公開日
2023年7月27日
新人SEからVision Oneマスターに、私はなる! #3 Workbench:アラートの管理
こんにちは、トレンドマイクロ セールスエンジニアリング部Vision Oneオンボーディングチームの森川です。
皆さん、Trend Vision One™ (以下、Vision One) は『ややこしくてよく分からない』と思っていませんか?
(私もそう思っていました笑)
「新人SEからVision Oneマスターに、私はなる!」シリーズ では、
Vision Oneの主要な機能について、説明から実施の流れまでスクリーンショット付きで詳しくご紹介します。
本記事では、『XDR Threat Investigation (以下、XDR)』の主な機能の一つで、検知アラートの影響範囲やインシデント調査に利用できる『Workbench』について、
概要やメリットから実際の使い方の流れをご紹介しますので、ぜひ一緒に実施してみてください!
なお本シリーズは機能ごとに独立しているため、本記事のみでも理解いただけるよう構成していますが、
前段となる以下2つの記事を先に読んでいただくことでより理解が深まりますので、以下ご紹介させていただきます。
・「新人SEからVision Oneマスターに、私はなる! #1 進化するマルウェアとその対策:EDR/XDRの重要性」
・「新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介」
一緒にVision Oneマスターになりましょう!
1.Workbenchとは?
Workbenchとは、Vision Oneの『XDR』の機能の一つです!
XDRでは、以下の機能を提供しています。
・Vision Oneに連携したセンサーから集められたアクティビティデータを監視
・攻撃をモデル化した”検出モデル”に合致した場合にWorkbenchアラートを発令
・インシデントの検出・調査・対処
その中でもWorkbenchは、セキュリティの対応の流れにおける「調査」や「対処」のフェーズで使うことができます!
以下の図のように、Workbenchにデータを提供している各レイヤ(ネットワーク、メール、エンドポイント、サーバ)のセキュリティ製品から収集したデータを分析し、脅威のアラートを一覧で確認することができます!
Workbenchの表の見方は以下の図をご参照ください。基本的にアラートが発生した際は、この画面を最初に見ていただいて調査していただく流れとなります。
Workbench IDを選択すると、アラートの詳細を確認することができます。
アラートの見方の詳細に関しては後半にてご説明しますが、先に確認されたい場合は『4.Workbenchのアラートの見方』をご参照ください!
2.Workbenchのメリットを教えて!
ここまででざっくりWorkbenchはどんなことができるのか?が理解いただけたかと思いますが、
それでは、Workbenchのメリットは何でしょうか?
ここでは、Workbenchをなぜ利用した方がいいのかを詳しく見ていきましょう。
Workbenchでは、Vision One上で検知した攻撃を可視化することができます!
また、影響範囲を調査するための必要な情報を把握し、同じ画面から隔離やファイル収集といった初期対応まで行うことができます!
3.Workbenchのアラートを出してみよう!
⚠【一緒に検証をおこなっていただく方へ】
以下の手順は既にVision Oneのユーザ登録済・Endpoint Basecamp (センサー) のインストール、有効化済みであることを前提で説明しております。
まだ完了していない方はこちらの記事の3.4をご参照ください。
【とりあえずWorkbenchを用いたセキュリティ対応の流れを知りたい方へ】
手順3では実際にアラートをあげる方法を記載していますが、『4.Workbenchのアラートの見方』では、実際に手順3を行っていなくても理解いただけるような構成にしております。
そのため、手順3はスキップしていただき『手順4』から読んでいただくことも可能です!
さて、Workbenchに興味を持っていただけましたでしょうか?
実際に検証してみないと活用方法のイメージがつかないと思うので、実際に動作確認を行っていきましょう。
今回は「攻撃シミュレーションツール」という疑似的に攻撃を行うことができるツールを用いて、
Workbenchにアラートを起こし、インシデントの検出を確認していきます!
