戦術、技術、手順 (TTP) は、攻撃者またはそのグループによって使用される動作、方法、アクティビティのパターンです。
イベントとアラートは TTP によってタグ付けされ、攻撃とポリシー アクションによって検出および防止される攻撃につながる動作に関するコンテキストを提供します。イベントとアラートは MITRE 技術によってタグ付けされる場合もあります。Carbon Black Cloud コンソールの MITRE 技術の完全リストについては、「MITRE 技術リファレンス」を参照してください。
重要: VMware Carbon Black は、
ブラックリストと
ホワイトリストという用語を
禁止リストと
承認リストに置き換えます。API、TTP、およびレピュテーションの用語の更新に先立って、通知が提供されます。
| タグ | 検出された場所 | カテゴリ | 設定方法 | 説明 |
|---|---|---|---|---|
| ACCESS_CALENDAR (重要度: 中) | センサー | 危険な状態のデータ | ファイルシステム フィルタ ドライバは、ターゲット ファイル拡張子に基づいてリード アクセスを特定するように設定されます。 | カレンダー アプリケーションのデータ ファイルにアクセスします。例えば、Outlook。 |
| ACCESS_CLIPBOARD (重要度: 中) | センサー | 危険な状態のデータ | Win32 API GetClipboardData() が呼び出されます。 | クリップボード アプリケーション データにアクセスします。 |
| ACCESS_CONTACTS (重要度: 中) | センサー | 危険な状態のデータ | ファイルシステム フィルタ ドライバは、ターゲット ファイル拡張子に基づいてリード アクセスを特定するように設定されます。 | 連絡先リスト/電話リストのアプリケーション データにアクセスします。 |
| ACCESS_DATA_FILES (重要度: 中) | センサー | 危険な状態のデータ | ファイルシステム フィルタ ドライバは、ターゲット ファイル拡張子に基づいてリード アクセスを特定するように設定されます。 | データ ファイルにアクセスします。 |
| ACCESS_EMAIL_DATA (重要度: 中) | センサー | 危険な状態のデータ | ファイルシステム フィルタ ドライバは、ターゲット ファイル拡張子に基づいてリード アクセスを特定するように設定されます。 | メール コンテンツにアクセスします。 |
| ACTIVE_CLIENT (重要度: 低) | センサー | ネットワークの脅威 | ネットワーク フィルタ ドライバは、正常に開始された IPv4 または IPv6 接続を特定するために設定されます。 | アプリケーションがネットワーク接続を正常に開始しました。 |
| ACTIVE_SERVER (重要度: 中) | センサー | ネットワークの脅威 | ネットワーク フィルタ ドライバは、承認された IPv4 または IPv6 接続を特定するために設定されます。 | アプリケーションがネットワーク接続を正常に承認しました。 |
| ADAPTIVE_WHITE_APP (重要度: なし) | 分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが ADAPTIVE_WHITE_APP の実行ファイルが特定されます。アプリは同様に(署名なし)および(新しい、つまり 30 日未満)です。 | 完全にスキャンした不明なアプリケーション。 |
| ATTEMPTED_CLIENT (重要度: 低) | センサー | ネットワークの脅威 | ネットワーク フィルタ ドライバは、開始に失敗した IPv4 または IPv6 接続を特定するために設定されます。 | アプリケーションはネットワーク接続の開始を試みました(失敗しました)。 |
| ATTEMPTED_SERVER (重要度: なし) | センサー | ネットワークの脅威 | ネットワーク フィルタ ドライバは、承認されていない IPv4 または IPv6 接続を特定するために設定されます。 | アプリケーションはネットワーク接続の承認を試みました(失敗しました)。 |
| BEACON (重要度: 中) | 分析 | ネットワークの脅威 | ユーザーランド フックの使用など、失敗したネットワーク ソケット接続がネットワーク フィルタ ドライバで適用されました。 | 初めて実行される低評価アプリケーション(ADAPTIVE_WHITE 以下)が、http/s を介してサーバへの信号の送信を試みましたが、失敗しました。 |
| BUFFER_OVERFLOW_CALL (重要度: 中) | センサー | 新たな脅威 | ユーザーランド フックは、書き込み可能なメモリから API 呼び出しを特定するように設定されます。 | アプリケーションがバッファ オーバーフローからシステム コールを試みました。 |
| BYPASS_POLICY (重要度: 高) | センサー | 新たな脅威 | 特別に作られたコマンド ライン引数を含むドライバ コールバックを特定しました。 | アプリケーションは、デバイスのデフォルトのセキュリティ ポリシーのバイパスを試みました。 |
| CODE_DROP (重要度: 中) | センサー | マルウェアおよびアプリケーションの不正使用 | ファイルシステム フィルタ ドライバは、ターゲット ファイル拡張子に基づいて新しいバイナリまたはスクリプトの作成を特定するように設定されます。 | アプリケーションが実行ファイルまたはスクリプトをドロップしました。 |
