コマンドラインインターフェースから NDR 検出を生成する
テスト検出を生成して、Sophos NDR が正しく設定され、動作していることを確認できます。
テストは悪意のあるものではありません。攻撃に典型的な機能を持ったイベントをシミュレートすることで、検出を行います。このイベントは、クライアントが疑わしいドメインと証明書の詳細を持つサーバーからファイルをダウンロードするというものです。
コマンドラインインターフェース (CLI) からテストを実行できます。
要件
Sophos NDR テストから NDR EICAR クライアントファイルをダウンロードします。
ファイアウォールを設定して、接続先の領域のドメインと IP アドレスへの TCP トラフィックを許可します。
ドメイン名 | IP アドレス | TCP ポート | AWS リージョン |
---|---|---|---|
plrqkxqwvmtkm.xyz | 13.56.99.184 | 2222 | us-west-2 (米国、カリフォルニア) |
erqcmuydfkzzw.org | 16.62.124.9 | 2222 | eu-central-2 (スイス、チューリッヒ) |
lypwmxbnctosa.net | 18.142.20.211 | 2222 | ap-southeast-1 (シンガポール) |
xbmwsfgbphzvn.com | 18.167.138.38 | 2222 | ap-east-1(香港、中国) |
qwpoklsdvxbmy.com | 177.71.144.35 | 2222 | sa-east-1 (南米、サンパウロ) |
現在のポートミラーリング設定にネットワークトラフィックが含まれていることを確認します。詳細については、 ソフォス統合の NDR セットアップページを参照してください。
検出の生成
注
コマンドは、Sophos NDR と同じネットワーク上のデバイスで実行する必要があります。
次の例では、デフォルトのオプションを使用して、Windows コマンドプロンプトを使用して検出を生成する方法を示します。
- 管理者としてコマンドプロンプトを実行します
-
次のコマンドを入力します。
NdrEicarClient.exe
。注
デフォルトオプションを使用して検出を生成すると、クライアントは us-west-1 サーバーに接続し、ファイルのダウンロードを 1回実行します。
検出が生成されます。
-
Sophos Central で、「脅威解析センター > 検出」に移動します。
-
「検出」ページ で、 リストに
NDR-DET-TEST-IDS-SCORE
という名前の最近の高リスク検出が表示されます。 -
NDR-DET-TEST-IDS-SCORE
をクリックして詳細を開きます。「説明」には、ポート 2222 で TCP および TLS を介して通信する送信元および宛先 IP が表示されます。また、IDS (Intrusion Detection System) が検出の主な原因として示されています。IDS は、ブロックされた証明書のリストです。
-
「生データ」タブをクリックします。
flow_risk
のセクションには以下の情報が表示されます。- 非標準ポート上の既知のプロトコル
- 自己署名証明書
- 一般的でない ALPN (Application-Layer Protocol Negotiation)
- ブロックリスト済みの証明書
- サーバードメインがアルゴリズム (DGA) によって生成される可能性が高いこと
- 脅威が既知の一般的な脅威に属することを示す指標。
EICAR テストのコマンドラインオプション
NdrEicarClient.exe
コマンドの後にさまざまなコマンドラインオプションを入力できます。
コマンドラインオプションの一部を次に示します。
--help
と入力して、使用可能なオプションを表示します。--region
と入力してから、接続先の地域の名前を入力します。-
--extra
と入力して検出周辺のトラフィックを生成します。テストファイルには、トラフィックを生成するための Web クロール機能が含まれています。デフォルトでは、Web クローラーは
news.sophos.com
の Webサイトから開始し、そこから到達可能なすべての*.sophos.com
の Web ページを分析します。ファイアウォールまたは Web プロキシでこれが許可されていない場合は、最初に別の Web サイトを指定できます。Web クローラーのデフォルトの実行時間は、EICAR トラフィックの1分前と 30秒後です。--runtime
CLI オプションを使用してこれを変更できます。秒単位で指定した時間は EICAR トラフィックの前に実行され、後では、その半分の時間で実行されます。注
Web ページ間に一時停止を設定しているため、このツールを Web サイトに対するサービス拒否 (DoS) 攻撃に使用することはできません。
Appliance Manager を使用した NDR 検出の生成については、Generate detections (NDR) を参照してください。