セキュリティ侵害インジケーター（IOC）のスキャン

セキュリティ侵害インジケーター（IOC）とは、コンピューターへの認証されないアクセス（コンピューターの侵害）の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。

Kaspersky Endpoint Security は IOC ファイルを使用して侵害インジケーターを検索します。IOC ファイルは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。

IOC スキャンタスクの実行モード

Kaspersky Endpoint Detection and Response を使用して、侵害されたデータを検知する標準の IOC スキャンタスクを作成できます。標準の IOC スキャンタスクは Web コンソールで手動で作成および設定されたタスクまたはタスクのグループを意味します。タスクは、ユーザーが準備した IOC ファイルを使用して実行されます。手動で侵害インジケーターを追加する場合は、IOC ファイルの要件を参照してください。

以下のリンクをクリックしてダウンロードできるファイルには、すべての OpenIOC 標準の IOC タームの一覧が含まれています。

こちらのリンクから IOC_TERMS.XLSX ファイルをダウンロードできます

Kaspersky Endpoint Security は、本製品が Kaspersky Sandbox ソリューションの一部として使用されている場合はスタンドアロンの IOC スキャンタスクをサポートします。

IOC ファイルの作成

Kaspersky Endpoint Security 12.10 for Windows から、タスク設定で直接 IOC ファイルを作成できるようになりました。IOC ファイルを作成するには、侵害インジケーターのリストを含む TXT ファイルを準備する必要があります。侵害インジケーターとして次のオブジェクトのリストを追加できます：

• ファイルハッシュ（MD5 / SHA256）。

  本製品は、FileItem/Md5sum または FileItem/Sha256sum のスキャン範囲で IOC ファイルを準備します。

• IP アドレス（IPv4、IPv6）。

  本製品は、PortItem/RemoteIP のスキャン範囲で IOC ファイルを準備します。

• DNS 名。

  本製品は、DnsEntryItem/RecordName のスキャン範囲で IOC ファイルを準備します。

Web コンソールで IOC ファイルを作成する方法

IOC スキャンタスクの作成

IOC スキャンタスクは、手動で作成することができます：

• アラートの詳細（EDR Optimum のみ）で作成する。

  アラートの詳細（Alert details）は、収集済みの検知した脅威に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。

• タスクウィザードを使用する。

EDR Optimum のタスクは、Web コンソールおよび Cloud コンソールで設定できます。EDR Expert のタスク設定は Cloud コンソールのみで使用可能です。

［IOC スキャン］タスクを作成するには：

1. Web コンソールのメインウィンドウで、［アセット（デバイス）］→［タスク］の順に選択します。

   タスクのリストが表示されます。

2. ［追加］をクリックします。

   タスクウィザードが起動します。

3. タスクの設定を指定します：
   1. ［アプリケーション］から［Kaspersky Endpoint Security for Windows (12.10.0)］を選択します。
   2. ［タスク種別］から［IOC スキャン］を選択します。
   3. ［タスク名］に簡潔な内容を入力します。
   4. ［タスクを割り当てるデバイス］ブロックで、タスク範囲を選択します。
4. タスク範囲の指定方法に応じて、対象デバイスを選択します。次の手順に進みます。
5. タスクの実行に使用するユーザーアカウントの認証情報を入力します。次の手順に進みます。

   既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント（SYSTEM）として開始します。

   システムアカウント（SYSTEM）にはネットワークドライブの IOC スキャンタスクを実行する権限がありません。ネットワークドライブに対してタスクを実行する場合に、そのドライブにアクセス権のあるユーザーアカウントを選択してください。

   ネットワークドライブのスタンドアロンの IOC スキャンタスクには、タスクのプロパティで、そのドライブにアクセス権のあるユーザーアカウントを手動で選択する必要があります。

6. ウィザードを終了します。

   タスクのリストに新しいタスクが表示されます。

7. 新しいタスクをクリックします。

   タスクのプロパティウィンドウが表示されます。

8. ［アプリケーション設定］タブを選択します。
9. ［IOC スキャン設定］に移動します。
10. 侵害インジケーターを検索するために IOC ファイルをアップロードします。

    IOC ファイルをアップロードすると、チェックに通過しなかったインジケーターのリストなど、ファイルに関する概要情報が本製品に表示されます。IOC ファイルをアップロードしたら、タスクのプロパティで直接、組み込みエディターを使用してファイルを手動で編集できます。Kaspersky Endpoint Security は、OpenIOC 1.1 標準に準拠した IOC ファイルの編集をサポートしています。OpenIOC 1.0 ファイルを編集することはできません。