| COMPANY_BANNED (重要度: 高) | センサー | マルウェアおよびアプリケーションの不正使用 | バイナリのハッシュの実行が禁止され、COMPANY_BANNEDLIST に配置されました。 | アプリケーションは会社の禁止リストにあります。 |
| COMPANY_BLACKLIST (重要度: 高) | センサー | マルウェアおよびアプリケーションの不正使用 | バイナリのハッシュの実行が禁止され、COMPANY_BLACKLIST に配置されました。 | アプリケーションは会社の禁止リストにあります。 |
| COMPROMISED_PARENT (重要度: なし) | センサー | プロセス操作 | ユーザーランド フックは、E メール、オフィス、ブラウザ アプリなどの危険にさらされているアプリによるバッファ オーバーフロー、プロセス ハロウイング、またはコード インジェクションを完了するプロセスを特定するように設定されます。 | バッファ オーバーフロー、コード インジェクション、またはプロセス ハロウイングなどのプロセス変更により、親プロセスが危険にさらされています。 |
| COMPROMISED_PROCESS (重要度: 中) | センサー | プロセス操作 | ユーザーランド フックは、E メール、オフィス、ブラウザ アプリなどの危険にさらされているアプリによるバッファ オーバーフロー、プロセス ハロウイング、またはコード インジェクションを完了するプロセスを特定するように設定されます。 | バッファ オーバーフロー、コード インジェクション、またはプロセス ハロウイングなどのプロセス変更により、プロセスが危険にさらされています。 |
| CONNECT_AFTER_SCAN (重要度: なし) | 分析 | ネットワークの脅威 | 分析で、最初のポート スキャン後に接続が確立されたかどうかを確認します。 | 最初のポート スキャン後に接続が確立されました。 |
| COPY_PROCESS_MEMORY (重要度: 高) | センサー | 危険な状態のデータ | ユーザーランド フックは、他のプロセスのメモリ スナップショットを取得したアプリケーションを特定するように設定されます。 | アプリケーションが他のプロセスのメモリ スナップショットを取得しました |
| DATA_TO_ENCRYPTION (重要度: なし) | センサー | 危険な状態のデータ | プロセスがランサムウェアのカナリア ファイルを変更しようとしています。 | アプリケーションは、Carbon Black Cloud がファイル システムに配置した特別なランサムウェアのカナリア ファイルの 1 つを変更しようとしました。これらのファイルはセンサー制御されているため、Carbon Black Cloud 以外のアプリケーションで変更することはできません。 |
| DETECTED_BLACKLIST_APP (重要度: 高) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | 検出された実行ファイルのハッシュのレピュテーションは、COMPANY_BLACKLIST です。 | ブラックリストに登録されたアプリケーションが、ファイルシステムで検出されました。 |
| DETECTED_MALWARE_APP (重要度: 高) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | 検出された実行ファイルのハッシュまたはローカル スキャンのレピュテーションは、KNOWN_MALWARE です | マルウェア アプリケーションが、ファイルシステムで検出されました。 |
| DETECTED_PUP_APP (重要度: 高) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | 検出された実行ファイルのハッシュまたはローカル スキャンのレピュテーションは、PUP です | 潜在的に望ましくないアプリケーション (PUP) が、ファイルシステムで検出されました。 |
| DETECTED_SUSPECT_APP (重要度: 高) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | 検出された実行ファイルのハッシュまたはローカル スキャンのレピュテーションは、SUSPECT_MALWARE です | 疑わしいアプリケーションが、ファイルシステムで検出されました。 |
| DUMP_PROCESS_MEMORY (重要度: 中) | センサー | 危険な状態のデータ | ユーザーランド API フックはプロセス メモリ ダンプを検出するように設定されます。 | アプリケーションはファイルシステム上で他のプロセスのメモリ ダンプを作成しました。 |
| EMAIL_CLIENT (重要度: 低) | センサー | ネットワークの脅威 | ネットワーク フィルタ ドライバはメール プロトコル(例、SMTP、SMTPS、POP3、POP3S、IMAP、IMAP2、IMAPS)を使用するクライアント接続を特定するように設定されます。 | E メール以外のアプリケーション(つまり不明)は、メール クライアントのように動作しメール ポートでデータを送信します。 |
| ENUMERATE_PROCESSES (重要度: 中) | センサー | 一般的な嫌疑 | ユーザーランド API フックはプロセスの列挙を検出するように設定されます。 | プロセスは、ホストで実行されている他のプロセスのリストを取得しようとしています。 |
| FAKE_APP (重要度: 高) | 分析 | マルウェアおよびアプリケーションの不正使用 | ファイルシステム ドライバは、間違ったディレクトリから実行されるパス(エクスプローラ、winlogin、lsass など)によって「周知の」Windows アプリケーションを特定するように設定されます。 | 周知のアプリケーションを偽装している可能性のあるアプリケーション。 |
| FILE_TRANSFER (重要度: 高) | センサー | ネットワークの脅威 | ネットワーク フィルタ ドライバは、FTP で正常に確立された、接続された、あるいは拒否された IPV4 または IPv6 接続を特定するために設定されます。 | アプリケーションは、ネットワークを介してファイルを転送しようとしています。 |
| FILE_UPLOAD (重要度: 中) | 分析 | ネットワークの脅威 | ユーザーランド フック、ネットワーク フィルタ ドライバ、およびファイル システム フィルタ ドライバは、メモリ スクレイピングに続いてネットワーク接続を実行するプロセスを特定するために設定されます。 | アプリケーションは、盗まれたデータをネットワークを介してアップロードしている可能性があります。 |
| FILELESS (重要度: 重大) | 分析 | 新たな脅威 | コマンド ラインまたはレジストリからスクリプトを実行するためのコマンド ライン引数を含むドライバ コールバックが特定されます。 | スクリプト インタープリタは、ディスク上に存在しないスクリプトで動作しています。 |
| FIXED_PORT_LISTEN (重要度: 低) | センサー | ネットワークの脅威 | 固定ポートで接続をリッスンするように IPv4 または IPv6 ネットワーク フィルタ ドライバは設定されています | アプリケーションは固定ポートでリッスンしています。 |
| HAS_BUFFER_OVERFLOW (重要度: 低) | センサー | 新たな脅威 | ユーザーランド フックは、書き込み可能なメモリから API 呼び出しを特定するように設定されます | このプロセスはバッファ オーバーフローを示しています。 |
| HAS_COMPROMISED_CODE (重要度: 高) | センサー | プロセス操作 | COMPROMISED_PROCESS が、多種多様な高リスク関数の 1 つを呼び出しました。 | 危険にさらされているプロセスが複数の機能の 1 つを呼び出しました |
| HAS_INJECTED_CODE (重要度: なし) | 分析 | プロセス操作 | プロセスが危険にさらされている場合、分析は追跡を続け、別のプロセスにコードを挿入します。 | プロセスは挿入されたコードを実行しています。 |
| HAS_MALWARE_CODE (重要度: 高) | センサー | プロセス操作 | MALWARE_APP は、さまざまな高リスク手法の 1 つを使用してプロセス インジェクションを実行しました。 | プロセスが既知のマルウェアによって挿入されました。 |
| HAS_PACKED_CODE (重要度: 低) | センサー | プロセス操作 | ユーザーランド フックが、書き込み可能なメモリから API 呼び出しを特定しました。 | アプリケーションに動的コードが含まれています(つまり、書き込み可能なメモリであり、バッファ オーバーフローではありません)。 |
| HAS_PUP_CODE (重要度: 高) | センサー | プロセス操作 | PUP_APP は、さまざまな手法の 1 つを使用してプロセス インジェクションを実行しました。 | プロセスが PUP によって挿入されました。 |
| HAS_SCRIPT_DLL (重要度: 低) | センサー | 一般的な嫌疑 | ドライバ ルーチンは、インメモリ スクリプト インタープリタを読み込むプロセスを特定するように設定されます。 | プロセスは、インメモリ スクリプト インタープリタを読み込みます。 |
| HAS_SUSPECT_CODE (重要度: 高) | センサー | プロセス操作 | SUSPECT_APP は、さまざまな手法の 1 つを使用してプロセス インジェクションを実行しました。 | プロセスが疑わしいマルウェアによって挿入されました。 |
| HIDDEN_PROCESS (重要度: 高) | センサー | 一般的な嫌疑 | 定期的なユーザー レベルのプロセス呼び出しからは見えないプロセスに起因するイベント。 | センサーが隠しプロセスを検出しました。 |
| HOLLOW_PROCESS (重要度: なし) | センサー | プロセス操作 | 複数のユーザー レベルのフックは、プロセスが別のプロセスに置き換えられることを示す特定の呼び出しシーケンスを特定するように設定されます。 | プロセスの存在を隠すために使用される手法であり、通常、中断されたプロセスを作成し、悪意のあるプロセスに置き換えることによって実行されます。 |
| IMPERSONATE_SYSTEM (重要度: なし) | 分析 | プロセス操作 | プロセスに関連付けられるユーザー名が実行中に NT AUTHORITY\SYSTEM に変更されると設定されます。 | プロセスに関連付けられるユーザー名を追跡し、関連付けられたユーザー名が system/root に変更されるのを監視します。 |
| IMPERSONATE_USER (重要度: なし) | 分析 | プロセス操作 | プロセスに関連付けられるユーザー名が実行中に NT AUTHORITY\SYSTEM 以外に変更されると設定されます。 | プロセスに関連付けられるユーザー名を追跡し、関連付けられたユーザー名が system/root から他のユーザーのものに変更されるのを監視します。 |
| INDIRECT_COMMAND_EXECUTION (重要度: 低) | センサー | マルウェアおよびアプリケーションの不正使用 | さまざまなシステム ユーティリティが、おそらくコマンドを呼び出すことなく、コマンドを実行するために使用された可能性があります。 | システム ユーティリティが、間接的に別のコマンドを実行するために使用されました。 |
| INJECT_CODE (重要度: 中) | センサー | プロセス操作 | 複数のカーネル、OS、およびユーザー レベルの手法は、コードを別のプロセス スペースに挿入しようとするアプリケーションを特定するように設定されます。 | アプリケーションはコードを別のプロセスに挿入しようとしています。 |
| INJECT_INPUT (重要度: 中) | センサー | 一般的な嫌疑 | ユーザーランド フックは、プロセスに入力する試みを特定するように設定されます | アプリケーションはプロセスに入力しようとしています。 |
| INSTALL (重要度: 低) | センサー | 一般的な嫌疑 | ファイルシステム フィルタ ドライバは、インストーラ実行可能ファイルによるターゲット ファイル拡張子に基づく新しいバイナリまたはスクリプトの作成を特定するように設定されます。 | インストール プロセスが実行中です。 |
| INTERNATIONAL_SITE (重要度: 低) | 分析 | ネットワークの脅威 | 地理的 IP は、IPv4 および IPv6 接続の送信元または宛先を特定するように設定されます。 | アプリケーションが、別の国(米国を除く)にあるピア IP アドレスと通信しようとしています |
| IRC (重要度: 中) | センサー | ネットワークの脅威 | IPv4 または IPv6 ネットワーク フィルタ ドライバは、一般的な IRC ポートを使って接続を特定するように設定されます | アプリケーションが、IRC ポートを介して通信しようとしています |
| KERNEL_ACCESS (重要度: なし) | センサー | マルウェアおよびアプリケーションの不正使用 | プロセスがシステムのマスター ブート レコード (MBR) を変更しようとしています。 | アプリケーションは、データをディスクの MBR 部分に書き込むためシステムのハード ドライブに直接アクセスしようとしています。マルウェアはこの戦術を使用して、起動時にシステム動作を変更します。 |
| KNOWN_APT (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリが APT の実行ファイルが特定されました | アプリケーションは APT 攻撃です。 |
| KNOWN_BACKDOOR (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがバックドアの実行ファイルが特定されました | アプリケーションはシステムへの既知のバックドアです。 |
| KNOWN_DOWNLOADER (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがダウンローダの実行ファイルが特定されました | アプリケーションは既知の悪意のあるダウンローダです。 |
| KNOWN_DROPPER (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがドロッパの実行ファイルが特定されました | アプリケーションは実行ファイルの既知のドロッパです |
| KNOWN_KEYLOGGER (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがキーロガーの実行ファイルが特定されました | キーボード入力を監視することが知られているアプリケーション。 |
| KNOWN_PASSWORD_STEALER (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがパスワード スティーラの実行ファイルが特定されました | パスワードを盗むことが知られているアプリケーション。 |
| KNOWN_RANSOMWARE (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがランサムウェアの実行ファイルが特定されました | アプリケーションは既知のランサムウェアです。 |
| KNOWN_ROGUE (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリが不正の実行ファイルが特定されました | アプリケーションは不正アプリケーションとして知られています。 |
| KNOWN_ROOTKIT (重要度: なし) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがルートキットの実行ファイルが特定されました | アプリケーションは既知のルート キットです。 |
| KNOWN_WORM (重要度: 重大) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索により、レピュテーションが KNOWN_MALWARE、カテゴリがワームの実行ファイルが特定されました | アプリケーションは既知のワームです。 |
| LEVERAGES_SYSTEM_UTILITY (重要度: 高) | 分析 | 新たな脅威 | さまざまなシステム ユーティリティが、悪意のあるアクティビティの実行に使用された可能性があります。 | システムユーティリティが潜在的に悪意のある目的に使用されました。 |
| LOW_REPUTATION_SITE (重要度: 中) | 分析 | ネットワークの脅威 | ネットワーク フィルタ ドライバは、サイトのレピュテーション スコアが低いピア IP アドレスまたはドメインへの接続を特定するように設定されます | アプリケーションは、レピュテーションの低いピアへのネットワーク接続を確立しました。 |
