Aurora Focus オプションのセンサ

次の Aurora Focus センサのいずれかを有効にすることにより、標準のプロセス、ファイル、ネットワーク、レジストリの各イベント以外の追加データを収集できます。オプションのセンサを有効にすると、デバイスのパフォーマンスとリソース使用率、および Aurora Focus データベースに保存されるデータ量に影響が及ぶ可能性があります。Arctic Wolf では、最初に少数のデバイスでオプションのセンサを有効にして影響を評価することをお勧めします。

オプションのセンサは、特に記載のない限り、Windows 64 ビットオペレーティングシステムでのみサポートされています。


センサ	説明	ベストプラクティス	注
高度なポータブル実行可能解析	この Aurora Focus エージェントは、ファイルバージョン、インポート機能、パッカータイプなど、移植可能な実行可能ファイルに関連付けられたデータフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	このセンサによって収集されたデータは、拡張実行可能ファイル分析を支援するためにコンテキスト分析エンジンに渡され、Aurora Focus データベースには保存されません。このセンサを有効にしても、Aurora Focus のデータ保持にはほとんど影響しません。文字列リソースを分析する検出ルールを追加して有効にすると、Aurora Focus エージェントが CPU とメモリのリソースを大量に消費する可能性があります。
高度なPowerShellの可視性	この Aurora Focus エージェントは、JScript、PowerShell（コンソールおよび統合スクリプト環境）、VBScript、および VBA マクロスクリプト実行からのコマンド、引数、スクリプト、およびコンテンツを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低から中程度	推奨環境：デスクトップノートパソコンサーバー Microsoft Exchange およびメールサーバーには推奨されません。	Microsoft またはその他のサードパーティ製ソリューションが提供するツールの操作実行は、PowerShell に大きく依存している場合があります。データの保持期間を長くするため、Arctic Wolf では、PowerShell を頻繁に使用する信頼済みツールに対し、検出例外を設定することをお勧めします。
高度な WMI の可視性	この Aurora Focus エージェントは、追加の WMI 属性とパラメーターを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	一部の Windows のバックグラウンドやメンテナンスのプロセスは、タスクのスケジューリングやコマンドの実行に WMI を使用します。その結果、WMI のアクティビティが短時間急増することがあります。 Arctic Wolf は、このセンサを有効にする前に、お使いの環境での WMI 使用状況を分析することをお勧めします。
API センサ	Aurora Focus エージェントは、指定された一連の Windows API 呼び出しを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：このセンサを有効にすると、デバイスの CPU パフォーマンスが影響される可能性があります	推奨環境：デスクトップノートパソコンサーバー	x86 または x64 Windows オペレーティングシステムでサポートされています。 Aurora Protect Desktop エージェントのバージョン 3.0.1003 以降が必要です。 Aurora Focus エージェントのバージョン 3.2 以降が必要です。
COM オブジェクトの可視性	Aurora Focus エージェントは、COM インターフェイスと API コールを監視して、スケジュールされたタスクの作成などの悪意のある動作を検出します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：このセンサーを有効にすると、CPU パフォーマンスが影響される可能性があります。	推奨環境：デスクトップノートパソコンサーバーには推奨されません。	Aurora Protect Desktop エージェントのバージョン 3.2 以降が必要です。 Aurora Focus エージェントのバージョン 3.3 以降が必要です。
DNS の可視性	この Aurora Focus エージェントは、DNS 要求と応答、およびドメイン名、解決済みアドレス、レコードタイプなどの関連データフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコン DNS サーバーには推奨されません。	このセンサは大量のデータを収集することもありますが、他のツールでは記録が困難なデータを可視化することもできます。データの保持期間を長くするため、Arctic Wolf では、クラウドベースのサービスを大量に利用する信頼済みツールに対し、検出例外を設定することをお勧めします。
