振る舞い検知ポリシーの作成
振る舞い検知ポリシーの作成時、ポリシー内のすべての MITRE テクニックは、有用なデータを収集して意味のある観察とアラートを生成するように設計されたデフォルト設定になります。組織のセキュリティの状況とニーズに合わせて、ポリシーの設定のカスタマイズと調整ができます。
- 管理コンソールのメニューバーで、[Focus] > [行動検知エンジン]をクリックします。
- [検出設定の追加]をクリックします。
- ポリシーの名前と説明を指定します。
- [アラートの最小重大度]ドロップダウンリストで、Aurora Focus エージェントがアラートを生成する検出レベルを選択します。選択したレベルよりも検出の重大度が低い場合、エージェントはデータを収集および分析できますが、コンソールでアラートを生成しません。
たとえば、中程度以上のレベルを選択した場合は、重大度が中程度以上の検出のアラートが生成されます。重大度が情報提供または低の検出では、アラートは生成されません。
- [検出通知メッセージ]フィールドで、選択した重大度レベルに検出が達したときに、エージェントがデバイスユーザーに表示するメッセージを指定します。
- [追加]をクリックします。
- 次の操作のいずれかを実行します。
- ポリシーの設定後、振る舞い検知ポリシーをデバイスポリシーに後で関連付ける場合は、[後で]をクリックします。
- 振る舞い検知ポリシーをデバイスポリシーに今すぐ関連付ける場合は、[はい]をクリックします。[デバイスポリシーの割り当て]をクリックし、1 つ以上のデバイスポリシーと操作モードを選択して[割り当て]をクリックします。
- [振る舞い検知ポリシー]タブで、作成したポリシーをクリックします。
ビューは、MITRE 戦術のカテゴリ(初期アクセス、実行、持続性など)ごとに整理されます。各 MITRE 戦術カテゴリの下には、MITRE テクニックを表すカードが表示されます。各カードでは、次の情報を一目で確認できます。
- アイコンは、アラート、観察、通知がそのテクニックで有効になっているかどうかを示します。
- 色分けされたルールセクションは、重大度レベルごとにテクニックに含まれるルールの数を示します。赤の数字は重大度の高いルールを表し、オレンジは中、黄色は低、青は情報提供を表します。
- 稲妻アイコンの横の数字は、そのテクニックに設定されている自動応答の数を示し、色分けされたラベル(高、中、低、情報提供)は、これらの応答を実行するために満たす必要がある最小重大度レベルを示します。
MITRE テクニックのカードをクリックすると、テクニックとその検出ルールの詳細、関連する MITRE サブテクニックのリスト、詳細を確認するための MITRE リソースへのリンク、テクニックの設定がフライアウトメニューに表示されます。
- [検出と応答]タブで、次のいずれかを実行します。
タスク
手順
MITRE テクニックの検索
MITRE テクニックまたはサブテクニックの名前を検索フィールドに記入してください。検索語句に一致するテクニックが表示されます。
MITRE テクニックのリストの絞り込み
左側のペインで、目的のフィルター条件を選択します。フィルター条件に一致するテクニックが表示されます。
MITRE テクニックの設定の確認または変更
デフォルトでは、すべての MITRE テクニックについてアラートと観察が有効で、自動応答は設定されません。振る舞い検知ポリシーの設定を監視して微調整してから、自動応答を設定してください。
- MITRE テクニックのカードをクリックします。
- 次のいずれかを設定します。
- [検出アラートの有効化]:ポリシーの最小重大度以上の検出について、Aurora Focus にテレメトリデータを収集させ、管理コンソールに警告を生成させる場合は、これを有効にします。
- [観察の有効化]:検出がポリシーの最小重大度レベルに達しているかどうかにかかわらず、アラート設定に関係なくすべての検出について、Aurora Focus でテレメトリデータを収集、解釈、分析する場合は、これを有効にします。
検出アラートを有効にして観察を無効にすると、ポリシーの最小重大度以上の検出についてのみ、Aurora Focus はテレメトリデータを収集、分析し、アラートを生成します。検出アラートを無効にして観察を有効にすると、Aurora Focus はすべての検出についてテレメトリデータを収集して分析しますが、アラートは生成しません。
- [自動応答]:エージェントが自動応答をトリガーするために、検出で満たす必要がある最小重大度を選択します。[追加] > [修正アクション]の順にクリックして、エージェントに実行させる自動応答を 1 つ以上選択します。
自動応答の各タイプは、特定の検出タイプにのみ適用されます。詳細については、「検出タイプ別の自動応答」を参照してください。
- この時点で振る舞い検知ポリシーをデバイスポリシーに割り当てる場合は、次の手順を実行します。デバイスポリシーに振る舞い検知ポリシーを割り当てると、デバイスポリシーの検出エンジンソースは、[検出ルールセット]または[なし]に設定されていた場合、自動的に[BDE ポリシー]に変更されます。デバイスは、更新されたデバイスポリシーを受信すると、振る舞い検知エンジンに移行します。
- [割り当てられたデバイスポリシー]タブで、[デバイスポリシーの割り当て]をクリックします。
- [デバイスポリシー]ドロップダウンリストで、振る舞い検知ポリシーの割り当て先のデバイスポリシーを 1 つ以上クリックします。
- エージェントに自動応答を実行させない場合は、[アラートのみ]を選択します。
- エージェントに自動応答を実行させる場合は、[完全適用]をクリックします。
- [割り当て]をクリックします。
- [保存]をクリックします。