前回、ATT&CK活用の1回目を書いてみました。
そして前回の続きで、今回は第4位(出現数:88)に入っている以下のテクニックについて調べてみた。
T1105 Ingress Tool Transfer (侵入ツールの送り込み)
すると、ATT&CKのDETECTIONには以下の記載がある。
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_01-1024x278.jpg)
この中から「DS0029 Network Traffic」のそれぞれについて検索してみると、以下の通り書かれている。
Network Connection Creation
Monitor for newly constructed network connections that are sent or received by untrusted hosts or creating files on-system may be suspicious. Use of utilities, such as FTP, that does not normally occur may also be suspicious.
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_02-1-1024x130.jpg)
Network Traffic Content
Monitor network traffic content for files and other potentially malicious content, especially data coming in from abnormal/unknown domain and IPs.
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_02-2-1024x130.jpg)
Network Traffic Flow
Monitor network data for uncommon data flows (e.g., a client sending significantly more data than it receives from a server). Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_02-3-1024x130.jpg)
これらの検知について、SIEMに検知ルールが実装されているか調べてみた。
検索条件としては「ATT&CK Technique:T1105」と「Data Sources:Network Communication」としてみた。
すると以下のとおり2つヒットした。
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_03-1024x509.jpg)
Spike in SMB Traffic
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_03-1-1-1024x467.jpg)
こちらはルールも見えますね。
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_04-1024x509.jpg)
サンプルデータも入ってました。
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_05-1024x433.jpg)
Suspicious Network Connectionの方。
こっちはUBA機能がないとだめっぽい。
![](https://k2-ornata.com/wp-content/uploads/2022/12/attck_detect_leverage2_03-2-1024x467.jpg)
![](http://image.moshimo.com/af-img/0068/000000004159.gif)
コメントを残す