詳細設定
調査の使用
調査について
- 調査機能について
- スキーマ
- メタイベントフィルタの使用
- Hadoop HttpFS を使用した調査の設定
- GCP/BigQuery を使用した調査データの取得
- 調査のための Presto の設定
- Hadoop を使用した調査の設定
- Amazon S3 および Athena を使用して外部データを調査と統合
- 調査機密データの伏字化
- HDFS/Presto を使用した調査データの取得
- S3/Athena を使用した調査データの取得
調査の例
- 最近の送信ホスト - ポート接続
- 新しい送信ホスト接続
- 実行中のコンテナとコンテナの寿命
- ホストごとにユーザーが入力したコマンド (履歴の回避)
- ユーザーごとのログイン先ホスト
- コンテナの影響を受けたファイルの検索
- ファイルの状態に関連するファイルとプロセス
- 警告の発生時ごろの子プロセスのアクティビティ
- 警告の発生時ごろの親プロセスのアクティビティ
- インシデントの発生時ごろのプロセスのアクティビティ
- 外部用ネットワークトラフィック - IPv4 - 許可リストの例外あり
- 外部用ネットワークトラフィック - IPv6
- 外部用ネットワークトラフィック - IPv4
- 既知の悪意のあるホスト
- インシデント後の調査
MITRE の例
- T1049 System Network Connection Discovery Program
- T1542.003 Bootkit
- T1069 Permission Group Discovery Program
- T1070.003 Clear Command History
- T1018 Remote System Discovery Policy
- T1136 Create Account-File
- T1136 Create Account-Program
- T1059 Command and Scripting Interpreter
- T1082 System Information Discovery- Program Blacklist
- T1053 Local Job Scheduling-File Write
- T1546.004 Bash Profile And Bashrc
- T1553.004 Install Root Certificate
- T1027.004 Compile After Delivery
- T1016 System Network Configuration Discovery-Program Blacklist
- T1046 Network Service Scanning
- T1040 Network Sniffing
- T1036.006 Space After Filename
- T1057 Process Discovery- Program Blacklist
- T1548.003 Sudo
- T1204 User Execution