| MALWARE_APP (重要度: 重大) | 分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索またはローカル スキャナにより、レピュテーションが MALWARE の実行ファイルが特定されました | アプリケーションは既知のマルウェア アプリケーションです。 |
| MALWARE_DROP (重要度: 高) | センサー | マルウェアおよびアプリケーションの不正使用 | ドロップされたアプリケーションが以下のレピュテーションを持っている場所で CODE_DROP が検出されました: KNOWN_MALWARE : SUSPECT_MALWARE | アプリケーションがマルウェア アプリケーションをドロップしました。 |
| MALWARE_SERVICE_DISABLED (重要度: 該当なし) | センサー | ポリシー アクション | 分析はセンサーからこの情報を受け取り、それに基づいてこの値を設定します。 | マルウェア サービスがポリシーによって検出され無効にされました。 |
| MALWARE_SERVICE_FOUND (重要度: 該当なし) | センサー | ポリシー アクション | 分析はセンサーからこの情報を受け取り、それに基づいてこの値を設定します。 | マルウェア サービスがポリシーによって検出されました。 |
| MODIFY_KERNEL (重要度: 重大) | センサー | プロセス操作 | ユーザーランド フックは、カーネル スペースを変更するプロセスを特定しました | アプリケーションは kernel.via NullPage Allocation システムを変更しました |
| MODIFY_MEMORY_PROTECTION (重要度: 中) | センサー | プロセス操作 | ユーザーランド フックは、セカンダリ プロセスのメモリ権限を変更するプロセスを検出するように設定されます | アプリケーションは、プロセスのメモリ保護設定を変更します。 |
| MODIFY_OWN_PROCESS (重要度: 中) | センサー | プロセス操作 | ユーザーランド フックは、自身へのハンドルを開くプロセスを検出するように設定されます。 | アプリケーションは、自身を変更する権限で独自のプロセスを開こうとしました。 |
| MODIFY_PROCESS_EXECUTION (重要度: なし) | センサー | プロセス操作 | ユーザーランド フックは、別のプロセス スレッドで実行コンテキストを変更する試みを特定するように設定されます。 | アプリケーションが別のプロセス スレッド(EAX または EIP のいずれか)で実行コンテキストを変更しようとしました |
| MODIFY_PROCESS (重要度: 中) | センサー | プロセス操作 | ユーザーランド フックは、他のプロセスを開こうとするアプリケーションを特定するように設定されます | アプリケーションは、ターゲットを変更する権限で他のプロセスを開こうとしました。 |
| MODIFY_SENSOR (重要度: 重大) | センサー | 新たな脅威 | ユーザーランド フックは、Carbon Black Cloud センサーを変更または無効にする試みを特定するように設定されます | タンパー プロテクション - アプリケーションが Carbon Black Cloud センサーを変更しようとしました。 |
| MODIFY_SERVICE (重要度: 高) | センサー | プロセス操作 | ユーザーランド フックは、Windows サービスを制御、作成、または削除しようとするアプリケーションを特定するように設定されます | アプリケーションが Windows サービスを制御、作成、または削除しようとしました。 |
| MONITOR_MICROPHONE (重要度: 中) | センサー | 危険な状態のデータ | ユーザーランド フックはマイクを監視しようとするアプリケーションを特定するように設定されます | アプリケーションがマイクを監視しようとしました。 |
| MONITOR_USER_INPUT (重要度: 中) | センサー | 危険な状態のデータ | ユーザーランド フックはユーザー入力を監視しようとするアプリケーションを特定するように設定されます | アプリケーションがユーザー入力(キーボードまたはマウス)を監視しようとしました。 |
| MONITOR_WEBCAM (重要度: 中) | センサー | 危険な状態のデータ | ユーザーランド フックはオンボード カメラを監視しようとするアプリケーションを特定するように設定されます | アプリケーションがウェブ カメラを監視しようとしました。 |
| NETWORK_ACCESS (重要度: 低) | センサー | ネットワークの脅威 | IPv4 または IPv6 ネットワーク フィルタ ドライバが、ネットワーク接続を正常に開始または承認しました | アプリケーションがネットワーク接続を正常に開始または承認しました |
| NON_STANDARD_PORT (重要度: なし) | センサー | ネットワークの脅威 | ネットワーク フィルタ ドライバは、一般的なプロトコルのポートを確認します。信頼されていないアプリケーションを HTTP 以外のリクエストを行うことで特定します。 | IANA (Internet Assigned Numbers Authority) によって割り当てられた代替ポートでネットワーク トラフィックを渡すプロセス。たとえば、通常はポート 21 でリッスンするように設定されている場合、ポート 8081 で FTP を渡します。 |
| OS_DENY (重要度: なし) | センサー | オペレーティング システムのアクション | 分析はセンサーからこの情報を受け取り、それに基づいてこの値を設定します。 | オペレーティング システムにより、試行されたアクションは拒否されました。 |
| PACKED_CALL (重要度: 中) | センサー | 新たな脅威 | ユーザーランド フックは、書き込み可能なメモリから API 呼び出しを特定するように設定されます | アプリケーションが動的コードからシステムを呼び出そうとしました(つまり、書き込み可能なメモリであり、バッファ オーバーフローではありません) |
| PACKED_CODE (重要度: なし) | 分析 | プロセス操作 | スクリプト インタープリタおよびアプリケーションへの引数に応じて、引数がエンコーディング、難読化、ファイルレス攻撃などに関連する場合に設定されます。 | プロセスにはアンパック コードが含まれています。 |
| PERSIST (重要度: なし) | センサー | 一般的な嫌疑 | ファイル システム ドライバは、再起動時の永続性または自動開始拡張ポイント (ASEP) としても知られるアプリケーションの削除を有効にするレジストリの変更を特定するように設定されます。 | 永続的なアプリケーション。 |
| PHISHING (重要度: なし) | センサー | 一般的な嫌疑 | メール アプリケーションが Web ブラウザを起動する場所で、ドライバ コールバックが特定されます。 | ブラウザを起動するメール クライアント。 |
| PHONE_HOME (重要度: 中) | センサー | ネットワークの脅威 | IPv4 または IPv6 ネットワーク フィルタ ドライバは、センサーに対してポート スキャンを実行したホストへのクライアント接続を特定するように設定されます | アプリケーションがスキャン中のホストに接続しようとしています。 |
| POLICY_DENY (重要度: 該当なし) | センサー | ポリシー アクション | 分析はセンサーからこの情報を受け取り、それに基づいてこの値を設定します。 | ポリシーにより、試行されたアクションは拒否されました。 |
| POLICY_TERMINATE (重要度: 該当なし) | センサー | ポリシー アクション | 分析はセンサーからこの情報を受け取り、それに基づいてこの値を設定します。 | ポリシーにより、プロセスが終了しました。 |
| PORTSCAN (重要度: なし) | センサー | ネットワークの脅威 | 同じホストからの異なるポートでの N 連続スキャンが検出されます。 | ポート スキャンが実行されます。 |
| PRIVILEGE_ESCALATE (重要度: なし) | 分析 | プロセス操作 | プロセスに関連付けられるユーザー名が実行中に「NT AUTHORITY\SYSTEM」に変更される、またはプロセスが管理者権限を取得すると設定されます。 | 実際の SYSTEM 権限が(ユーザー名コンテキストだけでなく)プロセスに関連付けられているかどうかを確認します。 |
| PROCESS_IMAGE_REPLACED (重要度: なし) | センサー | プロセス操作 | ユーザーランド フックは、プロセスのメイン実行可能セクションの上書き、およびセクションの一時停止やマッピング解除などのその他の関連操作を伴う特定の API の呼び出しを監視します。 | アプリケーションのプライマリ実行可能コードが他のコードに置き換えられました |
| PUP_APP (重要度: 高) | 分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索またはローカル スキャナにより、レピュテーションが PUP の実行ファイルが特定されました | アプリケーションは潜在的に望ましくないプログラムです。 |
| RAM_SCRAPING (重要度: 中) | センサーおよび分析 | 危険な状態のデータ | ユーザーランド フックは、プロセス メモリを読み取ろうとするアプリケーションの試みを検出するように設定されます。 | プロセスが別のプロセスによって使用されているメモリをスクレイプしようとする場合。 |
| READ_PROCESS_MEMORY (重要度: 中) | センサー | 危険な状態のデータ | ユーザーランド フックはプロセス メモリを読み取ろうとするアプリケーションを検出するように設定されます。 | アプリケーションがプロセス メモリを読み取ろうとしています。 |
| READ_SECURITY_DATA (重要度: 高) | センサー | 危険な状態のデータ | ユーザーランド フックは、特権的セキュリティ情報を読み取ろうとするアプリケーションを検出するように設定されます。 | アプリケーションが特権的セキュリティ情報(例えば、lsass.exe)を読み取ろうとしています。 |
| REVERSE_SHELL (重要度: 高) | センサーおよび分析 | 新たな脅威 | ユーザーランド フックは、ネットワーク接続を介してコンソールから読み取りまたは書き込みを行うプロセスを特定するように設定されます | 親ネットワークからインタラクティブにコマンドを受信するコマンド シェル(cmd.exe など) |
| RUN_ANOTHER_APP (重要度: 低) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、他のアプリケーションを実行しようとするアプリケーションを特定するように設定されます。 | アプリケーションが他のアプリケーションを実行しようとしました。 |
