About massaito

この記事では、Boxのアクティビティログを取り込む方法について説明します。   詳細な手順や説明については、一番下のリンクからドキュメントを参照ください。   Cortex XDRはBoxからログを取り込み、XQLによるサーチやCorrelationルールによる検知などが可能です。 ここではBox Shields Alertsを除くデータの取り込みをおこないます。       Custom Appの作成   Custom Appの作成から、新規でAppを作成します。ここでは「Cortex XDR App」とします。     作成したAppから「Configuration」タブを指定し、「App + Enterprise Access」を選択します。       「Authorization」タブを指定し、「Review and Submit」を選択します。     「submit」をクリックして管理者に承認依頼します。                                     管理者はAdminコンソールにログインし、「Apps」から「Custom Apps Manager」タブを表示します。 このときAuthorizationがPending Authorizationになっています。 Enablement Statusから「Authorize App」をクリックすると完了します。               Authorizationが「Authorized」になり Enablement Status「Enabled」が表示されることを確認します。       Cortex XDRに登録するIDの確認   Cortex XDRの設定するID(Enterprise ID, Client ID, Client Secret)を控えておきます。   Enterprise ID Global Settingsから確認します。   Enterprise ID, Client Secret ConfigurationからClient IDを確認します。 Client Secretを取得するためにFetch Client Secretをクリックします。     生成されたClient Secretを控えておきます。     Cortex XDRの設定   Collection IntegrationsからBoxの箇所で「Add Instance」をクリックします。   控えておいたID, Secret、収集するイベントにチェックを入れます。 「test」ボタンをクリックし「Connection established」が表示されたら 連携が成功したことを示しているので、「Enabled」をクリックします。     イベントが入ってくれば、XQLで検索することが可能です。     Tech Doc Boxのログ取り込み方法はこちら ... View more

この記事ではcallというstageコマンドについて説明します。 callコマンドを使うと、Query Libraryに保存したXQLクエリ名で実行することができます。 コンピュータプログラムの関数名でコードを呼び出すようなものです。     クエリ名で呼び出す   こちらの記事で作成したXQLをQuery Libraryに登録し、登録した名前で呼び出してみます。   まずクエリを登録します。   その後、作成したクエリ名をcallコマンドの引数としRunをクリックします。   以下のように名前で呼び出すことができました。   注意点ですが、この記事を執筆した時点で、Correlation Ruleはcallコマンドをサポートしておりませんので、 XQLをそのまま記述していただく必要があります。   Tech Doc callコマンドの詳細はこちら ... View more

この記事では、Cortex XDRはLookupテーブルについてご紹介します。   Lookupテーブルを作成する方法は２つあります。 ・targetコマンドを使って、XQLクエリの検索結果を元に作成する ・テキスト(TSC/CSV/JSONなど)データを作成し、Cortex XDRにインポートする   ここでは後者の方法について説明します。 ここではサンプルとして、 サーバーの管理者情報をCSVフォーマットで作成しCortex XDRにアップロードして、 Lookupを構築してみたいと思います。   Lookupテーブルの作成 サンプルのデータは以下の通りです。ホストIPアドレスに対する管理者の名前、メールアドレス、電話番号を 定義しています。admin_table.csvという名前でファイルを作成します。   host_ip_address,admin_name,email_address,phone_number 192.168.68.114,adminA,adminA@company.lan,+81-00-0000-0000 192.168.68.115,adminB,adminB@company.lan,+81-00-0000-0000 192.168.68.102,adminC,adminC@company.lan,+81-00-0000-0000     Dataset Mangementから「Lookup」をクリックします。     ファイルをドラッグアングドロップすると、 Nameにファイル名が入るので、「Add」をクリックします。   Dataset ManagementにLookupとしてデータが追加されました。 Lookupの場合、データセットのTypeがLookupとなっています。     XQLからLookupを検索してみます。datasetと同じようにLookupの名前を設定します。   dataset= admin_table   他のdataset同様にLookupも検索できました。   ホスト情報と管理者情報を結合する endpointsデータセットと、admin_tableデータセット(Lookup)を結合して、 端末の管理者を引けるようにします。   サンプルのXQLは以下の通りです。データセットの結合にjoinコマンドを使用しています。 endpointsは多くのフィールドがありますが、 ここではわかりやすいようにいくつかのフィールドだけに限定しています。   dataset= endpoints | arrayexpand ip_address | join conflict_strategy = left type = left ( dataset = admin_table ) as admin_t admin_t.host_ip_address = ip_address | fields endpoint_name,agent_version ,ip_address, host_ip_address,admin_name, email_address ,phone_number   実行すると、以下のようにendpointsデータセットとadmin_tableが結合された結果が表示されます。 それぞれのデータセットにあるIPアドレスのフィールドが結合のためのキーとなっています。   また、endpointsのデータとしてEndpoint_Name, Agent_version, ip_addressを、 admin_tableのデータとしてhost_ip_address, admin_name, email_address, phone_numberを表示しています。 それぞれのデータセットのIPアドレスフィールド(ip_address,host_ip_address)が同じ値になっているので、 結合していることがわかるかと思います。       Tech Doc Lookupはこちら joinコマンドの詳細はこちら targetコマンドの詳細はこちら ... View more

