鋭意作成中
| テクニック | Sigmaルール | Splunkルール | STRIDEとの対応など |
T1078: Valid Accounts | |||
| T1078.001: Default Account | <Spoofing、Elevation of Privilegeに該当> デフォルトのアカウントを利用してシステムやネットワークにアクセスする手法です。 | ||
| T1078.004: Cloud Accounts Execution | https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_subscription_permissions_elevation_via_activitylogs.yml | ||
| T1059 Command and Scripting Interpreter | https://k2-ornata.com/wp-admin/post.php?post=6391&action=edit | ||
| T1059.009: Cloud API | 攻撃者がクラウドサービスのAPIを利用してコマンドやスクリプトを実行し、クラウドリソースを操作することを指します。クラウドAPIは、クラウドリソースをプログラム的に管理するために提供されるインターフェースであり、Azure環境ではAzure REST APIやAzure CLI、Azure PowerShellなどが含まれます。 攻撃者がCloud APIを利用する方法には次のようなものがあります: 認証情報の盗難:攻撃者が正当なユーザーのAPIキーやトークンを盗んで使用する。 フィッシング:ユーザーをだまして認証情報を提供させる。 APIの誤設定:クラウドAPIの設定ミスやセキュリティホールを悪用する。 | ||
| T1098: Account Manipulation | https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_granting_permission_detection.yml | ||
| T1098.001: Additional Cloud Credentials | |||
| T1098.003: Additional Cloud Roles | 攻撃者が既存のクラウドアカウントに対して追加のクラウドロール(役割)を割り当てることを指します。これにより、攻撃者は追加されたロールを利用してクラウドリソースへのアクセス権を拡張し、さらに悪意のある行動を実行することが可能になります。Azure環境では、Azure AD(Azure Active Directory)やAzure RBAC(Role-Based Access Control)を介してロールの割り当てが行われます。 攻撃者が追加のクラウドロールを利用する方法には次のようなものがあります: フィッシングやソーシャルエンジニアリングを通じて管理者権限を取得する。 認証情報を盗んでクラウドアカウントにアクセスする。 誤設定されたクラウドロールを悪用する。 | ||
| T1098.005: Device Registration | |||
| T1136: Create Account | |||
T1136.003: Cloud Account | |||
| T1556: Modify Authentication Process | https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_mfa_disabled.yml | ||
T1556.006: Multi-Factor Authentication | |||
T1556.007:Hybrid Identity | 攻撃者がハイブリッドアイデンティティ環境における認証プロセスを変更することを指します。ハイブリッドアイデンティティ環境では、オンプレミスのディレクトリサービス(例:Active Directory)とクラウドベースのディレクトリサービス(例:Azure Active Directory)が連携してユーザー認証を行います。攻撃者はこの認証プロセスを改変することで、認証情報を盗む、認証プロセスをバイパスする、または特権を昇格させることを狙います。 | ||
T1556.009:Conditional Access Policies | |||
T1078: Valid Accounts | |||
| T1078.001: Default Accounts | |||
| T1078.004: Cloud Accounts | 攻撃者が正当なクラウドアカウントの認証情報を取得し、それを用いてクラウド環境にアクセスすることを指します。攻撃者が有効な認証情報を入手することで、クラウドリソースやデータに不正アクセスすることが可能になります。これには、以下のような手法が含まれます: フィッシング:ユーザーを騙して認証情報を提供させる。 クレデンシャルステフィング:以前に漏洩した認証情報を用いて他のサービスにログインを試みる。 マルウェア:キーロガーなどのマルウェアを使用して認証情報を盗む。 内部者の脅威:内部者が自身の認証情報を悪用する、または他の従業員の認証情報を不正に取得する。 | ||
| T1548 Abuse Elevation Control Mechanism | |||
| T1548.005: Temporary Elevated Cloud Access | 攻撃者がクラウド環境における一時的な権限昇格メカニズムを悪用して、一時的に高い権限を得ることを指します。クラウド環境では、特定のタスクを実行するためにユーザーに一時的な管理者権限を付与する機能が提供されることがあり、これを悪用して攻撃者は高権限の操作を行います。 | ||
| T1098: Account Manipulation | |||
| T1098.001: Additional Cloud Credentials | |||
| T1098.003: Additional Cloud Roles | https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_ad_user_added_to_admin_role.yml | ||
| T1098.005: Device Registration | |||
| T1484 Domain or Tenant Policy Modification | |||
| T1484.002 Trust Modification | |||
| T1078: Valid Accounts | https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_ad_user_added_to_admin_role.yml | ||
T1078.001: Default Accounts | |||
T1078.004: Cloud Accounts | |||
| T1548 Abuse Elevation Control Mechanism | |||
| T1548.005: Temporary Elevated Cloud Access | |||
| T1484 Domain or Tenant Policy Modification | |||
| T1484.002: Trust Modification | |||
| T1556: Modify Authentication Process | |||
| T1556.006: Multi-Factor Authentication | |||
| T1556.007: Hybrid Identity | |||
| T1556.009: Conditional Access Policies | |||
| T1078: Valid Accounts | |||
| T1078.001: Default Accounts | |||
| T1078.004: Cloud Accounts | |||
| T1110: Brute Force | |||
| T1110.001: Password Guessing | ユーザーの行動パターンや個人情報に基づいて、推測しやすいパスワードを手動または自動で試行します。 | ||
| T1110.002: Password Cracking | 攻撃者が自動化されたツールを使用して、可能なパスワードの組み合わせを繰り返し試すことによって、認証情報を取得する攻撃手法です。この攻撃は、パスワードの長さや複雑さに依存します。一般的には、辞書攻撃や総当たり攻撃が用いられます。 | ||
| T1110.003: Password Spraying | https://research.splunk.com/cloud/e5ab41bf-745d-4f72-a393-2611151afd8e/ | category= SignInLogs properties.status.errorCode=50126 properties.authenticationDetails{}.succeeded=false | |
| T1110.004: Credential Stuffing | <Spoofingに該当> 攻撃者が既に入手した大量の認証情報(ユーザー名とパスワードのペア)を用いて、他のオンラインアカウントへのアクセスを試みる攻撃手法です。これは、ユーザーが異なるサービスで同じ認証情報を使い回していることを悪用するものです。攻撃者は、データ漏洩などで入手した認証情報リストを自動化ツールを使って様々なサービスに対して試行し、有効な組み合わせを見つけ出します。 | ||
| T1212 Exploitation for Credential Access | <Elevation of Privilege及びInformation Disclosureに該当> 攻撃者が脆弱性を悪用してシステムやアプリケーションから認証情報(ユーザー名やパスワード、認証トークンなど)を取得する手法です。これには、バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティング(XSS)、その他の脆弱性を利用することが含まれます。攻撃者は、これらの手法を使って認証情報を盗み出し、その後の攻撃活動に利用します。 | ||
| T1606 Forge Web Credentials | <Spoofingに該当> 攻撃者が偽のウェブ認証情報を作成して、正当なユーザーやシステムを欺く手法です。これには、フィッシング攻撃を通じてユーザーから認証情報を騙し取ることや、偽のウェブページやポータルを作成してユーザーを誘導し、認証情報を入力させることが含まれます。攻撃者はこれらの偽の認証情報を使って、正当なユーザーのふりをしてシステムにアクセスします。 | ||
| T1606.002 SAML Tokens | <Spoofing及びElevation of Privilegeに該当> 攻撃者が不正なSAMLトークンを生成して、システムやアプリケーションにアクセスする手法です。SAMLトークンは、シングルサインオン(SSO)や他の認証プロトコルで使用され、ユーザーの認証情報やアクセス権限を含むセキュリティアサーションを含んでいます。攻撃者は、このトークンを偽造することで、正当なユーザーとして認識され、さまざまなシステムやサービスにアクセスすることができます。 | ||
| T1556: Modify Authentication Process | |||
| T1556.006: Multi-Factor Authentication | |||
| T1556.007: Hybrid Identity | <TamperingとElevation of Privilegeに該当>攻撃者がハイブリッドアイデンティティ環境における認証プロセスを変更することで、認証やアクセス制御を不正に操作する手法です。ハイブリッドアイデンティティ環境は、オンプレミスとクラウドベースのアイデンティティサービスを統合して管理する環境を指します。攻撃者は、この認証プロセスを改ざんすることで、例えば認証バイパスや特権昇格を行い、システムやデータに不正アクセスします。 | ||
| T1556.009: Conditional Access Policies | <TamperingとElevation of Privilegeに該当>攻撃者が条件付きアクセスポリシーを変更することで、認証やアクセス制御の挙動を不正に操作する手法です。条件付きアクセスポリシーは、ユーザーやデバイスの特定の条件に基づいてアクセスを制御するためのポリシーです。これらのポリシーを悪用すると、攻撃者は特定の条件を満たしてアクセスを許可されたり、セキュリティ制御をバイパスしたりすることができます。 | ||
| T1621 Multi-Factor Authentication Request Generation | <SpoofingとDenial of Serviceに該当> 攻撃者が多要素認証(MFA)リクエストを生成または操作することで、認証プロセスを悪用する手法です。MFAは、ユーザーのアイデンティティを検証するために複数の要素を使用するセキュリティ対策ですが、攻撃者はこのプロセスを操作することで、正当なユーザーの承認を得たり、MFAの仕組みをバイパスしたりすることができます。例えば、フィッシング攻撃を通じてユーザーからMFAコードを取得する、またはMFAリクエストを大量に送信してユーザーを混乱させるなどの手法があります。 | ||
| T1528 Steal Application Access Token | 攻撃者がアプリケーションやサービスの認証に使用されるアクセストークンを盗み、それを使用して不正にリソースやデータにアクセスする攻撃手法です。アクセストークンは、特定のアプリケーションやユーザーに対して一時的に権限を付与するために使用され、通常はOAuth 2.0やOpenID Connectなどの認証プロトコルで発行されます。 | ||
| T1649 Steal or Forge Authentication Certificates | 攻撃者がアプリケーションやサービスの認証に使用されるアクセストークンを盗み、それを使用して不正にリソースやデータにアクセスする攻撃手法です。アクセストークンは、特定のアプリケーションやユーザーに対して一時的に権限を付与するために使用され、通常はOAuth 2.0やOpenID Connectなどの認証プロトコルで発行されます。 | ||
| T1552 Unsecured Credentials | https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_keyvault_key_modified_or_deleted.yml sigma/rules/cloud/azure/activity_logs/azure_keyvault_modified_or_deleted.yml at master · SigmaHQ/sigma · GitHub sigma/rules/cloud/azure/activity_logs/azure_keyvault_secrets_modified_or_deleted.yml at master · SigmaHQ/sigma · GitHub | ||
| T1087: Account Discovery | |||
| T1087.002: Cloud Account | 攻撃者がクラウド環境内で利用可能なアカウントを特定し、その情報を利用して攻撃を拡大または深める手法です。クラウドアカウントの発見により、攻撃者は標的の組織内での権限の範囲やアクセス可能なリソースを理解し、それに基づいて次の攻撃ステップを計画します。 | ||
| T1538 Cloud Service Dashboard | クラウドサービスの管理コンソールやダッシュボードに不正アクセスすることで、クラウド環境のリソースや設定を制御する攻撃手法です。このダッシュボードには、クラウドリソースの作成、変更、削除、アクセス制御、監視などの機能が含まれています。攻撃者がこれにアクセスできると、以下のような影響を及ぼす可能性があります:クラウドリソースの乗っ取りや削除 データの漏洩や改ざん サービスの停止や中断 クラウドインフラ全体の制御 | ||
