脅威を識別するために CylanceOPTICS が使用するデータ構造
CylanceOPTICS
が使用するデータ構造イベント、アーチファクト、ファセットは、デバイスで発生するアクティビティを分析、記録、調査するために
CylanceOPTICS
が使用する 3 つの主要なデータ構造です。InstaQuery、フォーカスデータ、Context Analysis Engine(CAE)などの CylanceOPTICS
の機能が、これらのデータ構造を利用します。このセクションでは、
CylanceOPTICS
がデバイス上のアクティビティを解釈して関与する仕組みについて詳しく説明します。これにより、検出データ、クエリデータ、フォーカスデータをさらに深く理解して活用できるようになります。OS 別のデータソース
CylanceOPTICS
エージェントは、次のデータソースを使用します。OS | データソース |
---|---|
Windows |
|
macOS | CyOpticsDrvOSX カーネルドライバ |
Linux | ZeroMQ |
CylanceOPTICS
によってデフォルトで除外されるネットワークトラフィックのタイプについては、「KB65604」を参照してください。イベント
イベントとは、デバイスに対して観察可能な変更またはアクションをもたらす構成要素のことです。イベントは、2 つの主要なアーチファクト(アクションを開始するインスティゲーティングアーチファクトと、操作を実行するターゲットアーチファクト)から構成されます。
次の表では、
CylanceOPTICS
による検出および操作が可能なイベントタイプの詳細を示します。イベント:任意
- 有効にするデバイスポリシーオプション:CylanceOPTICSチェックボックス
- アーチファクトタイプ:プロセス、ユーザー
- プラットフォーム:Windows、macOS、Linux
イベントタイプ | 説明 |
---|---|
任意 | すべてのイベントは、それらを生成したプロセスと、アクションに関連付けられたユーザーを記録します。 |
イベント:アプリケーション
- 有効にするデバイスポリシーオプション:高度な WMI の可視性
- アーチファクトタイプ:WMI トレース
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
フィルターを作成 - コンシューマバインディング | プロセスによって WMI の永続性が使用されました。 |
一時コンシューマを作成 | プロセスによって WMI イベントがサブスクライブされました。 |
操作を実行 | プロセスによって WMI 操作が実行されました。 |
- 有効にするデバイスポリシーオプション:強化されたプロセスとフッキングの可視性
- アーチファクトタイプ:ファイル
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
CBT | SetWindowsHookEx API によって、CBT アプリケーションに役立つ通知を受信するためのフックがインストールされました。 |
DebugProc | SetWindowsHookEx API によって、他のフックプロシージャをデバッグするためのフックがインストールされました。 |
非同期キー状態を取得 | プロセスによって Win32 GetAsyncKeyState API が呼び出されました。 |
JournalPlayback | SetWindowsHookEx API によって、WH_JOURNALRECORD フックプロシージャが前に記録したメッセージを監視するフックがインストールされました。 |
JournalRecord | SetWindowsHookEx API によって、システムメッセージキューに入れられた入力メッセージを監視するフックがインストールされました。 |
キーボード | SetWindowsHookEx API によって、キーストロークメッセージを監視するフックがインストールされました。 |
低レベルキーボード | SetWindowsHookEx API によって、低レベルのキーボード入力イベントを監視するフックがインストールされました。 |
低レベルマウス | SetWindowsHookEx API によって、低レベルのマウス入力イベントを監視するフックがインストールされました。 |
メッセージ | SetWindowsHookEx API によって、メッセージキューに入れられたメッセージを監視するフックがインストールされました。 |
マウス | SetWindowsHookEx API によって、マウスメッセージを監視するフックがインストールされました。 |
Raw Inputデバイスを登録 | プロセスによって、Win32 RegisterRawInputDevices API が呼び出されました。 |
Windows イベントフックを設定 | プロセスによって、Win32 SetWinEventHook API が呼び出されました。 |
Windows フックを設定 | SetWindowsHookEx API によって、リストにないフックタイプ値がインストールされました。 |
ShellProc | SetWindowsHookEx API によって、シェルアプリケーションに役立つ通知を受信するためのフックがインストールされました。 |
SysMsg | SetWindowsHookEx API によって、ダイアログボックス、メッセージボックス、またはスクロールバーでの入力イベントの結果として生成されるメッセージを監視するフックがインストールされました。 |
WindowProc | SetWindowsHookEx API によって、 Windows プロシージャメッセージを監視するフックがインストールされました。 |
- 有効にするデバイスポリシーオプション:API センサ
- アーチファクトタイプ:API 呼び出し
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
