公開日
2023年8月24日

新人SEからVision Oneマスターに、私はなる！ #4 Search：検出データの検索

こんにちは、セールスエンジニアリング部 Vision One オンボーディングチームの髙木です。
「新人SEからVision Oneマスターに、私はなる！」シリーズ第4回の本編では、
Trend Vision One™（以下、Vision One）のデータ検索機能であるSearchについて、説明から実施の流れまでスクリーンショット付きで詳しくご紹介します。

なお本編は実際の機能説明となりますので、前段となる以下2つの記事を先に読んでいただくことでより理解が深まります！
・「#1 進化するマルウェアとその対策：EDR/XDRの重要性」
・「#2 トレンドマイクロのEDR/XDRを簡単に紹介」

本記事はVision Oneを登録していなくても最後までお読みいただけますが、この機会に是非無料体験版をお試しください！
Vision One登録手順につきましてはこちらの記事をご参照ください。
では、一緒にVision Oneマスターになりましょう！

1.Searchとは？
2.Searchのメリットは？
3.Searchの使い方
 4.Searchの便利機能をご紹介
 5.さいごに

1.Searchとは？

Searchとは、Vision Oneの『XDR』機能の一つです！
SearchではXDRで収集したアクティビティデータ^※と、連携している各プロダクトの検知情報に対して検索をかけることで、関連したエンドポイントやメール情報などを検索できます。
^※^{アクティビティデータ}^{とは、各活動がわかるデータのことで、例えばプロセスの生成やプログラムの実行、ファイルの読み書きなどをデータとして取得した情報のことを指します。}
Searchはセキュリティの対応の流れにおける「調査」のフェーズで使うことができます！

2.Searchのメリットは？

1.からSearchは各活動の情報やアクティビティデータを検索できる機能であることが分かりました。
Searchのメリットとしては、Workbench や Observed Attack Techniques で検出されていないアクティビティデータも含めて検索することができる点です。
これにより、当社で作成した検出モデルに合致していないデータも調査することが可能となり、環境中に未検出な脅威があった場合も、検索ワードに合致する兆候を発見することが出来ます！
Workbenchにつきましては、「#3 Workbench：アラートの管理」をご確認ください。
Observed Attack Techniquesはアラートをトリガする可能性のある、環境内で検出された個々のイベントと、関連するMITRE情報を表示する機能です。

⚠【MITRE情報とは？】

MITRE ATT&CK®とも呼んでおり、アメリカの非営利組織であるMITRE社が公開している、脆弱性を悪用した実際の攻撃を戦術と技術または手法の観点で分類したナレッジベースのこと
URL：https://attack.mitre.org/

Search、Workbench、Observed Attack Techniquesの違いをまとめると以下の表のようになります。

アプリ名	概要
Search	データレイク^※ 内のアクティビティデータを検索 ^{※データレイク・・・各センサーからのアクティビティデータの保管場所}
Workbench	攻撃をモデル化した”検出モデル”に合致した場合に、攻撃の全体像を示すWorkbenchアラートを発令
Observed Attack Techniques	MITREに基づいて検出された攻撃の兆候の詳細とセキュリティレベルを表示（検出モデルの一部に合致する情報をリストアップ）

Vision Oneでは、下記のように段階的にデータを相関し、検出の確度を上げていきます。

^{※XDRテレメトリデータとは、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、特定のセキュリティソリューションによって収集されたデータのことを指します。}
具体的な検索方法につきましては、「3. Searchの使い方」でご説明していきます。

3.Searchの使い方

それでは、実際にSearch機能の使い方についてみていきましょう！
今回は特定のマシン「SN-CL006WIN10」をSearch検索して詳細をみていきます！
①検索対象として一般か詳細を指定します。
・一般：
接続されている製品の全てのアクティビティデータを検索します。
・詳細：
検索するデータの正確なソースを選択できます。
エンドポイント / セキュアアクセス / ネットワーク / モバイルのいずれかのアクティビティデータもしくは対処済の検知ログから検索します。

ここでは一般を指定して「SN-CL006WIN10」を検索していきます！

②指定したアクティビティデータのフィールドと値などの情報をもとに検索を行うことも可能です。
指定できるフィールドは、図にある通りCLIコマンド/メール受信者/メール送信者/メール件名/エンドポイント名など、柔軟に検索できます。
③保存されているログを表示する期間の選択をします。指定できる期間は図にある通りです。
過去30日間より前の情報を確認したい場合は、カスタム期間で実際の日付を指定して検索をかけることができます。
^{※30日以上アクティビティデータを保管されたい場合には、ストレージオプションの購入が必要です。}

④データグループ：検索結果からアクティビティデータのフィールドと値で統計情報を確認できます。
⑤検索結果：エンドポイントのアクティビティデータを表示します。
怪しい動きが検出されると図のように赤いグラフと「」という赤いアイコンが表示されます。
⑥ログ記録：検索結果のアクティビティデータを時系列で確認できます。

・実際に検出してみた！
例として、特定端末へのネットワーク経由でのログイン試行の履歴を確認したい場合のクエリ方法を見ていきます。
Searchアプリを開き、検索方法を"エンドポイントアクティビティデータ"にします。
検索欄に、以下を入力します。
・WinEventID:4625（認証失敗という意）
・HostName（実際に検出されたホストネームを入力）
・EventDataLogonType:3（ネットワークアクセスという意）
具体的な検索構文につきましては、Online Help Centerをご確認ください。
Online Help Center：https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/xdr-part/search-app/search-syntax-simple.aspx
検索すると、ログイン試行をしたアクセス元のIPアドレスが分かります。
さらにそのIPアドレスの詳細を「Who is^※」で調べると、オランダのアムステルダムからログイン試行をしていることが分かります。
^{※「Who is」とは、IPアドレスやドメイン名の登録者などに関する情報を、インターネットユーザが誰でも参照できるサービスです。}

4.Searchの便利機能をご紹介

・WorkbenchからSearch実行
XDR THREAT INVESTIGATIONからWorkbenchを開き、アラートビュー→WorkbenchIDの順に進みます。
以下ページに辿り着いたら調査したい丸いアイコンのオブジェクト→右クリック→Search実行が可能です！

・同ページ右下のCompanionという生成型AIを使用して、インシデントとアラートを分析、調査し、対応方法を確認する機能もございます！
^{※本機能はプレビュー機能となりますため、英語で表示されます。}

Trend Vision One™ - Companionは、Workbenchアラートの調査と対応、Searchアプリの検索クエリの生成、サイバーセキュリティに関する質問への回答を支援するAI搭載のチャットボットです。
Online Help Center：https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/xdr-part/companion.aspx
画面右下の赤い吹き出しアイコン()をクリックします。

以下画面のように試しに「What is objectCmd?」と入力しますと、生成型AIが「objectCmd」について教えてくれます。

・Searchでウォッチリストに登録すると管理者にメールで通知される。
Searchにてにクエリ^※を保存し、ウォッチリストトグル()とステータストグル()をオンにした場合、この保存済みのクエリがウォッチリストとなり、保存したクエリ条件に合致したログがあれば登録したメールアドレスにメールで通知することができます。
^{※クエリとはデータの検索などの処理を行うように求める命令文のことを指します。}
ご利用方法につきましては以下に記載していきます。
①ここでは「Apex One」というクエリを保存します。
保存方法としては以下画面の検索方法で「エンドポイントアクティビティデータ」または「検出」を設定し、Searchで「Apex One」と検索をかけます。

②保存アイコン()をクリックします。

③任意の名前を入力し、保存をクリックします。

④をクリックし、ウォッチリストトグル()とステータストグル()をオンにします。

^{※ウォッチリストには最大20件のクエリを追加できます。}

⑤ウォッチリストボタン()をクリックすると、Search検索したときにウォッチリストに含まれるすべての保存されたクエリが表示されます。

⑥最後にメール通知設定方法を以下に記載します。
()→()の順に選択します。
関連アプリSearchの「ウォッチリストの一致」のステータスを有効にします。

アラート設定のメール：「受信者」に任意のメールアドレスを入力します。

5.さいごに

お疲れさまでした！
このブログでは、Searchの概要やメリット、実際の使用方法についてご紹介させていただきました。

Workbench や Observed Attack Techniques で検出はされていないが、詳細なデータも含めて検索し、調査したい場合にぜひSearch機能をご活用ください！

他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる！　#2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめていますのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう！
ここまでお読みいただき、ありがとうございました。

最新のVision Oneについての情報は、Online Helpをご確認ください。
Vision Oneの無料体験版はこちらからお申込みください！