InstaQuery と高度なクエリを使用したアーチファクトデータの分析 ナビゲーションをスキップする

InstaQuery と高度なクエリを使用したアーチファクトデータの分析

InstaQuery と高度なクエリは、アーチファクトデータを分析して侵害の指標を検出し、組織のデバイスでの出現率を判断するための
CylanceOPTICS
機能です。クエリの結果は、アーチファクトがいつどのように使用されたかを示すものではありませんが、組織のデバイスやデータに脅威を知らせる、フォレンジック的に重要な方法でアーチファクトが観察されたことがあるかどうかを示します。
InstaQuery を使用すると、特定のタイプのフォレンジックアーチファクトについてデバイスセットを調査できます。また、デバイスにアーチファクトが存在するかどうか、およびそのアーチファクトがどの程度の頻度で発生するかを判断できます。高度なクエリは InstaQuery を進化させたものであり、EQL 構文を使用する詳細な検索機能で、脅威を特定する機能を強化します。
CylanceOPTICS
エージェントをデバイスにインストールして有効にすると、エージェントはアーチファクトを収集し、
CylanceOPTICS
データベースに保存します。
CylanceOPTICS
エージェント 2.x 以前のバージョンでは、データベースはデバイス上にローカルに保存されます。
CylanceOPTICS
エージェント 3.0 以降では、エージェントは自動的にデータを
CylanceOPTICS
クラウドデータベースにアップロードし、保存します。クエリを作成すると、フォレンジック的に重要なデータが
CylanceOPTICS
データベースから取得されます。管理コンソールで結果を表示し、調査できます。
CylanceOPTICS
エージェント 2.x 以前のデバイスでは、デバイスがオンラインの場合にのみクエリを正常に完了できます。エージェント 3.0 以降のデバイスでは、クエリは
CylanceOPTICS
クラウドデータベースで使用可能な最新データを使用するため、デバイスをオンラインにする必要はありません。
1 つのクエリで、最大 10,000 件の結果を表示し、保持できます。クエリの結果は 60 日間保持されます。
クエリ可能な特定のアーチファクトについて、次の詳細に注意してください。
アーチファクト
詳細
ファイル
CylanceOPTICS
エージェントがデバイスにインストールされた後に作成、変更、または削除された特定のファイルをクエリできます。
CylanceOPTICS
では、コンテンツの実行に使用できるファイル(実行可能ファイル、
Microsoft Office
ドキュメント、PDF など)に焦点を当てます。
ネットワーク接続
IPv4 と IPv6 の両方の宛先 IP アドレスに対してクエリを実行できます。
CylanceOPTICS
では、プライベート、ルーティング不能、マルチキャスト、リンクローカル、およびループバックネットワークトラフィックを破棄します。
処理
すべてのプロセスが
CylanceOPTICS
データベース内でインデックス付けされますが、次の制限があります。
  • コマンドラインは 1KiB のデータに制限されています
  • プロセス名は 256 文字に制限されています
  • プロセスイメージファイルパスは 512 文字に制限されています
  • プロセスの開始後に変更されたコマンドラインは監視されません
レジストリキー
CylanceOPTICS
は、永続化ポイントとファイル削除ポイントのみを監視します。これらは通常、マルウェアによって悪用される領域です。
CylanceOPTICS
によって監視されるレジストリキーと値の詳細なリストについては、「KB66266」を参照してください。
CylanceOPTICS
がレジストリ内の永続化ポイントを監視する方法の詳細については、「KB66357」を参照してください。