コンテンツにスキップ

ファイル分析🔗

File Analysis検知機は、Taegis™ XDR Endpoint Agentを搭載したエンドポイント上の不正なファイルを特定します。この検知機は、YARAルールテレメトリーで検知された不正ファイルの2種類のアラートを生成します。

YARAルール🔗

YARAルールのアラートは、新しいファイルハッシュがTaegis Endpoint Agentのテレメトリーで検知された際に発生します。Taegis Endpoint Agentはエンドポイントからファイルを取得し、Secureworks Counter Threat Unit™ (CTU)が作成したYARAルールに基づいてファイルを分析します。YARAルールに一致した場合、検知機はそのルールの信頼度と重大度を含むアラートを作成します。

注意

ファイルアップロード機能には、Taegis Endpoint Agentバージョン1.2以上が必要です。

YARAアラート

テレメトリーで検知された不正ファイル🔗

ファイル分析プラットフォームはファイルを不正と判断し、そのファイルのファイルハッシュが今後観測された場合、「テレメトリーで検知された不正ファイル」アラートが生成されます。

テレメトリーで検知された不正ファイルアラート

注意

これらのアラートには、ファイルハッシュを含むテレメトリーが含まれます。

要件🔗

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

入力🔗

検知は以下の正規化されたソースから行われます。

  • sensor_typeがENDPOINT_TAEGISで、sensor_versionが1.2以上のTaegis Endpoint Agentのテレメトリー、またはTaegis Endpoint Agentから取得されたファイル

出力🔗

アラートはXDRアラートデータベースおよびXDRアラートトリアージダッシュボードに送信されます。これらのアラートは検知機名File Analysisおよびdetector_id: app:file-analysisを持ちます。

設定オプション🔗

この検知機は、必要なデータソースやインテグレーションがテナントで利用可能な場合、デフォルトで有効化されています。テナントはエージェントのファイル取得をオプトアウトすることができます。この機能をオプトアウトするには、グループポリシーの手順に従ってください。

MITRE ATT&CKカテゴリ🔗

各アラートはYARAルールに基づいて割り当てられ、アラートで具体的なマッピングを確認できます。一般的には以下にマッピングされますが、YARAルールによって異なる場合があります。

  • MITRE Enterprise ATT&CK - Resource Development - Develop Capabilities - Malware。詳細はMITRE Technique T1587.001をご参照ください。

検知機テスト🔗

この検知器にはサポートされているテスト方法があります。

File Analysis検知機のテスト方法は2つあります。

オプション1: Mimikatzをファイル分析をサポートするTaegis Endpoint Agent搭載エンドポイントで実行します。ファイル分析エンジンは一意のファイルハッシュごとに1回のみファイルを分析し、このファイルはプラットフォームでよく観測されます。そのため、このテストでは「テレメトリーで検知された不正ファイル」アラートが生成され、ファイルハッシュがテレメトリーで検知されたことを示します。手順は以下の通りです。

  1. Mimikatzのアーカイブ配布物をダウンロードし、アーカイブを展開します。
  2. mimikatz.exeのWin32またはx64バージョンを実行します。
  3. Mimikatzを終了します。Mimikatz内でアクションを実行する必要はありません。

実行後、以下のようなアラートが表示されます。

Mimikatzアラート

オプション2: EICAR文字列を含むファイルを実行します。手順は以下の通りです。

  1. Windows Powershell powershell.exeを開き、以下のコマンドを実行して実行可能なEICARファイルを作成します。
  2. copy c:\Windows\system32\notepad.exe notepad2.exe
  3. $eicar='$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! ' + [guid]::NewGuid().ToString()
  4. Add-Content -Path .\notepad2.exe -Value $eicar
  5. notepad2.exeを実行します。
  6. Get-Filehash notepad2.exeを実行し、SHA256をコピーします。
  7. 以下のXDR詳細検索クエリを実行します: @hash='REPLACE_SHA256_HERE' and Earliest = -1d

このテストでは、タイトルが「RESEARCH: Yara rule(s) matched」の情報レベルアラートが生成されます。

File Analysisアラートを検索するための詳細検索クエリは以下の通りです。

FROM alert WHERE metadata.creator.detector.detector_id='app:file-analysis'

参考情報🔗

FAQ🔗

Taegis Endpoint Agentが取得するファイルは何ですか?🔗

ファイル分析パイプラインは、ファイルを1回のみ分析します。ファイル分析パイプラインはファイルのハッシュ値を計算し、これらのハッシュ値に基づいてファイルを追跡します。

取得リクエストは、以下の条件に基づいてTaegis Endpoint Agentに送信されます。

  • ファイルハッシュが、sensor_typeがENDPOINT_TAEGISの正規化テレメトリーで検知された場合。以下はファイルハッシュを含む一般的なスキーマです。

    • process — 実行されたファイル
    • processmodule — 各プロセスで読み込まれたライブラリのファイルハッシュ

  • ファイルハッシュがこれまでに分析されていない場合

  • ファイルハッシュが既知の良好なファイルハッシュリストに含まれていない場合
ファイル分析は特定のドライブ、共有ドライブ、またはディレクトリパスのみで実行されますか?🔗

ファイルパスは考慮されません。

ファイル取得はエンドポイントに負荷をかけますか?🔗

ファイル取得リクエストは、エンドポイントへの負荷を防ぐため、1分あたり1ファイルにレート制限されています。

取得したファイルはどのくらい保持されますか?🔗

データ保持ポリシーが取得ファイルに適用されます。

保持されたファイルはどのように利用されますか?🔗

ファイルは、今後新たな脅威インテリジェンスが発見された際に新しいYARAルールを分析・開発するために保持されます。

取得したファイルは自分のテナント内だけでプライベートですか?🔗

はい、ファイルはお客様のテナント内でプライベートですが、ファイルハッシュはすべてのテナントのテレメトリーで利用されます。例えば、あるテナントでファイルが分析されYARAルールで不正と判断された場合、Secureworks® Taegis™ XDRはそのファイルハッシュが他のテナントのテレメトリーで検知された際にもアラートを発します。

どのファイルタイプのメタデータが抽出され、ファイル詳細で閲覧できますか?🔗

XDRファイル分析パイプラインはすべてのファイルフォーマットを分析しますが、メタデータは以下のファイルフォーマットのみ利用可能です:PEファイル、ELFファイル、LNKファイル。

ファイルに関するどのようなデータが利用可能ですか?🔗

ファイル詳細をご参照ください。

エンドポイントから取得したファイルを検索できますか?🔗

現時点では検索は利用できませんが、ファイルハッシュやファイル名でアラートを検索することは可能です。

オフライン分析のためにファイルをダウンロードできますか?🔗

現時点ではダウンロードは利用できません。

EICARテストファイルをダウンロードしましたが、Taegisでアラートが表示されません。🔗

ファイル分析は現在、実行されたファイルに限定されており、EICARファイルは一般的に静的データです。Taegis Endpoint Agentのファイル分析はエンドポイントのアンチウイルスの代替ではなく、不正なファイルの静的監視にはアンチウイルスが引き続き必要です。