調査:ホストの調査

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Suite バージョン11.1以降に適用されます。

ホストの調査を実施するには、次の手順を実行します。

  1. [調査]>[ホスト]に移動します。
    ホストのリストが表示されます。
  2. スキャンするホストを選択して、[スキャン開始]をクリックします。詳細については、「ホストの調査」を参照してください。
  1. ホストのスキャン プロセスが完了したら、ホスト名をクリックしてスキャン結果を調査します。詳細については、「ホストの調査」を参照してください。

注:NetWitness Endpoint 4.4ホストを調査するには、「NetWitness Endpoint 4.4.0.2以降のホストの調査」を参照してください。

ホストのフィルタ

オペレーティング システムによってホストをフィルタリングしたり、[フィルタの追加]ドロップダウン メニューでフィールドを選択することもできます。

注:大量のデータからフィルタリングする場合は、パフォーマンスを向上させるために、少なくとも1つのインデックス付きフィールドとEquals演算子を使用します。次のフィールドが、データベースでインデックスされていますす: HostnameIPV4, Operating SystemLast Scan Time

Filter

1つのフィールドで複数の値を検索するには、フィルタ オプションをEqualsに設定し、区切り文字として ||を使用します。

例:

  • Equals演算子を使用し、区切り文字||を使用して複数のIPV4値を指定。
    Example with equals operator
  • 過去6時間にスキャンされたエージェントをフィルタリングするために、[最後のスキャン時間]とIN演算子を使用。
    Example using IN operator

保存]をクリックして、名前(最大250文字の英数字)を指定し、フィルタを保存します。フィルタは、左側の[保存されたフィルタ]パネルに追加されます。フィルタを削除するには、名前にポインタを合わせて、Deleteをクリックします。

注:フィルタを保存するときに、アンダースコア(_)とハイフン(-)以外の特殊文字は使用できません。

ホストのスキャン

オン デマンド スキャンを実行することも、毎日または毎週実行するようにスキャンをスケジュール設定することもできます。スキャンのスケジュール設定については、「RSA NetWitness Endpoint Insights構成ガイド」を参照してください。

注:NetWitness Suiteユーザ インタフェースから、NetWitness Endpoint 4.4エージェントのスキャンを実行することはできません。

オン デマンド スキャン

オン デマンド スキャンは次のような場合に実行します。

  • [グローバル ファイル]セクションのファイルが悪意のあるファイルであることが判明した。
  • 悪意のあるファイルがネットワーク内の別のホストで見つかった。
  • 感染したホストを調査したい。
  • ホストの最新のスナップショットを取得する。

ホストをスキャンすると、Endpointエージェントが調査に使用可能な次のデータを取得します。

  • ホスト上で実行しているドライバ、プロセス、DLL、ファイル(実行可能ファイル)、サービス、Autorun
  • ホスト ファイルのエントリーとスケジュール設定されたタスク。
  • ネットワーク共有、インストールされたWindowsパッチ、Windowsタスク、ログインしているユーザ、Bash履歴、インストールされたセキュリティ製品などのシステム情報。

スキャンを開始するには、次の手順を実行します。

  1. [調査]>[ホスト]に移動します。
  2. オン デマンド スキャンを実行するホスト(最大100個まで)を選択し、[スキャン開始]をクリックします。
  3. ダイアログで[スキャン開始]をクリックします。
    これにより、メモリにロードされたすべての実行可能モジュールのクイック スキャンが実行されます。約10分かかります。

スキャン ステータスを以下に示します。

                           
ステータス説明
Idleスキャンが進行中ではありません。
Scanning
  • スキャンが進行中です。
  • Starting Scan
  • スキャン リクエストがサーバに送信され、エージェントは次にサーバと通信したときにそのリクエストを受信します。
  • Stopping Scan停止リクエストがサーバに送信され、エージェントは次にサーバと通信したときにそのリクエストを受信します。

    [ナビゲート]ビューと[イベント分析]ビューへの移行

    特定のホスト、IPアドレス(IPv4)、ユーザ名を調査して、特定の時間範囲の関連するアクティビティを検索する必要がある場合は、[ナビゲート]ビューと[イベント分析]ビューに移行して、アクティビティ全体のコンテキストを取得できます。デフォルトで、時間範囲は1日に設定されます。適宜、時間範囲を変更できます。