強化されたファイル読み取りの可視性	Aurora Focus エージェントは、指定されたディレクトリセット内のファイル読み取りを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この Aurora Focus が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、Arctic Wolf では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
強化されたプロセスとフッキングの可視性	この Aurora Focus エージェントは、Win32 API およびカーネル監査メッセージからのプロセス情報を記録して、プロセスフックと注入の形式を検出します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この Aurora Focus が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、Arctic Wolf では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
HTTP の可視性	Aurora Focus エージェントは、Windows のイベントトレース、WinINet API、WinHTTP API などの Windows HTTP トランザクションを追跡します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：このセンサーを有効にすると、CPU パフォーマンスが影響される可能性があります。	推奨環境：デスクトップノートパソコンサーバーには推奨されません。	Aurora Protect Desktop エージェントのバージョン 3.2 以降が必要です。 Aurora Focus エージェントのバージョン 3.3 以降が必要です。
モジュールロードの可視性	Aurora Focus エージェントはモジュールのロードを監視します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：このセンサーを有効にすると、CPU パフォーマンスが影響される可能性があります。	推奨環境：デスクトップノートパソコンサーバー	Aurora Protect Desktop エージェントのバージョン 3.2 以降が必要です。 Aurora Focus エージェントのバージョン 3.3 以降が必要です。
プライベートネットワークアドレスの可視性	この Aurora Focus エージェントは、RFC 1918 および RFC 4193 アドレス空間内でのネットワーク接続を記録します。信号対雑音比：低データの保持とパフォーマンスへの影響の可能性：低	デスクトップに推奨。非推奨環境： DNSサーバーリソースが不足しているシステム RDP またはその他のリモートアクセスソフトウェアを使用するシステム	このセンサは大量のデータを収集するため、データが Aurora Focus データベースに保存される時間に影響が及ぶ可能性があります。 Arctic Wolf では、プライベートネットワークアドレス通信を完全に可視化する必要がある環境でのみ、このセンサを有効にすることをお勧めします。
Windows の高度な監査の可視性	この Aurora Focus エージェントは、Windows の追加のイベントタイプとカテゴリを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	このセンサは、次のイベント ID の監視を有効にします。 4769 Kerberos チケットの要求 4662 Active Directory オブジェクトの操作 4624 ログオンに成功 4702 スケジュールされたタスクの作成
Windows イベントログの可視性	この Aurora Focus エージェントは、Windows のセキュリティイベントとその関連属性を記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコンサーバー非推奨環境：ドメインコントローラ Microsoft Exchange とメールサーバー	このセンサが収集したデータ元の Windows イベントログは、通常のシステム使用中に頻繁に生成されます。重複するデータを減らし、データの保持期間を長くするため、Windows イベントログからデータを収集するツールが組織に既に存在しているかどうかを確認してください。

