コンテンツにスキップ
MDR のサポート提供の詳細はこちら

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=NDR-test-CLI

コマンドラインインターフェースから NDR 検出を生成する

テスト検出を生成して、Sophos NDR が正しく設定され、動作していることを確認できます。

テストは悪意のあるものではありません。攻撃に典型的な機能を持ったイベントをシミュレートすることで、検出を行います。このイベントは、クライアントが疑わしいドメインと証明書の詳細を持つサーバーからファイルをダウンロードするというものです。

コマンドラインインターフェース (CLI) からテストを実行できます。

要件

Sophos NDR テストから NDR EICAR クライアントファイルをダウンロードします。

ファイアウォールを設定して、接続先の領域のドメインと IP アドレスへの TCP トラフィックを許可します。

ドメイン名 IP アドレス TCP ポート AWS リージョン
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2 (米国、カリフォルニア)
erqcmuydfkzzw.org 16.62.124.9 2222 eu-central-2 (スイス、チューリッヒ)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1 (シンガポール)
xbmwsfgbphzvn.com 18.167.138.38 2222 ap-east-1(香港、中国)
qwpoklsdvxbmy.com 177.71.144.35 2222 sa-east-1 (南米、サンパウロ)

現在のポートミラーリング設定にネットワークトラフィックが含まれていることを確認します。詳細については、 ソフォス統合の NDR セットアップページを参照してください。

検出の生成

コマンドは、Sophos NDR と同じネットワーク上のデバイスで実行する必要があります。

次の例では、デフォルトのオプションを使用して、Windows コマンドプロンプトを使用して検出を生成する方法を示します。

  1. 管理者としてコマンドプロンプトを実行します

  2. 次のコマンドを入力します。NdrEicarClient.exe

    コマンドプロンプトで NDR テストを実行します。

    デフォルトオプションを使用して検出を生成すると、クライアントは us-west-1 サーバーに接続し、ファイルのダウンロードを 1回実行します。

    検出が生成されます。

  3. Sophos Central で、「脅威解析センター > 検出」に移動します。

  4. 検出」ページ で、 リストに NDR-DET-TEST-IDS-SCORE という名前の最近の高リスク検出が表示されます。

    「検出」ページ。

  5. NDR-DET-TEST-IDS-SCORE をクリックして詳細を開きます。

    説明」には、ポート 2222 で TCP および TLS を介して通信する送信元および宛先 IP が表示されます。また、IDS (Intrusion Detection System) が検出の主な原因として示されています。IDS は、ブロックされた証明書のリストです。

    検出の詳細。

  6. 生データ」タブをクリックします。flow_risk のセクションには以下の情報が表示されます。

    • 非標準ポート上の既知のプロトコル
    • 自己署名証明書
    • 一般的でない ALPN (Application-Layer Protocol Negotiation)
    • ブロックリスト済みの証明書
    • サーバードメインがアルゴリズム (DGA) によって生成される可能性が高いこと
    • 脅威が既知の一般的な脅威に属することを示す指標。

    検出生データ。

EICAR テストのコマンドラインオプション

NdrEicarClient.exe コマンドの後にさまざまなコマンドラインオプションを入力できます。

コマンドラインオプションの一部を次に示します。

  • --help と入力して、使用可能なオプションを表示します。
  • --region と入力してから、接続先の地域の名前を入力します。

  • --extra と入力して検出周辺のトラフィックを生成します。

    コマンド出力で追加のトラフィックを含む NDR テスト。

    テストファイルには、トラフィックを生成するための Web クロール機能が含まれています。デフォルトでは、Web クローラーは news.sophos.com の Webサイトから開始し、そこから到達可能なすべての *.sophos.com の Web ページを分析します。ファイアウォールまたは Web プロキシでこれが許可されていない場合は、最初に別の Web サイトを指定できます。Web クローラーのデフォルトの実行時間は、EICAR トラフィックの1分前と 30秒後です。--runtime CLI オプションを使用してこれを変更できます。秒単位で指定した時間は EICAR トラフィックの前に実行され、後では、その半分の時間で実行されます。

    Web ページ間に一時停止を設定しているため、このツールを Web サイトに対するサービス拒否 (DoS) 攻撃に使用することはできません。

Appliance Manager を使用した NDR 検出の生成については、Generate detections (NDR) を参照してください。