Erkennungsinhalt, der Versuche aufdeckt, AccessKey für die aktuelle Sitzung in Azure zu stehlen

Die Community-Regel „The Suspicious Command Line Contains Azure TokenCache.dat as Argument“ des SOC Prime‍-Teams ist verfügbar unter Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ Die Datei TokenCache.dat enthält den AccessKey für die aktuelle Sitzung und wird als Klartext-JSON-Datei gespeichert. Jegliche Manipulationen mit dieser Datei über die Befehlszeile können auf einen Versuch hindeuten, das Token zu stehlen, um es in Zukunft für bösartige Zwecke zu verwenden.

Regelmetriken:

• Schweregrad: 3 / 3;
• Umsetzbarkeit (wie viel Triagierung erforderlich ist, um basierend auf der Datenquelle + Alarm eine Entscheidung zu treffen): 2 / 3;
• Schmerzindex (zeigt, wo sich die Regel auf der Schmerzpyramide befindet): 3 / 3;
• SIEM-Auswirkung (erwartete Regelwirkung auf das durchschnittliche SIEM): 2 / 3.

Weitere Informationen zu diesen Metriken finden Sie in unserem Blog: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/

PLATTFORMEN: Sigma, ELK-Stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.

PROTOKOLLQUELLEN: sysmon, sicherheit.

Die Regel deckt drei Techniken gemäß der MITRE ATT&CK®-Methodologie ab: Anwendungszugriffstoken (T1527), Anmeldeinformationsausschleusung (T1003), Anwendungszugriffstoken stehlen (T1528)

/Bleiben Sie sicher