センサ	説明	ベストプラクティス	注
高度なポータブル実行可能解析	この Aurora Focus エージェントは、ファイルバージョン、インポート機能、パッカータイプなど、移植可能な実行可能ファイルに関連付けられたデータフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	このセンサによって収集されたデータは、拡張実行可能ファイル分析を支援するためにコンテキスト分析エンジンに渡され、Aurora Focus データベースには保存されません。このセンサを有効にしても、Aurora Focus のデータ保持にはほとんど影響しません。文字列リソースを分析する検出ルールを追加して有効にすると、Aurora Focus エージェントが CPU とメモリのリソースを大量に消費する可能性があります。
高度なPowerShellの可視性	この Aurora Focus エージェントは、JScript、PowerShell（コンソールおよび統合スクリプト環境）、VBScript、および VBA マクロスクリプト実行からのコマンド、引数、スクリプト、およびコンテンツを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低から中程度	推奨環境：デスクトップノートパソコンサーバー Microsoft Exchange およびメールサーバーには推奨されません。	Microsoft またはその他のサードパーティ製ソリューションが提供するツールの操作実行は、PowerShell に大きく依存している場合があります。データの保持期間を長くするため、Arctic Wolf では、PowerShell を頻繁に使用する信頼済みツールに対し、検出例外を設定することをお勧めします。
高度な WMI の可視性	この Aurora Focus エージェントは、追加の WMI 属性とパラメーターを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	一部の Windows のバックグラウンドやメンテナンスのプロセスは、タスクのスケジューリングやコマンドの実行に WMI を使用します。その結果、WMI のアクティビティが短時間急増することがあります。 Arctic Wolf は、このセンサを有効にする前に、お使いの環境での WMI 使用状況を分析することをお勧めします。
API センサ	Aurora Focus エージェントは、指定された一連の Windows API 呼び出しを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：このセンサを有効にすると、デバイスの CPU パフォーマンスが影響される可能性があります	推奨環境：デスクトップノートパソコンサーバー	x86 または x64 Windows オペレーティングシステムでサポートされています。 Aurora Protect Desktop エージェントのバージョン 3.0.1003 以降が必要です。 Aurora Focus エージェントのバージョン 3.2 以降が必要です。
COM オブジェクトの可視性	Aurora Focus エージェントは、COM インターフェイスと API コールを監視して、スケジュールされたタスクの作成などの悪意のある動作を検出します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：このセンサーを有効にすると、CPU パフォーマンスが影響される可能性があります。	推奨環境：デスクトップノートパソコンサーバーには推奨されません。	Aurora Protect Desktop エージェントのバージョン 3.2 以降が必要です。 Aurora Focus エージェントのバージョン 3.3 以降が必要です。
DNS の可視性	この Aurora Focus エージェントは、DNS 要求と応答、およびドメイン名、解決済みアドレス、レコードタイプなどの関連データフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコン DNS サーバーには推奨されません。	このセンサは大量のデータを収集することもありますが、他のツールでは記録が困難なデータを可視化することもできます。データの保持期間を長くするため、Arctic Wolf では、クラウドベースのサービスを大量に利用する信頼済みツールに対し、検出例外を設定することをお勧めします。
強化されたファイル読み取りの可視性	Aurora Focus エージェントは、指定されたディレクトリセット内のファイル読み取りを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この Aurora Focus が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、Arctic Wolf では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
強化されたプロセスとフッキングの可視性	この Aurora Focus エージェントは、Win32 API およびカーネル監査メッセージからのプロセス情報を記録して、プロセスフックと注入の形式を検出します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この Aurora Focus が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、Arctic Wolf では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
HTTP の可視性	Aurora Focus エージェントは、Windows のイベントトレース、WinINet API、WinHTTP API などの Windows HTTP トランザクションを追跡します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：このセンサーを有効にすると、CPU パフォーマンスが影響される可能性があります。	推奨環境：デスクトップノートパソコンサーバーには推奨されません。	Aurora Protect Desktop エージェントのバージョン 3.2 以降が必要です。 Aurora Focus エージェントのバージョン 3.3 以降が必要です。
モジュールロードの可視性	Aurora Focus エージェントはモジュールのロードを監視します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：このセンサーを有効にすると、CPU パフォーマンスが影響される可能性があります。	推奨環境：デスクトップノートパソコンサーバー	Aurora Protect Desktop エージェントのバージョン 3.2 以降が必要です。 Aurora Focus エージェントのバージョン 3.3 以降が必要です。
プライベートネットワークアドレスの可視性	この Aurora Focus エージェントは、RFC 1918 および RFC 4193 アドレス空間内でのネットワーク接続を記録します。信号対雑音比：低データの保持とパフォーマンスへの影響の可能性：低	デスクトップに推奨。非推奨環境： DNSサーバーリソースが不足しているシステム RDP またはその他のリモートアクセスソフトウェアを使用するシステム	このセンサは大量のデータを収集するため、データが Aurora Focus データベースに保存される時間に影響が及ぶ可能性があります。 Arctic Wolf では、プライベートネットワークアドレス通信を完全に可視化する必要がある環境でのみ、このセンサを有効にすることをお勧めします。
Windows の高度な監査の可視性	この Aurora Focus エージェントは、Windows の追加のイベントタイプとカテゴリを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	このセンサは、次のイベント ID の監視を有効にします。 4769 Kerberos チケットの要求 4662 Active Directory オブジェクトの操作 4624 ログオンに成功 4702 スケジュールされたタスクの作成
Windows イベントログの可視性	この Aurora Focus エージェントは、Windows のセキュリティイベントとその関連属性を記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコンサーバー非推奨環境：ドメインコントローラ Microsoft Exchange とメールサーバー	このセンサが収集したデータ元の Windows イベントログは、通常のシステム使用中に頻繁に生成されます。重複するデータを減らし、データの保持期間を長くするため、Windows イベントログからデータを収集するツールが組織に既に存在しているかどうかを確認してください。

Aurora Endpoint Security

Aurora Endpoint Security

Aurora Focus オプションのセンサ