Performs ransomware-like behavior (ランサムウェアのような振る舞いの実⾏に対してマ スター ブート レコードを保護)

Runs or is running

(実⾏または実⾏

中)

エンドポイントの初期スキャンが完了すると、デバイス上の各アプ リケーションにレピュテーションが割り当てられます。Cb Defense によってすべての実⾏中のプロセスが確認され、指定されたルール に基づいてアプリケーションがシャットダウンされます。組み込み のロジックにより、重要なシステム(lsass など) のシャットダウン は防止されます。

Communicates over the network

(ネットワーク経 由で通信)

Cb Defense によって特定のアプリケーションに関連するすべてのネ ットワーク アクティビティにフラグが付けられます。

Scrapes memory of another process

(他のプロセスの メモリに対するス クレイピング)

主なユース ケースは次のとおりです。

Lsass を標的としたターゲット型メモリ スクレイピング。

複数のプロセスが列挙されており、これらのプロセスのメモリの 読み取りが試みられている。

これはターゲット型の操作であるため、偽陽性の可能性はわずかで す。通常、これは⼀律のルールとして使用できるため、適用された 環境で偽陽性を受信する可能性が少なくなります。

Executes code from memory

(メモリからコー ドを実⾏)

この操作はターゲット型ではないため、正しく使用しないと、偽陽 性のフラグが付けられる危険性が⾼まります。関連する TTP は SUSPICIOUS_BEHAVIOR です。これは、動的メモリ(バッファ オー バーフローやアンパックされたコードなど) からコードを実⾏して いるアプリケーションを検索します。ただし、この TTP は処理中の スクリプトにもフラグを付けます。たとえば、環境でマクロが使用 されている場合、マクロにフラグが付けられます。

Invokes an untrusted process

(信頼できないプ ロセスを起動)

レピュテーションを調べます。具体的には、ADAPTIVE_WHITE_APP、

UNKNOWN_APP、DETECTED_SUSPECT_APP、

DETECTED_PUP_APP、DETECTED_BLACKLIST_APP、および DETECTED_MALWARE_APP (およびこれに類似する値) です。ル ールは選択したアクションに適用されます。

Invokes a command interpreter

(コマンド イン タープリターを 起動)

シェル(コマンド ライン ツール) の呼び出しが試みられます。サポ ートされているコマンド インタープリターは次のとおりです。

cmd.exe

powershell.exe

wscript.exe/cscript.exe

wmic.exe

mshta.exe

sh?bash?dsch?zsh?tcsh?python?macOS? Performs

ransomware-like behavior

(ランサムウェア のような振る舞 いを実⾏)

ランサムウェアのような振る舞いでは、次の状況を検出するために システム ストレージが監視されます。

Cb Defense センサー以外のプロセスが、センサー所有の隠しファ イルの変更を試みている。センサーが所有するいくつかのおとり ファイルがファイルシステムのさまざまな場所に隠されています。

これらのファイルは、ランサムウェアの興味を引くように設計さ れており、ランサムウェア攻撃の初期段階で暗号化されます。

プロセスが Microsoft Windows オペレーティング システムのボ リューム シャドウ コピー バックアップの操作を試⾏している。

プロセスがシステムの起動ディスクのマスター ブート レコード

(MBR) へのデータ書き込みを試⾏している。

この操作のルールに⼀致し、上記のいずれかの状況に合致したプロ セスは終了され、このアクティビティを報告するアラートが生成さ れます。

“ ランサムウェア ” を参照してください。

Executes a fileless script

(ファイルレス ス クリプトを実⾏)

コマンド インタープリターが、スクリプト ファイルからの読み取り ではなく、コマンド ラインへのスクリプトの⼊力に利用されている かどうかを特定します。

Injects code or modifies memory of another process

(コードを挿入ま たは他のプロセス のメモリを変更)

主なユース ケースは次のとおりです。

Cb Defense では、通常はコード インジェクションを試みること がなく、問題がないことがわかっているアプリケーションのリス トを管理しています。コード インジェクションを試みた場合、

Cb Defense が対処します。

あらゆる種類のターゲット型のプロセス ハロウイング。

Cb Defense では、これらの特定のアクションを防止するために、こ の 2 つのユース ケースに焦点を当てています。偽陽性の可能性はわ ずかです。

Operation Attempt

(操作の試⾏)

説明

In document cbd-userguide.book (Page 90-95)