Endpoint Detection Playbook の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • 次の手順は、Endpoint Detection Playbook で利用可能なアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 で、SIR で脅威のルックアップ結果を分析し、VirusTotal、WildFire、ThreatCrowd などから情報を収集して、ファイルまたはハッシュに悪意のあるものかどうかを確認する必要があります。
    2. ステップ2では、ファイルまたはハッシュが悪意のあるかどうかを確認する必要があります。
    3. 手順 3 で、ファイルまたはハッシュが悪意のある場合は、次の手順を実行します。
      1. 手順 4 では、検出されたアプリケーションまたはプロセスを脅威として識別し、検出の理由に関する情報を収集して、セーフ リストに進む必要があります。
        図 : 1. Endpoint Detection Playbook
        ファイルが悪意のあるものではないかどうかを判断するための応答タスク。
      2. ステップ5では、アプリケーションが信頼できるソース(Microsoft、Adobe、またはその他の有名なソフトウェアベンダーなど)からのものであるかどうかを確認する必要があります。
      3. ステップ 6 で、アプリケーションが信頼できるソースからのものである場合は、CrowdStrike Falcon アラートに対してアクションを実行する必要があります。
        図 : 2. CrowdStrike Falcon アラート
        CrowdStrike Falcon アラートに対してアクションを実行するための応答タスク。
      4. ステップ 7 で、次の手順を実行します。
        1. 移動先 CrowdStrike Falcon > 検出 タブに戻ります
        2. CrowdStrike Falcon アラートをクリックします。
        3. [実行の詳細] タブで、[ハッシュ防止アクション] の [ ハッシュ アクションの編集 ] をクリックします。
        4. 必要な手順を実行します。
          注:
          特定のホストのみが有効なビジネス上の正当な理由でアプリケーションを使用できる可能性があるため、[ ブロックしない ] オプションは慎重に選択してください。ただし、他のホストに対して追加のアラートを設定する必要がある場合があります。
      5. ステップ 8 で、アプリケーションが信頼できるソースからのものでない場合は、デバイスからファイルまたはアプリケーションをローカルで放棄するかどうかを選択する必要があります。
        ステップ 10 で、デバイスからファイルまたはアプリケーションをローカルで放棄する場合は、次の手順を実行します。
        1. ステップ 11 で、[ 隔離されたファイル(Quarantined Files)] タブに移動し、デバイス名を検索してエンドポイントをフィルタリングします。
        2. ローカルで放棄する必要があるファイルを選択し、[ 解放] をクリックします。
          注:
          • ファイルは引き続きこの特定のエンドポイントで実行されます。ただし、検出と隔離は他のすべてのホストで引き続き実行されます。
          • 複数のホストで隔離ファイルを一括解放するには、適切なファイル名とステータスを選択します。[選択] をクリックし、[リリース] をクリックします。

        ステップ 12 で、デバイスからローカルのファイルまたはアプリケーションを放棄しない場合は、承認されたアプリケーションのインストールを要求するためにユーザーを IT サポートにリダイレクトできます。

    4. ステップ 14 で、ファイルまたはハッシュが悪意のあるものでない場合は、次の手順を実行します。
      1. 手順 15 では、ユーザーの役割 (機密情報を処理する部署または役職)、アプリケーションの種類 (ランサムウェア、ルートキットなど)、およびアプリケーションの影響 (影響を受けたユーザーの数) に基づいて、ファイル/ハッシュが高リスクか低リスクかを判断する必要があります。
      2. ステップ 16 で、ファイルが高リスクファイルの場合は、次の手順を実行します。
        1. ステップ 17 で、脅威インテリジェンスチームとともに結果を確認します。
        2. ステップ 18 で、ファイルに対して Malwarebyte スキャンを実行します。
        3. ステップ 19 で、フォレンジック分析を開始します。
        4. ステップ 20 では、フォレンジック分析の結果に基づいてホストの隔離を実行し、悪意のあるファイル/ハッシュを削除します。
        5. ステップ 21 で、ユーザ クレデンシャルが侵害された場合、または脅威を簡単に除去できない場合は、IT チケットを発行してユーザ クレデンシャルをリセットするか、必要に応じてマシンを再イメージ化します。
        6. ステップ 22 では、ホストの隔離解除を実行します。
        図 : 3. 危険度の高いファイル
        リスクの高いファイルかどうかを判断するための応答タスク。
      3. ステップ 23 で、ファイルが高リスクファイルでない場合は、次の手順を実行します。
        1. 移動先 CrowdStrike Falcon > 構成 タブに戻ります
        2. [構成] タブから、次の場所に移動します。 防止ハッシュ > > ハッシュをアップロード > ハッシュを追加.
        3. 必要な OS を選択し、[ 常にブロック] を選択します。
    5. ステップ 24 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。