[Cortex XDR/XSIAM]エンドポイントのデジタルフォレンジック - Forensic add-on

コンピュータ犯罪、知的財産の盗難など様々なインシデントが発生するシーンにおいて、

コンピュータ上に残る様々な痕跡を収集することがあります。

Cortex XDRのForensic add-onは、このようなユースケースに必要なフォレンジック機能を提供します。

弊社のUNIT42が提供するMDRサービスにおいてもForensic add-onが使われています。

SANSではWindowsのデジタルフォレンジックにおいてどのようなアーティファクトがあるのか、

またそれがどのように調査で使用されるのかをまとめたチートシートを公開しており、

Forensic add-onがどのように役立つか考える上で参考となりますのでチェックしてみてください。

https://www.sans.org/posters/windows-forensic-analysis/

収集可能なデータ

Forensic add-onでは上記のSANSの資料に書かれているようなデジタルフォレンジックに必要な様々なデータを収集します。

UserAssist, Simcache, Amcache, Jumplist, LastVisitedPidMRU, Background Activity Monitor(BAM), Prefetch, BrowserHistory,

WordWheelQuery, Recycle Bin, LastVisitedPidMRU, Recent Files, ShellBags, Windowsレジストリ,Windowsイベントログなど

上記のデータが全てではありませんのでForensic Add-onが収集するフォレンジックデータの詳細をチェックしたい場合は

こちらを参照ください。

どのように収集するか？

3つの方法でフォレンジックデータを収集します。

1.一定のインターバルで収集

Process Execution, File Access, Persistence, Command History, Network, Remote Accessに分類されるフォレンジックデータは

インターバルを設定し収集することができます。

例えば、Process Executionの場合、Amcache、Shimcache、UserAssistなどがあります。これらのフォレンジックデータの詳細はこちらのドキュメントから確認ください。

収集設定

Agent Settingでフォレンジックデータの収集と監視の設定を行います。

何時間おきに収集するかを設定します。

収集されると以下のように表示されます。以下は、Process Executionに分類されているAmcacheが収集された様子です。

2.オンデマンドで収集

Triageアクションを実行します。トリアージでは、

$MFTファイルのフルリスト、レジストリのリスト、Windowsイベントログ、ブラウザの履歴(Chrome, Edge, Firefox, IE),

揮発性のある痕跡(ARP Cache, DNS Cache, Handles, Net Sessions, Portのリスト、プロセスのリスト)を収集します。

トリアージは、エンドポイントの管理画面や、フォレンジックデータのフィールド上などから「Triage Endpoint」を選択すると開始します。

開始すると、All Resultsの画面で、データの種類(レジストリやイベントログなど)や、パス、収集状況、データがあればそのレコード数などを認識することができます。

収集されると以下のように表示されます。以下はWindowsイベントログの例です。

4件のイベントが記録されている模様です。

一方で実際のWindowsイベントログを見てみると同じように4件のイベントが記録されています。

このデータから「Additional data」をクリックすると、実際のデータが表示されます。

収集されたイベントログ

Windowsイベントログを見ると同じデータが収集されていることがわかります。

またこちらはGoogle ChromeのBrowser Historyです。このようにブラウザの閲覧履歴を収集することができます。

3.Action Centerから収集

Action Centerから、4つのフォレンジック(Forensic Triage, Forensic File Search, Registry Search, Event Log Search)

のアクションができます。

以下はEvent Log SearchでWindowsイベントログからログオン・ログオフ（ID4624,4634）を収集する例です。

Actionを実行すると、

Search画面に進捗が表示されます。さらにこの結果を選択し「Additional Data」をクリックすると、

収集されたイベントログが表示されます。

発見した痕跡に対してタグ(とTTP)を付ける

フォレンジックデータに対し、タグやMITRE ATT&CKフレームワークのTecniqueをマッピングすることができます。

後々調査をする際にこのタグ情報を元にフィルタリングすることができます。

収集データを選択し「Add tags」をクリックし、

タグを設定し、Tacticを選択すると、

Techniqueを設定することができます。

そうすると、以下のようにタグとTactic/Techniqueが付与されます。

Triageのカスタマイズ

Triageアクションで収集する項目はカスタマイズすることができます。

以下のように設定しておくと（Configuration NameをTriage-01）、

Action Centerからカスタマイズした設定を選択しトリアージすることが可能になります。

 XQLで検索 

フォレジックデータはXQLで検索することも可能です。forensicsから始まるdatasetがフォレンジックデータになります。

jumplistを検索した例です。

Tech Docs

Forensic Add-onの概要、必要なライセンスについてはこちら

Forensic Add-onの詳細についてはこちら