今週のルール: Azure VMでのコマンド実行

この 今週のルール セクションでは、 Azure VMでのコマンド実行（azureactivity経由） SOC Primeチームによるルールを紹介します： https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  敵対者は環境内に足場を築くためにAzure VMの機能を悪用することができ、アクセスを維持し、権限を昇格させるために利用される可能性があります。彼らはAzure Windows VM内でPowerShellスクリプトを実行するために仮想マシン（VM）エージェントを使用するRun Command機能を悪用することができます。この機能の悪用は、VMが到達不可能な状態であっても（例：RDPまたはSSHポートが閉じている場合）Azureポータル、REST API、Azure CLI、またはPowerShellを通じてコマンドを実行できるようにします。

このルールには以下のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR: Elastic Endpoint

MITRE ATT&CK:

戦術: 初期アクセス, 実行, 永続化, 特権昇格, 防御回避

技術: コマンドラインインターフェイス (T1059), 冗長アクセス (T1108), 正規アカウント (T1078)

Azure VMでのコマンド実行（azureactivity経由）ルールは3つのMITRE ATT&CK技術をカバーしています。Azureインフラストラクチャでこの攻撃を成功させ、コマンドを実行するには、ハッカーはドメインアカウントへのアクセスが必要です。資格情報を盗む試みを発見するのに役立つThreat Detection Marketplaceで利用可能なコンテンツのリストを提供したいと考えています。

Windows Credential Managerからの資格情報の収集（cmdline経由）： https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

VPNセキュリティモニタールールパック： https://my.socprime.com/en/integrations/vpn-security-monitor

Office365 SaaSプラットフォームのセキュリティ監視ルールパック： https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

パスワードセキュリティルールパック： https://my.socprime.com/en/integrations/password-security-sentinel

ブルートフォース検出ルールパック： https://my.socprime.com/en/integrations/brute-force-detection