TDR Host Ransomware Prevention について

Windows の Threat Detection and Response Host Sensor には、ファイルを特定して検疫し、ランサムウェアの特徴である悪意のある動作を行うプロセスを停止する機能を備える Host Ransomware Prevention (HRP) が含まれています。HRP に機械学習を追加すると、検出速度が向上します。

HRP モード

以下の 2 つのモードのいずれかで、Host Ransomware Prevention を有効化することができます。

  • 検出 — ランサムウェアの特徴を示すプロセスとファイルが Host Sensor で特定され、手動介入のためにそれが Threat Detection and Response アカウントに通知されます。
  • 防止 — ランサムウェアの特徴を示すファイルが Host Sensor で検出され、そのプロセスが自動的に終了され、そしてランサムウェアによりファイルが暗号化される前に、そのファイルが検疫に送られます。このアクティビティはすでに緩和されたインジケータとして、Host Sensor から Threat Detection and Response アカウントに報告されます。Host Sensor で HRP 防止 アクションが正常に完了されなかった場合も、手動介入のために、その情報が TDR アカウントに送信されます。

Analyst は WatchGuard Cloud の 構成 > Threat Detection > 設定 で Host Ransomware Prevention モードを構成することができます。防止モードまたは検出モードを有効化すると、Host Sensor により endpoint に非表示のデコイのフォルダとファイルが作成されます。ユーザーが非表示のファイルを削除しても、次回の起動時に Host Sensor によりそれが自動的に再度作成されます。

HRP アクションおよび脅威スコア

防止モードで HRP が構成されている場合は、ランサムウェアによりファイルが実行され暗号化される前に、Host Sensor で即座にアクションが発生して、ランサムウェアの強制終了および検疫が試みられます。Host Sensor から TDR アカウントまたはインターネットに接続できない状態でも、このアクションは即座に実行されます。

次回に Host Sensor から TDR アカウントに接続されたときに、HRP イベントのレポートおよび実行されたアクションに関する情報が送信されます。ThreatSync により、HRP イベントのインジケータが作成され、脅威スコアが割り当てられます。

防止 モードの場合:

  • Host Sensor 修正アクションが成功すると、HRP インシデントに脅威スコア 1 (修正済み) が割り当てられます。
  • Host Sensor 修正アクションが失敗すると、HRP インシデントに脅威スコア 10 (重大) が割り当てられます。

検出 モードでは、すべての HRP インシデントに脅威スコア 7 (高) が割り当てられます。

HRP グラフ

HRP グラフの情報は、HRP インジケータの動作の概要を視覚的に表したものです。Host Ransomware Prevention グラフには、停止される前に発生したプロセスおよびネットワークへの攻撃中にトリガされた動作が、インタラクティブなフロー チャートとして表示されます。グラフは画像としてエクスポートできます。

Screenshot of TDR HRP Behavior Summary Chart

グラフはコンパクトな形式で開きます。追加情報を段階的に表示するオプションがいくつかあります。

  • プロセス ノードで + をクリックすると、プロセスに関連する動作が表示されます。
  • プロセスまたは動作にカーソルを合わせると、詳細が表示されます。
  • 動作またはプロセス ノードをクリックすると、関連する動作とプロセスが強調表示されます。

HRP インジケータ

ランサムウェアには複数のプロセスを作成する能力があるため、HRP インジケータには、検出された脅威に関連する複数のプロセスを強制終了する、または複数のファイルを検疫するアクションを含めることができます。監視 > Threatsync > インジケータ ページで、HRP インジケータに関する情報を表示することができます。または、インジケータが修正されている場合は、監視 > Threatsync > 修正 ページで表示することができます。

リストをフィルタリングして HRP インジケータのみを表示するには、以下の手順を実行します。

  1. ThreatSync > インジケータ の順に選択します。
  2. をクリックして、すべてのフィルタをクリアします。
  3. インジケータ 列の上部で、Host Ransomware Prevention を選択します。

HRP インジケータが修正されている場合は、インジケータ ページに脅威スコアが 1 と表示されます。既定のスコア フィルタでは、この脅威スコアは選択されていません。修正された HRP インジケータのみを表示するには、Threatsync > 修正 ページを参照してください。

HRP インジケータに関連するすべてのアクションおよびファイルの詳細なリストを表示するには、以下の手順を実行します。

  1. HRP インジケータの HRP インジケータ 列で、追加情報 をクリックします。
    Host Ransomware Prevention の追加情報のダイアログ ボックスが開きます。

Screen shot of the Additional Host Ransomware Prevention Information dialog box

  1. 脅威の詳細 セクションで、詳細 をクリックします。
    インジケータに関連するすべてのファイルに対して実行されたアクション リストが記載された状態で、動作の概要 ダイアログ ボックスが開きます。

Screen shot of the Behavior summary dialog box for an HRP indicator

  1. インジケータの完全なアクション リストを表示するには、この リストの一番下にあるリンクをクリックします。
    このインジケータのアクション ログが開きます。
  2. 動作の概要の視覚的なフロー チャートを表示するには、脅威の詳細 セクションで、グラフ をクリックします。
    Host Ransomware Prevention グラフ ビューは、プロセスのみが表示されたコンパクトな形式で表示されます。

インジケータ ページの詳細については、次を参照してください:TDR インジケータを管理する

修正ページの詳細については、TDR 修正を監視する を参照してください。

HRP アクションおよび検疫済みファイル

HRP アクションの一環として、Host Sensor では 1 つまたは複数のファイルを検疫することができます。前のセクションで説明されているように、HRP インジケータの詳細にファイルの検疫アクションが表示されます。

HRP インジケータに関連するファイルを検疫から削除するには、インジケータで HRP により検疫されたファイルを元に戻す アクションを実行します。詳細については、検疫からファイルを削除する を参照してください。

HRP アクションおよび許可リスト

ランサムウェアを防止するために、MD5 が分析のために TDR に送信される前に、Host Sensor で即座にアクションが発生して、プロセスの強制終了が実行されます。つまり、ファイルの MD5 が許可リストに追加されていても、Host Sensor でそれがランサムウェアとして検出された場合は、依然としてプロセスが強制終了されるということです。

たとえファイルがランサムウェアの特徴を示していても、Host Sensor でそのファイルが無視されるようにするには、ディレクトリの場所に例外を追加します。起動時および例外リストが更新されたときに、Host Sensor で例外リストが取得されます。詳細については、Configure TDR Exclusions を参照してください。

関連情報:

TDR 脅威スコアについて

TDR Host Sensor 設定を構成する

TDR グループを管理する