関数 | 重要な関数呼び出しが実行されました。 |
- 有効にするデバイスポリシーオプション:モジュールロードの可視性
- アーチファクトタイプ:ファイル
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
ロード | アプリケーションがモジュールをロードしました。 |
- 有効にするデバイスポリシーオプション:COM オブジェクトの可視性
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
作成済み | COM オブジェクトが作成されました。 |
イベント:デバイス
- 有効にするデバイスポリシーオプション:CylanceOPTICSチェックボックス
- アーチファクトタイプ:ファイル
- プラットフォーム:macOS、Linux
イベントタイプ | 説明 |
---|---|
マウント | デバイスがマシンに接続されているか、フォルダが特定のネットワークロケーションにマウントされています。 |
イベント:ファイル
- 有効にするデバイスポリシーオプション:CylanceOPTICSチェックボックス
- アーチファクトタイプ:ファイル
- プラットフォーム:Windows、macOS、Linux
イベントタイプ | 説明 |
---|---|
作成 | ファイルが作成されました。 |
削除 | ファイルが削除されました。 |
上書き | ファイルが上書きされました。 |
名前変更 | ファイルの名前が変更されました。 |
書き込み | ファイルが変更されました。 |
- 有効にするデバイスポリシーオプション:強化されたファイル読み取りの可視性
- アーチファクトタイプ:ファイル
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
オープン | ファイルが開かれました。 |
イベント:メモリ
- 有効にするデバイスポリシーオプション:CylanceOPTICSチェックボックス
- アーチファクトタイプ:プロセス
- プラットフォーム:macOS、Linux
イベントタイプ | 説明 |
---|---|
Mmap | 一定のメモリ領域が、特定の目的(通常はプロセスに割り当てられます)に対応付けられました。 |
MProtect | メモリ領域のメタデータが変更されました。通常はステータスが変更(実行可能になるなど)されます。 |
イベント:ネットワーク
- 有効にするデバイスポリシーオプション:CylanceOPTICSチェックボックス
- アーチファクトタイプ:ネットワーク
- プラットフォーム:Windows、macOS、Linux
イベントタイプ | 説明 |
---|---|
接続 | ネットワーク接続が確立されました。デフォルトでは、ローカルトラフィックは収集されません。 |
- 有効にするデバイスポリシーオプション:プライベートネットワークアドレスの可視性
- アーチファクトタイプ:ネットワーク
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
接続 | 接続イベントにはローカルトラフィックが含まれます。 |
- 有効にするデバイスポリシーオプション:DNS の可視性
- アーチファクトタイプ:DNS 要求
- プラットフォーム:Windows、Linux
イベントタイプ | 説明 |
---|---|
要求 | プロセスによって、キャッシュ保存されなかったネットワーク DNS 要求が作成されました。 |
応答 | プロセスによって、DNS 応答が受信されました。 |
- 有効にするデバイスポリシーオプション:HTTP の可視性
- アーチファクトタイプ:HTTP
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
ゲット | Windows が WinINet または WinHTTP を使用して HTTP 要求を行いました。 |
投稿 | Windows が WinINet または WinHTTP を使用してデータを送信しました。 |
イベント:プロセス
- 有効にするデバイスポリシーオプション:CylanceOPTICSチェックボックス
- アーチファクトタイプ:プロセス
イベントタイプ | プラットフォーム | 説明 |
---|---|---|
異常終了 | macOS Linux | 事前選択センサによって、プロセスが完了せずに終了した(例外によるプロセスの終了など)ことが検知されました。 |
終了 | Windows macOS Linux | プロセスが終了しました。 |
強制終了 | macOS Linux | 事前選択センサによって、プロセスが別のプロセスによって強制終了されたことが検知されました。 |
PTrace | macOS Linux | あるプロセスが別のプロセスを監視および制御できるようにする Unix のシステムツールです。 |
開始 | Windows macOS Linux | プロセスが開始されました。 |
一時停止 | Linux | 事前選択センサによって、プロセスが中断されたことが検知されました。 |
不明な Linux プロセスイベント | macOS Linux | 事前選択センサによって、対象としてプロセスで不明なイベントが発生したことが検知されました。これは、悪意のあるソフトウェアがその活動を隠している兆候である可能性があります。 |
- 有効にするデバイスポリシーオプション:強化されたプロセスとフッキングの可視性
- アーチファクトタイプ:プロセス
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
SetThreadContext | プロセスによって、SetThreadContext API が呼び出されました。 |
停止 | 扇動プロセスによって、別の対象プロセスが終了させられました。 |
イベント:レジストリ
- 有効にするデバイスポリシーオプション:CylanceOPTICSチェックボックス
- アーチファクトタイプ:レジストリ、ファイル(レジストリキーが特定のファイルを参照している場合)
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
KeyCreated | レジストリキーが作成されました。 |
KeyDeleting | レジストリキーが削除されました。 |
ValueChanging | レジストリキーの値が変更されました。 |
ValueDeleting | レジストリキー値が削除されました。 |
イベント:スクリプティング
- 有効にするデバイスポリシーオプション:高度なスクリプトの可視性
- アーチファクトタイプ:Powershell トレース
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
コマンドを実行 | Windows PowerShell がコマンドを実行しました。パラメーターは不明です。 |
スクリプトを実行 | Windows PowerShell がスクリプトを実行しました。 |
ScriptBlock を実行 | Windows PowerShell によってスクリプトブロックが実行されました。 |
コマンドを呼び出す | Windows PowerShell によって、バインドされたパラメーターを持つコマンドが呼び出されました。 |
スクリプトを禁止 | AMSI ScanBuffer の結果は、スクリプトが管理者によって検出またはブロックされたことを示しています。 |
イベント:ユーザー
- 有効にするデバイスポリシーオプション:高度なスクリプトの可視性
- アーチファクトタイプ:Windowsイベント
- プラットフォーム:Windows
イベントタイプ | 説明 |
---|---|
バッチログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 4) |
バッチログオン | 次の Windows イベント ID が発生しました:4624(タイプ 4) |
キャッシュされた対話型ログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 11) |
キャッシュされた対話型ログオン | 次の Windows イベント ID が発生しました:4624(タイプ 11) |
対話型ログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 2) |
対話型ログオン | 次の Windows イベント ID が発生しました:4624(タイプ 2) |
ネットワークログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 3) |
ネットワークログオン | 次の Windows イベント ID が発生しました:4624(タイプ 3) |
NetworkClearText ログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 8) |
NetworkClearText ログオン | 次の Windows イベント ID が発生しました:4624(タイプ 8) |
NewCredentials ログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 9) |
NewCredentials ログオン | 次の Windows イベント ID が発生しました:4624(タイプ 9) |
リモート対話型ログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 10) |
リモート対話型ログオン | 次の Windows イベント ID が発生しました:4624(タイプ 10) |
サービスログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 5) |
サービスログオン | 次の Windows イベント ID が発生しました:4624(タイプ 5) |
ロック解除ログオフ | 次の Windows イベント ID が発生しました:4634(タイプ 7) |
ロック解除ログオン | 次の Windows イベント ID が発生しました:4624(タイプ 7) |
ユーザーログオフ | 次の Windows イベント ID が発生しました:4634(リストにないタイプ値) |
ユーザーログオン | 次の Windows イベント ID が発生しました:4624(リストにないタイプ値) |
アーチファクトとファセット
アーチファクトは、
CylanceOPTICS
が使用できる複合的な情報です。コンテキスト分析エンジン(CAE)は、デバイス上のアーチファクトを識別し、それらを使用してインシデントへの自動応答と修正アクションをトリガーできます。InstaQuery では、クエリの基礎としてアーチファクトが使用されます。ファセットは、イベントに関連付けられたアーチファクトの特徴を識別するために使用できるアーチファクトの属性です。ファセットは、潜在的に悪意のあるアクティビティを特定するために、分析時に関連付けて組み合わせられます。たとえば、「explorer.exe」という名前のファイルは、本来疑わしいものではないかもしれませんが、ファイルが
Microsoft
によって署名されておらず、一時ディレクトリにある場合、環境によっては疑わしいものに区別されることがあります。CylanceOPTICS
では、次のアーチファクトとファセットが使用されます。アーチファクト | ファセット |
---|---|
API呼び出し |
|
DNS |
|
イベント |
|
ファイル |
|
ネットワーク |
|
PowerShell トレース |
|
プロセス |
|
レジストリ |
|
ユーザー |
ユーザーアーチファクトには、以下のいずれかの値を含めることができますが、ほとんどのデバイスではデータを使用できません。
|
Windows イベント |
|
WMI トレース |
|