ビュー:

指定したエンドポイントでカスタムYARAルールを実行して、脅威の調査とインシデント対応をサポートします。

重要
重要
次のサービスはこのタスクをサポートしています:
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
ワークスペースを作成し、エンドポイントをワークスペースに追加した後Forensicsアプリで、ネットワーク上で発生した重大なインシデントの内部調査のために、潜在的に侵害されたエンドポイントから詳細なエビデンスを収集できます。

手順

  1. Trend Vision One コンソールで、 XDR Threat InvestigationForensicsに移動します。
  2. トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
  3. リストから1つ以上のエンドポイントを選択してください。選択したエンドポイントはすべて同じオペレーティングシステムを使用する必要があります。
  4. [Run YARA Rules]をクリックします。
    注意
    注意
    この対応は、コンテキストメニューからTrend Vision OneSearchアプリ、Workbench、およびObserved Attack Techniquesでも実行できます。
  5. タスクを設定してください。
    1. ラジオボタンを使用して、既存のYARAルールを選択するか、新しいルールをアップロードしてください。
      • [Select rules]を選択してください。
        1. [Select YARA rules]をクリックしてください。
        2. ファイルを一時停止して詳細を表示します。
          重要
          重要
          YARAルールの詳細はTLP:GREENおよびTLP:CLEARにのみ表示されます。詳細についてはトラフィックライトプロトコル (TLP)を参照してください。
        3. ルールを選択してください。
        4. [Continue] をクリックします。
        リストに新しいYARAルールを追加するには:
        1. Response Managementの[Response Scripts]タブで[YARA Rules]に移動します。
        2. ファイルをアップロードしてルールの構文を検証するには[Add YARA rules]をクリックしてください。
      • [Upload rules]を選択してください。
        1. [ファイルをアップロード]をクリックします。
        2. YARAまたはTXT形式で1MB未満のファイルを選択してください。
        ヒント
        ヒント
        Companion を使用して、[Generate YARA Rules] (companion_icon=ebfb1301-169d-4687-b329-7c6b4e235192.png) をクリックして YARA ルールを生成します。
    2. ターゲットタイプを選択し、関連する設定を指定してください。
      • [プロセス]ターゲットの場合、[プロセス名]を指定してください。プロセス名を指定しない場合、Forensicsはすべてのプロセスをスキャンします。すべてのプロセスをスキャンするには数分かかることがあります。
      • [ファイル]の対象:
        1. [File location]を指定してください。
        2. [ファイルサイズ]を選択してください。
        3. [Scan setting]を選択してください。
          重要
          重要
          [Scan all files and subfolders]を選択すると、パフォーマンスの問題が発生する可能性があります。
    3. [Validate YARA rules] をクリックして YARA ルールを検証してください。
    4. 対応またはイベントのために[説明]を指定してください。
    5. [作成] をクリックします。
    6. [Multi-factor authentication (MFA) required]に確認コードを貼り付け、[送信]をクリックしてください。
      認証が成功すると、タスクは[Response Management][タスクリスト]に表示されます。
      ヒント
      ヒント
      Searchアプリのコンテキストメニューから作成された対応タスクについては、[Response Management][タスクリスト][View details in Forensics]アイコン (export_icon=GUID-88c87c83-f1e1-465e-9d60-9ba4a60f6849.jpg) をクリックして、[フォレンジック][Query Results]に直接移動します。
  6. タスクのステータスを監視します。
    1. トライアージしているエンドポイントがあるワークスペースで、[クエリ結果を表示]をクリックしてください
    2. [YARA]を選択してください。
    3. [Task name] メニューを使用してタスクを探します。
    4. タスクのステータスを表示します。
      • [進行中] (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=ja-jp=Low.jpg ): Trend Vision One がコマンドを送信し、対応を待機しています。
      • [待機中] (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=ja-jp=Low.jpg ):エージェントがオフラインであるため、配布管理システムはコマンドをキューに入れました。
      • [成功] (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=ja-jp=Low.jpg ): コマンドは正常に実行されました。
      • [失敗](error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg ): 配布管理システムへのコマンドの送信中にエラーまたはタイムアウトが発生したか、エージェントが24時間以上オフラインになっているか、コマンドの実行がタイムアウトしました。
    5. タスクが成功した場合:
      1. download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png アイコンをクリックして、[ファイルをダウンロード] ウィンドウを開きます。
      2. パスワードをコピーして保持してください。
      3. [ダウンロード]をクリックしてタスクアーカイブファイルを取得します。