Contenuto di rilevamento che individua i tentativi di sottrarre l’AccessKey per la sessione corrente in Azure

La regola della comunità ‘The Suspicious Command Line Contains Azure TokenCache.dat as Argument’ del team SOC Prime‍ è disponibile su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ Il file TokenCache.dat contiene l’AccessKey per la sessione corrente ed è memorizzato come un file JSON in chiaro. Qualsiasi manipolazione con questo file tramite la riga di comando può indicare un tentativo di rubare il token in modo che in futuro possa essere utilizzato per scopi dannosi.

Metriche della regola:

• Gravità: 3 / 3;
• Azione richiesta (quanto triage è necessario per prendere una decisione basata sulla fonte dei dati + avviso): 2 / 3;
• Indice di Dolore (mostra dove si trova la regola sulla Piramide del Dolore): 3 / 3;
• Impatto SIEM (impatto previsto della regola sul SIEM medio): 2 / 3.

Maggiori informazioni su queste metriche puoi trovarle nel nostro blog: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/

PIATTAFORME: Sigma, ELK stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.

FONTI DEI LOG: sysmon, security.

La regola copre tre tecniche secondo la metodologia MITRE ATT&CK®: Application Access Token (T1527), Credential Dumping (T1003), Steal Application Access Token (T1528)

/Rimanete al sicuro