検出
ESET Inspectには、攻撃の指標のルールベースの検出エンジンが含まれています。
ルールは、不審な悪意のある動作を特定し、定義された重大度で検出をトリガーします。[検出]セクションには、トリガーされた各検出が表示され、その場所(コンピューター)と、それをトリガーした実行可能ファイルと特定のプロセスが特定されます。これには、ルールで定義された重大度情報が含まれ、各検出に優先度が割り当てられます(後でフィルターとして使用可能になります)。検出は、ESET InspectログタイプのESET PROTECT検出セクションにも1:1で表示されます。検出がESET InspectまたはESET PROTECTで解決されると、両方のシステムで解決されます。
[検出]ビューでは、任意の列による高度なグループ化とフィルタリングが可能です。フィルターセットは、ユーザー設定別に保存できます。各検出の詳細を調べ、次の手順を含む詳細情報を見つけることができます。実行ファイルの[詳細]、[プロセス]、および[ルール]を[検出]ビューから選択して、調査を続行します。検出の詳細レイアウトはESET PROTECTと似ています。
プレビューパネル
検出をクリックすると、プレビューパネルが表示されます。ここには、選択した検出に関する重要な情報が表示されます。一部の項目はインタラクティブです。
フィルタリング、タグ、およびテーブルオプション
画面上部のフィルターを使用して、表示される項目を絞り込みます。タグは、特定のコンピューター、検出、インシデント、実行ファイル、またはスクリプトを検索するときに強力な機能です。メインテーブルを管理するには、テーブルオプションの
歯車アイコンをクリックします。
検出タイプ
検出タイプをクリックすると、包括的な詳細が表示されます。
ESET Endpoint Securityによってトリガーされた検出を表示します(ファイアウォールルールがトリガーされた場合など) |
HIPS保護が侵入を検出したときにESET Endpoint Securityによってトリガーされた検出を表示します。 |
Webサイトがブラックリスト(PUA、内部、またはフィッシング対策)に登録されている場合にESET Endpoint Securityによってトリガーされた検出を表示します。 |
***ウイルス対策
検査またはリアルタイム検出後にESET Endpoint Securityによってトリガーされた検出を表示します。 |
ルールに基づいてトリガーされた検出をフィルタリングします。 |
その他セクションにリストされているブロックされたハッシュと照合することによってトリガーされた検出が表示されます。 |
検出グループ
グループ化解除 |
最初に[検出]タブを開いたときに、各検出が個別に表示されます。これが既定のビューです。 |
|---|---|
タイプ |
トリガーがルールであったか、ハッシュに基づいてブロックされたファイルであったかといった、タイプごとに検出をグループ化します。 |
コンピューター |
検出が発生したコンピューターごとにグループ化します。 |
ルール |
検出が発生したルールごとにグループ化します。 |
プロセス |
検出が発生したプロセスごとにグループ化します。 |
実行ファイル |
検出が発生した実行ファイルごとにグループ化します。 |
優先度(フィルターアイコン)
特定の優先度が設定された項目を表示します。次の4つのタイプがあります。優先度なし、優先度I–III。すべてのアイコンは既定で無効になっており、すべての優先度の項目が表示されます。優先度アイコンをクリックすると、フィルターがアクティブになり、選択した優先度の項目が表示されます。
重大度
検出の重大度を示します。脅威
、警告
または情報
疑わしいネットワーク検出
サイレントファイアウォール検出とは、アラートをトリガーしないエンドポイントからのイベントです。ESET Inspectはこれらのイベントを疑わしいネットワーク検出として表示します。
以下のリストには、ESET PROTECTでトリガーされないため除外できないサイレントファイアウォール検出が示されています。
検出名 |
MITRE ATT&CK® |
注意 |
|---|---|---|
Win32/RiskWare.Meterpreter.N |
|
TLS1.2 (Win10) Cobalt Strikeビーコン |
WinPE/Agent.DNSoHTTP |
|
Brute Ratelビーコン向けに設計されていますが、これに限定されるものではありません。doh.opendns.com、cloudflare-dns.comのみへのアクセスが含まれます |
SMB/Hacktool.DCenum |
|
DCERPC (Brute Ratel)経由のDC列挙 |
SMB/Hacktool.SCquery |
|
リモートSCマネージャーQueryServiceConfigW (Brute Ratel) |
LDAP/Hacktool.GetGPO |
|
グループポリシー評価(Brute Ratel) |
SMB/Hacktool.ServicePathModify |
|
リモートSCマネージャーによるサービスパスの変更(Brute Ratel) |
LDAP/Hacktool.GetDCGroups |
|
列挙DCグループ(Brute Ratel) |
HTTP/ArchiveUpload |
|
RAR & ZIPからパブリックIPへ |
TCP/ArchiveUpload |
|
RARからパブリックIPへ |
TLS/Pastebin |
|
仮想マシンを除く、ブラウザー以外のpastebin.comへのTLSアクセス(プロセス名による) |
TLS/4shared |
|
仮想マシンを除く、ブラウザー以外のupload.4shared.com、api.4shared.comへのTLSアクセス(プロセス名による) |
SMB/RiskWare.Impacket.Encrypted |
Python Impacketフレーバーを持つ受信SMBトラフィック |
|
SMB/Impacket.Server |
Python Impacketフレーバーを持つサーバーへのSMBトラフィック |
|
Win32/RiskWare.Meterpreter.AX |
|
WireGuardプロトコル経由のSliver c2 |
DCERPC/DCShadow |
