はじめに

Device TrajectoryはMalware検知時の感染経路調査に便利ですが、設定によって表示される情報に差異があります。本記事では、Device Trajectoryの表示内容に影響を与えるPolicyの設定情報について説明をします。

お客様の要件として、大きく二つ、端末の内部の機密情報をCloudには送信したくない場合と、感染経路特定しやすいように設定したいという場合があり、お客様の要件によって使い分ける必要がございます。

本記事は2018年3月25日現在のAMP Consoleに基づいて記載しており、本記事で紹介している動作については将来的に変更される場合がございます。

Device Flow Correlation

Device Flow Correlation(DFC)は端末からのネットワークアクセスの情報を収集し、未知のMalwareを発見することを目的としたツールとなりますが、こちらの設定が無効ですと、端末上でのIP/Domainに対するアクセスにアラートを出せないだけでなく、通常のネットワークのEventがDevice Trajectory上に表示されません。
DFCは、弊社から提供しているBlacklistのIP、もしくはお客様にて設定されたBlacklistsに登録されたIPへのアクセスを行った場合に、アラートもしくはブロックするために使用されますが、Device Trajectoryでは、通常のブラウザのアクセスやDNSへの名前解決等のEventを収集するために使用されます。
例えば、正規の社内のサーバからMalwareのファイルをダウンロードするような動作があった場合は、こちらの機能を無効にしている場合、感染経路であるサーバの情報を取得することが出来ません。
DFCは、PolicyのMode and Engines -> Networkで、BlockもしくはAuditを設定することで有効にすることが可能です。DFCは、Policy作成時に必ずBlock / Audit / Disabledを選択する必要があるため、特にデフォルト値は存在しません。

Send Username In Events

Send Username In Eventsは、端末上のどのユーザによって、ファイルのEventが発生したのかをCloudに送信する設定となります。
こちらが有効になっていることで、どのユーザがMalwareに対して動作が発生したかを確認することが可能です。
デフォルトは有効となっております。
こちらの設定はPolicyのAdvanced Settings -> Administrative Featuresから設定可能であり、デフォルト有効となっております。

Send Filename and Pathinfo

Send Filename and Pathinfoは、Eventが発生したファイルのファイル名と、パスをCloudに送信する設定となります。
こちらが無効な場合、Cloudに情報がない場合はTrajectroyには、ファイルのHash値だけ表示されることになり、Malwareの特定が困難となる場合があります。
こちらの設定はPolicyのAdvanced Settings -> Administrative Featuresから設定可能であり、デフォルト有効となっております。

Command Line Capture

Command Line Captureは、CLI上で実行されたコマンドのコマンドラインを取得しCloudに送信する設定となります。
こちらを有効にすると、例えばcmd.exe経由でjavaの実行プログラムが実行された、という事実だけでなく、どのようなオプションを指定して実行したのか等の情報が取得可能です。
こちらの設定はPolicyのAdvanced Settings -> Administrative Featuresから設定可能であり、デフォルト有効となっております。