Defender ATP運用開始前知識2

・ハッシュ値
 ファイルの中身を式(ハッシュ関数)に当てはめることでランダムに見える英数字
 指紋のようなもので同じ物を作り出そうとして作れるものではなく、似ているハッシュ値でも中身はまったく違うし、ハッシュ値からファイルの中身がわかる訳ではない
 SHA-256形式の64文字のものが現在主流で、大きなファイルでもそのものを比較せず同じファイルか確認できるためウイルス定義ファイルに使ったり、ダウンロード後のファイル破損・改ざん検知に使われる
(SHA-256は4GBのファイルでも2バイトのファイルでも0~Fの64文字のハッシュ値にできる)

・ATPでSOCがフォローすべき内容
 *ソフトを起動した場合にハッシュ値を基準に社内で未知なソフト
  →特定のソフトの正規アップデートしたことによる未知化してしまっているだけなのか、偽物のソフトをインストールしてしまった・脆弱性などをつかれて知らない間に紛れ込み起動しているのかなどに分けていく

 *脆弱性をつかれたと思われる挙動
  →業態によるが誤検知の可能性は低く、どこから・どのようにして・どの脆弱性を使われたのかを紐解いていき、再発防止や他PCで既にやられていないかATP未導入PCへのパッチ適用やPC操作ログで同様のログが確認できれば確認。疑いのある端末の隔離(MACアドレス認証等の活用)、外部からのファイアウォール・IPS等でのルール追加など多岐に渡って対応していく

・ATPでお客様とのコミュニケーションで気をつける内容
 *導入がゴールではない
  →あくまでホワイトリスト型のプロセス制限ができないことへの可視化・フォローツールでしかなく、ウイルス対策ソフトのすごい版ではなく勘違いさせてはいけない。
   ウイルス対策ソフトの運用と同じ手間ではないため、運用スキルや時間が一定かかることについて特に「駆除できていれば対応不要、未駆除だけSOCで」がSOC方針にされている場合は「未駆除1件あたりのスキルと工数×駆除済みで対応してなかった件数」を感覚値として当社ではお伝えする

 *他に少しはメリットあるはず
  →PC操作ログ取得(証跡管理)を真剣に比較・導入されているお客様であればSystemプロセスのファイル・プロセス動作も外部攻撃を想定して取得されているが、ATP側と内容が重複するためPC操作ログ取得側でのログ負荷軽減につなげることができる
  (ATPのログはクラウド管理なので回線は気にする必要あるがストレージやCPUなど考えなくてよい。回線もMicrosoft公式には1PC1日平均5MB程度としている。)
  →一般的なソフトウェアの脆弱性管理(Secuniaのような)があるため、Adobe製品などのアップデート忘れを別のツールで追いかけていたような場合にはATPでフォロー可能である(アップデート配信機能はないのでSCCMソフトウェアセンターとの組み合わせなど詳細はコンサル側に任せる)

 

Was this article helpful?

Related Articles

Leave A Comment?