TTP のリファレンス

In document cbd-userguide.book (Page 120-141)

Cb Defense では、動作は個別の TTP (Tactics, Techniques, and Procedures: 攻撃⼿口)

として捕捉されます。動作はセンサーによってデバイスで捕捉され、バックエンド プラ ットフォームで分析エンジンによってアラートにコンパイルされる (適用される場合)

グループとして分析されます。

この付録には、TTP の定義と可能な値が記載されています。

表 29: TTP

タグ 検出箇所 カテゴリ 設定の状態 説明 ACCESS_CALEN

DAR

センサー Data at Risk

(潜 在 的 に 危 険なデータ)

ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。

カレンダー アプリ ケーション データ ファイルにアクセ スします。たとえ ば、Outlook な ど です。

ACCESS_CONT ACTS

センサー Data at Risk

(デ ー タ の 危 険性)

ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。

連絡先リストや電 話番号リストのア プリケーション デ ータにアクセスし ます。

ACCESS_DATA_

FILES

センサー Data at Risk

(デ ー タ の 危 険性)

ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。

データ ファイルに アクセスします。

ACCESS_EMAIL _DATA

センサー Data at Risk

(デ ー タ の 危 険性)

ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。

E メールの内容に アクセスします。

ACTIVE_CLIENT センサー Network Threat

(ネットワー ク脅威)

ネットワーク フィ ルター ドライバー が、IPv4 ま た は IPv6 接続が正常に

アプリケーション がネットワーク接 続を正常に開始し ました。

ACTIVE_SERVE R

センサー Network Threat

(ネ ッ ト ワ ー ク脅威)

ネットワーク フィ ルター ドライバー が、受 け ⼊ れ た IPv4 または IPv6 接 続を特定 する よう に設定さ れて いま す。

アプリケーション がネットワーク接 続を正常に受け⼊

れました。

ADAPTIVE_WHI TE_APP

分析 Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

ハッシュ ルックア ップで実 ⾏可 能フ ァイルが 検出 され ま し た。実 ⾏ 可 能 ファイル のレ ピュ テ ー シ ョ ン は ADAPTIVE_WHITE _APP です。また、

アプリケ ーシ ョン は署名さ れて おら ず、新しいもの(30 日未満) です。

スキャンでクリー ンと判定された不 明なアプリケーシ ョン。

ATTEMPTED_CL IENT

センサー Network Threat

(ネ ッ ト ワ ー ク脅威)

ネットワーク フィ ルター ドライバー が、IPv4 ま た は IPv6 接続の開始に 失敗した こと を特 定するよ うに 設定 されています。

アプリケーション がネットワーク接 続 の 開 始 を 試 み、

失敗しました。

ATTEMPTED_SE RVER

センサー Network Threat

(ネ ッ ト ワ ー ク脅威)

ネットワーク フィ ルター ドライバー が、IPv4 または IPv6 接続の受け⼊

れに失敗したことを 特定するように設定 されています。

アプリケーション がネットワーク接 続の受け⼊れを試 み、失 敗 し ま し た。

BEACON 分析 Network Threat

(ネ ッ ト ワ ー ク脅威)

ネットワーク フィ ルター ドライバー がネットワーク ソ ケット接続 (ユー ザーランド フック の 使 用 を 含 む) を 実 ⾏ し ま し た が、

失敗しました。

レピュテーション の低いアプリケー

シ ョ ン

(ADAPTIVE_WHI TE 以下) の初回実

⾏ が、http/s 経 由 でサーバーへのビ ーコン登録を試み ましたが、失敗し ました。

BUFFER_OVERF LOW_CALL

センサー Emerging Threats

(新しい脅威)

ユーザーランド フ ッ ク が、書 き 込 み 可能メモ リか らの API 呼 び 出 し を 特 定するよ うに 設定 されています。

アプリケーション がバッファ オーバ ーフローからのシ ステム コールを試 みました。

タグ 検出箇所 カテゴリ 設定の状態 説明

BYPASS_POLIC Y

センサー Emerging Threats

(新しい脅威)

特別に作成されたコ マンド ライン引数 を含んでいるドライ バー コールバック を特定しました。

アプリケーション がデバイスのデフ ォルト セキュリテ ィ ポリシーのバイ パスを試みました。

CODE_DROP センサー Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

ファイル シス テム のフィルター ドラ イ バ ー が、新 し い バイナリ やス クリ プトの作 成を ター ゲット ファイルの 拡張子に 基づ いて 特定する よう に設 定されています。

アプリケーション が実⾏可能ファイ ルまたはスクリプ トをドロップしま した。

COMPANY_BLA CKLIST

センサー Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

バイナリのハッシュ の実⾏が禁止され、

COMPANY_BLACKLI ST になりました。

アプリケーション が会社のブラック リストに載ってい ます。

COMPROMISED _PROCESS

センサー Process Manipulation

(プ ロ セ ス 操 作)

ユーザーランド フ ッ ク が、侵 害 さ れ たアプリ ケー ショ ン (E メ ー ル、

Office、ブラウザー アプリケ ーシ ョン な ど) に よ っ て バ ッファ オーバーフ ロー、プロセス ハ ロ ウ イ ン グ、ま た はコード インジェ クション を実 ⾏す るプロセ スを 特定 するよう に設 定さ れています。

