検知したMalwareイベントの検知エンジン特定方法

ドキュメント

2016/11/23 - 19:05
11月 23rd, 2016
User Badges:
  • Cisco Employee,


はじめに

AMP for EndpointではMalware検出のために、様々なエンジンを用いています。
実際に、お客様からはConnectorで発生したセキュリティイベントに対して、「何故このイベントが発生したのか」というお問い合わせを受けることがしばしばあります。
そういった場合、ほとんどのケースではお客様環境のFalse Positiveが疑われるMalware検出になりますが、そのトラブルシューティングのために、どのエンジンによって、Malware検出したのかを知ることが、必要となります。

前提条件

本記事は2016年11月24日現在のAMP Consoleの情報に基づいて、作成しております。
将来的にバージョンアップにて、挙動やユーザインターフェイスが変更される場合もございます。

検知エンジン

AMP for EndpointがMalware検知を行う主なエンジンとして以下があります。

イベント発生元

イベントの内容

Hashエンジン

ファイルのHash(Sha256)による11Malware検知

SPEROエンジン

機械学習による未知のMalware検知

ETHOSエンジン

Fuzzy Hashingによる亜種のMalware検知

TETRAエンジン

Offline Engineによるパターン検知(既存のAVエンジンと同じ)

ThreatGrid

PublicThreatGridで高いThreatScore(危険度の点数)

DFC

不正なIP/Portに対する通信を検知

VRT Sandbox

ThreatGridとは別のSandboxによる高いThreatScore


発生したイベント名からエンジンが特定できるもの

上記のエンジンの中で、Hashエンジンと、TETRAエンジン以外であれば、発生したイベント名を見て、すぐに、何のエンジンによって発生したセキュリティイベントであるかを確認することが出来ます。以下に、そのイベント名のパターンを正規表現で示します。

エンジン

検知したイベントの文字列(正規表現)

SPEROエンジン

/^.*.SPERO.*/

ETHOSエンジン

/^.*ETHOS.*/

ThreadGrid

/^.*SBX.TG/ SBXの隣にある100等の数字はThreatScore

VRT Sandbox

/^.*SBX.VIOC/  SBXの隣にある100などの数字はThreatScore

DFC

/^.*DFC.*/


例えば、以下はThreatGridの例になりますが、イベント名がW32.D4C62215DF-95.SBX.TGですが、その場合、上記の正規表現に照らし合わせると、ThreatGridによって、ThreatScoreが95点であったため、Malware検知したということを、示しています。



ws000241.jpg

発生したイベント名だけでエンジンが特定できないもの

AMP for Endpointが検知するイベントのほとんどはHashエンジンによるものですが、Hashエンジンに関しては様々なパターンがあるため、イベント名を見ただけでは特定することが出来ません。例えば、Hashエンジンの場合は/^.MASH.SBX.VIOC/ , /^.Talos/ のような様々な文字列のパターンが存在します。詳しくは後述する、AMP Naming Conventionsを確認いただけたらと思います。

まず、第一に、上記で説明した、イベント名だけでエンジンが特定できるパターン以外は、ほぼHashエンジンか、TETRAエンジンのどちらかであると判断することが出来ますが、HashエンジンとTETRAエンジン(オフラインエンジン)のどちらで発生したイベントであるかは、イベント名から判断することが出来ません。

TETRAかHashかどちらで検出したかの確認は、Device Trajectoryから行います。

Device Trajectoryを開き、発生したイベントの最後の行を確認すると、「Detected by ....」という記述があり、そこでHashエンジンであるか、TETRAエンジンであるかの違いが確認出来ます。


ws000243.jpg

ここで、Detected by Tetra enginesとなっている場合は、CloudへのHash問い合わせの結果ではなく、オフラインエンジンであるTETRAのパターンファイルによって、Malware検知が発生していると、判断することが出来ます。ここでHash enginesとなっている場合はCloudへのHash問い合わせで発生していると判断することが出来ます。

TETRAでFalse Positiveが大量発生する場合は、Whitelistを使う方法もありますが、状況に応じてTETRA engineを無効にする方法も考えられます。

AMP Naming Convention

上記のほとんどのパターンは以下のサイトから確認することが出来ます。

AMP Naming Convention

http://www.talosintelligence.com/amp-naming/



Loading.

アクション

このドキュメントについて

Related Content