MITRE ATT&CK Office 365 Matrixと Sigma、Splunkルールをマッピングしてみた

Pocket

現在、鋭意作成中です!

テクニックSigmaルールSplunkルールSTRIDEとの対応など
T1566: Phishing
T1566.001: Spearphishing Link
T1566.002: Spearphishing Voice
T1199: Trusted Relationship<Spoofing、Information Disclosure、Elevation of Privilegeに該当>
攻撃者が企業や組織の信頼関係を悪用して攻撃を仕掛ける手法です。企業や組織はしばしば、他の企業、サービスプロバイダ、パートナー、サプライヤーなどと信頼関係を築き、その関係に基づいて情報やシステムにアクセス権を与えます。攻撃者は、この信頼関係を悪用して、正当なアクセス権を持つユーザーやシステムを通じて標的のネットワークやデータに侵入します。この方法は、直接的な攻撃よりも発見されにくく、成功率が高い場合があります。
T1078: Valid Accountshttps://research.splunk.com/cloud/66adc486-224d-45c1-8e4d-9e7eeaba988f/Adversaries may obtain and abuse credentials of existing accounts as a means of gaining Initial Access, Persistence, Privilege Escalation, or Defense Evasion.
T1078.001: Default Accounts
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_impossible_travel_activity.ymlAdversaries may obtain and abuse credentials of a default account as a means of gaining Initial Access, Persistence, Privilege Escalation, or Defense Evasion.
T1078.004: Cloud Accountshttps://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_logon_from_risky_ip_address.ymlhttps://research.splunk.com/cloud/5b367cdd-8dfc-49ac-a9b7-6406cf27f33e/Valid accounts in cloud environments may allow adversaries to perform actions to achieve Initial Access, Persistence, Privilege Escalation, or Defense Evasion.
T1059: Command and Scripting Interpreter
T1059.001: Cloud API
T1648: Serverless Execution攻撃者がサーバーレス環境(例:Azure Functionsなど)を利用して不正なコードを実行する手法です。サーバーレスコンピューティングは、インフラ管理を不要にし、コードの実行にのみ集中できる便利なサービスですが、これを悪用することで攻撃者はインフラの制約を回避し、迅速に攻撃を展開できます。攻撃者は、サーバーレス機能を利用してマルウェアを配布したり、データを盗み出したり、他のシステムに攻撃を仕掛けたりします。
T1098: Account Manipulationhttps://research.splunk.com/cloud/c068d53f-6aaa-4558-8011-3734df878266/

https://research.splunk.com/cloud/4e12db1f-f7c7-486d-8152-a221cad6ac2b/

https://research.splunk.com/cloud/a1b229e9-d962-4222-8c62-905a8a010453/
Adversaries may manipulate accounts to maintain and/or elevate access to victim systems.
T1098.002: Additional Email Delegate Permissionshttps://research.splunk.com/cloud/49cdce75-f814-4d56-a7a4-c64ec3a481f2/

https://research.splunk.com/cloud/01a510b3-a6ac-4d50-8812-7e8a3cde3d79/

https://research.splunk.com/cloud/2246c142-a678-45f8-8546-aaed7e0efd30/

https://research.splunk.com/cloud/1435475e-2128-4417-a34f-59770733b0d5/

https://research.splunk.com/cloud/cd15c0a8-470e-4b12-9517-046e4927db30/

https://research.splunk.com/deprecated/b25d2973-303e-47c8-bacd-52b61604c6a7/
<Elevation of Privilege、Information Disclosure、Tamperingに該当>
攻撃者が標的のメールアカウントに対して追加のメール代理権限を設定する手法です。この方法では、攻撃者が自分自身や他のアカウントに対して、標的のメールを閲覧、送信、削除する権限を与えることができます。これにより、攻撃者は標的のメール通信を監視したり、フィッシング攻撃を仕掛けたり、情報を盗んだりすることができます。この手法は、特にMicrosoft 365(M365)やGoogle Workspaceなどのクラウドベースのメールサービスで使用されます。
T1098.003: Additional Cloud Roles
https://research.splunk.com/cloud/49cdce75-f814-4d56-a7a4-c64ec3a481f2/

https://research.splunk.com/cloud/e78a1037-4548-4072-bb1b-ad99ae416426/

https://research.splunk.com/cloud/27ab61c5-f08a-438a-b4d3-325e666490b3/

https://research.splunk.com/cloud/50eaabf8-5180-4e86-bfb2-011472c359fc/

https://research.splunk.com/deprecated/f8dfe015-dbb3-4569-ba75-b13787e06aa4/
An adversary may add additional roles or permissions to an adversary-controlled cloud account to maintain persistent access to a tenant.
T1136: Create Account