| T1526 Cloud Service Discovery | https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_firewall_modified_or_deleted.yml sigma/rules/cloud/azure/activity_logs/azure_firewall_rule_collection_modified_or_deleted.yml at master · SigmaHQ/sigma · GitHub | 攻撃者がクラウド環境内で利用されているサービスやリソースを特定し、それらの情報を利用して攻撃を拡大または深める手法です。クラウドサービスの発見により、攻撃者は標的のクラウドインフラの構造を理解し、攻撃の計画や実行に必要な情報を収集します。 | |
| T1069: Permission Groups Discovery | <Information Disclosureに該当> 攻撃者がシステム内の権限グループやアクセス制御リスト(ACL)を特定する手法です。権限グループには、ユーザーやサービスアカウントがどのような権限を持っているかが含まれ、これを把握することで攻撃者はどのアカウントが重要な権限を持っているかを識別し、攻撃の計画を立てることができます。例えば、攻撃者が管理者グループや特権グループを特定することで、特定のアカウントを標的にし、それらのアカウントを攻撃することでシステム全体の制御を得ようとすることがあります。 | ||
| T1069.003: Cloud Groups | |||
| T1499 Endpoint Denial of Service | |||
| T1499.002: Service Exhaustion Flood | 特定のサービス(例えば、ウェブサービスやデータベースサービス)に対して、大量のリクエストを送信することで、そのサービスのリソースを使い果たし、正常なサービス提供を妨害する攻撃手法です。この攻撃は、ネットワーク帯域幅、CPU、メモリなどのリソースを消費させ、サービスの可用性を低下させることを目的としています。 | ||
| T1499.003: Application Exhaustion Flood | 特定のアプリケーションのリソースをターゲットにして、そのアプリケーションが正常に動作するためのリソースを使い果たす攻撃手法です。この攻撃は、アプリケーションの内部リソース(例えば、スレッドプール、メモリプール、データベース接続プールなど)を消費させ、アプリケーションの機能を停止させることを目的としています。 | ||
| T1499.004: Application or System Exploitation | |||
| T1498 Network Denial of Service | |||
| T1498.001:Direct Network Flood | |||
| T1498.002:Reflection Amplification |
Sigma rule該当せず activity_logs
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_app_credential_modification.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_application_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_application_gateway_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_application_security_group_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_container_registry_created_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_creating_number_of_resources_detection.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_device_no_longer_managed_or_compliant.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_device_or_configuration_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_dns_zone_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_network_firewall_policy_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_network_firewall_rule_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_network_p2s_vpn_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_network_security_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_network_virtual_device_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_owner_removed_from_application_or_service_principal.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_rare_operations.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_service_principal_created.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_service_principal_removed.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_suppression_rule_created.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_virtual_network_modified_or_deleted.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/azure/activity_logs/azure_vpn_connection_modified_or_deleted.yml
その他
T1651「Cloud Administration Command」は、攻撃者がクラウド環境において管理者権限を持つコマンドを実行することを指します。これには、クラウドサービスプロバイダー(CSP)の管理ポータルやAPIを利用して、クラウドリソースの管理、設定変更、リソースの作成や削除などが含まれます。Azure環境では、Azure Portal、Azure CLI、PowerShell、Azure Resource Manager (ARM) Templatesなどを通じて実行される管理操作が対象となります。
攻撃者は次のような方法で「Cloud Administration Command」を利用する可能性があります:
認証情報を盗んでクラウドアカウントにアクセスする。
フィッシング攻撃やソーシャルエンジニアリングを利用して管理者権限を取得する。
コメントを残す