La regla comunitaria ‘La línea de comandos sospechosa contiene Azure TokenCache.dat como argumento’ del equipo de SOC Prime está disponible en Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ El archivo TokenCache.dat contiene la AccessKey para la sesión actual y se almacena como un archivo JSON en texto plano. Cualquier manipulación con este archivo a través de la línea de comandos puede indicar un intento de robar el token para que en el futuro pueda usarse con fines maliciosos.
Métricas de la regla:
- Severidad: 3 / 3;
- Accionabilidad (cuánto análisis se requiere para tomar una decisión basada en la fuente de datos + alerta): 2 / 3;
- Índice de dolor (muestra dónde se encuentra la regla en la Pirámide del Dolor): 3 / 3;
- Impacto en SIEM (impacto anticipado de la regla en el SIEM promedio): 2 / 3.
Puede encontrar más información sobre estas métricas en nuestro blog: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/
PLATAFORMAS: Sigma, ELK stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.
FUENTES DE LOG: sysmon, security.
La regla cubre tres técnicas según la metodología MITRE ATT&CK®: Token de acceso a aplicación (T1527), Volcado de credenciales (T1003), Robo de token de acceso a aplicación (T1528)
/Manténgase seguro