    IOC コレクションに IOC ファイルが追加されます。必要に応じて、IOC ファイルをタスク範囲から一時的に除外できます。

    タスク実行後の IOC ファイルの追加または削除は推奨されません。前回実行された IOC スキャン結果が正しく表示されないことがあります。IOC ファイルの侵害インジケーターを検索するには、新しいタスクを追加するようにしてください。

11. IOC 検知時の動作の設定：
    • コンピューターをネットワークから分離する：このオプションを選択した場合、Kaspersky Endpoint Security は脅威の拡散を防ぐためにコンピューターをネットワークから分離します。分離時間はEndpoint Detection and Response コンポーネントの設定で設定できます。

      このチェックボックスをオフにすると、タスクを手動で実行した後でコンピューターをネットワークから分離できます。IOC スキャンタスクで IOC が検知された場合、IOC から直接コンピューターをネットワークから分離することができます（IOC スキャンのプロパティ→［アプリケーション設定］→［IOC スキャン結果］タスク）。Kaspersky Endpoint Security では、ネットワーク分離の無効化期間やネットワーク分離の除外リストなど、追加の設定をすぐに管理することもできます。

    • コピーを隔離に移動し、オブジェクトを削除する：このオプションを選択した場合、Kaspersky Endpoint Security はコンピューターで検知された悪意のあるオブジェクトを削除します。オブジェクトを削除する前に、後で復元する必要があった場合に備えて Kaspersky Endpoint Security はオブジェクトのバックアップコピーを作成します。バックアップコピーは隔離に移動されます。

      このチェックボックスをオフにすると、タスクを手動で実行した後でファイルを手動で隔離できます。IOC スキャンタスクでデータを危険にさらす可能性のあるファイルが検知された場合、IOC スキャン結果からこのファイルを直接隔離することができます（［アプリケーション設定］→［IOC スキャン結果］）。この結果、Kaspersky Endpoint Security は、検知されたファイルの事前設定されたデータを使用してタスク作成ウィザードを起動します。タスクのスケジュールの設定など、追加のタスク設定のみを管理する必要があります。

    • 簡易スキャンを実行する：このオプションを選択した場合、Kaspersky Endpoint Security は簡易スキャンタスクを実行します。既定では、カーネルメモリ、実行中のプロセスおよびスタートアップオブジェクト、ディスクブートセクターをスキャンします。
12. ［詳細］に移動します。
13. タスクの一部として分析される必要のあるデータ種別（IOC ドキュメント）を選択します。

    Kaspersky Endpoint Security は、読み込まれた IOC ファイルの内容に従って IOC スキャンタスク用のデータ種別（IOC ドキュメント）を自動で選択します。選択されたデータ種別の選択解除は推奨されません。

    次のデータ種別に対してスキャン範囲を追加で設定できます：

    • ファイル - FileItem：事前定義された範囲を使用してコンピューター上の IOC スキャン範囲を設定します。

      既定では、Kaspersky Endpoint Security はコンピューターの重要な領域（ダウンロードフォルダー、デスクトップ、一時的なオペレーティングシステムのファイルがあるフォルダーなど）のみの IOC をスキャンします。スキャン範囲を手動で追加することもできます。

    • Windows イベントログ - EventLogItem：イベントが記録された際の時間周期を入力します。IOC スキャンに使用する必要のある Windows イベントログを選択することもできます。既定では、次のイベントログが選択されています：アプリケーションイベントログ、システムイベントログ、セキュリティイベントログ。
    • Windows レジストリ - RegistryItem：レジストリで IOC スキャン範囲を設定します。

      既定では、Kaspersky Endpoint Security はレジストリキー一式をスキャンします。

14. コンピューターのプロパティウィンドウで、［スケジュール］タブを選択します。
15. タスクのスケジュールを設定します。

    このタスクでは Wake-on-LAN は使用できません。コンピューターの電源がオンになっていて、タスクを実行できることを確認してください。

16. 変更内容を保存します。
17. タスクの横にあるチェックボックスをオンにします。
18. ［開始］をクリックします。

Kaspersky Endpoint Security はコンピューター上にある侵害インジケーターの検索を実行します。［履歴］のタスクのプロパティでタスクの結果を確認できます。［アプリケーション設定］→［IOC スキャン結果］の順に選択して、タスクのプロパティで侵害インジケーターに関する情報を表示することができます。IOC スキャン結果では、手動で検知されたファイルを隔離することも、コンピューターをネットワークから分離することもできます。

IOC スキャン結果は 30 日間保持されます。この期間を経過すると、Kaspersky Endpoint Security は最も古いデータを自動的に削除します。

ページのトップに戻る