MDR事件調查技巧

# MDR事件調查技巧 ###### tag : `MDR` ## Trend Vision One ### 📑 Telemetry 欄位對照表 | 欄位名稱 | 意義 | 解讀重點 | 範例 | |----------|------|----------|------| | **processFilePath** | 觸發事件的「程式」路徑 | 誰在執行動作（可疑或正常程式） | `C:\Program Files\7-Zip\7zG.exe` | | **processCmd** | 程式啟動時的完整命令列 | 可判斷參數、操作方式 | `"C:\Program Files\7-Zip\7zG.exe" x -o"E:\" -an ...` | | **processUser / processUserDomain** | 執行該程式的使用者帳號 | 確認動作者身分 | `ACERAEB\8611704` | | **parentFilePath** | 觸發程式的父行程路徑 | 判斷程式是誰開的 | `C:\Windows\explorer.exe` | | **parentCmd** | 父行程的啟動命令列 | 確認啟動背景 | `C:\WINDOWS\Explorer.EXE` | | **objectFilePath** | 被操作的檔案完整路徑 | **這是動作的目標檔案** | `E:\南山網頁移除工具\RemoveBrowserExtensions.exe` | | **objectFileSize / objectTrueType** | 被操作檔案的大小 / 類型 | 判斷檔案屬性是否異常 | `44544 bytes` / `EXE` | | **deviceType** | 被操作檔案所在裝置的類型 | 區分固定磁碟、可移動磁碟、網路磁碟 | `REMOVABLE` = USB/隨身碟 | | **nativeStorageDeviceBusType** | 裝置的 Bus 類型 | 7=USB, 11=SATA, 17=NVMe | `7` → USB | | **eventSubId** | 事件子類型 | 具體動作類型（建立/刪除/移動） | `101 = FILE_CREATE` / `106 = FILE_MOVE` | | **eventSourceType** | 事件來源 | 1=Telemetry, 3=Event Log, 4=Detection | `1 - EVENT_SOURCE_TELEMETRY` | | **eventTime / firstSeen / lastSeen** | 事件時間戳 | 確認行為發生時間 | `2025-10-01T09:59:26Z` | | **fullPath** | 被偵測檔案完整路徑（含檔名） | 在 detection event 裡，指明命中的檔案 | `E:\南山網頁移除工具\RemoveBrowserExtensions.exe` | | **filePath** | 被偵測檔案所在資料夾 | 與 fullPath 的差別是 **不含檔名** | `E:\南山網頁移除工具\` | | **quarantineFilePath** | 隔離後樣本在本機的位置 | Agent 將檔案複製到此處保存 | `C:\Program Files (x86)\Trend Micro\Security Agent\Suspect\Backup\...qtn` | | **fileHash (MD5/SHA1/SHA256)** | 被操作檔案的雜湊值 | 用來全環境搜 IOC | `f94aa9d07d7f6dcf5e2f3ea14851f4ff12ae8eca59ab868fa32cc337df7d4a2e` | ### 🔑 判讀技巧 :::info 1. 確認類型 → 這是偵測還是行為紀錄？ 2. 看行程 → 誰在做（process / parent / user）？ 3. 看檔案 → 動了什麼檔案（路徑 / hash / type）？ 4. 看環境 → 發生在哪個裝置（C 槽 / USB / 網路磁碟）？ 5. 看結果 → 防護是否已阻擋？檔案是否仍存在？ 6. 串時間線 → 動作順序合理嗎？有沒有可能誤判？ ::: #### 1️⃣ 事件類型（先搞清楚是什麼事件） - eventId → 大類（Telemetry、Detection、Logon、Network …） - eventSubId → 細項動作（File Create、File Move、Process Create …） - eventSourceType → 來源 (Telemetry=行為記錄 / Event Log=系統 / Detection=偵測結果) 👉 問自己：這是一個「偵測告警」還是「單純行為紀錄」？ #### 2️⃣ 誰在做動作？