「疑わしいコマンドラインにAzure TokenCache.datを引数として含む」というSOC Primeチームによるコミュニティルールが利用可能です: 脅威検出マーケットプレイス: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ TokenCache.datファイルには現在のセッションのAccessKeyが含まれており、プレーンテキストのJSONファイルとして保存されます。このファイルをコマンドラインで操作することは、将来の悪意のある目的でトークンを盗む試みを示す可能性があります。
ルールメトリクス:
- 深刻度: 3 / 3;
- 実行可能性(データソース+アラートの基づいて決定するために必要なトリアージの量): 2 / 3;
- 痛み指数(ルールがPyramid of Painのどこに位置しているかを示します): 3 / 3;
- SIEM影響(平均的なSIEMに対するルールの影響予測): 2 / 3。
これらのメトリクスに関する詳細は、私たちのブログで見つけることができます: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/
プラットフォーム: Sigma, ELKスタック, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack。
ログソース: sysmon, security。
このルールは、MITRE ATT&CK®の方法論に従って3つの技術をカバーしています: アプリケーションアクセス トークン (T1527), 資格情報ダンピング (T1003), アプリケーションアクセス トークンの盗用 (T1528)
/気をつけて
