この 今週のルール セクションでは、 Azure VMでのコマンド実行(azureactivity経由) SOC Primeチームによるルールを紹介します: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#
敵対者は環境内に足場を築くためにAzure VMの機能を悪用することができ、アクセスを維持し、権限を昇格させるために利用される可能性があります。彼らはAzure Windows VM内でPowerShellスクリプトを実行するために仮想マシン(VM)エージェントを使用するRun Command機能を悪用することができます。この機能の悪用は、VMが到達不可能な状態であっても(例:RDPまたはSSHポートが閉じている場合)Azureポータル、REST API、Azure CLI、またはPowerShellを通じてコマンドを実行できるようにします。
このルールには以下のプラットフォーム向けの翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,
EDR: Elastic Endpoint
MITRE ATT&CK:
戦術: 初期アクセス, 実行, 永続化, 特権昇格, 防御回避
技術: コマンドラインインターフェイス (T1059), 冗長アクセス (T1108), 正規アカウント (T1078)
Azure VMでのコマンド実行(azureactivity経由)ルールは3つのMITRE ATT&CK技術をカバーしています。Azureインフラストラクチャでこの攻撃を成功させ、コマンドを実行するには、ハッカーはドメインアカウントへのアクセスが必要です。資格情報を盗む試みを発見するのに役立つThreat Detection Marketplaceで利用可能なコンテンツのリストを提供したいと考えています。
Windows Credential Managerからの資格情報の収集(cmdline経由): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/
VPNセキュリティモニタールールパック: https://my.socprime.com/en/integrations/vpn-security-monitor
Office365 SaaSプラットフォームのセキュリティ監視ルールパック: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala
パスワードセキュリティルールパック: https://my.socprime.com/en/integrations/password-security-sentinel
ブルートフォース検出ルールパック: https://my.socprime.com/en/integrations/brute-force-detection
