Die Community-Regel „The Suspicious Command Line Contains Azure TokenCache.dat as Argument“ des SOC Prime-Teams ist verfügbar unter Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ Die Datei TokenCache.dat enthält den AccessKey für die aktuelle Sitzung und wird als Klartext-JSON-Datei gespeichert. Jegliche Manipulationen mit dieser Datei über die Befehlszeile können auf einen Versuch hindeuten, das Token zu stehlen, um es in Zukunft für bösartige Zwecke zu verwenden.
Regelmetriken:
- Schweregrad: 3 / 3;
- Umsetzbarkeit (wie viel Triagierung erforderlich ist, um basierend auf der Datenquelle + Alarm eine Entscheidung zu treffen): 2 / 3;
- Schmerzindex (zeigt, wo sich die Regel auf der Schmerzpyramide befindet): 3 / 3;
- SIEM-Auswirkung (erwartete Regelwirkung auf das durchschnittliche SIEM): 2 / 3.
Weitere Informationen zu diesen Metriken finden Sie in unserem Blog: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/
PLATTFORMEN: Sigma, ELK-Stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.
PROTOKOLLQUELLEN: sysmon, sicherheit.
Die Regel deckt drei Techniken gemäß der MITRE ATT&CK®-Methodologie ab: Anwendungszugriffstoken (T1527), Anmeldeinformationsausschleusung (T1003), Anwendungszugriffstoken stehlen (T1528)
/Bleiben Sie sicher
