Indications Catalog機能について
Indications Catalogを使用する方法に関して記載した記事となります。
Detection & Response エンジンによって識別される攻撃の兆候に関する説明と参照情報が含まれています。
"Indication"とは、実際のセキュリティ侵害がまだ確認されていなくても、
攻撃実行の意図を示す一連の行動や振る舞いのことです。
例として、C&Cの特徴を示すトラフィックを生成しているホストは、マルウェア攻撃の可能性があります。
Detection & Response エンジンがトラフィック データを分析し、
"Indication"に一致するものを特定すると、Security Storyが作成され、Story Workbenchに表示されます。
Stroyには、Indicationや脅威の調査に役立つデータが含まれており、
Indications Categoryには、これらに関する詳細な説明が記載されています。
様々なセキュリティエンジンと、それらが識別するIndicationの種類に関する簡単な説明は下記のとおりです。
-
Threat Prevention:IPSによる特定の攻撃行動を検出します。
- Network XDR:接続性の低下などのネットワークの問題を特定します。
-
Threat Hunting:ventsと豊富なトラフィックデータから、広範な攻撃行動を特定します。
-
Usage Anomaly:異常な使用状況を示すアプリケーションに関連する兆候を識別します。
-
例として、通常よりも多くのアップストリームの帯域幅を使用するアプリケーションなどです。
-
-
Events Anomaly:ネットワーク上のエンティティが異常な数のSecurity EventsをトリガーしているIndicationsを検出します。
XDRには3種のライセンスがあり、ライセンスごとに利用可能な種類が異なります。
- XDR Core
- Threat Prevention
- Network XDR
- XDR Pro / MDR
-
Threat Prevention
-
Network XDR
-
Threat Hunting
-
Usage Anomaly
-
Events Anomaly
-
本機能の項目は下記がございます。
-
ID:Detection & Response エンジンで使用される識別子
-
Indication:Indication Categoryの名前
-
本カテゴリには、同様の動作を持つ複数の異なるIndicationsを含めることができます。
-
-
Description:Indicationの疑わしい行動と振る舞いの説明
-
Available in Account:Detection & Response のライセンス レベルに基づいた有効可否
-
MITRE Reference:関連する MITRE ATT&CK® フレームワークの脅威手法
-
MITRE ATT&CK® フレームワークの詳細については、こちらをご確認ください。
-
-
Type:Indications を検出するDetection & Response エンジン
本稿は下記メーカーKBを参考に作成されています。
Using the Indications Catalog