<攻撃シミュレーションツールを実行する>
1.攻撃シミュレーションツールのダウンロード
1.Vision Oneコンソール左下隅にあるボックス(
アイコン)を選択すると、リソースセンターが開きます。
2.リソースセンターのうち、[シミュレーション] > [Workbench] > [シミュレーションを試す] を選択し、プルダウンからテストするシナリオを選択します。(※今回は [エンドポイント攻撃のシナリオ] を選択します。)
シミュレーションダイアログが表示され、選択したシミュレーションに関する情報が表示されます。
3.T1003-OS資格情報のダンプ [デモスクリプトのダウンロード] を選択し、
アーカイブファイルをXDRセンサーが有効なWindowsエンドポイントにダウンロードします。
4.XDRセンサーが有効なWindowsエンドポイントで、[デモスクリプトのダウンロード] 下部に記載されたパスワードを使い、"T1003_Demo_Script.zip”を解凍します。
2.攻撃シミュレーションツールの実行
1.XDRセンサーが有効なWindowsエンドポイントでT1003_Demo_Script.batを実行します。
2.Windowsのコマンドプロンプトが起動し、画面の指示に従って、デモコマンドを実行します。
【コマンドの詳細】------
--------------------------
3.Workbenchで検出アラートを確認
上述の手順で攻撃シミュレーションツールを実行すると、Workbenchで検出アラートがあがります!
『4.Workbenchのアラートの見方』ではそのアラートの詳細を見ていきましょう。
4.Workbenchのアラートの見方
続いて、『3. Workbenchのアラートを出してみよう!』にて検出したアラートを実際に見ていきましょう!
このアラートを確認することで、なぜこの攻撃をされてしまったのかの原因を明らかにすることができます!
1.Workbenchにてアラート内容を確認する
1.Vision Oneコンソール左側にて、[XDR THREAT INVESTIGATION (
アイコン)] > [Workbench] の順に画面を移動します。
2.モデル名 [Demo - Credential Dumping via Registry] アラートが発令されていることを確認し、[Workbench ID] を選択します。
3.[Workbench ID] を選択していただくと、下記の画面に移動します。
ここでは、アラートの概要や影響範囲を確認できます。
影響範囲にある端末・ユーザアイコンを選択することで影響を受けているホスト名、ユーザ名を特定します。
4.ハイライトをみていただくと、実際に攻撃に使われた手法を確認することができます。
攻撃手法の分析などをおこなっているMITER社のサイトにページが移行し、攻撃概要を確認できます!
このページから、どんな種類の攻撃を受けたのかを判断していただくことができます。
5.実行されたコマンドを確認します!
左側のハイライトより [(objectCmd)] を選択すると、この攻撃が実行されたコマンドが確認できます。
※[(objectCmd)] を右クリックしていただくことで、このコマンドを除外設定したり詳細を分析することもできます!
6.単一エンドポイント内で起こった詳細を確認します!
下記の [使用可能な実行プロファイル] を選択すると、展開されたプロセスの流れを確認することができます。
7.手順6にて [使用可能な実行プロファイル] を選択いただくと、下記画面が表示されます!
※調査する時はこの画面をメインに見ていただくことになります!
この画面の見方としては、左は先ほどと同様ハイライトやコマンドになっており、
右の画面にて実行の流れが分かるようになっております。
※実行の流れが分かりにくい時は、[タイムラインビューに切替] を選択すると時間軸に切り替えることができます!
8.先程実行した” T1003_Demo_Script.bat”が不審ファイルとして確認できます!
各オブジェクトを選択すると、より詳細な情報を見ることができます。
例えば [explorer.exe] を選択すると、このような情報が確認できます。
CLIコマンドから、実際にどういうコマンドからこれが実行されたのかが分かります。
隣のイベントタブでは、このプロセスで完結したことだけではなく、
このプロセスからどういったファイルが作成されたかが見ることができます。
調査の結果、攻撃によるものではない場合は、ここまでの調査で対応完了となります!
対応が必要である場合は、以下の方法でその後の『対処』を施すことができます。
2.対処方法
Workbenchによる調査が完了し、対処が必要と判断したWorkbench アラートについては、必要に応じて対処をしていただく必要がございます!
