SOC Prime 팀의 ‘의심스러운 명령줄이 Azure TokenCache.dat을 인수로 포함’ 커뮤니티 규칙은 다음에서 확인할 수 있습니다. 위협 탐지 마켓플레이스: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ TokenCache.dat 파일에는 현재 세션의 AccessKey가 포함되어 있으며 일반 텍스트 JSON 파일로 저장됩니다. 이 파일을 명령줄을 통해 조작하는 것은 토큰을 도난하여 향후 악의적인 목적으로 사용하려는 시도로 나타날 수 있습니다.
규칙 메트릭:
- 심각도: 3 / 3;
- 실행 가능성 (데이터 소스 및 경고 기반으로 의사 결정을 내리기 위해 얼마나 많은 처리 작업이 필요한가): 2 / 3;
- 고통 지수 (규칙이 고통의 피라미드에서 어디에 있는지를 보여줌): 3 / 3;
- SIEM 영향 (평균 SIEM에 대한 예상 규칙 영향): 2 / 3.
이 메트릭에 대한 더 많은 정보는 블로그에서 찾을 수 있습니다: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/
플랫폼: Sigma, ELK 스택, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.
로그 소스: sysmon, 보안.
이 규칙은 MITRE ATT&CK® 방법론에 따라 세 가지 기술을 다룹니다: 애플리케이션 액세스 토큰 (T1527), 크리덴셜 덤핑 (T1003), 애플리케이션 액세스 토큰 도난 (T1528)
/안전하게 계세요
