[Cortex XDR/XSIAM]USBリムーバブルディスクを制御する - Device Control

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

Cortex XDRは標準でDevice Control機能を提供しており、

USB接続のリムーバブルディスクをコントロールすることが可能です。

 

デスクトップ上のメッセージ

Blockポリシーのリムーバブルディスクを挿入した場合

massaito_0-1668128961213.png

 

Read Onlyポリシーのリムーバブルディスクを挿入した場合

massaito_0-1668126971859.png

 

実際にデータを書き込もうとするとこんなメッセージが表示されます。

 

massaito_1-1668127010005.png

Device Control Violations

Blockポリシーのリムーバブルディスクを挿入した場合、

Device Control Violationsの画面でイベント(ホスト名、ユーザ名、USBデバイスのProduct ID、シリアルIDなど)が

表示されます。

massaito_0-1668129343720.png

 

ブロックされたリムーバブルディスクを例外的に使わせたい場合、

イベントを右クリックしてExceptionとして追加することもできます。

massaito_0-1668135180165.png

 

 

Read Onlyポリシーの設定例

ここでは全体のプロファイルではDisk Drivesをブロックとし、特定のUSBメモリを例外としてRead Onlyとする

方法を説明します。設定方法の詳細は一番下にあるTech Docのリンクを参照ください。

 

Device Configurationの「Disk Drives」で「Block」を設定してプロファイルを保存します。

massaito_0-1668127807539.png

 

「Device Exceptions」でRead OnlyにするUSBメモリの情報を登録します。ここではシリアル番号まで登録します。

Type: Disk Drive

Permission: Read Only

Vendor: vendor ID。16進数で設定するので文字列の先頭に0xを付けて設定してください。

Product: product ID。16進数で設定するので文字列の先頭に0xを付けて設定してください。

Serial Number: デバイスに登録されているシリアルナンバー

massaito_1-1668127997091.png

 

 

XQL

シリアル番号の確認

Presetでdevice_controlを設定すると、シリアル番号やデバイスのイベント(DEVICE_PLUG, DEVICE_UNPLUG)などを

確認できます。OSのデバイスマネージャからも確認することができます。

massaito_0-1668143099919.png

 

デバイスにデータを書き出しした時のアクティビティ

xdr_data データセットを使用し、書き出したファイルやデバイスの情報を取得することができます。

以下はxqlのサンプルです。

dataset = xdr_data 
| filter event_sub_type = FILE_CREATE_NEW
| alter Drive_Type = json_extract(to_json_string(action_file_device_info),"$.storage_device_drive_type"), Filesystem = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_filesystem"), Drive_Letter = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_mount_point"), Device_Serial_Number = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_serial_number"), Device_Vendor_ID = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_vendor_id"), Device_Product_ID = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_product_id"), Device_GUID = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_volume_guid")  
| filter drive_type = "2" // Filtering by drive type 2 which is 'Removable Media'
| fields action_file_path as File_Path, actor_effective_username as Username, agent_hostname as HostName, Filesystem, Drive_Letter, Device_Serial_Number, Device_Vendor_ID, Device_Product_ID, Device_GUID

 

massaito_0-1668144929702.png

 

カスタムデバイスクラスの活用

デバイスクラスのGUIDを使用することで、USBインタフェースのネットワークアダプタなど

幅広いUSBインタフェースの機器を制御することが可能です。

 

 

Tech Doc

Device Controlの設定方法についてはこちら

この記事を評価:
  • 2914 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 04:30 AM
更新者: