振る舞い検知
振る舞い検知 とは何ですか?
振る舞い検知プロセス、ユーザー、ネットワークフローの実行時の振る舞いから不正な動作を識別する検知手法で、静的ファイルシグネチャに依存しない。
振る舞い検知は、コードがシステム上で実際に何をするかを観察します:プロセスツリー、親子関係、API 呼び出し、ファイルやレジストリへの書き込み、通信先、コマンドライン引数、スケジュールタスク作成などをモニタし、既知の攻撃手法に一致する一連の動作を検知します。検知ルールは Sigma またはベンダ固有言語で記述され、MITRE ATT&CK の T1059(コマンド・スクリプトインタプリタ)や T1547(起動・ログオン自動実行)などに対応付けられます。CrowdStrike、SentinelOne、Microsoft Defender for Endpoint、Cybereason、Elastic などの NGAV/EDR エンジンがリアルタイムに実装します。シグネチャと異なり、ポリモーフィック・パック化・ファイルレスにも対応できますが、Sysmon、EDR イベントストリーム、監査ログなど豊富なテレメトリと適切なチューニングが必要です。
● 例
- 01
Word が PowerShell を起動し外部 IP からダウンロードする、典型的なマクロ侵入の振る舞いを EDR ルールが検知する例。
- 02
Defender for Endpoint が非システムプロセスから LSASS メモリへの読み取りを観測して資格情報ダンプを検知する。
● よくある質問
振る舞い検知 とは何ですか?
プロセス、ユーザー、ネットワークフローの実行時の振る舞いから不正な動作を識別する検知手法で、静的ファイルシグネチャに依存しない。 サイバーセキュリティの 防御と運用 カテゴリに属します。
振る舞い検知 とはどういう意味ですか?
プロセス、ユーザー、ネットワークフローの実行時の振る舞いから不正な動作を識別する検知手法で、静的ファイルシグネチャに依存しない。
振る舞い検知 はどのように機能しますか?
振る舞い検知は、コードがシステム上で実際に何をするかを観察します:プロセスツリー、親子関係、API 呼び出し、ファイルやレジストリへの書き込み、通信先、コマンドライン引数、スケジュールタスク作成などをモニタし、既知の攻撃手法に一致する一連の動作を検知します。検知ルールは Sigma またはベンダ固有言語で記述され、MITRE ATT&CK の T1059(コマンド・スクリプトインタプリタ)や T1547(起動・ログオン自動実行)などに対応付けられます。CrowdStrike、SentinelOne、Microsoft Defender for Endpoint、Cybereason、Elastic などの NGAV/EDR エンジンがリアルタイムに実装します。シグネチャと異なり、ポリモーフィック・パック化・ファイルレスにも対応できますが、Sysmon、EDR イベントストリーム、監査ログなど豊富なテレメトリと適切なチューニングが必要です。
振る舞い検知 からどのように防御しますか?
振る舞い検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
振る舞い検知 の別名は何ですか?
一般的な別名: 振る舞いベース検知, ビヘイビアル解析。
● 関連用語
- defense-ops№ 473
ヒューリスティック検知
怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。
- network-security№ 048
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
- defense-ops№ 725
次世代アンチウイルス (NGAV)
シグネチャ検査に加え、機械学習モデル、振る舞い分析、エクスプロイト防止を組み合わせ、未知やファイルレス脅威を阻止するエンドポイント保護。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- malware№ 417
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
● 関連項目
- № 416ファイル整合性監視 (FIM)