Contenido de detección que descubre intentos de robar AccessKey para la sesión actual en Azure

La regla comunitaria ‘La línea de comandos sospechosa contiene Azure TokenCache.dat como argumento’ del equipo de SOC Prime‍ está disponible en Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ El archivo TokenCache.dat contiene la AccessKey para la sesión actual y se almacena como un archivo JSON en texto plano. Cualquier manipulación con este archivo a través de la línea de comandos puede indicar un intento de robar el token para que en el futuro pueda usarse con fines maliciosos.

Métricas de la regla:

• Severidad: 3 / 3;
• Accionabilidad (cuánto análisis se requiere para tomar una decisión basada en la fuente de datos + alerta): 2 / 3;
• Índice de dolor (muestra dónde se encuentra la regla en la Pirámide del Dolor): 3 / 3;
• Impacto en SIEM (impacto anticipado de la regla en el SIEM promedio): 2 / 3.

Puede encontrar más información sobre estas métricas en nuestro blog: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/

PLATAFORMAS: Sigma, ELK stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.

FUENTES DE LOG: sysmon, security.

La regla cubre tres técnicas según la metodología MITRE ATT&CK®: Token de acceso a aplicación (T1527), Volcado de credenciales (T1003), Robo de token de acceso a aplicación (T1528)

/Manténgase seguro