2024-06-19更新2024年6月26日より、グローバルでAccepted Behavior機能を有効にする予定です。以下のセクションをご覧ください。 「2024年6月26日以降の受け入れ行動「詳細はこちら
Accepted Behaviorの導入により、ユーザーまたはプロセスの動作を受け入れることができる抑制ルールを作成できるようになりました。これは、予期される動作に対するBCDの抑制に大きく役立ちます。
これは、多くのパートナーや顧客が求めていることである。WithSecure は、多くの異なる環境に適したEDR ソリューションを作成する。つまり、環境によっては、動作を「許可」または「容認」したい特定の検出ユースケースがあるかもしれない。例えば、「ABC」というソフトウェアを使用していて、「XYZ」というプロセスが正当であると自信を持って信頼できるため、同様のBCDが生成されないように検出を抑制したい場合がある。
しばらくの間、アドホックな掲載許可リクエストを受け付けていましたが、Elements Security Center 、抑制ルールを自分で設定できるウィザードを作成しました。
アクセプタド・ビヘイビアはどのように機能するのか?
Broad Context Detection 」(BCD)は、悪意のある、または疑わしい動作を強調する検出のコレクションです。各BCDには、1つ以上の「キー検出」があります。キー検出」は、単独で新しいBCDを生成する検出です。 同様のBCDが再発しないように、BCD内の各キー検出を抑制する必要があります。1つのキー検出につき1つの抑制ルールが作成される。
Elements ユーザーは、検知を抑制する際に、抑制範囲が広すぎて、一般的ではあるが正当な攻撃の一部である可能性もある動作を抑制してしまわないように注意する必要がある。
最初のリリースの制限は?
- 私たちは "受け入れられる行動 "を可能にする当初は少人数のパートナー向けフィードバックを収集し、抑制メカニズムを改善するためである。
- 発売当初、この機能は、最大5つのキー検出を持つBCDに対して利用可能です。BCD から固有の情報を削除することなく、キー検出の総数を減らすことで、すべての BCD で利用できるように取り組んでいます。
- 同じパラメータでキー検出を繰り返すため、同一のルールが作成される場合があるが、これは次週に対応する予定である。
BCDを過剰にサプレッションしているかどうかを見分ける方法は?
サプレッションルールを適用すると、新規に作成された BCD はすべて、解決策「自動受理動作」で自動的に閉じられます。 どれだけの BCD がサイレンスされたかを知ることができます、 検出エンジンは、抑制ルールごとに、最大でも24時間ごとに1つの新しいBCDを生成する。抑制基準が満たされている場合、24 時間後に新しい BCD が生成されます。24時間が経過した後、抑制ルールがトリガーされると、新しいBCDが生成されます。WithSecure 、パートナーは抑制されたBCDを定期的に確認し、悪意のある活動が抑制されていないことを確認することを推奨します。
注:承認された動作は、BCD が再発する偽陽性の原因となっている場合、類似しているが同一ではない BCD フィンガープリントを持つ場合に必要です。BCD が「偽陽性」で閉じられた場合、同一のフィンガープリントを持つ同一の BCD は「自動偽陽性」の解決策で自動的に閉じられます。
BCDの消音方法は?
最初のステップは、沈黙したいBCDを見つけることだ。
調査が終了し、ステータスを「クローズ」に変更し、解決策を「受諾された行動」に設定すると、ポップアップウィンドウが「抑制ルール」を作成するかどうかを尋ねます。
はい」をクリックすると、抑制ルール・ウィザードが表示され、影響を受けるエンドポイントを選択できます。
BCD抑制に使用できるパラメータは7種類ある。 パラメータはBCDから収集されたデータであらかじめ埋められている。 これらの抑制パラメータを以下に説明する。.
WithSecure は、"許容範囲 "を最小化するために、各キー検出に対して少なくとも2つのパラメーターの使用を強制している。
デフォルトで有効になっているパラメータには、そのパラメータがルールで使用されることを示す緑色のトグルが表示されます。show more」をクリックすると、その他のパラメータが表示されます。これらのパラメータはデフォルトでは無効になっています。パラメータのトグルをオフにすることで、これらのパラメータを無効/有効にすることができます。 ほとんどのパラメータは、BCDの情報から事前に入力されています。
複数のキー検出があるBCDの場合、各キー検出のためのアコーディオンとパラメータのセットがある。BCDの各キー検出は、BCDを沈黙させるために、ルールによって抑制されなければならない。
以下の表は、使用可能なパラメーターを示している。
許容される動作 パラメータ | 例 | 説明 |
|---|
exe_path | c:■PathAppadminSupport.Service.exe | これにより、キー検出と名前付き実行可能ファイルの組み合わせが抑制される。 |
例名 | サポートサービス | これにより、このキー検出と処理の組み合わせが抑制される。 |
センチドル | 「c:¥windows¥system¥net localgroup group_name /add /domain | このキーが検出された場合、引数が正確に一致したときのみ、実行ファイルを抑制する。 |
parent_exe_path | c:¦pathAppadminApplication.exe | これにより、このキーの検出と親の組み合わせが抑制される。 親プロセスのみを抑制する場合は注意してください。親プロセス以外のパラメータと併用することを推奨する。 |
親エグゼ名 | サポートエグゼ | これにより、このキーの検出と親の組み合わせが抑制される。 |
親cmdl | localgroup group_name /add /domain | これは、この親コマンドラインと完全に一致するプロセスから作成される キーの検出を抑制する。WithSecure 、子パラメータに加えて使用することを推奨する。他のパラメータを使わずに)親パラメータだけの動作を受け入れると、 抑制の範囲が非常に広くなり、危険な状態になる可能性がある。 |
ユーザー名 | ジョン・ドー | これは、キー検出とユーザー名の組み合わせを抑制する。 WithSecure 他のパラメータと一緒に使うことを強く勧める。 |
キー検出でパラメータを設定する際、どの演算子を使用できますか?
