Contenu de détection qui révèle les tentatives de vol d’AccessKey pour la session en cours dans Azure

La règle communautaire « La ligne de commande suspecte contient Azure TokenCache.dat comme argument » par l’équipe de SOC Prime‍ est disponible à Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ Le fichier TokenCache.dat contient la clé d’accès pour la session en cours et est stocké comme un fichier JSON en texte brut. Toute manipulation de ce fichier via la ligne de commande peut indiquer une tentative de vol du jeton afin qu’il puisse être utilisé à des fins malveillantes à l’avenir.

Métriques de la règle :

• Gravité : 3 / 3 ;
• Possibilité d’action (combien de triage est nécessaire pour prendre une décision basée sur la source de données + alerte) : 2 / 3 ;
• Indice de douleur (montre où la règle se situe sur la Pyramide de la douleur) : 3 / 3 ;
• Impact SIEM (impact anticipé de la règle sur le SIEM moyen) : 2 / 3.

Vous pouvez trouver plus d’informations sur ces métriques dans notre blog : https://socprime.com/blog/siem-impact-pain-actionability-and-severity/

PLATEFORMES : Sigma, ELK stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.

SOURCES DE LOGS : sysmon, sécurité.

La règle couvre trois techniques selon la méthodologie MITRE ATT&CK® : Jeton d’accès d’application (T1527), Dumping d’identifiants (T1003), Vol de jeton d’accès d’application (T1528)

/Restez en sécurité