（Process/Parent） - processFilePath → 觸發行為的程式 - processCmd → 執行時的命令列（判斷參數是否可疑） - processUser / processUserDomain → 哪個使用者啟動 - parentFilePath / parentCmd → 父行程來源（Explorer？PowerShell？Browser？） 👉 問自己：這是「使用者互動」(Explorer, Chrome) 還是「自動化/攻擊程式」(PowerShell, Wscript, Rundll32)？ #### 3️⃣ 動了什麼檔案？（Object） - objectFilePath / fullPath → 被操作的檔案完整路徑 - filePath → 所在資料夾 - objectFileSize / objectTrueType → 檔案大小、檔案類型（EXE/DLL/Script） - fileHash (SHA256) → 用來做 IOC 搜尋、比對情資 👉 問自己：這個檔案應該會出現在這裡嗎？（正常軟體？陌生工具？USB 帶進來的？） #### 4️⃣ 在哪裡發生？（Device/Location） - endpointHostName / endpointIp / userDomain → 哪台機器、哪個使用者 - deviceType / nativeStorageDeviceBusType → 檔案所在裝置（固定硬碟 / USB / 網路磁碟） 👉 問自己：這是在本機 C 槽系統路徑，還是 USB/網路磁碟？有沒有異常（例如 EXE 存在於使用者文件夾、隨身碟）？ #### 5️⃣ 防護動作結果（最終狀態） - act / actResult → 防護採取的動作（Quarantine/Delete/Block/Allow） - quarantineFilePath → 如果有隔離，樣本存放在哪裡 - confidence / detectionAggressivenessLevel → 機器學習信心值、偵測模式嚴格度 👉 問自己：防護是否已經成功阻擋？檔案是否仍留在磁碟？有沒有執行行為？ #### 6️⃣ 時間線（串起來看） - eventTime / firstSeen / lastSeen / logReceivedTime 依序看「檔案寫入 → 偵測 → 隔離 → 是否有後續執行/Move/Delete」判斷先後順序，避免被 log delay 誤導。 👉 問自己：這個事件是在「檔案被寫入就阻擋」，還是「檔案先執行，事後才隔離」？ ## Cortex XDR ### xdr_data 記錄所有從XDR Agent及其他資料源進來的可查詢事件 - When: `_time` - Where/Who(Host): `agent_*` - `agent_hostname`、`agent_id`、`agent_ip_addresses` - Who(Process): `actor_*` - What: `action_*` - `event_type`: 1. `PROCESS` 2. `NETWORK` 3. `FILE` 4. `REGISTRY` 5. `INJECTION` 6. `LOADIMAGE` : module/dll載入 7. `UserStatusChange`: 登入狀態、鎖定/解鎖 8. `TimeChange`: 系統時間/時區被修改 9. `THREAD` 10. `Causality` 11. `HostStatusChange`: 主機狀態變更（開機/關機/休眠、IP 變更等） 12. `AgentStatusChange`: 代理程式狀態（啟停、版本/內容更新、連線狀態） 13. `InternalStatistics` 14. `ProcessHandle`: 誰用甚麼權限打開某個Process的Handle - 高權限開啟 lsass.exe/系統程序 → 憑證擷取/注入前兆 15. `WindowsEventLog` - 4624/4625 登入、4688 進程、7045 服務建立… 16. `EpmStatus`(Exploit/Protection Module): 防護模組是否有被停用或失效 17. `MetadataChange` 18. `SystemCall` 19. `Device`: 裝置的變化 20. `HostFirewall`: 防火牆狀態/規則 - To/From(Target): `target_*` - Why(Chain):屬於哪一條因果鏈 `actor_process_causality_id`、 ### 調查TIPs 1. 先找到`xdm.source.process.causality_id` ![image](https://hackmd.io/_uploads/Bk3uXumRlx.png) 2. 然後就可以用XQL，以`action_process_causality_id`為pivot filter相關事件