| RUN_BLACKLIST_APP (重要度: 高) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、child_proc が COMPANY_BLACKLIST になるように設定されます | アプリケーションが、禁止リストに登録されたアプリケーションを実行しようとしました。 |
| RUN_BROWSER (重要度: 低) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、child_proc が一般的なブラウザ実行可能ファイルになるように設定されます | アプリケーションがブラウザを実行しようとしました。 |
| RUN_CMD_SHELL (重要度: 低) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、child_proc が Windows シェルになるように設定されます | アプリケーションが、コマンド シェルを実行しようとしました。 |
| RUN_MALWARE_APP (重要度: 重大) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、子プロセスが MALWARE_APP になるように設定されます | アプリケーションが、マルウェア アプリケーションを実行しようとしました。 |
| RUN_NET_UTILITY (重要度: 高) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、子ターゲット プロセスが「netsh.exe」のような一般的なネットワーク ユーティリティになるように設定されます | アプリケーションが、ネットワーク ユーティリティ アプリケーションを実行しようとしました。 |
| RUN_PUP_APP (重要度: 高) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、子プロセスが PUP_APP になるように設定されます | アプリケーションが、PUP アプリケーションを実行しようとしました。 |
| RUN_SUSPECT_APP (重要度: 高) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、child_proc が SUSPECT_APP になるように設定されます。 | アプリケーションは、レピュテーションが疑わしいアプリケーションを実行しようとしました。 |
| RUN_SYSTEM_APP (重要度: 低) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、子プロセスがシステム アプリ("windows", "windows\system32","windows\sysWOW64", "\windows\WinSxS\**"ディレクトリにあるアプリケーションまたは dll)になるように設定されます。 | アプリケーションが、システム アプリケーションを実行しようとしました。 |
| RUN_SYSTEM_UTILITY (重要度: 中) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、child_proc が regedit のようなシステム ユーティリティになるように設定されます。 | アプリケーションが、システム ユーティリティ(例えば、regedit)を実行しようとしました。 |
| RUN_UNKNOWN_APP (重要度: なし) | センサー | マルウェアおよびアプリケーションの不正使用 | ユーザーランド フックは、RUN_ANOTHER_APP を実行しようとするアプリケーションを特定し、子プロセスが UNKNOWN_APP になるように設定されます。 | アプリケーションは、レピュテーションが不明のアプリケーションを実行しようとしました。 |
| SCREEN_SHOT (重要度: なし) | センサー | 危険な状態のデータ | Win32 API SendInput() を使用して PrintScreen キーを統合するか、Win32 API CreateCompatibleBitmap() が呼び出されます。 | マシンでスクリーンショットがとられます。 |
| SECURITY_CONFIG_DOWNGRADE (重要度: 高) | 分析 | 新たな脅威 | Windows ファイアウォールまたは他のシステム セキュリティ構成が変更またはダウングレードされて、警戒姿勢が低下しています。 | Windows セキュリティ構成がダウングレードされました。 |
| SET_APP_CONFIG (重要度: 中) | センサー | 一般的な嫌疑 | ユーザーランド フックは、レジストリ(Microsoft Office セキュリティ キー)を変更するアプリを特定するように、またはシステム アプリケーションの構成パラメータを設定するように設定されます。 | アプリケーションがシステム アプリケーションの構成パラメータを設定しました。 |
| SET_APP_LAUNCH (重要度: 中) | センサー | 一般的な嫌疑 | ユーザーランド フックは、レジストリ(Autoruns キー、Run、RunOnce、Load、Shell、Open コマンド)を変更して、別のアプリケーションの開始時間や開始方法に影響を与えようとするアプリを特定するように設定されます | アプリケーションがキーを変更して、別のアプリケーションの開始時間や開始方法に影響を与えようしました |
