[Cortex XDR/XSIAM]エンドポイントのデジタルフォレンジック - Forensic add-on

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L4 Transporter
評価なし

コンピュータ犯罪、知的財産の盗難など様々なインシデントが発生するシーンにおいて、

コンピュータ上に残る様々な痕跡を収集することがあります。

Cortex XDRのForensic add-onは、このようなユースケースに必要なフォレンジック機能を提供します。

弊社のUNIT42が提供するMDRサービスにおいてもForensic add-onが使われています。

 

SANSではWindowsのデジタルフォレンジックにおいてどのようなアーティファクトがあるのか、

またそれがどのように調査で使用されるのかをまとめたチートシートを公開しており、

Forensic add-onがどのように役立つか考える上で参考となりますのでチェックしてみてください。

https://www.sans.org/posters/windows-forensic-analysis/

 

収集可能なデータ

Forensic add-onでは上記のSANSの資料に書かれているようなデジタルフォレンジックに必要な様々なデータを収集します。

UserAssist, Simcache, Amcache, Jumplist, LastVisitedPidMRU, Background Activity Monitor(BAM), Prefetch, BrowserHistory,

WordWheelQuery, Recycle Bin, LastVisitedPidMRU, Recent Files, ShellBags, Windowsレジストリ,Windowsイベントログなど

 

上記のデータが全てではありませんのでForensic Add-onが収集するフォレンジックデータの詳細をチェックしたい場合

こちらを参照ください。

 

どのように収集するか?

3つの方法でフォレンジックデータを収集します。

 

1.一定のインターバルで収集

Process Execution, File Access, Persistence, Command History, Network, Remote Accessに分類されるフォレンジックデータは

インターバルを設定し収集することができます。

例えば、Process Executionの場合、Amcache、Shimcache、UserAssistなどがあります。これらのフォレンジックデータの詳細はこちらのドキュメントから確認ください。

 

収集設定

Agent Settingでフォレンジックデータの収集と監視の設定を行います。

massaito_0-1665136752808.png

 

何時間おきに収集するかを設定します。

massaito_1-1665136805896.png

 

 

収集されると以下のように表示されます。以下は、Process Executionに分類されているAmcacheが収集された様子です。

massaito_2-1665136914099.png

 

 

2.オンデマンドで収集

Triageアクションを実行します。トリアージでは、

$MFTファイルのフルリスト、レジストリのリスト、Windowsイベントログ、ブラウザの履歴(Chrome, Edge, Firefox, IE),

揮発性のある痕跡(ARP Cache, DNS Cache, Handles, Net Sessions, Portのリスト、プロセスのリスト)を収集します。

 

トリアージは、エンドポイントの管理画面や、フォレンジックデータのフィールド上などから「Triage Endpoint」を選択すると開始します。

 

massaito_0-1665137600811.png

 

 

開始すると、All Resultsの画面で、データの種類(レジストリやイベントログなど)や、パス、収集状況、データがあればそのレコード数などを認識することができます。

massaito_1-1665137682751.png

 

 

収集されると以下のように表示されます。以下はWindowsイベントログの例です。

4件のイベントが記録されている模様です。

massaito_0-1665138678987.png

 

一方で実際のWindowsイベントログを見てみると同じように4件のイベントが記録されています。

massaito_1-1665138757775.png

 

 

このデータから「Additional data」をクリックすると、実際のデータが表示されます。

massaito_2-1665138797477.png

 

収集されたイベントログ

massaito_3-1665138887462.png

 

Windowsイベントログを見ると同じデータが収集されていることがわかります。

massaito_5-1665138964148.png

 

またこちらはGoogle ChromeのBrowser Historyです。このようにブラウザの閲覧履歴を収集することができます。

massaito_6-1665139014558.png

 

3.Action Centerから収集

Action Centerから、4つのフォレンジック(Forensic Triage, Forensic File Search, Registry Search, Event Log Search)

のアクションができます。

 

以下はEvent Log SearchでWindowsイベントログからログオン・ログオフ(ID4624,4634)を収集する例です。

Actionを実行すると、

massaito_1-1665148088469.png

 

Search画面に進捗が表示されます。さらにこの結果を選択し「Additional Data」をクリックすると、

massaito_2-1665148355487.png

 

収集されたイベントログが表示されます。

massaito_3-1665148461927.png

 

 

発見した痕跡に対してタグ(とTTP)を付ける

フォレンジックデータに対し、タグやMITRE ATT&CKフレームワークのTecniqueをマッピングすることができます。

後々調査をする際にこのタグ情報を元にフィルタリングすることができます。

 

収集データを選択し「Add tags」をクリックし、

massaito_7-1665139193835.png

 

タグを設定し、Tacticを選択すると、

massaito_8-1665139208828.png

 

Techniqueを設定することができます。

massaito_9-1665139311406.png

 

そうすると、以下のようにタグとTactic/Techniqueが付与されます。

massaito_10-1665139523042.png

 

 

Triageのカスタマイズ

Triageアクションで収集する項目はカスタマイズすることができます。

以下のように設定しておくと(Configuration NameをTriage-01)、

massaito_0-1665146107162.png

 

Action Centerからカスタマイズした設定を選択しトリアージすることが可能になります。

massaito_1-1665146357777.png

 

 XQLで検索 

フォレジックデータはXQLで検索することも可能です。forensicsから始まるdatasetがフォレンジックデータになります。

 

massaito_11-1665139717569.png

 

jumplistを検索した例です。

massaito_12-1665140043296.png

 

Tech Docs

Forensic Add-onの概要、必要なライセンスについてはこちら

Forensic Add-onの詳細についてはこちら

この記事を評価:
  • 1225 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 04:32 AM
更新者: