InstaQuery と高度なクエリを使用したアーチファクトデータの分析
InstaQuery と高度なクエリは、アーチファクトデータを分析して侵害の指標を検出し、組織のデバイスでの出現率を判断するための Aurora Focus 機能です。クエリの結果は、アーチファクトがいつどのように使用されたかを示すものではありませんが、組織のデバイスやデータに脅威を知らせる、フォレンジック的に重要な方法でアーチファクトが観察されたことがあるかどうかを示します。
InstaQuery を使用すると、特定のタイプのフォレンジックアーチファクトについてデバイスセットを調査できます。また、デバイスにアーチファクトが存在するかどうか、およびそのアーチファクトがどの程度の頻度で発生するかを判断できます。高度なクエリは InstaQuery を進化させたものであり、EQL 構文を使用する詳細な検索機能で、脅威を特定する機能を強化します。
Aurora Focus エージェントをデバイスにインストールして有効にすると、エージェントはアーチファクトを収集し、Aurora Focus データベースに保存します。Aurora Focus エージェント 2.x 以前のバージョンでは、データベースはデバイス上にローカルに保存されます。Aurora Focus エージェント 3.0 以降では、エージェントは自動的にデータを Aurora Focus クラウドデータベースにアップロードし、保存します。クエリを作成すると、フォレンジック的に重要なデータが Aurora Focus データベースから取得されます。管理コンソールで結果を表示し、調査できます。
Aurora Focus エージェント 2.x 以前のデバイスでは、デバイスがオンラインの場合にのみクエリを正常に完了できます。エージェント 3.0 以降のデバイスでは、クエリは Aurora Focus クラウドデータベースで使用可能な最新データを使用するため、デバイスをオンラインにする必要はありません。
1 つのクエリで、最大 10,000 件の結果を表示し、保持できます。クエリの結果は 60 日間保持されます。
クエリ可能な特定のアーチファクトについて、次の詳細に注意してください。
|
アーチファクト |
詳細 |
|---|---|
|
ファイル |
Aurora Focus エージェントがデバイスにインストールされた後に作成、変更、または削除された特定のファイルをクエリできます。Aurora Focus では、コンテンツの実行に使用できるファイル(実行可能ファイル、Microsoft Office ドキュメント、PDF など)に焦点を当てます。 |
|
ネットワーク接続 |
IPv4 と IPv6 の両方の宛先 IP アドレスに対してクエリを実行できます。Aurora Focus では、プライベート、ルーティング不能、マルチキャスト、リンクローカル、およびループバックネットワークトラフィックを破棄します。 |
|
処理 |
すべてのプロセスが Aurora Focus データベース内でインデックス付けされますが、次の制限があります。
|
|
レジストリキー |
Aurora Focus は、永続化ポイントとファイル削除ポイントのみを監視します。これらは通常、マルウェアによって悪用される領域です。 Aurora Focus によって監視されるレジストリキーと値の詳細なリストについては、「KB 42221237570843」を参照してください。 Aurora Focus がレジストリ内の永続化ポイントを監視する方法の詳細については、「KB 42221282185883」を参照してください。 |