攻撃者は、エクスプロイトを利用して、ネットワーク上のリソースやデータにアクセスを試みます。 このコンテンツ パックを利用すると、ネットワーク上に存在する既知のエクスプロイトの詳細を確認できます。エクスプロイトのシグネチャやリソースに対する処理を確認し、侵害された可能性があるリソースを迅速に特定することができます。 これにより、隔離手順を迅速かつ効率的に行い、他のリソースの状況を調査することができます。
コンテンツ パックのコンポーネント
アラーム
- エクスプロイト - 内部ホストに対する攻撃
- エクスプロイト - MountMgr エクスプロイトによる攻撃
- エクスプロイト - 検出された WannaCry イベント
レポート
ネットワーク上で発生したすべてのエクスプロイト イベントや、侵害の可能性があるリソースで発生したすべてのアクティビティを確認できます。
- エクスプロイト - 侵害の可能性があるホスト
- エクスプロイト - 潜在的なエクスプロイトのレポート
ビュー
- エクスプロイトの概要
- 攻撃された可能性があるデバイスのアクティビティ
- 潜在的なエクスプロイトのアクティビティ
- 攻撃された可能性があるホストのアクティビティ
相関分析ルール
- エクスプロイト - 攻撃発生後の FTP ログイン
- エクスプロイト - 内部ホストで発生したエクスプロイト イベント数の増加
- エクスプロイト - 攻撃発生後の SSH ログイン
- エクスプロイト - Shellshock エクスプロイトによる攻撃
- エクスプロイト - ローカル ホストでの VoIP エクスプロイト
- エクスプロイト - Kerberos チケットの操作
- エクスプロイト - 侵害された可能性のあるホストのエクスプロイト
ウォッチリスト
- エクスプロイト - 侵害の可能性があるホスト (IP アドレス)
- エクスプロイト - 侵害の可能性があるホスト (ホスト)
- エクスプロイト - WannaCry シグネチャ ID
必要な製品
- McAfee Enterprise Security Manager (ESM) 11.x, 10.x
- McAfee Advanced Correlation Engine (ACE) 11.x, 10.x
コンテンツ パックのダウンロード
ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。
記事を読む