エンドポイント検出プレイブックを使用する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • このプレイブックを使用して、ホストまたはエンドポイントでトリガーされたマルウェアアラートを調査します。以下に示すステップは、エンドポイント検出プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で、SIR で脅威のルックアップの結果を分析し、VirusTotal、WildFire、ThreatCrowd などから情報を収集して、ファイルまたはハッシュが悪意のあるものかどうかを確認する必要があります。
    2. アクション 2 では、ファイルまたはハッシュが悪意のあるものかどうかを確認する必要があります。
    3. アクション 3 では、ファイルまたはハッシュが悪意のあるものであった場合に、次のアクションを実行します。
      1. アクション 4 では、検出されたアプリケーションまたはプロセスを脅威と特定し、検出の理由に関する情報を収集して、セーフリストに進む必要があります。
        図 : 1. エンドポイント検出プレイブック
        ファイルが悪意のあるものではないかどうかを判断するための応答タスク。
      2. アクション 5 では、アプリケーションが信頼できるソース (Microsoft、Adobe、またはその他の有名なソフトウェアベンダーなど) からのものであるかどうかを確認する必要があります。
      3. アクション 6 では、アプリケーションが信頼できるソースからのものである場合に、CrowdStrike Falcon アラートに対してアクションを実行する必要があります。
        図 : 2. CrowdStrike Falcon アラート
        CrowdStrike Falcon アラートに対してアクションを実行するための応答タスク。
      4. アクション 7 で、次のアクションを実行します。
        1. 次のように移動する。 CrowdStrike Falcon > 検出 学習します。
        2. CrowdStrike Falcon アラートをクリックします。
        3. [実行の詳細] タブで、[ハッシュ防止アクション (Hash Prevention Action)] の [ハッシュの編集 (Edit Hash)] アクションをクリックします。
        4. 必要な手順を実行します。
          注:
          特定のホストにしか有効なビジネス上の根拠があるアプリケーションの使用が許可されなくなる可能性があるため、[ブロックしない (Never Block)] オプションは慎重に選択してください。ただし、他のホストに対して追加のアラートを設定することが必要な場合があります。
      5. アクション 8 では、アプリケーションが信頼できるソースからのものでない場合に、デバイスからファイルまたはアプリケーションをローカルで放棄するかどうかを選択する必要があります。
        アクション 10 では、デバイスからファイルまたはアプリケーションをローカルで放棄する場合に、次のアクションを実行します。
        1. アクション 11 では、[隔離されたファイル] タブに移動し、デバイス名を検索してエンドポイントをフィルタリングします。
        2. ローカルで放棄する必要があるファイルを選択し、[リリース] をクリックします。
          注:
          • ファイルは引き続きこの特定のエンドポイントで実行されます。ただし、検出と隔離は他のすべてのホストで引き続き実行されます。
          • 複数のホストで隔離ファイルを一括解放するには、適切なファイル名とステータスを選択します。[選択] をクリックし、[リリース] を選択します。

        アクション 12 で、デバイスからローカルにファイルまたはアプリケーションを放棄しない場合は、承認されたアプリケーションのインストールを要求するためにユーザーを IT サポートにリダイレクトできます。

    4. アクション 14 では、ファイルまたはハッシュが悪意のあるものであった場合に、次のアクションを実行します。
      1. アクション 15 では、ユーザーのロール (機密情報を処理する部署または役職)、アプリケーションの種類 (ランサムウェア、ルートキットなど)、およびアプリケーションの影響 (影響を受けたユーザーの数) に基づいて、ファイル/ハッシュが高リスクか低リスクかを判断する必要があります。
      2. アクション 16 では、ファイルが高リスクファイルの場合に、次のアクションを実行します。
        1. アクション 17 では、脅威インテリジェンスチームとともに結果を確認します。
        2. アクション 18 では、ファイルに対してマルウェアバイトスキャンを実行します。
        3. アクション 19 では、フォレンジック分析を開始します。
        4. アクション 20 では、フォレンジック分析の結果に基づいてホストの隔離を実行し、悪意のあるファイル/ハッシュを削除します。
        5. アクション 21 では、ユーザー認証情報が侵害された場合、または脅威を簡単に除去できない場合に、IT チケットを発行してユーザー認証情報をリセットするか、必要に応じてマシンを再イメージ化します。
        6. アクション 22 では、ホストの隔離解除を実行します。
        図 : 3. 危険度の高いファイル
        リスクの高いファイルかどうかを判断するための応答タスク。
      3. アクション 23 では、ファイルが高リスクファイルの場合に、次のアクションを実行します。
        1. 次のように移動する。 CrowdStrike Falcon > 構成 学習します。
        2. [構成] タブから、 防止ハッシュ > > アップロードハッシュ > ハッシュの追加.
        3. 必要な OS を選択し、[常にブロック (Always Block)] を選択します。
    5. アクション 24 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。