Sophos Intercept X Advanced for Server with XDR の「脅威分析センター」で実施するインシデント対応

端末保護機能と、セキュリティインシデントに対応できる機能をあわせ持つ「Sophos Intercept X Advanced for Server with XDR(※1)(以後、Intercept X for Server)」についてご紹介していきます。
前編では製品概要についてご紹介しましたが、本編ではインシデント対応の機能について深堀していきます!

前編をまだ読んでいない、という方は是非お読みください。

「 脅威解析センター 」ってなに?~3つの機能を紹介~

「脅威解析センター(※2)」は、Intercept X for Server で保護している端末内で発生するセキュリティ脅威を検知し、対応するために重要な情報を一目で確認することができます。便利な機能が多数用意されており、これらの機能を組み合わせることで迅速なインシデント対応を実現できます。ここでは基本となる3つの機能に絞りご紹介します。

機能1.「脅威グラフ」

脅威グラフでは、脅威の概要、簡素化されたイベントチェーン、影響を受けたアーティファクトの詳細 (プロセス、ファイル、キー)、および脅威の流れを示す図を表示します。攻撃の感染元や感染経路の他、感染したプロセスやファイルを特定することができます。下記の図のように、脅威全体を可視化できるため、早急に全体像を把握したいときに非常に便利な機能です。

脅威グラフ

機能2.「デバイスの隔離」

デバイスの隔離では、端末に脅威が存在すると考えられる場合、端末を隔離することができます。
端末が感染していた場合、対象の端末を隔離することで被害を最小限に抑えられる可能性があります。端末を隔離した上で、保護対象の端末内を調査(Live Discover など)することが可能です。
端末を隔離する場合、下記の図にある「デバイスの隔離」をクリックします。ワンクリックで隔離することができ、復元(隔離状態から元の状態に戻すこと)も容易にできます。

デバイスの隔離.1
デバイスの隔離.2

機能3.「Live Discover」

Live Discover では、保護対象端末の確認、脅威の兆候の検索、コンプライアンスの状態の評価などを実行できます。
Live Discover には多数のクエリが事前に用意されており、それらのクエリをそのまま利用することも可能ですし、ユーザーが編集・作成することも可能です(編集・作成するためには、osquery や SQL を理解する必要があります)。

Intercept X for Server を導入している端末であれば、どの端末にでもクエリを実行することができます。そのため、影響範囲の特定や脅威の兆候の有無などを確認することもできます。

「脅威解析センター」で脅威を分析してみる

擬似的に脅威を発生させるために EICAR テストファイル(疑似ウイルスファイル)(※3)を使って検証します。
先ほどご紹介した「脅威解析センター」の「脅威グラフ」「デバイスの隔離」「Live Discover」の 3 つの機能を利用します。保護対象の端末に EICAR ファイルがダウンロードされた場合、これらの機能をどのように使うことができるのかを確認してみます。

前提

下記、OS やライセンスを使用して検証しました。

  • Sophos Intercept X Advanced for Server with XDR
  • Windows Server 2022

実際に試してみる

今回は、EICAR テストファイルの他に脅威が残っていないかどうかを確認します。

「ファイル」カテゴリの中にある「Common suspicious directories (Windows directories)」クエリを使います。
このクエリは、C:\Windows ディレクトリ配下から怪しいファイルを検出するためのクエリです。事前に用意されているクエリですので、誰でも利用することができます。

テストファイル
クエリ

使用するクエリを選択すると、クエリを実行するための必要な情報を入力します。このクエリは「start_time」と「end_time」を入力する必要があります。
あとは、クエリを実行する端末を選択して、「クエリの実行」をクリックします。

Live Discover.1

結果が表示されます。
いくつかのファイルが検出されていますが、誤検知の場合もあるので、結果を目視で確認します。今回の場合は、特に怪しいファイルはありませんでした。

Live Discover.2

今回はテストファイルでの検証でしたが、実際に保護対象の端末がマルウェア感染した場合も同様に対応できます。まず、「脅威解析センター」にある「脅威グラフ」で検知・感染した状況をイベントチェーンを用いて可視化し、全体的な状況を早急に把握します。次に、「デバイスの隔離」を利用して、感染拡大の被害を最小にするため、感染端末をネットワークから切り離し、最後に「Live Discover」を利用して、端末内にある情報を検索・取得する、という流れです。

まとめ

前編の冒頭でもお伝えした通り、端末を保護するだけではなく、インシデントが発生することを前提とした端末保護が必要となっています。

セキュリティベンダーから様々なサーバセキュリティ製品が出ていますが、Intercept X for Server の「脅威解析センター」は視覚的に分かり易く、検知~対応まで一通り対応できる機能が多数揃っている製品となっています。

Intercept X for Server には無料評価版(※4)があるので、まずはお試しいただければと思います。
無料評価版をご希望の方、まずは下記お問い合わせフォームよりご依頼ください。担当者より折り返し導入手順などの詳細について連絡させていただきます。

著者:大西 翔太
セキュリティコンサルタント、企業様向けのセキュリティ製品導入サポート、
インシデント対応などにより企業のセキュリティ対策をご支援した実績多数あり。
情報処理安全確保支援士、CASP+、AWS Certified Security – Specialty、など資格も多数保有。

【参考】
※1: Server Security: Sophos Workload Protection with XDR, https://www.sophos.com/ja-jp/products/server-security
※2: 脅威解析センター – Sophos Central Admin, https://docs.sophos.com/central/customer/help/ja-jp/ManageYourProducts/ThreatAnalysisCenter/index.html
※3: Eicar – EUROPEAN EXPERT GROUP FOR IT-SECURITY, https://www.eicar.org/
※4: ソフォスのサーバーウイルス対策無償評価, https://www.sophos.com/ja-jp/products/server-security/free-trial

  • URLをコピーしました!