ここでは主な対処方法3つをご紹介いたします。
■対象サーバ/エンドポイントを隔離したい
1.エンドポイントを右クリックいただくと、エンドポイントの隔離という項目が表示されるので、[エンドポイントを隔離]を選択します。
2.[作成] ボタンを選択すると、エンドポイントを隔離することができます。
3.Vision Oneコンソール左側の [Workflow and Automation (
アイコン)] > [Response Management]から、
当該隔離タスクが緑のチェックマークで成功していることを確認します。
当該エージェントにてインターネットブラウザを開き、インターネット接続出来ないことを確認します。
おまけ知識
隔離をすると管理下のトレンドマイクロサーバ製品との通信を除き、
対象エンドポイントをネットワークから切断されます!
引き続きVision Oneとの通信はできるので、隔離後もVision Oneで調査が可能です!
・補足:隔離したエンドポイントの復元方法
隔離されたエンドポイントのセキュリティの問題を解決したら、Vision Oneコンソール左側の [Workflow and Automation (アイコン)] > [Response Management] からネットワーク接続を復元することができます!
1.エンドポイントの横にあるオプションボタン(
)を選択します。
2.[接続の復元] → [作成] の順で選択すると、エンドポイントを復元することができます。
■不審ファイルをダウンロードしたい
1.先程開いていた実行プロファイルにて、T1003のアイコンを右クリックし [ファイルの収集] を選択します。
ポップアップウィンドウより [作成] を選択すると、ファイルを回収できます。
2.Vision Oneコンソール左側の [Workflow and Automation (アイコン)] > [Response Management]から、検出ファイルをダウンロードします。
ダウンロードしたファイルをお客様自身で調査いただいたり、弊社に提出いただき調査をすることができます!
ファイルを弊社へ提出する方法の詳細につきましては、下記の弊社サイトに記載がございますので、
下記サイトをご参照ください。
◆疑わしいファイル(ウイルス検体)の調査依頼方法
<https://success.trendmicro.com/jp/solution/1305428>
※Apex Oneの記事ですがVision Oneについても同様の依頼方法となります。
■対象サーバ/エンドポイントへリモートでコマンド実行したい
1.Workbenchの画面にて、サーバアイコンを右クリックし「リモートシェルセッションの開始」を選択します。
2.リモートシェル接続が開始され、エンドポイントに直接アクセスし、コマンドを実行して端末内の調査を行うことができます。
※マスター管理者またはセキュリティアナリストの役割を持つユーザのみが、リモートシェル 対応にアクセスできます。
対応コマンドは随時アップデートされますので、最新の情報は下記URLをご参照ください。
◆リモートシェルセッションタスクの開始
<https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/common-apps/response-management/response-actions/start-remote-shell-s.aspx>
※上記URL下部のコマンドから該当エンドポイントの一覧をご参照ください。
5.知っておくと便利!Workbenchの便利機能
先程『4.Workbenchのアラートの見方』にて手動でエンドポイントを隔離できるとお伝えしましたが、
自動で隔離することができれば便利ではないでしょうか?
「Security Playbook」という機能をご利用いただくことで自動で隔離したり、ファイルを収集することができます!
この機能をご利用いただくと、手動で隔離せずともサーバ/エンドポイントを隔離することができます。
Playbookの作成方法
1.Vision Oneコンソール左側にて、[XDR THREAT INVESTIGATION (アイコン)] > [Workbench] の順に画面を移動します。
2.Workbenchの画面の右上にある [自動対応Playbook] を選択、または [Workflow and Automation (アイコン)] > [Security Playbooks] の順に選択すると下記の画面が表示されます。
詳細な手順につきましては下記の弊社サイトに記載がございます。もしよろしければ是非下記サイトをご参照のうえお試しください。
◆ユーザ定義Playbookの作成
<https://www.docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/common-apps/security-playbooks/create-playbooks.aspx>
6.さいごに
お疲れさまでした!
このブログを通して、Workbenchの概要やメリット、Workbenchを用いたセキュリティの対応方法をご紹介させて頂きました!
攻撃された原因が分からなければ、また同じ経路で同じ攻撃をされてしまうかもしれません。
Workbenchをご活用いただくことで攻撃の可視化が容易になりますので、是非ご活用いただけると幸いです!
他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめているのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう!
ここまでお読みいただき、ありがとうございました。
最新情報
最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください!
ブログシリーズ『新人SEからVision Oneマスターに、私はなる!』
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
Vision Oneオンボーディングチーム セールスエンジニア
森川 梨奈