| SET_BROWSER_CONFIG (重要度: 低) | センサー | 一般的な嫌疑 | ユーザーランド フックは、レジストリ(Install ActiveX コントロール、インターネット設定、System Certificates、Internet Explorer キー、browser helper objects、COM InProcServer)を変更しようとするアプリを特定するように設定されます | アプリケーションはブラウザ設定を変更しようとしました。 |
| SET_LOGIN_OPS (重要度: 中) | 分析 | 新たな脅威 | Windows ログイン プロセスに関連するキーに対するレジストリの変更を監視することで設定されます。 | アプリケーションは、Windows ログインまたはユーザー名に関連付けられたプロセスを変更しようとしました。 |
| SET_REBOOT_OPS (重要度: 低) | センサー | 一般的な嫌疑 | ユーザーランド フックは、レジストリ(BootExecute、Session Manager File Operations)を変更しようとするアプリを特定するように設定されます。 | アプリケーションは再起動設定処理を指定しようとしました。 |
| SET_REMOTE_ACCESS (重要度: 中) | センサー | 新たな脅威 | ユーザーランド フックは、レジストリ(SecurePipeServers winreg 設定、lanman パラメータなど)を変更しようとするアプリを特定するように設定されます。 | アプリケーションはリモート アクセス設定を行おうとしました。 |
| SET_SYSTEM_AUDIT (重要度: 高) | センサー | 一般的な嫌疑 | ユーザーランド フックは、レジストリ(TaskManager キー、DisableRegistryTools)を変更しようとするアプリケーションを特定するように設定されます。 | アプリケーションはシステムの監査パラメータを設定しようとしました。 |
| SET_SYSTEM_CONFIG (重要度: 中) | センサー | 一般的な嫌疑 | ユーザーランド フックは、レジストリ(アンインストール キー、壁紙など)とシステム構成データ ファイルを変更しようとするアプリケーションを特定するように設定されます。 | アプリケーションはシステム構成パラメータを設定しようとしました。 |
| SET_SYSTEM_FILE (重要度: なし) | センサー | マルウェアおよびアプリケーションの不正使用 | プロセスがシステムのマスター ブート レコード (MBR) を変更しようとしています。 | アプリケーションは、データをディスクの MBR 部分に書き込むためシステムのハード ドライブに直接アクセスしようとしています。マルウェアはこの戦術を使用して、起動時にシステム動作を変更します。 |
| SET_SYSTEM_SECURITY (重要度: 中) | センサー | 一般的な嫌疑 | ユーザーランド フックは、レジストリ(Autoruns キー、UserInit、Run、RunOnce、Load、BootExecute、AppInit_DLLs、シェルおよびオープンコマンド、アンインストール キー、COM InProcServer、Install ActiveX コントロールなど)を変更しようとするアプリを特定するために設定されます。 | アプリケーションはシステムのセキュリティ操作を設定または変更しようとしています。 |
| SUSPECT_APP (重要度: 高) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索またはローカル スキャナにより、レピュテーションが SUSPECT の実行ファイルが特定されましたアプリも同様(署名なし) | アプリケーションは AV によって悪意があると疑われています。 |
| SUSPENDED_PROCESS (重要度: 中) | センサー | プロセス操作 | ユーザーランド フックは、停止状態で作成されたプロセスを特定するように設定されます。 | 停止状態で作成されたプロセスが変更されています(実行前)。 |
| SUSPICIOUS_BEHAVIOR (重要度: 中) | 分析 | 一般的な嫌疑 | ユーザーランド フックは、動的メモリ(たとえば、バッファ オーバーフローまたはアンパック コード)からコードを実行するアプリケーションを識別するように設定され、通常、ネットワークで通信しないアプリケーション(たとえば「calc.exe」)を呼び出してネットワーク接続などを行います。 | アプリケーションの異常な動作には注意が必要です。 |
| SUSPICIOUS_DOMAIN (重要度: 高) | センサーおよび分析 | ネットワークの脅威 | ネットワーク フィルタ ドライバは、INTERNATIONAL_SITE が ISO 3166-1 国名コード(CU、IR、SD、SY、IQ、LY、KP、YE など)である場合に特定するように設定されます | アプリケーションは、疑わしいネットワーク ドメイン(ISO 3166-1 国名コードに基づく)に接続しています。 |
| SUSPICIOUS_SITE (重要度: 中) | センサーおよび分析 | ネットワークの脅威 | IPv4 または IPv6 ネットワーク フィルタ ドライバは、疑わしい INTERNATIONAL_SITE(例: RU、CN のドメイン)から受け入れられた接続を特定するために設定されます | アプリケーションは、疑わしい国際サイトからのインバウンド ネットワーク接続を受け入れます。 |
| UNKNOWN_APP (重要度: なし) | センサーおよび分析 | マルウェアおよびアプリケーションの不正使用 | ハッシュ検索で、レピュテーションが not_listed(つまり、不明)の実行中の実行ファイルが特定されました。アプリも同様(署名なし) | アプリケーションは不明なレピュテーションです。 |
