k2-ornata(個人的「やってみたこと」ブログ)

M365ログ用のSigmaルールにMITRE ATT&CKのT1486(Data Encrypted for Impact)に該当するものがあるか調べてみた

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

M365ログを利用してランサム を検知する方法をいろいろ調べています。

1.microsoft365_potential_ransomware_activity

rules/cloud/m365/threat_management/microsoft365_potential_ransomware_activity.yml

これをChatGPTに解説してもらった。

このSigmaルールは、Microsoft 365(M365)のSecurity Compliance Centerからの「潜在的なランサムウェア活動」を示すイベントを検出することを目的としています。Microsoft 365は、企業や組織がクラウドでのセキュリティ管理を強化するためのサービスを提供しており、特にSecurity Compliance Centerは、セキュリティに関するアクティビティを監視、管理、通知する機能を持っています。
1. Tags(タグ)

    attack.impact
        攻撃の影響に関連するアクションを示しています。ランサムウェア攻撃が成功した場合、データの暗号化や影響を引き起こす可能性があるため、このタグが使用されています。
    attack.t1486
        MITRE ATT&CKのテクニック「T1486: Data Encrypted for Impact」(影響を与えるためのデータ暗号化)に関連しています。このテクニックは、ランサムウェアがシステム上のデータを暗号化し、被害を与える行為に該当します。

2. Logsource(ログソース)

    service: threat_management
        ログソースのサービスは、脅威管理に関連するログです。脅威管理は、M365環境内で検出されたセキュリティ脅威に対処するためのサービスです。
    product: m365
        このルールは、Microsoft 365 環境に適用されます。M365は、クラウドベースのサービスで、組織のデータとユーザーを保護するための多くのセキュリティ機能を提供します。

3. Detection(検出部分)

    Selection(選択条件):
        eventSource: SecurityComplianceCenter
            この条件は、Microsoft 365のSecurity Compliance Centerから発生するイベントを対象としています。このセンターは、セキュリティに関する規制順守や監査を行うための中央ハブであり、セキュリティ関連のログやイベントを記録します。
        eventName: 'Potential ransomware activity'
            イベント名が「潜在的なランサムウェア活動」であるイベントに絞り込みます。このイベントは、ランサムウェアに関連する活動が検出されたことを示します。
        status: success
            イベントのステータスが「成功」であることを条件にしています。これは、潜在的なランサムウェア活動が正常に検出され、処理されたことを示します。

    Condition(条件):
        selection
            上記の選択条件に合致した場合にアラートが発生します。

4. False Positives(誤検知の可能性)

    Unknown
        このルールでは、現時点で誤検知の可能性は不明とされています。潜在的なランサムウェア活動を示すイベントに対して、状況に応じて手動で確認する必要があります。

5. Level(重要度)

    medium
        このルールは「中」レベルのリスクを示しています。潜在的なランサムウェア活動が検出された場合には注意が必要ですが、即座に深刻な脅威として判断されるわけではなく、さらに調査が必要なケースが多いことを示しています。

6. 全体の解説

このSigmaルールは、Microsoft 365 Security Compliance Centerから「潜在的なランサムウェア活動」を検出するためのものです。ランサムウェアは、データを暗号化して被害者に対して身代金を要求する攻撃手法であり、企業にとって深刻な脅威となることが多いです。M365環境では、脅威管理サービスがこうした活動を検出し、セキュリティチームに警告します。

このルールの目的は、Security Compliance Centerが成功裏に検出した潜在的なランサムウェア活動に基づいてアラートを発生させ、迅速な対応が取れるようにすることです。
実際の適用例

もしMicrosoft 365環境内でランサムウェアに関連する活動が検出された場合、このルールがトリガーされ、セキュリティチームが対応に当たります。このルールは、脅威が検出されたことを示すイベントに基づいており、特にランサムウェア活動にフォーカスしています。

2.一定時間内の大量アクセス

(調査&検討中)こういうのがほしいんだよなー。

ちなみに下記のサイトを見ると、 Premiunであれば「機密ファイルへの大量アクセス」といった検知もできるようです。

リスク検出とは
https://learn.microsoft.com/ja-jp/entra/id-protection/concept-identity-protection-risks

Alert policies in Microsoft 365
https://learn.microsoft.com/en-us/purview/alert-policies

なお、以下の情報を組み合わせると、Microsoft 365 E3を持っていれば、Microsoft Defender for Endpoint P1が利用でき、マルウェア検出ができることになりそうです。

Defender for Cloud Apps の一般的な脅威対策ポリシー
https://learn.microsoft.com/ja-jp/defender-cloud-apps/policies-threat-protection
「Microsoft 365 マルウェア検出には、Microsoft Defender for Microsoft 365 P1 の有効なライセンスが必要です。」

Microsoft Defender for Endpoint
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-endpoint
「Microsoft Defender for Endpoint P1・・・Microsoft 365 E3 に含まれています」

また、以下は参考情報。O365と比較すると、M365は「サイバー脅威に対する保護」や「セキュリティ管理」などが追加になっています。

大企業向け Office 365 と Microsoft 365 の比較
https://www.microsoft.com/ja-jp/microsoft-365/enterprise/compare-microsoft-365-and-office-365

Related posts:

  1. Windowsログ用のSigmaルールにMITRE ATT&CKのT1486(Data Encrypted for Impact)に該当するものがあるか調べてみた
  2. M365用のSigmaルールにどのMITRE ATT&CKテクニックに該当するものがあるか調べてみた
  3. MITRE ATT&CK Office 365 Matrixと Sigma、Splunkルールをマッピングしてみた
  4. M365ログ用のSigmaルールにMITRE ATT&CKのT1080(Taint Shared Content) or T1204(User Execution)に該当するものがあるか調べてみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA