高度な攻撃手法が見つかった |
ATP が SONAR の BPE (動作ポリシーエンフォースメント) から高度な攻撃手法を受信することで、インシデントが作成される |
{bash.advanced_attack_technique_recommended_actions} |
{ターゲット攻撃分析インシデントの説明} ターゲット攻撃分析インシデントの説明はターゲット攻撃分析サービスによって提供され、インシデントに応じて異なります。 |
ATP がターゲット攻撃分析からインシデントを受信することで、インシデントが作成される |
{ターゲット攻撃分析で推奨される処理} |
ターゲット電子メール攻撃が検出された |
電子メール検出技術によって電子メールがターゲット攻撃の一部であることが判明することで、インシデントが作成される |
送信者、受信者、添付ファイル、Web サイトに関連する他の電子メール検出を調査します。関連するサイトとファイルをブラックリスト化することも検討する必要があります。 |
{threat.name} が検出された |
ATP が遮断されていない AVE メール検出を受信することで、インシデントが作成される |
ファイルと、送信者、受信者、添付ファイル、Web サイトに関連する他の電子メール検出を調査します。関連するサイトのブラックリスト化や関連するファイルの修復も検討する必要があります。 |
{threat.name} が検出された |
ATP が遮断されていない重要な AVE または LCP 検出を受信することで、インシデントが作成される |
エンドポイントの隔離やファイルの削除、システムのクリーニングを実行できます。 |
サンドボックスの検出: {file.name} |
ATP が Cynic 検出を受信することで、インシデントが作成される |
エンドポイントの隔離やファイルの削除、システムのクリーニングを実行できます。 |
コマンドアンドコントロールドメイン {deepsight_domain} が検出された |
コマンドアンドコントロールドメイン {deepsight_domain} が検出された |
サイトのブラックリスト化を検討します。また、脅威との接触の発生源を調査して、さらに対策が必要かどうかを確認する必要がある場合もあります。 |
悪質なドメイン {deepsight_domain} が検出された |
悪質なドメイン {deepsight_domain} が検出された |
サイトのブラックリスト化を検討します。また、脅威との接触の発生源を調査して、さらに対策が必要かどうかを確認する必要がある場合もあります。 |
敵対者 {actor} からターゲット攻撃が検出された |
実行元から複数の IOC が検出された |
以下の分析を確認します。攻撃範囲の識別、侵害の封じ込め、感染の撲滅、環境のリカバリ、組織のセキュリティを改善できる項目の整理など、インシデント対応計画を開始します。 |
マルウェアファミリー {malware} を使用したターゲット攻撃が検出された |
sha256 インジケータから複数の IOC が検出された |
以下の分析を確認します。攻撃範囲の識別、侵害の封じ込め、感染の撲滅、環境のリカバリ、組織のセキュリティを改善できる項目の整理など、インシデント対応計画を開始します。 |
マルウェアファミリー {malware} を使用したターゲット攻撃が検出された |
同じシグネチャと URL から複数の IOC が検出された |
以下の分析を確認します。攻撃範囲の識別、侵害の封じ込め、感染の撲滅、環境のリカバリ、組織のセキュリティを改善できる項目の整理など、インシデント対応計画を開始します。 |
{data_source_url_domain} から複数の悪質な動作が検出される |
過去 1 時間以内にソースホストで大量の判定イベントが検出された |
このサイトが重要でない場合は、ブラックリストに追加することを検討してください。それ以外の場合は、サイトを遮断するために DNS にシンクホールサーバーを作成することを検討してください。 |
解決されない SEP の検出が毎日発生する |
識別した SEP が脅威と考えられるのに遮断されないことで、インシデントが作成される |
SEP の設定確認、エンドポイントの隔離、ファイルの削除、システムのクリーニングを実行します。 |
{device_name} を対象にする複数の攻撃が検出された |
過去 1 時間以内にターゲットコンピュータで大量の判定イベントが検出された |
悪質な活動を試行するソフトウェアを削除します。また、悪質なダウンロードにつながる可能性のある Web 閲覧行為に関して、コンピュータのユーザーに連絡することを検討してください。 |
{signature_name} が検出される |
ATP が重要な NDC 検出を受信することで、インシデントが作成される |
脆弱性のある関連ソフトウェアをパッチで修正します。サイトをブラックリスト化するか、ファイルを削除できます。 |
ターゲット攻撃が検出される |
Cynic メタデータによってファイルがターゲット攻撃の一部であることが判明することで、インシデントが作成される |
エンドポイントの隔離やファイルの削除、システムのクリーニングを実行できます。 |
メモリエクスプロイト {signature_name} が検出される |
メモリエクスプロイト攻撃が検出される |
Symantec Endpoint Protection がメモリ攻撃を遮断します。ただし、エンドポイントは感染したままである可能性があります。エンドポイントの感染を調査します。さらに調査するため、すべての関連する記録された処理またはエンドポイントのイベントを取得します。エンドポイントを隔離したり、検出をクリーニングしたりできます。 |
疑わしい PowerShell が検出される: 耐解析技術が使用される |
疑わしい PowerShell が検出される: 耐解析技術が使用される |
