A regra comunitária ‘A Linha de Comando Suspeita Contém TokenCache.dat do Azure como Argumento’ pela equipe SOC Prime está disponível em Marketplace de Detecção de Ameaças: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ O arquivo TokenCache.dat contém o AccessKey para a sessão atual e é armazenado como um arquivo JSON em texto sem formatação. Qualquer manipulação com este arquivo via linha de comando pode indicar uma tentativa de roubar o token, para que no futuro ele possa ser usado para fins maliciosos.
Métricas da Regra:
- Gravidade: 3 / 3;
- Ação (quanto triagem é necessária para tomar uma decisão com base na fonte de dados + alerta): 2 / 3;
- Índice de Dor (mostra onde a regra está na Pirâmide da Dor): 3 / 3;
- Impacto SIEM (impacto antecipado da regra no SIEM médio): 2 / 3.
Mais informações sobre essas métricas você pode encontrar em nosso blog: https://socprime.com/blog/siem-impact-pain-actionability-and-severity/
PLATAFORMAS: Sigma, ELK stack, Elasticsearch, elasticsearch-rule, Kibana, xpack-watcher, ArcSight ESM, ArcSight-keyword, SumoLogic, Qualys, IBM Qradar, Splunk, ala, ala-rule, RSA Netwitness, powershell, CarbonBlack.
FONTES DE LOG: sysmon, segurança.
A regra cobre três técnicas de acordo com a metodologia MITRE ATT&CK®: Token de Acesso a Aplicações (T1527), Dump de Credenciais (T1003), Roubo de Token de Acesso a Aplicações (T1528)
/Fique seguro
