コンテンツにスキップ

悪意のある動作の種類

このページでは、コンピュータまたはサーバーで検出された悪意のある動作で使用される名前について説明します。

制限事項

ここでの説明は、Sophos Central のレガシーの機能「悪意のある動作を検知する (HIPS)」には当てはまりません。

ソフォスによる動作の分類は、MITRE ATT&CK フレームワークに沿っています。検出の報告では、攻撃に関する情報を提供する命名基準が使用されます。

検出には 2種類あり、命名構造は次のとおりです。

検出名の例

検出の種類 命名構造
悪意のある動作 Tactic_1a (T1234.123)
メモリ内の悪意のある動作 Tactic_1a (T1234.123 mem/family-a)

検出名は、次の要素で構成されます。

  • MITRE 戦術の種類 (上の表では 「Tactic_1a」)。
  • MITR 手法の番号 (上の表では「T1234.123」)。
  • マルウェアファミリー、メモリ内で検出された脅威の場合 (上の表では「mem/family-a」)。

MITRE 戦術の種類

検出名の最初の部分は、使用されている MITRE 戦術を示します。詳細は、MITRE Enterprise Tactics を参照してください。

プレフィックス MITRE 戦術
Access_ TA0001 Initial Access (初期アクセス)
Exec_ TA0002 Execution (実行)
Persist_ TA0003 Persistence (永続化)
Priv_ TA0004 Privilege Escalation (権限昇格)
Evade_ TA0005 Defense Evasion (防衛回避)
Cred_ TA0006 Credential Access (認証情報アクセス)
Discovery_ TA0007 Discovery (探索)
Lateral_ TA0008 Lateral Movement (ラテラルムーブメント)
Collect_ TA0009 Collection (収集)
Exfil_ TA0010 Exfiltration (盗み出し)
C2_ TA0011 Command and Control (C&C)
Impact_ TA0040 Impact (影響)

上記に加えて、一部のコンテキストルールでは、次の接頭辞が使用されます。

プレフィックス 説明
Disrupt_ 持続的攻撃に関連する悪意のある動作をブロックします。
Cleanup_ 別の検出のブロックに関連する悪意のあるアーティファクトを削除します。

ランサムウェアの検出を停止するのと同じ方法で、動作検出イベントを抑制できます。また、アプリケーションの検出を停止するのと同じ方法で、削除されたファイルやレジストリキーの復元などの修正アクションを元に戻すこともできます。詳細は、脅威の対処方法を参照してください。

MITRE 手法の番号

この番号は、検出イベントに最も関連の深い MITRE 手法 (およびサブ手法) を示します。

たとえば、悪意のある PowerShell アクティビティに関連した検出の名前には、「T1059.001」が含まれます。詳細は、次のサイトを参照してください。https://attack.mitre.org/techniques/T1059/001/

手法の詳細は、MITRE Enterprise Techniques を参照してください。

マルウェアファミリー

メモリ内の既存の脅威が検出に含まれる場合、名前の最後の部分は、それが属するマルウェアファミリーを示します。

検出名の例

ここでは、検出名の例とその意味について説明します。

検出名 MITRE 手法 備考
Exec_6a (T1059.001) コマンド&スクリプトインタープリタ: PowerShell 悪意のある PowerShell アクティビティ。
C2_4a (T1059.001 mem/meter-a) コマンド&スクリプトインタープリタ: PowerShell 悪意のある PowerShell アクティビティ中に、メモリ内で検出された Meterpreter スレッド。
C2_10a (T1071.001) アプリケーション層プロトコル: Web プロトコル HTTP(S) を介した悪意のあるネットワークアクティビティ。悪意のあるダウンロード、または C&C 接続の可能性が最も高い。
C2_1a (T1071.001 mem/fareit-a) アプリケーション層プロトコル: Web プロトコル メモリ内で検出された Fareit マルウェア。HTTP(S) 経由で C&C 接続を実行。
Impact_4a (T1486 mem/xtbl-a) 影響: データの暗号化 メモリ内で検出された、ファイルを暗号化する Xtbl ランサムウェア。
Exec_13a (T1055.002 mem/qakbot-a) プロセスの挿入: Portable Executable の挿入 実行時にメモリ内で検出された Qakbot マルウェア。
Exec_14a (T1055.012 mem/androm-a) プロセスの挿入: コード書き換え (プロセスの空洞化) (プロセスの空洞化を使用した) 実行時に、メモリ内で検出された Andromeda マルウェア。
Priv_1a (T1068) 権限昇格: エクスプロイト攻撃 プロセスが自身の権限を昇格させようとする、悪意のあるアクティビティ。