[Cortex XDR/XSIAM]外部媒体にデータをコピーするアクションをアラート出力する - BIOCルール

ここではBIOC(Behavioral Indicators of Compromise)機能を使用して、

外部記憶媒体にデータをコピーするアクションをアラートとして検出する方法について説明します。

書き出しをブロックしたい場合はこちらの記事を参照してください。

BIOC(Behavioral Indicators of Compromise)とは？

BIOCはファイルハッシュやIPアドレスなどのIoCと異なり、プロセス、レジストリ、ファイル、ネットワーク

に対するアクティビティをルールとして定義することによって振る舞い(Behavior)で検知することができます。

このBIOCルールはグローバルルールという最新の脅威リサーチを活用し作られたルールと、

お客様自身で作成するルールで構成されます。

グローバルルールはPaloAlto Networksからお客様のテナントに自動的に配信されます。

BIOCルールを定義する

ここで示す例は、Windows OS端末上でリムーバブルディスクにデータをコピーする単純なルールです。

実際には運用に合わせてルールを調整する必要があると思いますので参考情報として捉えていただければと思います。

Detection RulesからBIOCを選択します。

ファイルの動作を取得したいので「file」を選択します。

下のアイコンから設定していくとウィザード形式で条件を設定することができるので比較的簡単に作成できますが、

より詳細な条件を設定したい場合はXQLで条件を書くことができます。

writeにチェックを入れ、DEVICE_TYPEからRemovable Mediaを選択します。

HOSTの項目で「Windows」を選択します

Testボタンをクリックすると、設定した条件でデータを抽出できるか確認できます。

ルール名や、Severity、MITRE ATT&CKのTactic/Techniqueを設定します。

OKをクリックするとルールが設定されます。

アラートの確認

実際にUSBのリムーバブルディスクに書き出してみるとインシデントが作られ、

アラートのFILE_PATHフィールドから、書き出されたファイルのパスなどがわかります。

アラートからCausality Chainを選択すると、

プロセスの連鎖や関連するアクティビティなども確認できます。

Tech Doc

BIOCの詳細についてはこちら