攻撃者は、サンドボックスベースのマルウェア検出エンジンによる検出を回避するため、仮想環境でプロセスが実行されているかどうかを検出しようとする可能性があります。PowerShell を呼び出したプロセスを調査します。影響を受けたエンドポイントを隔離して修復します。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: 疑わしい難読化されたコマンドが実行される |
疑わしい PowerShell が検出される: 疑わしい難読化されたコマンドが実行される |
攻撃者は、PowerShell をエンコードして難読化し、複雑な複数行のコマンドの実行を簡素化します。復号されたコマンドと PowerShell を呼び出したプロセスの目的を調査します。コマンドを呼び出す代わりに復号されたコマンドの内容を書き出すように元の PowerShell コマンドラインを修正すると、内容を確認できます。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: .dll がリモートの場所からダウンロードされて実行される |
"疑わしい PowerShell が検出される: .dll がリモートの場所からダウンロードされて実行される |
PowerShell を呼び出したプロセスと、逆コンパイラを使用している .dll ファイルの内容を調査します。影響を受けるエンドポイントを隔離して修復し、感染したファイルを削除またはクリーニングします。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: コンテンツがリモートの場所からダウンロードされて実行された |
疑わしい PowerShell が検出される: コンテンツがリモートの場所からダウンロードされて実行される |
ダウンロードされたコンテンツとダウンロードサイトを調査します。Symantec Endpoint Protection によってすでに遮断されていない場合は、影響を受けるエンドポイントを隔離して修復し、感染したファイルを削除またはクリーニングします。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: ファイルレスでレジストリベースのスクリプトの実行 |
疑わしい PowerShell が検出される: レジストリに保存された PS スクリプトの実行 |
攻撃者は、レジストリに PowerShell スクリプトを隠して、持続性を実現し検出を回避します。レジストリに格納される PowerShell スクリプトの内容を調査します。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: ユーザーの cookie がファイルに抽出された |
疑わしい PowerShell が検出される: cookie が抽出されて保存される |
PowerShell コマンドを呼び出したプロセスを調査して、必要に応じて修復します。すべての Web サイトでアカウントの資格情報を変更するようにユーザーに通知します。影響を受けるエンドポイントを隔離して修復し、感染したファイルを削除またはクリーニングします。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: インメモリマルウェアが実行される |
疑わしい PowerShell が検出される: インメモリマルウェアが実行される |
インメモリ実行は、マルウェアファイルをディスクに書き込まずに悪質な活動を実行するために攻撃者によって使用されます。PowerShell コマンドで指定されるシェルコードと呼び出しプロセスを調査して、修復のために次のステップを評価します。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: 疑わしいエンコードされたコマンドが呼び出された |
疑わしい PowerShell が検出される: 疑わしいエンコードされたコマンドが呼び出される |
攻撃者は、PowerShell をエンコードして難読化し、複雑な複数行のコマンドの実行を簡素化します。復号されたコマンドと PowerShell を呼び出したプロセスの目的を調査します。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
疑わしい PowerShell が検出される: 難読化された PowerShell コマンドラインが実行される |
疑わしい PowerShell が検出される: 難読化された PowerShell コマンドラインが実行される |
難読化されたコマンドのソースを調査します。Symantec Endpoint Protection によってすでに遮断されていない場合は、影響を受けるエンドポイントを隔離して修復し、感染したファイルを削除またはクリーニングします。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
悪質な PowerShell が検出される: 資格情報の窃取 |
"悪質な PowerShell が検出される: 資格情報の窃取 |
Mimikatz は、ハッキングと侵入テストを目的としたシステム資格情報とドメイン資格情報の抽出に使用されるツールです。侵害が疑われる場合、攻撃者のエントリポイントと攻撃の範囲を調査します。影響を受けたエンドポイントを隔離して修復します。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。ユーザーのパスワード変更を検討します。 |
疑わしい PowerShell が検出される: Powersploit |
疑わしい PowerShell が検出される: Powersploit |
Powersploit は、ハッキングと侵入テストに使用される PowerShell スクリプトのセットです。侵害が疑われる場合、攻撃者のエントリポイントと攻撃の範囲を調査します。影響を受けたエンドポイントを隔離して修復します。エンドポイントの記録データのフルダンプをダウンロードして、エンドポイントでの活動をさらに調査します。 |
ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)