- yarai/AMC v3.5.0にて、EDR機能は大幅に拡充されています。それに伴い、旧バージョンで「EDR」と記載されていた機能は「ハンティング」へ名称変更されました。
- yarai/AMC v3.5.0以降のEDR機能については、「FAQ:yaraiによる防御とEDRについて」をご参照ください。
- 上記のことから、yarai/AMC v3.5.0以降をご利用の場合は、本FAQの「EDR」という記載や画像は「ハンティング」に読み替えてください。
世界トップレベルのセキュリティ・リサーチ・チームを作り、
コンピュータ社会の健全な運営に寄与します。株式会社FFRIセキュリティ
FAQ
キーワードから探す
カテゴリから探す
ハンティング機能について教えてください
最終更新日:2022/12/14目次
【重要】はじめに
EDR利用ケース
注意事項
ハッシュ計算の種類とハッシュ計算の対象ファイルについて
利用の流れ
よくあるお問い合わせやトラブルシュート
【重要】はじめに
‼ 重要
ハンティング機能(旧バージョンのEDR機能)では、以下のような「ハンティング機能(Detection)」と「レスポンス機能(Response)」がご利用いただけます。
- 脅威の検索
- 結果のレポート
- 駆除
- 端末隔離
⚠ 注意
EDR機能については、yarai/AMC v3.4.0にて、全般的なパフォーマンス向上(負荷軽減)となっています。そのため、EDR機能を使用する場合には、まずはyarai/AMC v3.4.0以降へアップデートしていただくことを推奨します。
脅威の検索(クライアントに特定のファイルが存在しないか検索する機能)
ハッシュ値(SHA256)を元にクライアントに該当ファイルが存在しないか検索します。
結果のレポート(検索を実施した結果のレポートを生成する機能)
検索結果はレポート化できます。生成されたレポートは感染の有無の社内報告などに利用できます。
駆除(マルウェアを駆除する機能)
検索で見つかったマルウェアを駆除することができます。
端末隔離(感染が確認されたクライアントを隔離する機能)
決められたポリシーに沿った通信以外を遮断することが可能です。物理的にLANケーブルを抜く対応の代替としてリモートから実施できます。
EDR利用ケース
ケース①:流行/注意の必要なマルウェアが自組織内のマシンに存在しないか確認する
流行しているマルウェアや標的型攻撃が発覚した際、マルウェアの注意喚起などが行われるケースがありますが、該当マルウェアのハッシュ値が公開されている場合、そのマルウェアが自組織内にも存在しないかを確認することが可能です。
✔ 情報ソースの例
ケース②:発見されたマルウェアが他のマシンに存在しないか確認する
自組織内のクライアントでマルウェアが発見された場合、他に同一のマルウェアが存在しないか確認したいケースもあると考えられます。yaraiのオンデマンドスキャン機能も利用できますが、オンデマンドスキャンではプロセスの挙動をリアルタイムで監視して検知する「動的解析エンジン(HIPSや機械学習やZDP)」は働かないため、検知されない可能性があります。このような場合、EDR機能が有効だと検知したマルウェア情報のハッシュ値を元にクライアントの検索を行うことが可能です。
注意事項
‼ 重要
- 管理コンソールが存在する環境でしか利用できません。(独立したクライアントでは利用不可)
- 本機能は、マシンによってはパフォーマンスに影響を与える可能性があります。そのため、事前に数台程度で検証を行っていただいた上で、本番展開することを推奨します。「EDR機能導入後にパフォーマンスが悪化した場合の切り分け方法を教えてください」のFAQも参照してください。
- EDR機能はサーバーOSに対しては有効にできません。「EDR機能を利用できるクライアントOSを教えてください」のFAQも参照してください。
- デフォルト配布での同時配布に注意してください。ハッシュ計算はデフォルトでの配布設定は無効です。有効にする場合はフルスキャンのデフォルト配布を無効にし、同時に配布されないように注意してください。パフォーマンスに大きな影響を与える可能性があります。「yarai導入直後からマシンの動作が遅くなる、CPU使用率が高くなる」のFAQも参照してください。
ハッシュ計算の種類とハッシュ計算の対象ファイルについて
ハッシュ計算には以下の2種類が存在します。
リアルタイムハッシュ計算
ポリシーで設定します。生成や更新などが行われたファイルのハッシュ値をリアルタイムで計算する機能になります。- オンデマンドハッシュ計算
配布命令で実行します。クライアント上に存在するファイルに対してハッシュ計算を行う機能になり、マシン全体を走査します。基本的には一度配布して完了すれば再度実行する必要はありません。
⚠ 注意
クライアント内に存在するすべてのファイルのハッシュ値を漏れなく計算するため、オンデマンド・リアルタイム何れのハッシュ計算も実施/有効化する必要があります。後述の「利用の流れ」を参考にしてください。
ハッシュ計算の対象ファイルについては、ご利用の環境や設定などに依存する場合がありますが、原則的には以下の通りとなります。
| ハッシュ計算の種類 | ローカルドライブ | リムーバブルドライブ | ネットワークドライブ |
