このトピックでは、ウォッチリスト IOC の特定の使用事例について説明します。

エンドポイントが特定の IP アドレスまたはドメインに接続するか、禁止ハッシュを実行しようとするたびにヒットまたはアラートを取得する

[解決策:]

等しい IOC:https://developer.carbonblack.com/reference/carbon-black-cloud/cb-threathunter/latest/watchlist-api/#iocs-1を使用します。

[例]:

エンドポイントが 1 つ以上のリモート IP アドレスに到達するたびにアラートを取得するには、このような等しい IOC を持つウォッチリストを作成します。

{
    "id": "netconn_iocs_list_1",
    "match_type": "equality",
    "field": "netconn_ipv4",
    "values": ["111.222.333.444"],
    "link": "https://my-internal-site.local/netconn_iocs/list_1"
}

エンドポイントが禁止ハッシュを実行するたびにヒットを取得するには、次のような等しい IOC を持つウォッチリストを作成します(ハッシュが [レピュテーション] ページの [禁止リスト] にあることを確認します)。

{
    "id": "hash_iocs_list_a",
    "match_type": "equality",
    "field": "process_sha256",
    "values": ["68e656b251e67e8358bef8483ab0d51c6619f3e7a1a9f0e75838d41ff368f728"],
    "link": "https://my-internal-site.local/hash_iocs/list_a"
}

疑わしいプロセスが起動するたびに 1 つのウォッチリスト アラートを取得する

[解決策:]

クエリに少なくとも 1 つの検索可能なイベント固有フィールドを含むクエリ IOC を使用します。たとえば、Office ドキュメントを開いた結果として PowerShell が起動するたびにアラートを生成します。

次の例では、クエリ IOC として含まれている場合は想定どおりに機能しません。

(((process_name:wscript.exe OR process_name:cscript.exe OR process_name:powershell.exe) AND (parent_name:winword.exe OR parent_name:powerpnt.exe OR parent_name:excel.exe) AND -(process_cmdline:"powershell.exe kill -processname winword") -process_cmdline:health_check -process_cmdline:SQL_Check*))

代わりに、この例では、1 つのプロセス実行に対して複数のアラートを生成します。これは、このクエリで使用されるすべてのフィールドが、センサーが報告するイベントで常に報告されるためです。つまり、センサーは、プロセスの開始(childproc 操作)だけでなく、filemod 操作、regmodnetconnfileless_scriptloadmodloadなど、プロセスが実行するイベントを含む、実行されたプロセスの有効期間中のすべてのイベントを報告します。

代わりに、次の例では意図したとおりに機能します。 

((childproc_name:wscript.exe OR childproc_name:cscript.exe OR childproc_name:powershell.exe) AND (process_name:winword.exe OR process_name:powerpnt.exe OR process_name:excel.exe) AND -(childproc_cmdline:"powershell.exe kill -processname winword") -childproc_cmdline:health_check -childproc_cmdline:SQL_Check*)

クエリ IOC に childproc_namechildproc_cmdline などの 1 つ以上のイベント固有フィールドを含めると、センサーがプロセスからのアクティビティを報告するたびにヒットとアラートを生成するのではなく、センサーがプロセスに対して特定の一致イベントを報告した場合にのみ、ウォッチリスト機能がヒットとアラートを生成するようになります。この場合、ウォッチリストは子プロセスが生成されたときにのみアラートを生成し、その子プロセスに対して報告される後続のアクティビティのアラートは生成しません。

ウォッチリストのクエリ IOC には、プロセスとイベント検索フィールド リスト[検索可能] とマークされたほとんどのフィールドを含めることができます。これらの [検索可能] フィールドのうち、名前が次で始まるフィールドはイベント固有のフィールドと見なされるため、特定のイベントが発生した場合にのみアラートを受け取ります。

  • childproc_*
  • crossproc_*
  • fileless_scriptload_*
  • filemod_*
  • modload_*
  • netconn_*
  • regmod_*
  • scriptload_*

次のフィールドはイベント固有ではありません。

  • childproc_count
  • crossproc_count
  • filemod_count
  • modload_count
  • netconn_count
  • regmod_count
  • scriptload_count

ウォッチリスト アラートをフィルタリングして、予期されるが不要なプロセスを無視する

[解決策:]

https://developer.carbonblack.com/reference/carbon-black-cloud/guides/process-search-negation/ で説明されている Process Search Negation のガイダンスに従います。