脅威を識別するために Aurora Focus が使用するデータ構造
イベント、アーチファクト、ファセットは、デバイスで発生するアクティビティを分析、記録、調査するために Aurora Focus が使用する 3 つの主要なデータ構造です。InstaQuery、フォーカスデータ、Context Analysis Engine(CAE)などの Aurora Focus の機能が、これらのデータ構造を利用します。
このセクションでは、Aurora Focus がデバイス上のアクティビティを解釈して関与する仕組みについて詳しく説明します。これにより、検出データ、クエリデータ、フォーカスデータをさらに深く理解して活用できるようになります。
OS 別のデータソース
Aurora Focus エージェントは、次のデータソースを使用します。
|
OS |
データソース |
|---|---|
|
Windows |
|
|
macOS |
CyOpticsDrvOSX カーネルドライバ |
|
Linux |
ZeroMQ |
Aurora Focus によってデフォルトで除外されるネットワークトラフィックのタイプについては、「KB 42221282487835」を参照してください。
イベント
イベントとは、デバイスに対して観察可能な変更またはアクションをもたらす構成要素のことです。イベントは、2 つの主要なアーチファクト(アクションを開始するインスティゲーティングアーチファクトと、操作を実行するターゲットアーチファクト)から構成されます。
次の表では、Aurora Focus による検出および操作が可能なイベントタイプの詳細を示します。
イベント:任意
- 有効にするデバイスポリシーオプション:Aurora Focus チェックボックス
- アーチファクトタイプ:プロセス、ユーザー
- プラットフォーム:Windows、macOS、 Linux
|
イベントタイプ |
説明 |
|---|---|
|
任意 |
すべてのイベントは、それらを生成したプロセスと、アクションに関連付けられたユーザーを記録します。 |
イベント:アプリケーション
- 有効にするデバイスポリシーオプション:高度な WMI の可視性
- アーチファクトタイプ:WMI トレース
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
フィルターを作成 - コンシューマバインディング |
プロセスによって WMI の永続性が使用されました。 |
|
一時コンシューマを作成 |
プロセスによって WMI イベントがサブスクライブされました。 |
|
操作を実行 |
プロセスによって WMI 操作が実行されました。 |
- 有効にするデバイスポリシーオプション:強化されたプロセスとフッキングの可視性
- アーチファクトタイプ:ファイル
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
CBT |
SetWindowsHookEx API によって、CBT アプリケーションに役立つ通知を受信するためのフックがインストールされました。 |
|
DebugProc |
SetWindowsHookEx API によって、他のフックプロシージャをデバッグするためのフックがインストールされました。 |
|
非同期キー状態を取得 |
プロセスによって Win32 GetAsyncKeyState API が呼び出されました。 |
|
JournalPlayback |
SetWindowsHookEx API によって、WH_JOURNALRECORD フックプロシージャが前に記録したメッセージを監視するフックがインストールされました。 |
|
JournalRecord |
SetWindowsHookEx API によって、システムメッセージキューに入れられた入力メッセージを監視するフックがインストールされました。 |
|
キーボード |
SetWindowsHookEx API によって、キーストロークメッセージを監視するフックがインストールされました。 |
|
低レベルキーボード |
SetWindowsHookEx API によって、低レベルのキーボード入力イベントを監視するフックがインストールされました。 |
|
低レベルマウス |
SetWindowsHookEx API によって、低レベルのマウス入力イベントを監視するフックがインストールされました。 |
|
メッセージ |
SetWindowsHookEx API によって、メッセージキューに入れられたメッセージを監視するフックがインストールされました。 |
|
マウス |
SetWindowsHookEx API によって、マウスメッセージを監視するフックがインストールされました。 |
|
Raw Inputデバイスを登録 |
プロセスによって、Win32 RegisterRawInputDevices API が呼び出されました。 |
|
Windows イベントフックを設定 |
プロセスによって、Win32 SetWinEventHook API が呼び出されました。 |
|
Windows フックを設定 |
SetWindowsHookEx API によって、リストにないフックタイプ値がインストールされました。 |
|
ShellProc |
SetWindowsHookEx API によって、シェルアプリケーションに役立つ通知を受信するためのフックがインストールされました。 |
|
SysMsg |
SetWindowsHookEx API によって、ダイアログボックス、メッセージボックス、またはスクロールバーでの入力イベントの結果として生成されるメッセージを監視するフックがインストールされました。 |
|
WindowProc |
SetWindowsHookEx API によって、Windows プロシージャメッセージを監視するフックがインストールされました。 |
- 有効にするデバイスポリシーオプション:API センサ
- アーチファクトタイプ:API呼び出し
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
関数 |
重要な関数呼び出しが実行されました。 |
- 有効にするデバイスポリシーオプション:モジュールロードの可視性
- アーチファクトタイプ:ファイル
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
ロード |
アプリケーションがモジュールをロードしました。 |
- 有効にするデバイスポリシーオプション:COM オブジェクトの可視性
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
作成済み |
COM オブジェクトが作成されました。 |
イベント:デバイス
- 有効にするデバイスポリシーオプション:Aurora Focus チェックボックス
- アーチファクトタイプ:ファイル
- プラットフォーム:macOS、 Linux
|
イベントタイプ |
説明 |
|---|---|
|
マウント |
デバイスがマシンに接続されているか、フォルダが特定のネットワークロケーションにマウントされています。 |
イベント:ファイル
- 有効にするデバイスポリシーオプション:Aurora Focus チェックボックス
- アーチファクトタイプ:ファイル
- プラットフォーム:Windows、macOS、 Linux
|
イベントタイプ |
説明 |
|---|---|
|
作成 |
ファイルが作成されました。 |
|
削除 |
ファイルが削除されました。 |
|
上書き |
ファイルが上書きされました。 |
|
名前変更 |
ファイルの名前が変更されました。 |
|
書き込み |
ファイルが変更されました。 |
- 有効にするデバイスポリシーオプション:強化されたファイル読み取りの可視性
- アーチファクトタイプ:ファイル
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
オープン |
ファイルが開かれました。 |
イベント:メモリ
- 有効にするデバイスポリシーオプション:Aurora Focus チェックボックス
- アーチファクトタイプ:プロセス
- プラットフォーム:macOS、 Linux
|
イベントタイプ |
説明 |
|---|---|
|
Mmap |
一定のメモリ領域が、特定の目的(通常はプロセスに割り当てられます)に対応付けられました。 |
|
MProtect |
メモリ領域のメタデータが変更されました。通常はステータスが変更(実行可能になるなど)されます。 |
イベント:ネットワーク
- 有効にするデバイスポリシーオプション:Aurora Focus チェックボックス
- アーチファクトタイプ:ネットワーク
- プラットフォーム:Windows、macOS、 Linux
|
イベントタイプ |
説明 |
|---|---|
|
接続 |
ネットワーク接続が確立されました。デフォルトでは、ローカルトラフィックは収集されません。 |
- 有効にするデバイスポリシーオプション:プライベートネットワークアドレスの可視性
- アーチファクトタイプ:ネットワーク
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
接続 |
接続イベントにはローカルトラフィックが含まれます。 |
- 有効にするデバイスポリシーオプション:DNS の可視性
- アーチファクトタイプ:DNS要求
- プラットフォーム:Windows、 Linux
|
イベントタイプ |
説明 |
|---|---|
|
要求 |
プロセスによって、キャッシュ保存されなかったネットワーク DNS 要求が作成されました。 |
|
応答 |
プロセスによって、DNS 応答が受信されました。 |
- 有効にするデバイスポリシーオプション:HTTP の可視性
- アーチファクトタイプ:HTTP
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
ゲット |
Windows が WinINet または WinHTTP を使用して HTTP 要求を行いました。 |
|
投稿 |
Windows が WinINet または WinHTTP を使用してデータを送信しました。 |
イベント:プロセス
- 有効にするデバイスポリシーオプション:Aurora Focus チェックボックス
- アーチファクトタイプ:プロセス
|
イベントタイプ |
プラットフォーム |
説明 |
|---|---|---|
|
異常終了 |
macOS Linux |
事前選択センサによって、プロセスが完了せずに終了した(例外によるプロセスの終了など)ことが検知されました。 |
|
終了 |
Windows macOS Linux |
プロセスが終了しました。 |
|
強制終了 |
macOS Linux |
事前選択センサによって、プロセスが別のプロセスによって強制終了されたことが検知されました。 |
|
PTrace |
macOS Linux |
あるプロセスが別のプロセスを監視および制御できるようにする Unix のシステムツールです。 |
|
開始 |
Windows macOS Linux |
プロセスが開始されました。 |
|
一時停止 |
Linux |
事前選択センサによって、プロセスが中断されたことが検知されました。 |
|
不明な Linux プロセスイベント |
macOS Linux |
事前選択センサによって、対象としてプロセスで不明なイベントが発生したことが検知されました。これは、悪意のあるソフトウェアがその活動を隠している兆候である可能性があります。 |
- 有効にするデバイスポリシーオプション:強化されたプロセスとフッキングの可視性
- アーチファクトタイプ:プロセス
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
SetThreadContext |
プロセスによって、SetThreadContext API が呼び出されました。 |
|
停止 |
扇動プロセスによって、別の対象プロセスが終了させられました。 |
イベント:レジストリ
- 有効にするデバイスポリシーオプション:Aurora Focus チェックボックス
- アーチファクトタイプ:レジストリ、ファイル(レジストリキーが特定のファイルを参照している場合)