|---|---|---|---|
| リアルタイムハッシュ計算 | 〇 | 〇 | 〇 |
| オンデマンドハッシュ計算 | 〇 | × | × |
※オンデマンド・リアルタイム何れのハッシュ計算においても、全ての拡張子/ファイルタイプのファイルがハッシュ計算対象となります。
⚠ 注意
パフォーマンスに影響を与える可能性があるため、頻繁に書き込みが行われるフォルダや拡張子については、適宜ハッシュ計算例外リストに登録することもご検討ください。
利用の流れ
1. ポリシーの配布
AMCのオペレーションマニュアルに従って、AMCにてEDRおよび隔離機能の「ポリシー設定」を行ってください。
‼ 重要
- 「EDR機能の適用」、「ハッシュ検索機能の適用」、「リアルタイムハッシュ計算機能の適用」は必ず「ON」にしてください。
- 「ハッシュ計算対象ファイルの上限サイズ」を大きな値に設定した場合、パフォーマンスに大きな影響を与える可能性があるため、注意してください。
なお、頻繁にファイルの書き込みを行うフォルダが判明している場合、ハッシュ計算例外リストに該当フォルダを登録してポリシーに含めておくことで、ハッシュ計算によるパフォーマンスへの影響を最小化できます。
2. オンデマンドハッシュ計算の配布
‼ 重要
オンデマンドハッシュ計算(以降「ハッシュ計算」とする)は、マシン全体を走査してハッシュ値のデータベースを作成する処理であり、本機能の利用時には必ず実行して完了させる必要があります。
⚠ 注意
- ハッシュ計算はCPUやディスクのリソースを消費するため、数台でテストしてから段階的に配布することを推奨します
- ハッシュ計算は完了まで数時間以上かかります
※計算中にOSをシャットダウンした場合も次回起動時に途中から再開されます - パフォーマンスの観点から、オンデマンドスキャンと同時にハッシュ計算を配布しないでください。
クライアントに存在するファイルのハッシュ値を計算していきます。クライアントで計算されたハッシュ値の情報はクライアント側でデータベース化されて保存されます。
AMCのオペレーションマニュアルに従って、AMCにて「ハッシュ計算」の配布を行ってください。
※クライアントの「EDR機能準備状況」ステータスが「準備完了」になっていない場合、ハッシュ計算は実行されません。
なお、「EDR機能準備状況」ステータスの「準備完了」以外のステータスとその対処方法については以下の通りです。「準備完了」になるまで対応を実施してください。
| ステータス | 状況 | 対応方法 |
|---|---|---|
| ポリシーOFF状態 | EDRが有効なポリシーが配布されていない状態 | EDRが有効なポリシーを配布する |
| OS再起動待ち | 旧バージョンからアップデート後、OSの再起動をしていない状態 | 該当クライアントのOSを再起動する |
| ポリシーOFF状態 + OS再起動待ち | 上記2つとも発生している状態 | EDRが有効なポリシーを配布して、該当クライアントのOSを再起動する |
クライアントのハッシュ計算の完了状況は「ハッシュ計算状況」ステータスから確認が可能です。
‼ 重要
必ず「ハッシュ計算状況」ステータスが「準備完了」になることを確認してください。この段階で、EDR機能を利用する準備が完了となります。
3. IoC情報(痕跡情報)の登録
IoCとはIndicators of Compromiseの略で、侵入の痕跡情報という意味になり、組織内で特定のマルウェアに侵入されているかを判断するための情報になります。yaraiではこのIoCの情報としてファイルのハッシュ値(SHA256)の登録が可能になっており、このハッシュ値をベースにクライアント側で検索を実施します。
AMCのオペレーションマニュアルに従って、AMCにて「IoCグループ」の作成とハッシュ値の登録を行ってください。
4. ハッシュ検索
クライアントに対してIoC情報に登録されているハッシュ値を持つファイルが存在しないか検索する命令配布を行います。
AMCのオペレーションマニュアルに従って、AMCにて「ハッシュ検索」の配布を行ってください。
5. レポート生成
実施したハッシュ検索レポートは管理コンソールから確認できます。
AMCのオペレーションマニュアルに従って、AMCにて「レポート生成」を行ってください。
6. 隔離/駆除(マルウェアへの対処)
万一クライアントでマルウェアの存在が確認された場合、マルウェアの対処を行います。ネットワークから隔離する、確認されたマルウェアを駆除するなどの対応を実施してください。
隔離
AMCのオペレーションマニュアルに従って、AMCにて「隔離」を行ってください。
駆除
AMCのオペレーションマニュアルに従って、AMCにて「駆除」を行ってください。
よくあるお問い合わせやトラブルシュート
EDR機能利用後にパフォーマンスへの影響が確認された場合、以下のFAQを参考に切り分けを実施してください。
EDR機能導入後にパフォーマンスが悪化した場合の切り分け方法を教えてください
また、本機能は今後のバージョンで機能追加やパフォーマンス改善が行われる場合があります。随時、以下のFAQも参照してください。
各バージョンで追加された新機能および不具合修正について
それ以外では、以下の参考FAQを参照してください。
関連するFAQ