この記事では、2つのXQLクエリの結果を結合するコマンドJoinとUnionについて紹介します。   Cortex XDRはCortex XDR Pro per Endopointで収集したEDRのデータや、 NGFWファイアウォールログ、クラウドなどサードパーティログを取り込むことができますが、 JoinやUnionコマンドを使うことで、これらのログのデータ横断的な調査・分析、 BIOC、Correlation Ruleなどを用いた脅威検出にご利用いただくことができます。   Join、Union共に、クエリ結果を結合するコマンドであることには変わりはないのですが、 結合の考え方が異なりますので、簡単に説明します。     Joinとは JoinコマンドはSQLのJoinと似た概念のコマンドで、Inner join, Right join, Left joinといった結合方法が用意されています。 2つのクエリの結果セットを結合する条件を設定し、列で結合します。     例えば、以下のような2つの結果セット(result A,result B)があったとします。   result A # host_id host_name 1 01 server01 2 02 server02   result B # id admin_name 1 01 admin_a 2 02 admin_b     result AのHOST_IDとresult BのIDを条件一致のキーすることによって、 以下のように結合されます。(列に追加)   # host_id id host_name admin_name 1 01 01 server01 admin_a 2 02 02 server02 admin_b     xdr_dataデータセットと、endpointsデータセットをjoinで結合する   以下のようなXQLを考えてみます。   dataset=xdr_data | dedup actor_process_image_name ,agent_hostname, agent_id | top 3 agent_id | join type = left ( dataset=endpoints | dedup endpoint_name, endpoint_id | fields endpoint_id, endpoint_name, ip_address , tags , endpoint_isolated , endpoint_type ) as ep ep.endpoint_id= agent_id   前半のクエリ dataset=xdr_data | dedup actor_process_image_name ,agent_hostname, agent_id | top 3 agent_id では、agent_idで集計したTOP3のAgent_IDが返ってきます。     後半のjoinコマンドで実行するクエリ、 dataset=endpoints | dedup endpoint_name, endpoint_id | fields endpoint_id, endpoint_name, ip_address , tags , endpoint_isolated , endpoint_type では、 以下のような結果が返ってきます。       as ep ep.endpoint_id= agent_idでは、endpoint_idとagent_idを条件一致のキーとしており、これによって以下の結果が返ってきます。 緑の枠が前半のクエリの実行結果を示しており、水色の枠が後半のクエリの実行結果を示しています。   またjoin typeをleft joinとしてるため、前半のクエリ結果(3件)と、条件に一致する後半のクエリ結果が結合した状態で取得されます。         Unionとは unionコマンドは、2つのクエリの結果セットを行で結合します。 例えば、以下のような２つの異なる結果セットがあった場合、   result A #1 servername host_ip 1 Server01 xx.xx.xx.xx 2 Server02 yy.yy.yy.yy     result B # mobile_name host_ip 1 iPhone A zz.zz.zz.zz 2 Android B uu.uu.uu.uu   以下のように結合するイメージです。(行に追加) # servername mobile_name host_ip 1 Server01   xx.xx.xx.xx 2 Server02   yy.yy.yy.yy 3   iPhone A zz.zz.zz.zz 4   Android B uu.uu.uu.uu       結合する際にフィールド名を一致させるようXQLで変換しておく、 例えばservernameとmobile_nameをhost_nameに変換すると、 以下のような結果が返ります。   # host_name host_ip 1 Server01 xx.xx.xx.xx 2 Server02 yy.yy.yy.yy 3 iPhone A zz.zz.zz.zz 4 Android B uu.uu.uu.uu     xdr_dataデータセットと、ngfwデータセットをunionで結合する   以下のようなXQLを考えてみます。 エンドポイントデータのネットワーク通信ログとNGFWのトラフィックログを結合します。   dataset=xdr_data   | filter action_remote_ip != null and agent_hostname != null and actor_process_image_name != null   | fields actor_process_image_name ,agent_hostname, action_remote_ip   | limit 5   | union     (       dataset=panw_ngfw_traffic_raw         | fields from_zone ,dest_ip , source_ip         | limit 5     )     まず、前半のクエリの結果を確認します。 dataset=xdr_data   | filter action_remote_ip != null and agent_hostname != null and actor_process_image_name != null   | fields actor_process_image_name ,agent_hostname, action_remote_ip   | limit 5   プロセスイメージ名、エージェントホスト名、通信先のIPアドレスが5件結果として返ってきました。   後半のクエリの結果を確認します。 dataset=panw_ngfw_traffic_raw | fields from_zone ,dest_ip , source_ip | limit 5   ゾーン、宛先IP、ソースIPが5件結果として返ってきました。     上記2つのクエリをunionで結合すると、以下のように行で結合していることがわかります。 水色の枠がエンドポイントデータのネットワーク通信ログ、緑色の枠がNGFWのトラフィックログを示しています。   ただし宛先IPアドレスが別々のフィールド名として結合するため、使い勝手があまり良くありません。   そこで元のXQLの前半のクエリでaction_remote_ipフィールドをdest_ipに変換しておきます。 変換する場合は、<元のフィールド名 as 任意のフィールド名>　という形で指定します。   dataset=xdr_data   | filter action_remote_ip != null and agent_hostname != null and actor_process_image_name != null   | fields actor_process_image_name ,agent_hostname, action_remote_ip as dest_ip   | limit 5   | union     (       dataset=panw_ngfw_traffic_raw       | fields from_zone ,dest_ip , source_ip       | limit 5     )   そうすると、以下のようにフィールド名とそのデータが統合され結果が返ってきました。     このように、複数のデータセットを結合して、データを検索したい場合、同じ意味を持つフィールド名を統一しておくと、 検索の効率性が大きく向上します。     Tech Doc joinに関する詳細はこちら unionに関する詳細はこちら           ... View more

Cortex XDRはiOSをサポートし、iPhone/iPadを保護します。   iOS対応の特徴 iOS 15.0以降をサポート 悪意のあるURLを含むSMS/MMSメッセージをブロック 迷惑電話やメッセージをブロック スパム通話やフィッシングとしてメッセージをレポート ジェイルブレイクされたデバイスを検知 手動、MDM、JAMFを用いた展開が可能   iOSエージェントのHome画面    AppStoreの画面     All Endpointsの画面   こちらのブログも併せてご確認ください。   Tech Doc 製品の詳細についてはこちら ... View more