    注:IPv6のIPアドレスから、[ナビゲート]ビューまたは[イベント分析]ビューへの移行はサポートされません。

    [ナビゲート]ビューまたは[イベント分析]ビューに移行するには、次の手順を実行します。

    1. [調査]>[ホスト]または[調査]>[ファイル]に移動します。
    2. ホスト名の横にあるPivot to Investigateをクリックします。
      Pivot to Navigate or Event Analysis view
      または、[概要]タブで、目的のホスト名、IPアドレス(IPv4)、ログインしているユーザを右クリックし、移行することができます。
      Pivot to Investigate
    1. [サービスを選択]ダイアログで、調査に必要なサービスのいずれかを選択します。
    2. ナビゲート]または[イベント分析]をクリックして、データを分析します。

    ホストの詳細の調査

    ホスト上の疑わしいファイルを検索するには、ホスト名をクリックして、ホストの詳細を表示するか、オン デマンド スキャンを開始して最新情報を取得します。

    Host Details view

    スナップショットの検索

    ホストを調査したり、ホストが既知のマルウェアに感染しているかどうかを確認するには、ファイル名、ファイル パス、SHA-256チェックサムの有無を検索します。

    注:SHA-256チェックサムを検索するには、検索ボックスにハッシュ文字列全体を入力します。

    結果には、ファイル名やシグネチャ情報などの詳細とともに、システムとの関係(実行形式がプロセス、ライブラリ、Autorun、サービス、タスク、ドライバ)が表示されます。これらの結果をさらに詳しく表示するには、カテゴリをクリックします。

    たとえば、ユーザがフィッシング メールを介して悪意のある添付ファイルをクリックして実行し、それをC:\Usersにダウンロードしたとします。このファイルを調査するには、次の手順を実行します。

    1. [調査]>[ホスト]に移動します。
    2. 調査するホストを選択します。
    3. 概要]タブで、検索ボックスにファイル パスC:\Usersを入力します。
      検索結果には、このフォルダ内のすべての実行可能ファイルが表示されます。この例では、NWEMalware.exeは悪意のある可能性のある署名なしファイルです。
      Search on snapshots
  •         このファイルは、プロセスとして実行されていました。
    1. このファイルの詳細を表示するには、結果からProcessをクリックします。
      これにより、[プロセス]タブが開き、プロセスの詳細が表示されます。
      Search Result

    プロセスの分析

    [ホスト]ビューで、[プロセス]タブを選択します。選択したホストでスキャンの時点で実行中であったプロセスを表示できます。プロセス名とプロセスID(PID)の列が次のいずれかで表示されます。

    • ツリー ビュー - 各プロセスをドリル ダウンして、それに関連づけられた親または子プロセスを表示できます。
    • リスト ビュー - プロセス名とPIDの列をソートすることができます。

    Tree viewをクリックして、ビューを切り替えることができます。

    ツリー ビューの例を以下に示します。

    Tree View

    プロセスを検証するときは、起動引数を確認することが重要です。正規のファイルであっても悪意のある目的で使用される可能性があるため、起動引数をすべてを表示して、悪意のあるアクティビティがないか判断することが重要です。

    例:

    • rundll32.exeは、正常なファイルに分類されている正規のWindows実行可能ファイルです。しかし、攻撃者は、この実行可能プログラムを使用して悪意のあるDLLをロードする可能性があります。そのため、プロセスを表示して、rundll32.exeファイルの引数を確認する必要があります。
    • LSASS.EXEは、WININIT.EXEの子プロセスであり、子プロセスを生成すべきではありません。マルウェアの多くは、この実行可能プログラムを使用してパスワードをダンプしたり、隠れるために偽装します(lass.exelssass.exelsasss.exeなど)。

    • AdobeやWebブラウザなどの正規のユーザ アプリケーションのほとんどは、cmd.exeのように子プロセスを生成しません。このような状況を見つけたら、プロセスを調査してください。

