動作検出ルールグループ

Prev Next

Endpoint Detection and Response アドオンは、動作検出ルールグループを使用するために必要です。

動作検出ルールグループとは

動作検出ルールグループを使用すると、EDR 動作検出を微調整して制御できます。これは、環境を監視しているセキュリティ ルールをカスタマイズする方法と考えてください。必要に応じて保護レベルを上げたり、トーンダウンしてアラートノイズを低減したりできます。

検出レベルを理解する

すぐに使用できる動作検出は 慎重 モードで実行され、最も深刻な脅威のみがアラートをトリガーします。これにより、誤報が最小限に抑えられ、最悪のアクターを捕まえることができます。より包括的なレベルを選択することで、セキュリティを強化できます。

  • 慎重 - 誤検知がほとんどない明確な悪意のあるアクティビティに焦点を当てます。

  • 中程度 - 管理しやすい状態を保ちながら、より多くの潜在的な脅威を捕まえるために、より広い網を投げます。

  • グレッシブ - 最大の感度で包括的な検出範囲を採用します (より多くのアラートが期待されます)。

ルールグループ

行動検出は 8 つの焦点を絞ったカテゴリに分かれており、それぞれがさまざまな種類の不審な動作を監視します。各グループを個別に [慎重]、[中程度]、または [積極的] に設定できます。

  • 発見と情報収集: セキュリティソフトウェアのインストールや仮想マシンを識別するコマンドなど、疑わしいプローブコマンドを検出します。

  • エクスプロイト検出: 公に知られている、または独自に発見された脆弱性の悪用の試みを検出します。

  • 難読化と暗号化の検出: データまたはコマンドを隠すための暗号化と難読化の使用を検出します。

  • 永続化メカニズム: macOS ホスト上で永続性を確立することを目的とした起動エージェントおよびデーモンの作成または変更を監視します。

  • 権限昇格の検出: ファイルの権限をいじったり、機密性の高い構成ファイルにアクセスしたりするなど、誰かがより高いレベルのアクセスを取得しようとしている兆候を監視します。

  • スクリプトとコマンドの使用状況の監視: 疑わしいコマンドとスクリプトの実行を識別します。

  • セキュリティツールとシステム構成の変更: Gatekeeper、Transparency Consent and Control (TCC)、エンドポイントセキュリティ製品など、macOS を保護するように設計されたセキュリティ構成とツールの変更または無効化を検出します。

  • ユーザーアカウントの変更: 通常のユーザー操作やシステム管理から非表示にしておくことを目的としたユーザーアカウントの作成または操作を検出します。

ルール グループの構成

  1. 左側のナビゲーションで [脅威] ページを開きます。

  2. [ ルール] タブを選択します。

  3. ルールをグローバルに設定するには、 ルール検出レベルを選択します。

  4. ルールグループに基づいてルールを設定するには、 ルールグループごとに検出レベルを設定します

  5. 各ルールグループタイプで、目的の 検出レベルを選択します。

  6. 完了したら、 検出設定を保存します。

ルール例外の処理

ルールの例外は、悪意のある動作を対象としないルールでのみ使用できます。重要なセキュリティー・ルールを個別に無効にすることはできません。

ルールグループ全体の設定に影響を与えずに過剰なアラートを生成する特定のルールを無効にする必要がある場合があります。これを行うには:

  1. [脅威] ページの [検出 ] タブに移動します。

  2. 脅威の左側にあるチェックボックスを使用して、不要なアラートを生成する 検出 を選択します。

  3. 左下隅の省略記号を選択します。

  4. [不審なルールを無効にする] を選択します。

例外の管理

無効にしたルールは、EDR 設定の [ルール] タブの [ルールの例外] リストに自動的に表示されます。

そこから、次のことができます。

  • オフにしたすべてのルールを表示する

  • 状況が変わった場合にルールを再びオンにする

  • 監視されていないものを追跡します。