Active Directory Rougeドメインコントローラー(Mimikatz) |
|
DCERPC/DCSync |
Active Directory OS資格情報ダンプ(Mimikatz) |
|
SMB/Hacktool.lsadump |
Remote lsadump::backupkeys (Mimikatz) |
|
SMB/NTLMAUTHtoSuspIP |
SMB NTLMハッシュリークの可能性 - レスポンダーの指紋を使用したサーバーへの認証https://github.com/SpiderLabs/Responder |
|
SMB/LMHashDowngrade |
古いSMB1方言を強制するサーバー。レスポンダーの既知のスイッチhttps://github.com/SpiderLabs/Responder |
|
SMB/LMHashDowngrade.A |
SMB2と古いNTLMv1を使用してサードパーティに接続するよう指示されたサーバー https://github.com/3lp4tr0n/RemoteMonologue + Responder |
|
SMB/Hacktool.Netexec.Encrypted |
NetExecツール(旧CrackMapExec)からの疑わしいSMBコマンドはすべてimpacketを使用 |
|
LDAP/Hacktool.Netexec.Generik |
NetExecツール(旧CrackMapExec)からの疑わしいLDAPコマンド(LDAPSではない) |
|
NFS/Hacktool.Netexec.Generik |
NetExecツール(旧CrackMapExec)からの疑わしいNFSコマンド |
|
WINRM/Hacktool.Netexec.Generik |
NetExecツール(旧CrackMapExec)からの疑わしいWINRMコマンド |
|
VNC/Hacktool.Netexec.Generik |
NetExecツール(旧CrackMapExec)からの疑わしいVNC接続 |
|
MSSQL/Hacktool.Netexec.Generik |
NetExecツール(旧CrackMapExec)からの疑わしいMSSQLコマンド |
|
SSH/Hacktool.Netexec.Generik |
NetExecツール(旧CrackMapExec)からの疑わしいSSH接続 |
|
SMB/Agent.PSEXESVCtoAdminShare |
|
ファイル名PSEXESVC.exeを持つオープン管理者共有を書き込み |
SMB/Agent.SuspEXEtoAdminShare |
|
疑わしい.exeファイル名を持つオープン管理者共有を書き込み(次のテレメトリより:DOC001.exe, IMG001.exe, VID001.exe) |
RDP/RestrictedAdmin.Handshake |
|
クライアントがRDPハンドシェイク(制限管理フラグ付き)を送信しました |
RDP/Riskware.OpenSSL.Client |
|
mstsc.exe以外のリモートクライアントがRDP接続を開始しています(たとえばFreeRDP) |
SMB/lsadump.SAM |
(reg.exeなどのツールでダンプされた) HKLM\SAMのrawレジストリハイブのSMB経由の読み取り(Mimikatz)、SMB経由の書き込み |
|
SMB/lsadump.SECURITY |
|
(reg.exeなどのツールでダンプされた) HKLM\SECURITYのrawレジストリハイブのSMB経由の読み取り(Mimikatz)、SMB経由の書き込み |
SMB/lsadump.SYSTEM |
(reg.exeなどのツールでダンプされた) HKLM\SYSTEMのrawレジストリハイブのSMB経由の読み取り(Mimikatz)、SMB経由の書き込み |
|
DCERPC/StartService |
汎用リモートスタートシステムサービス(最新のシステムではサービス名自体が暗号化されています) |
|
IPV6/SLAAC |
|
IPv6ルーターのお知らせはこの記事で詳述されています |
SMB/Winreg.HKLM.dump |
|
一部のキーをダンプしたりクエリしたりするために、SMB経由でアクセスされている可能性のあるHKLM(例:SAM、SYSTEM、SECURITY、またはその他のサブキー) |
LDAP/Hacktool.GetSPN |
|
servicePrincipleNameのサブツリー全体を取得 - Impacket GetUserSPNs |
検出をクリックすると、さらにアクションを実行できます。
コンピューター詳細 |
コンピューター詳細タブに移動します。 |
|---|---|
グループを切り替える |
グループを拡大または縮小します。グループ化解除が選択されている場合は使用できません。 |
解決済みに設定 |
検出を解決済みに設定します。 |
未解決に設定 |
検出を未解決に設定します。 |
除外の作成 |
選択したルールの除外タスクを作成します。ルール除外の作成にリダイレクトされます。 |
ルールの編集 |
ルールによって検出が発生した場合は、ルールの編集セクションにリダイレクトされます。 |
ユーザーアクションの編集 |
ユーザーアクションの編集ウィンドウが開き、選択した検出ルールのユーザーアクションの編集が表示されます。 |
優先度 |
検出を優先度なし/優先度I/優先度II/優先度IIIに設定します。 |
コメントの追加 |
コメントを追加します。 |
開く |
コンピューターを開く - 検出をトリガーしたコンピューターのコンピューター詳細を開きます。 プロセスを開く - ルールによって検出がトリガーされた場合、検出の原因となったプロセスのプロセス詳細を開きます。 親プロセスを開く - 検出に親プロセスがある場合は、親のプロセス詳細を開きます。 |
タグ |
既存のリストから検出タグを割り当てるか、カスタムタグを作成します。 |
監査ログ |
監査ログタブに移動します。 |
インシデント |
oインシデントレポートの作成 o現在のインシデントに追加 o最近のインシデントに追加。直近の3件のインシデントを表示します o追加するインシデントを選択 |
フィルター |
コンテキストメニューをアクティブにした列にクイックフィルターを表示します(これのみを表示し、これを非表示にする)。 |