タブを選択
ESET Inspect On-Prem – 目次

データ収集

データ収集の設定は、データベースでのデータの保存方法に影響します。

ユーザーのオプションに関係なく、すべての下位レベルの未加工イベントがエンドポイントで収集され、サーバーに送信され、ルールエンジンによって処理され、必要に応じて検出が生成されます。

特定のイベントに対して検出が生成されると、選択したデータ収集オプションに関係なく、そのイベントもデータベースに保存されます。検出をトリガーせずにルールエンジンによって処理されたイベントの場合、データ収集設定は次のように適用されます。

利用可能なすべてのデータを保存する

収集された下位レベルの未加工イベントはすべて、データベースに保存されます。このオプションでは膨大なデータベースが作成されますが、以前製品によって疑わしいフラグが立てられたかどうかに関係なく、アナリストはシステムで発生したことをすべて確認できるため、インシデントの可能性を詳しく調査できます。

このオプションでは、遡及的検索、脅威ハンティングクエリの実行、データに対する既存ルールまたはカスタムルールの再実行など、製品のすべての機能を使用できます。

最も重要なデータを保存する

プロセスに関連するすべてのデータを保存します(たとえば、エンドポイントで実行されたすべてのプロセスと、コマンドラインなどのプロパティを確認できます)。また、プロセスによって生成された下位レベルのイベントの中で、検出を生成するイベントのみを保存します。このため、アナリストは調査中にプロセスツリー全体を確認できます(ここではデータ保持設定が適用されることに注意してください)。ただし、プロセスのアクション(ディスクへの書き込み、レジストリへの書き込み、ネットワーク接続など)については、アナリストにはルールが明示的に特定したアクションのみが表示されます。

これにより、(ルールによって検出される)ネットワーク接続は表示されますが、ダウンロードされたファイルがディスクに書き込まれたことを確認できない場合があります(別のルールで特定のファイルの書き込みが検出されない場合を除く)。同様に、プロセス/ファイルに接続されておらず、以前ルールによって検出されなかったIOCをさかのぼって検索することはできません。たとえば、ファイルハッシュやコマンドラインフラグメントは見つかりますが、レジストリの書き込みは見つかりません。

このオプションを使用した時に、重要なイベントがいくつか不足しているとします。その場合でも、関心のあるイベントのみを検出してこれらの下位レベルのイベントをデータベースに保存するカスタムルール(通常は重大度が低く、監視中は無視されます)を作成することで、この設定をカスタマイズできます。

検出に直接関連するデータのみを保存する

このオプションでは、ルールが明示的に特定した下位レベルのイベントデータのみが保存され、このモードで最小のデータベースが作成されます。これは、アクション(ディスクへの書き込み、レジストリへの書き込み、ネットワーク接続など)とプロセス自体(プロセスの実行、コマンドラインなど)に適用されます。ただし、プロセス、各プロセスのプロセス関連データ、すべてのプロセスのプロセス関連データに対して検出がトリガーされると、プロセスツリーと直接の子プロセスが保存されます。(これらの追加プロセスのプロセス関連データを保存しても、「アクション関連」イベントなどの他のデータは保存されません。)データベースには、他のすべてのプロセスに関する情報は保存されません。

つまり、「最も重要なデータを保存する」オプションと同様に、一部のアクションと、この場合は、ルールによって明示的に特定されなかった(および上記のプロセスツリーの保存された部分に含まれない)プロセスが、対応する結果とともに表示されない場合があります。プロセスツリーには、保存されたデータのプロセスは表示されません。

過去にルールによって検出されない限り、アクションに関連するIOCもプロセスプロパティ(コマンドラインなど)に関連するIOCも表示されないため、IOCの遡及的な検索は最小限しかできません。

前述のオプションで説明したように、関心のあるイベントのみ(プロセスの実行を含む)を検出してこれらの下位レベルのイベントをデータベースに保存するカスタムルール(通常は重大度が低く、監視中は無視されます)を作成することで、この設定をカスタマイズできます。

重要

前述のように、下位レベルのイベントデータの保存は、どのイベントが検出されるかに大きく影響を受けます。つまり、有効なルールの数を減らすと、(調査と遡及的検索に使用できる)保存されるデータの量も減ります。データ収集の設定を下げ、同時に一部のルールを無効にする場合、このことを考慮する必要があります。

たとえば、「検出に直接関連するデータのみを保存する」を選択してすべてのルールを無効にすると、データがまったく保存されなくなり、製品が機能しなくなります。

最も重要なデータを保存する/検出に直接関連するデータのみを保存する

一部の機能が制限されます。

イベント表示

集約イベント表示

バックグラウンドタスク

スクリプト表示

検索

目的は、データベースのサイズをコントロールすることです。ユーザーは、データベースのサイズと一部の詳細オプションの折り合いをつけようとしています。

検出に直接関連するデータのみを保存するオプションは、IT管理者にお勧めです。

データベースに保存されるデータを変更するには、データベース収集セクションの管理 > サーバー設定に移動します。

データ保持

データをデータベースに保存する期間を選択する期間が長いほど、古いデータがパージされるまでのデータベースは大きくなります。

データベースにデータを保存する期間を選択します。既定では、3か月です。

データベースに下位レベルのデータを保存する期間を選択します。既定では、1か月です。下位レベルのデータはデータベースサイズの大部分を占めるため、できるだけ短くする必要があります。これによって制限されるのは、製品によって疑わしいとして特定されていないデータの詳細な調査のみです。

この設定は、データベースのクリーンアップセクションで管理 > サーバー設定で変更できます。

ESET Inspect Connectorは以下に関する情報を収集します

ワークステーションで実行されているプロセスの開始と終了(そのような実行可能ファイルのメタデータを含む)

ライブラリの動的読み込みとドライバの動的読み込み(そのようなライブラリとドライバのメタデータを含む)

実行可能ファイルがディスクに保存される時のイベント

ファイルの変更(ディスク上に存在するすべてのファイルを含む)

ユーザーまたはプロセスによってファイル(セキュリティの観点から重要なファイル)(たとえば、一般的なWebブラウザーで使用されるパスワード情報を含むファイル)が開かれたりアクセスされたりする時のイベント

レジストリエントリへの変更

ネットワーク接続

実行中のプロセスへのコードインジェクション

名前付きパイプの作成

ユーザーとグループの作成

ユーザーのログイン

WMIの実行とクエリ

追加されたWindowsスケジュールタスクとインストール済みサービス