自動化されたアクション:フォレンジックスナップショット
内容
使用例:ラボ再現
#1:FAQセクションで述べたように。フォレンジックスナップショットは、「侵害」の場合にのみ取得されます。つまり、TESTサイトから悪意のあるファイルにアクセスしてダウンロードしようとすると、そのファイルはダウンロードと隔離の際にフラグが付けられ、侵害とは見なされず、アクションはトリガーされません。
#2:フォレンジックスナップショットを生成できるのは、受信箱で感染したマシンを解決しない限り、固有の侵害されたイベントではスナップショットを生成しません。侵害されたイベントを解決しない場合、他のスナップショットは生成されません。
例:この実習では、スクリプトが悪意のあるアクティビティを生成します。ファイルが作成されるとすぐに削除され、セキュアエンドポイントが侵入カテゴリに分類されたファイルを検疫できなかったためです。
このテストでは、自動アクションと、設定に基づいて発生した3つのことを確認できます。
- スナップショットが作成されました
- 送信はThreat Grid(TG)に送信されました
- エンドポイントは、作成され、ISOLATIONと呼ばれる別のグループに移動されました
図に示すように、この出力では、これらすべてを確認できます。
このエンドポイントが侵害されたため、次のテストでは、図に示すように、類似の悪意のあるファイルが異なる名前の理論を証明します。
ただし、この侵害は解決されていないため、TG送信を作成することしかできません。その他のイベントは記録されず、この2回目のテストの前に[Isolation]もオフにしてください。
侵害されたエンドポイントが解決されない限り、イベントを取得できません。この場合、ダッシュボードは次のようになります。パーセンテージと[Mark Resolved]ボタンに、侵害されたイベントが表示されます。トリガーされるイベントの数に関係なく、1つのスナップショットのみを作成でき、大きなパーセンテージの数は変更されません。この数値は組織内のセキュリティ侵害を表し、組織内のエンドポイントの総量に基づいています。他の感染したマシンでのみ変更されます。この例では、ラボ内のデバイスが16台だけであるため、この数は多くなっています。また、侵入イベントは31日に達すると自動的にクリアされることに注意してください。
次のステップは、別のイベントを作成し、フォレンジックスナップショットを生成することです。最初のステップでは、この侵害を解決し、[Mark Resolved]ボタンをクリックします。エンドポイントごとに行うことも、組織内のすべての項目を選択することもできます。
[解決済みのマーク(Mark Resolved)]ボタンを選択すると、セキュアエンドポイントダッシュボードで1つのエンドポイントだけが侵害されたため、次のようになります。この時点で、テストマシン上で新しい侵害イベントがトリガーされました。
次の例は、悪意のあるファイルを作成および削除するカスタムスクリプトを使用してイベントをトリガーします。
図に示すように、Secure Endpointコンソールが再度侵害されました
図に示すように、[Automated Actions]の下に新しいイベントがあります。
[自動アクション(Automated Actions)]の下のホスト名を選択すると、[デバイストラジェクトリー(Device Trajectory)]にリダイレクトされます。この図に示すように、[コンピュータ(Computer)]タブを展開すると、スナップショットが作成されます。
図に示すように、数分後にスナップショットが作成されます。
表示されたデータを表示できます。
ヒント
何千ものエンドポイントと数百もの妥協がある非常に大規模な環境では、個々のエンドポイントへのナビゲーションが課題となる可能性がある状況に遭遇できます。現在、利用できる唯一の解決策は、ヒートマップを使用し、次の例のように侵入エンドポイントがある特定のグループにドリルダウンすることです。
ヒートマップでグループを選択したら、イベントを侵害したグループに移動します。そのグループには1つのエンドポイントしかないため、現在は自分が属している特定のグループに基づいて100%が侵害されていることに注意してください。つまり、このグループに2つのエンドポイントがある場合、1つはクリーンで、もう1つは侵害されたエンドポイントは50 %の侵入を示します。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
15-Oct-2021 |
初版リリース |
1.0 |
15-Oct-2021 |
初版 |
フィードバック