Cb Defense では、動作は個別の TTP (Tactics, Techniques, and Procedures: 攻撃⼿口)
として捕捉されます。動作はセンサーによってデバイスで捕捉され、バックエンド プラ ットフォームで分析エンジンによってアラートにコンパイルされる (適用される場合)
グループとして分析されます。
この付録には、TTP の定義と可能な値が記載されています。
表 29: TTP
タグ 検出箇所 カテゴリ 設定の状態 説明 ACCESS_CALEN
DAR
センサー Data at Risk
(潜 在 的 に 危 険なデータ)
ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。
カレンダー アプリ ケーション データ ファイルにアクセ スします。たとえ ば、Outlook な ど です。
ACCESS_CONT ACTS
センサー Data at Risk
(デ ー タ の 危 険性)
ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。
連絡先リストや電 話番号リストのア プリケーション デ ータにアクセスし ます。
ACCESS_DATA_
FILES
センサー Data at Risk
(デ ー タ の 危 険性)
ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。
データ ファイルに アクセスします。
ACCESS_EMAIL _DATA
センサー Data at Risk
(デ ー タ の 危 険性)
ファイル シス テム のフィルター ドラ イ バ ー が、タ ー ゲ ット ファイルの拡 張子に基 づい て読 み取りア クセ スを 特定する よう に設 定されています。
E メールの内容に アクセスします。
ACTIVE_CLIENT センサー Network Threat
(ネットワー ク脅威)
ネットワーク フィ ルター ドライバー が、IPv4 ま た は IPv6 接続が正常に
アプリケーション がネットワーク接 続を正常に開始し ました。
ACTIVE_SERVE R
センサー Network Threat
(ネ ッ ト ワ ー ク脅威)
ネットワーク フィ ルター ドライバー が、受 け ⼊ れ た IPv4 または IPv6 接 続を特定 する よう に設定さ れて いま す。
アプリケーション がネットワーク接 続を正常に受け⼊
れました。
ADAPTIVE_WHI TE_APP
分析 Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
ハッシュ ルックア ップで実 ⾏可 能フ ァイルが 検出 され ま し た。実 ⾏ 可 能 ファイル のレ ピュ テ ー シ ョ ン は ADAPTIVE_WHITE _APP です。また、
アプリケ ーシ ョン は署名さ れて おら ず、新しいもの(30 日未満) です。
スキャンでクリー ンと判定された不 明なアプリケーシ ョン。
ATTEMPTED_CL IENT
センサー Network Threat
(ネ ッ ト ワ ー ク脅威)
ネットワーク フィ ルター ドライバー が、IPv4 ま た は IPv6 接続の開始に 失敗した こと を特 定するよ うに 設定 されています。
アプリケーション がネットワーク接 続 の 開 始 を 試 み、
失敗しました。
ATTEMPTED_SE RVER
センサー Network Threat
(ネ ッ ト ワ ー ク脅威)
ネットワーク フィ ルター ドライバー が、IPv4 または IPv6 接続の受け⼊
れに失敗したことを 特定するように設定 されています。
アプリケーション がネットワーク接 続の受け⼊れを試 み、失 敗 し ま し た。
BEACON 分析 Network Threat
(ネ ッ ト ワ ー ク脅威)
ネットワーク フィ ルター ドライバー がネットワーク ソ ケット接続 (ユー ザーランド フック の 使 用 を 含 む) を 実 ⾏ し ま し た が、
失敗しました。
レピュテーション の低いアプリケー
シ ョ ン
(ADAPTIVE_WHI TE 以下) の初回実
⾏ が、http/s 経 由 でサーバーへのビ ーコン登録を試み ましたが、失敗し ました。
BUFFER_OVERF LOW_CALL
センサー Emerging Threats
(新しい脅威)
ユーザーランド フ ッ ク が、書 き 込 み 可能メモ リか らの API 呼 び 出 し を 特 定するよ うに 設定 されています。
アプリケーション がバッファ オーバ ーフローからのシ ステム コールを試 みました。
タグ 検出箇所 カテゴリ 設定の状態 説明
BYPASS_POLIC Y
センサー Emerging Threats
(新しい脅威)
特別に作成されたコ マンド ライン引数 を含んでいるドライ バー コールバック を特定しました。
アプリケーション がデバイスのデフ ォルト セキュリテ ィ ポリシーのバイ パスを試みました。
CODE_DROP センサー Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
ファイル シス テム のフィルター ドラ イ バ ー が、新 し い バイナリ やス クリ プトの作 成を ター ゲット ファイルの 拡張子に 基づ いて 特定する よう に設 定されています。
アプリケーション が実⾏可能ファイ ルまたはスクリプ トをドロップしま した。
COMPANY_BLA CKLIST
センサー Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
バイナリのハッシュ の実⾏が禁止され、
COMPANY_BLACKLI ST になりました。
アプリケーション が会社のブラック リストに載ってい ます。
COMPROMISED _PROCESS
センサー Process Manipulation
(プ ロ セ ス 操 作)
ユーザーランド フ ッ ク が、侵 害 さ れ たアプリ ケー ショ ン (E メ ー ル、
Office、ブラウザー アプリケ ーシ ョン な ど) に よ っ て バ ッファ オーバーフ ロー、プロセス ハ ロ ウ イ ン グ、ま た はコード インジェ クション を実 ⾏す るプロセ スを 特定 するよう に設 定さ れています。
バッファ オーバー フロー、コード イ ン ジ ェ ク シ ョ ン、
プロセス ハロウイ ングなどのプロセ ス変更によってプ ロセスが侵害され ています。
COPY_PROCES S_MEMORY
センサー Data at Risk
(デ ー タ の 危 険性)
ユーザーランド フ ッ ク が、他 の プ ロ セスのメモリ スナ ップショ ット を取 得したア プリ ケー ションを 特定 する ように設 定さ れて います。
アプリケーション が他のプロセスの メモリ スナップシ ョットを取得しま した。
タグ 検出箇所 カテゴリ 設定の状態 説明
DATA_TO_ENC RYPTION
センサー Data at Risk
(デ ー タ の 危 険性)
プロセス がラ ンサ ムウェア おと りフ ァイルの 変更 を試 みます。
Cb Defense がファ イルシステムに配 置した特別なラン サムウェアおとり ファイルの 1 つを アプリケーション が変更を試みまし た。これらのファ イルはセンサーで 制 御 さ れ て お り、
Cb Defense 以外の アプリケーション が変更してはなり ません。
DETECTED_BLA CKLIST_APP
セ ン サ ー お よ び 分 析
Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
検出された実⾏可能 ファイルのハッシュ のレピュテーション が COMPANY_
BLACKLIST です。
ブラックリストに 載っているアプリ ケーションがファ イルシステムで検 出されました。
DETECTED_MA LWARE_APP
セ ン サ ー お よ び 分 析
Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
検出され た実 ⾏可 能ファイ ルの ハッ シュまた はロ ーカ ル スキャンのレピ ュ テ ー シ ョ ン が KNOWN_MALWAR E です。
マルウェア アプリ ケーションがファ イルシステムで検 出されました。
DETECTED_PU P_APP
セ ン サ ー お よ び 分 析
Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
検出され た実 ⾏可 能ファイ ルの ハッ シュまた はロ ーカ ル スキャンのレピ ュ テ ー シ ョ ン が PUP です。
潜在的に迷惑なア プ リ ケ ー シ ョ ン
(PUP) が フ ァ イ ルシステムで検出 されました。
DETECTED_SUS PECT_APP
セ ン サ ー お よ び 分 析
Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
検出され た実 ⾏可 能ファイ ルの ハッ シュまた はロ ーカ ル スキャンのレピ ュ テ ー シ ョ ン が SUSPECT_MALWA RE です。
疑わしいアプリケ ーションがファイ ルシステムで検出 されました。
DUMP_PROCES S_MEMORY
センサー Data at Risk
(デ ー タ の 危 険性)
ユーザーランド API フックが、プロセス のメモリ ダンプを 検出するように設定 されています。
アプリケーション がファイルシステ ムで他のプロセス のメモリ ダンプを 作成しました。
タグ 検出箇所 カテゴリ 設定の状態 説明
EMAIL_CLIENT センサー Network Threat
(ネ ッ ト ワ ー ク脅威)
ネットワーク フィ ルター ドライバー が、E メ ー ル プ ロ ト コ ル (SMTP、
S M T P S 、P O P 3 、 P O P 3 S 、I M A P 、 IMAP2、IMAPS な ど) を 使 用 す る ク ライアン ト接 続を 特定する よう に設 定されています。
E メール アプリケ ーションではない アプリケーション
(不 明 な ア プ リ ケ ーション) が E メ ール クライアント と し て 機 能 し、E メール ポートにデ ータを送信してい ます。
ENUMERATE_P ROCESSES
センサー Generic Suspect
(⼀ 般 的 な 危 険性)
ユ ー ザ ー ラ ン ド API フックが、プロ セス列挙 を検 出す るように 設定 され ています。
プロセスが、ホス トで実⾏中の他の プロセスのリスト を取得しようとし ています。
FAKE_APP 分析 Malware &
Application Abuse
(マ ル ウ ェ ア とアプリケー シ ョ ン の 悪 用)
フ ァ イ ル シ ス テ ム ドライバーが、正し くないディレクトリ から実⾏されている
" ⼀般に知られてい る " Windows アプ リ ケ ー シ ョ ン
(e x p l o r e r 、 winlogin、lsass な ど) をパスによって 特定するように設定 されています。
⼀般に知られてい るアプリケーショ ンに偽装している 可能性のあるアプ リケーション。
FILE_TRANSFE R
センサー Network Threat
(ネ ッ ト ワ ー ク脅威)
ネットワーク フィ ルター ドライバー が、FTP で IPv4 ま たは IPv6 接続を正 常に確⽴、接続、ま た は 拒 否 し た こと を 特 定 す る よ うに 設定されています。
アプリケーション がネットワーク経 由でファイルを転 送しようとしてい ます。
FILE_UPLOAD 分析 Network Threat
(ネ ッ ト ワ ー ク脅威)
ユーザーランド フ ック、ネットワーク フィルター ドライ バー、およびファイ ル システム フィル ター ドライバー が、メモリ スクレ イ ピ ン グ の 後 にネ ッ ト ワ ー ク 接 続を 実 ⾏ す る プ ロ セス を 特 定 す る よ うに 設定されています。
アプリケーション が盗難データをネ ットワーク経由で アップロードして いる可能性があり ます。
タグ 検出箇所 カテゴリ 設定の状態 説明