    Autorunの分析

    [ホスト]ビューで、[Autorun]タブを選択します。選択したホストで実行中のAutorun、サービス、タスク、cronジョブを表示できます。

    たとえば、[サービス]タブでは、ファイルの作成時刻を検索できます。各実行可能(PE)ファイルのPEヘッダーには、コンパイル時刻が含まれます。攻撃者は、被害者のエンドポイントにインストールする前に容易にタイムスタンプを変更できますが、コンパイル時刻のタイムスタンプが改ざんされることはめったにありません。このタイム スタンプは、新しいファイルがインストールされたか否かの指標になります。ファイルのタイム スタンプをシステム上の作成時刻と比較して、違いを見つけます。ファイルは数日前にコンパイルされたのに、システム上のファイルの作成時刻が数年前の日付になっている場合は、ファイルが改ざんされたことを示しています。

    ファイルの分析

    [ホスト]ビューで、[ファイル]タブを選択します。スキャンの時点でホスト上でスキャンされたファイルのリストを表示できます。デフォルトで、表には100個のファイルが表示されます。それ以上のファイルを表示するには、ページの下部にある[さらに読み込み]をクリックします。

    たとえば、多くのトロイの木馬は、ペイロードを投下するとき、ランダムなファイル名を使用します。これは、ファイル名による検索で、ネットワーク全体のエンドポイントから容易に検出されるのを防ぐためです。ファイルの名前がsvch0st.exescvhost.exesvchosts.exeの場合は、svchost.exeという名前の正規のWindowsファイルが偽装されていることを示しています。

    ライブラリの分析

    [ホスト]ビューで、[ライブラリ]タブを選択します。スキャンの時点でロードされていたライブラリのリストを表示できます。

    たとえば、エントロピーの高いファイルには、packedフラグが付けられます。パックされたファイルは、そのサイズを削減するために(または悪意のある文字列や設定情報を難読化するために)圧縮されていることを意味します。

    ドライバの分析

    [ホスト]ビューで、[ドライバ]タブを選択します。スキャンの時点でホスト上で実行していたドライバのリストを表示できます。

    たとえば、このパネルを使用して、ファイルが署名されているかどうかを確認できます。MicrosoftやAppleなどの信頼できるベンダーによって署名され、validと表示されるファイルは、正規のファイルであることを示します。

    システム情報の分析

    [ホスト]ビューで、[システム情報]タブを選択します。このパネルには、エージェントのシステム情報が表示されます。Windowsオペレーティング システムの場合は、パネルに、ホスト ファイルのエントリーとそのホストのネットワーク共有が表示されます。

    たとえば、マルウェアが、ホスト ファイルのエントリーを使用して、アンチウイルス更新をブロックする可能性があります。

    ホストの削除

    UIから手動でホストを削除するには、次の手順を実行します。

    1. [調査]>[ホスト]に移動します。
    2. [ホスト]ビューから削除するホストを選択して、[削除]をクリックします。
      これにより、選択したホストに関して収集されたすべてのエンドポイント データが削除されます。

    注:[ホスト]ビューから間違ってホストを削除してしまった場合は、Endpoint Serverはこのエージェントからのすべてのリクエストを拒否します。エージェントを[ホスト]ビューに表示するには、ホストから手動でアンインストールして、再インストールする必要があります。

    ホスト環境設定の設定

    デフォルトで、[ホスト]ビューにはいくつかの列が表示され、ホストは最後のスキャン時刻に基づいてソートされます。表示する列を変更し、特定のフィールドでデータをソートしたい場合は、次の手順を実行します。

    1. [調査]>[ホスト]ビューに移動します。
    2. 右隅にあるSettingsをクリックして、列を選択します。次の例は、列を追加するときに表示される画面を示します。
      Select Columns for Hosts
    3. 必要な列でデータをソートします。

    注:この設定は、[ホスト]ビューにログインするたびに表示されるデフォルト ビューとして設定されます。

    ホスト属性のエクスポート

    一度に最大100,000個のホスト属性をエクスポートできます。ホスト属性をCSV(コンマ区切り値)ファイルに抽出するには、次の手順を実行します。

    1. [調査]>[ホスト]に移動します。
    2. 必要なフィルタ オプションを選択して、ホストをフィルタリングします。
    3. 右側にあるSettingsをクリックして、列を追加します。
    4. CSVにエクスポート]をクリックします。

    CSVファイルを保存するか、開きます。

    You are here
    Table of Contents > ホストとファイルの調査 > ホストの調査

    Attachments

      Outcomes