バッファ オーバー フロー、コード イ ン ジ ェ ク シ ョ ン、

プロセス ハロウイ ングなどのプロセ ス変更によってプ ロセスが侵害され ています。

COPY_PROCES S_MEMORY

センサー Data at Risk

(デ ー タ の 危 険性)

ユーザーランド フ ッ ク が、他 の プ ロ セスのメモリ スナ ップショ ット を取 得したア プリ ケー ションを 特定 する ように設 定さ れて います。

アプリケーション が他のプロセスの メモリ スナップシ ョットを取得しま した。

タグ 検出箇所 カテゴリ 設定の状態 説明

DATA_TO_ENC RYPTION

センサー Data at Risk

(デ ー タ の 危 険性)

プロセス がラ ンサ ムウェア おと りフ ァイルの 変更 を試 みます。

Cb Defense がファ イルシステムに配 置した特別なラン サムウェアおとり ファイルの 1 つを アプリケーション が変更を試みまし た。これらのファ イルはセンサーで 制 御 さ れ て お り、

Cb Defense 以外の アプリケーション が変更してはなり ません。

DETECTED_BLA CKLIST_APP

セ ン サ ー お よ び 分 析

Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

検出された実⾏可能 ファイルのハッシュ のレピュテーション が COMPANY_

BLACKLIST です。

ブラックリストに 載っているアプリ ケーションがファ イルシステムで検 出されました。

DETECTED_MA LWARE_APP

セ ン サ ー お よ び 分 析

Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

検出され た実 ⾏可 能ファイ ルの ハッ シュまた はロ ーカ ル スキャンのレピ ュ テ ー シ ョ ン が KNOWN_MALWAR E です。

マルウェア アプリ ケーションがファ イルシステムで検 出されました。

DETECTED_PU P_APP

セ ン サ ー お よ び 分 析

Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

検出され た実 ⾏可 能ファイ ルの ハッ シュまた はロ ーカ ル スキャンのレピ ュ テ ー シ ョ ン が PUP です。

潜在的に迷惑なア プ リ ケ ー シ ョ ン

(PUP) が フ ァ イ ルシステムで検出 されました。

DETECTED_SUS PECT_APP

セ ン サ ー お よ び 分 析

Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

検出され た実 ⾏可 能ファイ ルの ハッ シュまた はロ ーカ ル スキャンのレピ ュ テ ー シ ョ ン が SUSPECT_MALWA RE です。

疑わしいアプリケ ーションがファイ ルシステムで検出 されました。

DUMP_PROCES S_MEMORY

センサー Data at Risk

(デ ー タ の 危 険性)

ユーザーランド API フックが、プロセス のメモリ ダンプを 検出するように設定 されています。

アプリケーション がファイルシステ ムで他のプロセス のメモリ ダンプを 作成しました。

タグ 検出箇所 カテゴリ 設定の状態 説明

EMAIL_CLIENT センサー Network Threat

(ネ ッ ト ワ ー ク脅威)

ネットワーク フィ ルター ドライバー が、E メ ー ル プ ロ ト コ ル (SMTP、

S M T P S 、P O P 3 、 P O P 3 S 、I M A P 、 IMAP2、IMAPS な ど) を 使 用 す る ク ライアン ト接 続を 特定する よう に設 定されています。

E メール アプリケ ーションではない アプリケーション

(不 明 な ア プ リ ケ ーション) が E メ ール クライアント と し て 機 能 し、E メール ポートにデ ータを送信してい ます。

ENUMERATE_P ROCESSES

センサー Generic Suspect

(⼀ 般 的 な 危 険性)

ユ ー ザ ー ラ ン ド API フックが、プロ セス列挙 を検 出す るように 設定 され ています。

プロセスが、ホス トで実⾏中の他の プロセスのリスト を取得しようとし ています。

FAKE_APP 分析 Malware &

Application Abuse

(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)

フ ァ イ ル シ ス テ ム ドライバーが、正し くないディレクトリ から実⾏されている

" ⼀般に知られてい る " Windows アプ リ ケ ー シ ョ ン

(e x p l o r e r 、 winlogin、lsass な ど) をパスによって 特定するように設定 されています。

⼀般に知られてい るアプリケーショ ンに偽装している 可能性のあるアプ リケーション。

FILE_TRANSFE R

センサー Network Threat

(ネ ッ ト ワ ー ク脅威)

ネットワーク フィ ルター ドライバー が、FTP で IPv4 ま たは IPv6 接続を正 常に確⽴、接続、ま た は 拒 否 し た こと を 特 定 す る よ うに 設定されています。

アプリケーション がネットワーク経 由でファイルを転 送しようとしてい ます。

FILE_UPLOAD 分析 Network Threat

(ネ ッ ト ワ ー ク脅威)

ユーザーランド フ ック、ネットワーク フィルター ドライ バー、およびファイ ル システム フィル ター ドライバー が、メモリ スクレ イ ピ ン グ の 後 にネ ッ ト ワ ー ク 接 続を 実 ⾏ す る プ ロ セス を 特 定 す る よ うに 設定されています。

アプリケーション が盗難データをネ ットワーク経由で アップロードして いる可能性があり ます。

タグ 検出箇所 カテゴリ 設定の状態 説明

In document cbd-userguide.book (Page 120-141)