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
KeyCreated |
レジストリキーが作成されました。 |
|
KeyDeleting |
レジストリキーが削除されました。 |
|
ValueChanging |
レジストリキーの値が変更されました。 |
|
ValueDeleting |
レジストリキー値が削除されました。 |
イベント:スクリプト
- 有効にするデバイスポリシーオプション:高度なスクリプトの可視性
- アーチファクトタイプ:PowerShellトレース
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
コマンドを実行 |
Windows PowerShell がコマンドを実行しました。パラメーターは不明です。 |
|
スクリプトを実行 |
Windows PowerShell がスクリプトを実行しました。 |
|
ScriptBlock を実行 |
Windows PowerShell によってスクリプトブロックが実行されました。 |
|
コマンドを呼び出す |
Windows PowerShell によって、バインドされたパラメーターを持つコマンドが呼び出されました。 |
|
スクリプトを禁止 |
AMSI ScanBuffer の結果は、スクリプトが管理者によって検出またはブロックされたことを示しています。 |
イベント:ユーザー
- 有効にするデバイスポリシーオプション:高度なスクリプトの可視性
- アーチファクトタイプ: Windows イベント
- プラットフォーム: Windows
|
イベントタイプ |
説明 |
|---|---|
|
バッチログオフ |
Windows イベント ID、4634(タイプ 4)が発生しました。 |
|
バッチログオン |
Windows イベント ID、4624(タイプ 4)が発生しました。 |
|
キャッシュされた対話型ログオフ |
Windows イベント ID、4634(タイプ 11)が発生しました。 |
|
キャッシュされた対話型ログオン |
Windows イベント ID、4624(タイプ 11)が発生しました。 |
|
対話型ログオフ |
Windows イベント ID、4634(タイプ 2)が発生しました。 |
|
対話型ログオン |
Windows イベント ID、4624(タイプ 2)が発生しました。 |
|
ネットワークログオフ |
Windows イベント ID、4634(タイプ 3)が発生しました。 |
|
ネットワークログオン |
Windows イベント ID、4624(タイプ 3)が発生しました。 |
|
NetworkClearText ログオフ |
Windows イベント ID、4634(タイプ 8)が発生しました。 |
|
NetworkClearText ログオン |
Windows イベント ID、4624(タイプ 8)が発生しました。 |
|
NewCredentials ログオフ |
Windows イベント ID、4634(タイプ 9)が発生しました。 |
|
NewCredentials ログオン |
Windows イベント ID、4624(タイプ 9)が発生しました。 |
|
リモート対話型ログオフ |
Windows イベント ID、4634(タイプ 10)が発生しました。 |
|
リモート対話型ログオン |
Windows イベント ID、4624(タイプ 10)が発生しました。 |
|
サービスログオフ |
Windows イベント ID、4634(タイプ 5)が発生しました。 |
|
サービスログオン |
Windows イベント ID、4624(タイプ 5)が発生しました。 |
|
ロック解除ログオフ |
Windows イベント ID、4634(タイプ 7)が発生しました。 |
|
ロック解除ログオン |
Windows イベント ID、4624(タイプ 7)が発生しました。 |
|
ユーザーログオフ |
Windows イベント ID、4634(リストにないタイプ値)が発生しました。 |
|
ユーザーログオン |
Windows イベント ID、4624(リストにないタイプ値)が発生しました。 |
アーチファクトとファセット
アーチファクトは、Aurora Focus が使用できる複合的な情報です。コンテキスト分析エンジン(CAE)は、デバイス上のアーチファクトを識別し、それらを使用してインシデントへの自動応答と修正アクションをトリガーできます。InstaQuery では、クエリの基礎としてアーチファクトが使用されます。
ファセットは、イベントに関連付けられたアーチファクトの特徴を識別するために使用できるアーチファクトの属性です。ファセットは、潜在的に悪意のあるアクティビティを特定するために、分析時に関連付けて組み合わせられます。たとえば、「explorer.exe」という名前のファイルは、本来疑わしいものではないかもしれませんが、ファイルが Microsoft によって署名されておらず、一時ディレクトリにある場合、環境によっては疑わしいものに区別されることがあります。
Aurora Focus では、次のアーチファクトとファセットが使用されます。
|
アーチファクト |
ファセット |
|---|---|
|
API呼び出し |
|
|
DNS |
|
|
イベント |
|
|
ファイル |
|
|
ネットワーク |
|
|
PowerShell トレース |
|
|
プロセス |
|
|
レジストリ |
|
|
ユーザー |
ユーザーアーチファクトには、以下のいずれかの値を含めることができますが、ほとんどのデバイスではデータを使用できません。
|
|
Windows イベント |
|
|
WMI トレース |
|
レジストリキーと値
Aurora Focus は、一般的な永続性、プロセスの起動、権限の昇格キーと値、および「KB 42221237570843」に示されている値を監視します。
Aurora Focus がレジストリ内の永続化ポイントを監視する方法の詳細については、「KB 42221282185883」を参照してください。