はじめに
こんにちは、 ネクストモード株式会社 の sobar です。今回はIOAアラート検知時の実行プロセス・コマンド内容を確認する方法についてご紹介します。
IOA(ファイルレス攻撃)アラート検知時、実行プロセス・コマンド内容を確認し、正検知か過検知かの判断を行い、正検知の場合には対処すべき内容を整理します。
※本内容はあくまでも対応の一例となりますので、最終的な対応、運用方針はそれぞれの社内で定められている運用ルールに従っていただければと思います。
※IOC・IOAにつきましては必要に応じて以下のブログもご参照ください。
本記事は、Prevent&Insight ライセンスがある前提での記載となっております。ライセンスにつきましては必要に応じて弊社までお問い合わせください。
IOAアラート検知時の初動
IOAアラート検知があがりましたらまずは エンドポイントセキュリティ > エンドポイント検知 より対象のアラートを確認をします。(※予めメール通知や、Slack通知等の設定を行っておくことをお勧めいたします。)
プロセス詳細と実行コマンドの確認方法
「プロセス」では、CrowdStrikeによって実行されたアクション、検知についての内容、IOA名、実行コマンド内容を確認します。
Charlotte AIによるトリアージ分析の活用
Charlotte AIによるトリアージの箇所では検知内容をAIが分析、解析した内容が表示されますので検知内容の確認が行えます。
プロセスアクションの確認
プロセスアクションでは実行されたプロセスによって行われた操作として、ネットワーク操作あり・なし、ディスク操作あり・なし、DNSリクエストあり・なし、レジストリ操作あり・なし、プロセス操作あり・なしを確認できます。
操作がある箇所をクリックするとその内容が確認し、実行された操作の問題有無、修復としての対応要否を判断します。
プロセスツリーを確認
プロセスの端のボタンをクリックしプロセスエクスプローラーで開くをクリックします。
プロセスツリーとして、左から右側に時系列でプロセスが実行されていきますので、プロセスとプロセスの実行の関連、流れを確認できます。
さいごに
今回はIOAアラート検知時の実行プロセス・コマンド内容を確認する方法についてご紹介しました。
繰り返しとなりますが、本内容はあくまでも対応の一例となりますので、最終的な対応、運用方針はそれぞれの社内で定められている運用ルールに従っていただければと思います。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!