抑制ルールでは、2つの演算子を設定できる:長さが1024文字未満の場合、すべてのパラメータに適用される "Equals "と、すべてのパラメータに適用される "Contains "です。
上場許可は直ちに発効しますか?
サプレッション・ルールは、「自動アクション」エリアの「サプレッション・ルール」タブで確認できます。
ルールをクリックし、サイレンスされたBCDのカウントをクリックすると、BCDビューに移動し、このルールによってサイレンスされた対応するBCDが一覧表示されます。
新しいルールが導入されても、既存のBCDをクローズすることはありません。ルールが実装された後に作成される新しいBCDは、「自動受理された動作」解決で閉じられます。
注:この機能がリリースされた後、当社のパートナー/顧客は、新しく作成されたBCDに対して抑制ルールを作成できるようになります。
既存の許可リストに沿ったルールが表示されないのはなぜですか?
WithSecure Detection and Response Team (DRT)は、WithSecure 検出エンジンに異なるレベルで許可リスティングを実装しています。これは、DRTが実行する許可リスティングに対してBCDが作成されないことを意味します。そのため、「抑制ルール」ビューではルールは使用できません。
偽陽性を減らすために、WithSecure 。
私たちは現在、報告されたインシデントの総数に対するトゥルーポジティブの比率を高めることで、検知の質を向上させることに取り組んでいます。このソリューションには3つの部分があり、シミュレーションの結果、BCDの件数を40%削減できる可能性があることがわかりました。
以下に詳述する3つの部分により、より正確なリスク評価で作成される中、高、重度のBCDが少なくなる;
- ノイズ抑制メカニズムの改善- 私たちは、通常の振る舞いからくる検出を抑制するために、メカニズムを再設計している。
- BCDリスクスコアリングアルゴリズムの強化- 私たちは、BCDに含まれる検出結果の重大度分布に基づき、BCDのリスクスコアを計算する新しいアルゴリズムを導入し、また、スコアリングの精度を向上させるために過去と現在のデータを使用している。
- BCDクラスタリングMLモデルの統合- このモデルは、すでにFPとして評価された、あるいは顧客やパートナーによって確認された他のインシデントとの類似性に基づいて、インシデントをクラスタリングする。
誰が抑制規則を編集できますか?
読み取り専用ユーザーの場合、ルールの追加や編集は許可されません。
企業へのフルアクセスユーザーの場合、以下のことが可能です;
- ルールの作成
- あなたの会社のために作成されたルールを編集します。
フルアクセスのパートナーであれば、できるはずです:
- ルールの作成
- 自分自身や同僚がパートナーレベルで作成したルールを編集する。
- お客様が管理する企業で作成したルールを編集します。
ルールは会社独自のものですか?
はい、現在1つのルールは1つの会社にのみ適用できます。パートナー様から、複数の会社にルールを適用してほしいというご意見をいただきましたので、ロードマップに追加しました。
抑制ルールの検証は誰の責任か?
パートナーは、アナリストとエンドユーザが抑制ルールを理解し、構成し、管理できるようにする責任がある。パートナーは、過度に抑制的なルールは、BCD が隠蔽されるため、危殆化を見逃してしまう可能性があることを理解する必要があります。したがって、パートナー/エンドユーザは、ルールとその有効性を定期的に見直すことを推奨します。
解決コード 新しい
- 容認された動作 - インシデントはクローズされ、監視されなくなりました。検出は許容される行動として確認された。
- 自動受理行動 - インシデントは、既存の抑制ルールに基づいて、受理行動として自動的にクローズされました。
注:BCDを「Accepted Behavior」として閉じても、類似のBCDを黙らせることはできないので、ルールを作成する必要がある。
2024年6月26日以降の受け入れ行動
2024年6月26日以降、「Accepted Behavior」は全世界のすべてのお客様にご利用いただけるようになります。
ユーザーまたはプロセスの動作を受け入れる抑制ルールを作成することが可能になる。この機能は、予期される動作の「広範なコンテキスト検出」(BCD)を黙らせるのに役立つ。WithSecureのEDR ソリューションを使用しているパートナーや顧客は、この機能を利用して、環境内の特定の動作を許可することができる。例えば、ソフトウェア「ABC」に関連付けられている「XYZ」と呼ばれるプロセスを信頼する場合、不要なアラートを回避するために同様のBCDを抑制することができます。
Accepted Behaviorは、BCD内のキー検出を抑制することで機能する。各 BCD には、疑わしい動作を強調する 1 つ以上のキー検出が含まれる。組織は、特定の状況に基づいて抑制ルールを作成できる。ただし、正当な動作も影響を受ける可能性があるため、ユーザは抑制の範囲を広げすぎないよう注意する必要がある。
このリリースの制限事項には、最大5つのキー検出を伴うBCDの「受け入れ可能な動作」を有効にすることが含まれる。キー検出の繰り返しにより同一のルールが作成されるケースについては、近日中に対応する予定です。
さらに、パートナーは、管理するすべての企業に適用される抑制ルールを作成できます。現時点では、1つの組織または管理するすべての組織にルールを適用できるという制限があります。将来的には、よりきめ細かな制御を可能にしたいと考えています。