- 最終編集日: 、編集者:
junakaga
はじめに
IOC(Indicator Of Compromise)とは一般的には不正アクセスの痕跡示したり、OpenIOCのような、痕跡を発見するためのフォーマットを示す言葉となります。
Secure EndpointにおけるIOCの機能は大きく分けて二つありますが、全く異なる機能となります。
Endpoint IOC(Connector上のIOC)
Endpoint IOCはConnectorの端末上で、不正アクセスの痕跡を発見するための機能であり、Console上のアウトブレイク制御 -> エンドポイント IOC以下のメニューから設定し、端末上に展開されます。
こちらの機能はOpenIOCと呼ばれるXML形式のフォーマットを使っており、端末上でScanを実行することで不正アクセスの痕跡を発見します。
OpenIOCはCisco Secure Endpoint 特有の機能ではなく、一般的に業界でOpenに使用されているものであり、お客様で定義する他、公開されているものをConnectorに読み込ませることで、お使いいただくことが可能です。Secure Endpoint のConnectorで対応しているIOCのAttributeについては、以下ドキュメントをご参照ください。対応しているOpenIOCのAttributeの他、サンプルも掲載されております。
https://docs.amp.cisco.com/Cisco%20Endpoint%20IOC%20Attributes.pdf
Cloud IOC(Dashboard上のIOC)
Cloud IOC(Dashboard上のIOC)は、Connectorの端末上で実行される機能ではなく、ConnectorからCloudに収集された過去1週間分のEvent/Trajectory情報を元にして、不正アクセスの痕跡を発見する機能であり、上記のEndpoint IOCとは別の機能となります。
詳しくは以下をご確認いただけたらと思います。
https://console.apjc.amp.cisco.com/help/ja/Content/Secure_Endpoint_User_Guide/Indicators.html
こちらは端末上のアラートという形では確認出来ませんが、Dashboard上のDevice Trajectory/File Trajectory/Eventの情報から確認することが可能です。
Cloud IOCについては、弊社のCloud側で定義しているため、お客様にて設定する必要はなく、自動的に有効となっており、Eventが発生します。
一例として、以下のようなMaliciousなファイルが実行された場合には「クラウド IOC ExecutedMalware.ioc」として検知されます。(アイコンの!?となっている箇所になります。)
なお、Cloud IOCの具体的な定義に関しては、分析 -> インジケータから確認することが可能です。
なお、補足情報となりますが、Windows Connector 7.3.1以降で導入されたBehavioral Protectionの定義についてもこちらのインジケータのページより確認いただけます。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
