こんにちは。SB C&Sの大塚です。
Carbon Black Cloudは、フルクラウドモデルのエンドポイントセキュリティ製品として、豊富な機能を提供しています。今回は、その中でもリアルタイムな情報収集に活用できるLive Queryについてご紹介します。

Live Queryとは

Live Queryは監査と復旧を実現するための機能です。管理コンソールからエンドポイントへクエリを実行することで、様々な情報を取得できます。Carbon Black CloudはEDR製品であるため、OS上のイベントを常時収集していますが、Live Queryには「現時点のアプリケーションの状態や脆弱性情報はどうなっているのか」といった、特定時点におけるリアルタイムな情報を取得できる特徴があります。

Live Queryはosqueryをベースに開発されています。osqueryとはOSの情報取得をSQLで記述して実現するコマンドラインツールであり、Facebook社によって開発されました。そのため、Live Queryで取得できる情報は以下の2種類に分けられます。

• osqueryのOSテーブル（Live QueryではEVENTED以外のテーブルのみが機能）
• Live Query拡張テーブル

サポートされるosqueryのバージョンは、インストールしているCarbon Black Cloudセンサーのバージョンによって異なるため、以下のリンクよりご確認ください。
https://docs.vmware.com/jp/VMware-Carbon-Black-Cloud/services/cbc-audit-and-remediation-oer/GUID-515D97E5-E806-442B-B525-8AE904772C90.html

ブログ執筆時点（2023/05/15）では5.2.3が最新となるため、osqueryのテーブルについては以下のリンクよりご確認ください。
https://osquery.io/schema/5.2.3

Live Query拡張テーブルは、Carbon Black Cloud Windowsセンサーの情報を取得することが可能です。Live Query拡張テーブルについては、以下のリンクよりご確認ください。
https://docs.vmware.com/jp/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-6B640940-BD29-4B50-985E-E4EF0FD0FAEF.html#GUID-6B640940-BD29-4B50-985E-E4EF0FD0FAEF


Live Queryを使用するには独自クエリを作成することも可能ですが、Carbon Blackセキュリティエキスパートによって事前定義された推奨クエリも実行できます。推奨クエリは管理コンソールで確認することができ、「ITハイジーン」「脆弱性管理」「脅威ハンティング」「コンプライアンス」と4つのカテゴリに分類されています。推奨クエリは管理コンソールよりワンクリックで実行可能です。

独自クエリを作成する際に参考となる情報が投稿されている「Query Exchange」と呼ばれるWEBサイトがあります。Query Exchangeは、Carbon Blackのコミュニティサイトに設けられた投稿サイトで、クエリのアイディアを投稿・閲覧することができます。なお、投稿内容はVMware社員によって確認されているため、安心して使用することができます。

https://community.carbonblack.com/t5/Query-Exchange/idb-p/query_exchange

クエリを実行するタイミングはスケジュールすることも可能です。毎日、毎週、毎月から頻度を設定でき、時刻指定も可能なため、「毎週ある曜日のある時間」の情報を常に収集するといった運用の自動化にもつながります。

実行結果は常に保存されていくため、過去の結果と比較することも容易にできます。対象のエンドポイントにおいて、どこに変更がされたのか特定する、といった活用も見込まれます。

クエリは特定のポリシーが適用されているエンドポイントや、特定のエンドポイントにのみ飛ばすこともでき、自社内で汎用的に使用することができます。

Live QueryはCarbon Black Cloudセンサーに組み込まれて提供されているため、機能を使用するために追加のコンポーネントは必要ありません。なお、Live Queryはエンドポイントが隔離状態であっても使用できます。リモートでの情報収集が可能であるためオンサイト対応を必要とせず、迅速なインシデントレスポンスにも活用できます。

Live Queryを使用するには、Carbon Black Cloud Endpoint (CBCE)ではAdvancedエディション以上が必要となり、 Carbon Black Cloud Workload (CBCW)では全てのエディションで使用できます。
各製品のライセンスエディションと、利用可能な機能一覧については以下の表を参照ください。

Live Queryの活用例

インシデントレスポンスツールとして

Live Queryはインシデントレスポンスツールとして活用できます。
インシデントが発覚した際、まずはネットワーク遮断、マルウェア削除などの応急処置を行いますが、2次被害を防ぐために「どのエンドポイントまで被害が広がっているか」を把握する必要もあります。こういった場面においてLive Queryが活躍します。リアルタイムな静的情報を全てのエンドポイントから収集し、他のエンドポイント上にリスクが存在しないかを即座に確認できます。
また、インシデントの発生から応急処置・恒久的な対応が済んだ後、環境の状態を最終確認するタイミングでも活用できます。環境内に最適な設定がなされているか、安全性を確保する目的でも活用できます。

ITハイジーンの徹底

ITハイジーンとは適切な管理者権限が設定されているか、脆弱性がないか、ファイアウォールの設定やブランクパスワードがないかなど、組織におけるセキュリティ対策が徹底されているか逐一確認し、健全な状態に保っておく取り組みのことです。
エンドポイントの状態を収集するクエリをスケジュールしておけば、管理者が決まったタイミングで結果を確認し、必要に応じてエンドポイントの使用者へ注意を促したり、修正を行ったりといった運用が可能です。こういった運用によって組織内の健全性を確保でき、セキュリティ対策レベルを高めることに繋げられます。

脆弱性管理

例えば、ある重大な脆弱性が発見され、自社の環境で対策をしなければならないという場面を想定してください。この場面において必要なプロセスとして、環境全体から脆弱なエンドポイントを特定し、それらを常時監視してパッチを適用するまでの全体の進行状態を確認することが挙げられます。一見すると単純なプロセスに見えますが、これが最も困難な作業であり、何より時間を要してしまいます。組織によっては環境内にパッチが適切に当てられ、この脆弱性を利用した攻撃から安全であると自信をもって言えるまで、プロセスの進行状況を逐一報告する義務が発生することもあり得ます。
Live Queryを活用することによって、環境内の全てのエンドポイントへクエリを投げ、脆弱なエンドポイントを特定できます。また、特定のエンドポイントに対してクエリをスケジュールできるため、常時監視の役割も担うことができます。脆弱なエンドポイントの特定から進行状況の確認まで全てLive Queryのみで完了でき、対応者の負荷と時間を大幅に削減することができるのです。

Live Queryの実行例

ここからは実際にプリセットクエリを実行し、結果がどのように確認できるのか見ていきます。今回は、プリセットクエリ内のWindowsファイアウォールが有効かどうかが確認ができる「Windows Firewall Status」というクエリを実行してみます。

Live Queryインベントリから［新しいクエリ］へ進みます。［コンプライアンス］を選択すると関連するプリセットクエリが表示されます。［実行］をクリックすると、即座にエンドポイントへクエリが投げられます。デフォルトでは全てのエンドポイントへの実行がされますが、特定のポリシーを適用したものや特定のエンドポイントへのみ実行することもできます。今回は特に指定せず、デフォルトのまま全てのエンドポイントに対して実行していきます。

下記は「Windows Firewall Status」のクエリ詳細です。7行目の「WHERE KEY」に指定されているレジストリキー内の「EnableFirewall」の値を取得しています。この値が0の場合、即ちファイアウォールが無効になっている場合はTRUEが返され、値が1の場合はファイアウォールが有効になっており、FALSEが返されます。

実行結果は［クエリの結果］から確認できます。今回は１回限りの実行であったため、［１回限り］のタブから結果が確認できます。スケジュールされたクエリの場合、［スケジューリング済み］のタブから各期間の結果が確認できます。対象のクエリを選択すると詳細の確認画面に移ります。

クエリの結果は下記のように詳細確認できます。今回の結果ではTRUEと返されているエンドポイントを１台だけ発見できました。このエンドポイントではWindowsファイアウォールが無効に設定されていることが確認できました。このように全エンドポイントの中から該当するものがどれなのか、一目で確認できることがお分かりいただけたかと思います。
この結果は［エクスポート］からcsv形式へ出力することもでき、報告書等の作成時に活用いただけます。

おわりに

Live Queryがインシデントレスポンス後の安全性の確保や、ITハイジーンの際など、様々な場面において活用できる機能であることがご理解いただけたかと思います。
強力なNGAVや業界をリードするEDRを有し、加えてLive Queryといったより高度な調査を可能にするソリューションを提供していることが、Carbon Black Cloudの魅力につながっています。