[Cortex XDR/XSIAM]外部媒体にデータをコピーするアクションをアラート出力する - BIOCルール

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

ここではBIOC(Behavioral Indicators of Compromise)機能を使用して、

外部記憶媒体にデータをコピーするアクションをアラートとして検出する方法について説明します。

書き出しをブロックしたい場合はこちらの記事を参照してください。

 

 

BIOC(Behavioral Indicators of Compromise)とは?

BIOCはファイルハッシュやIPアドレスなどのIoCと異なり、プロセス、レジストリ、ファイル、ネットワーク

に対するアクティビティをルールとして定義することによって振る舞い(Behavior)で検知することができます。

 

このBIOCルールはグローバルルールという最新の脅威リサーチを活用し作られたルールと、

お客様自身で作成するルールで構成されます。

グローバルルールはPaloAlto Networksからお客様のテナントに自動的に配信されます。

 

BIOCルールを定義する

ここで示す例は、Windows OS端末上でリムーバブルディスクにデータをコピーする単純なルールです。

実際には運用に合わせてルールを調整する必要があると思いますので参考情報として捉えていただければと思います。

 

Detection RulesからBIOCを選択します。

massaito_2-1668813151869.png

 

ファイルの動作を取得したいので「file」を選択します。

下のアイコンから設定していくとウィザード形式で条件を設定することができるので比較的簡単に作成できますが、

より詳細な条件を設定したい場合はXQLで条件を書くことができます。

 

massaito_3-1668813222263.png

 

writeにチェックを入れ、DEVICE_TYPEからRemovable Mediaを選択します。

massaito_4-1668813428695.png

 

HOSTの項目で「Windows」を選択します

massaito_5-1668813502020.png

 

Testボタンをクリックすると、設定した条件でデータを抽出できるか確認できます。

massaito_6-1668814102174.png

 

ルール名や、Severity、MITRE ATT&CKのTactic/Techniqueを設定します。

massaito_7-1668814344173.png

 

OKをクリックするとルールが設定されます。

massaito_8-1668814441136.png

 

アラートの確認

実際にUSBのリムーバブルディスクに書き出してみるとインシデントが作られ、

アラートのFILE_PATHフィールドから、書き出されたファイルのパスなどがわかります。

massaito_9-1668814707204.png

 

アラートからCausality Chainを選択すると、

massaito_10-1668814760923.png

 

プロセスの連鎖や関連するアクティビティなども確認できます。

massaito_0-1668822548097.png

 

Tech Doc

BIOCの詳細についてはこちら

この記事を評価:
  • 2012 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 02:33 AM
更新者: