シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

Endpoint IOC(Indicators Of Compromise)とServer Side IOCについて

 

 

はじめに

IOC(Indicator Of Compromise)とは一般的には不正アクセスの痕跡示したり、OpenIOCのような、痕跡を発見するためのフォーマットを示す言葉となります。
AMP for EndpointにおけるIOCの機能は大きく分けて二つありますが、全く異なる機能となります。

     

Endpoint IOC(Connector上のIOC)

Endpoint IOCはConnectorの端末上で、不正アクセスの痕跡を発見するための機能であり、Console上のOutbreak Control->ENDPOINT IOC以下のメニューから設定し、端末上に展開されます。

こちらの機能はOpenIOCと呼ばれるXML形式のフォーマットを使っており、端末上でScanを実行することで不正アクセスの痕跡を発見します。

OpenIOCはCisco AMP特有の機能ではなく、一般的に業界でOpenに使用されているものであり、お客様で定義する他、公開されているものをConnectorに読み込ませることで、お使いいただくことが可能です。

OpenIOCの詳細については、以下をご確認いただけたらと思います。(弊社サイトではないため、こちらの詳細については当方ではお答えすることが出来ませんのでご了承ください。)

http://www.openioc.org/

 
AMPのConnectorで対応しているIOCのAttributeについては、以下ドキュメントをご参照ください。対応しているOpenIOCのAttributeの他、サンプルも掲載されております。
https://docs.amp.cisco.com/Cisco%20Endpoint%20IOC%20Attributes.pdf

 

Server Side IOC(Dashboard上のIOC)

Server Side IOC(Dashboard上のIOC)は、Connectorの端末上で実行される機能ではなく、ConnectorからCloudに収集された過去1週間分のEvent/Trajectory情報を元にして、不正アクセスの痕跡を発見する機能であり、上記のEndpoint IOCとは別の機能となります。

詳しくは以下をご確認いただけたらと思います。
https://console.amp.cisco.com/help/wwhelp/wwhimpl/common/html/wwhelp.htm#href=Threat%20Desc.22.2.html&single=true

こちらは端末上のEventでは確認出来ませんが、Dashboard上のDevice Trajectory/File Trajectory/Eventの情報から確認することが可能です。

Server Side IOCについては、弊社のCloud側で定義している内容であるため、お客様にて設定する必要はなく、自動的に有効となっており、Eventが発生します。
一例として、以下のような疑わしいJavaのファイルが実行された場合には「Java Compromise」として検知されます。(アイコンの!?となっている箇所になります。)

666
閲覧回数
10
いいね!
0
コメント