T1136.003: Cloud Accounthttps://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/exchange/microsoft365_new_federated_domain_added_exchange.ymlhttps://research.splunk.com/cloud/e155876a-6048-11eb-ae93-0242ac130002/

https://www.splunk.com/en_us/blog/security/a-golden-saml-journey-solarwinds-continued.html

https://research.splunk.com/cloud/ef4c3f20-d1ad-4ad1-a3f4-d5f391c005fe/

https://research.splunk.com/cloud/a34e65d0-54de-4b02-9db8-5a04522067f6/
Adversaries may create a cloud account to maintain access to victim systems. With a sufficient level of access, such accounts may be used to establish secondary credentialed access that does not require persistent remote access tools to be deployed on the system.
T1556: Modify Authentication Processhttps://research.splunk.com/cloud/c783dd98-c703-4252-9e8a-f19d9f5c949e/https://research.splunk.com/cloud/8158ccc4-6038-11eb-ae93-0242ac130002/
T1556.006: Multi-Factor Authentication
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/audit/microsoft365_disabling_mfa.ymlhttps://research.splunk.com/cloud/c783dd98-c703-4252-9e8a-f19d9f5c949e/Adversaries may disable or modify multi-factor authentication (MFA) mechanisms to enable persistent access to compromised accounts.
T1556.002: Hybrid Identity
T1137: Office Application Startup
T1137.001: Office Template Macros<Tampering、Elevation of Privilege、Repudiationに該当>
攻撃者がMicrosoft Officeのテンプレート機能を悪用してマルウェアを実行する手法です。Microsoft Officeテンプレートは、文書の作成時に自動的にロードされるテンプレートファイル(例:.dotm、.xltm、.potmなど)を使用します。攻撃者は、これらのテンプレートファイルに悪意のあるマクロ(VBAスクリプト)を埋め込み、ユーザーが新しい文書を作成した際にマルウェアを実行させることができます。この手法は、ユーザーの意識せずにマルウェアを実行できるため、非常に効果的です。
T1137.002: Office Test<Tampering、Elevation of Privilegeに該当>
攻撃者がMicrosoft Officeアプリケーションの起動時に悪意のあるスクリプトやコードを実行するための手法です。Microsoft Officeには、起動時に特定のスクリプトや設定を実行する機能があります。攻撃者はこの機能を悪用して、ユーザーがOfficeアプリケーションを開くたびにマルウェアや不正なコードを実行させることができます。この手法により、攻撃者は持続的なアクセスを維持し、ユーザーの意識しないうちに情報を盗んだり、システムを操作したりすることができます。

T1137.003: Outlook Forms
<Tampering、Information Disclosure、Elevation of Privilegeに該当>
攻撃者がMicrosoft Outlookのフォーム機能を悪用して悪意のあるコードを実行する手法です。Outlookフォームは、メールやカレンダーアイテムにカスタムフィールドやスクリプトを追加するためのテンプレートです。攻撃者は、悪意のあるスクリプトやコードを含むカスタムフォームを作成し、それをユーザーのOutlookに配置することで、ユーザーがメールやカレンダーアイテムを操作するたびにそのスクリプトが実行されるようにします。これにより、攻撃者は機密情報を収集したり、システムに不正アクセスを試みたりすることができます。
T1137.004: Outlook Home Page<Tampering、Information Disclosure、Elevation of Privilegeに該当>
攻撃者がMicrosoft Outlookのホームページ機能を悪用して悪意のあるコードを実行する手法です。Microsoft Outlookには、特定のフォルダーのホームページとしてカスタムウェブページを設定できる機能があります。この機能を悪用して、攻撃者は悪意のあるHTMLやJavaScriptを含むウェブページをフォルダーのホームページとして設定し、ユーザーがそのフォルダーを開くたびにスクリプトが実行されるようにします。この手法により、攻撃者は機密情報を収集したり、システムに不正アクセスを試みたりすることができます。
T1137.005: Outlook Rules<Tampering、Information Disclosure、Elevation of Privilegeに該当>
攻撃者がMicrosoft Outlookのルール機能を悪用して悪意のあるコードを実行する手法です。Outlookのルールは、受信メールに対して特定の条件を満たすと自動的にアクションを実行する機能です。攻撃者は、このルール機能を利用して、特定のメールが受信されたときに悪意のあるスクリプトやプログラムを実行するルールを設定することができます。これにより、攻撃者はシステムへのアクセスを得たり、機密情報を収集したりすることができます。
T1137.006: Add-ins<Tampering、Information Disclosure、Elevation of Privilegeに該当>
攻撃者がMicrosoft Officeのアドイン機能を悪用して悪意のあるコードを実行する手法です。Officeアドインは、Officeアプリケーション(例:Word、Excel、Outlookなど)に追加機能を提供するためのコンポーネントです。これらのアドインは、Officeアプリケーションの起動時に自動的にロードされ、特定のタスクを実行します。攻撃者は、悪意のあるアドインを作成し、ユーザーのOffice環境にインストールすることで、ユーザーがOfficeアプリケーションを開くたびに悪意のあるコードが実行されるようにします。
T1548: Abuse Elevation Control Mechanism
T1548.003: Temporary Elevated Cloud Access
T1564: Hide Artifacts
T1564.008: Email Hiding Rules

T1562: Impair Defenses
https://research.splunk.com/cloud/49862dd4-9cb2-4c48-a542-8c8a588d9361/

https://research.splunk.com/cloud/c783dd98-c703-4252-9e8a-f19d9f66949e/

https://research.splunk.com/cloud/12a23592-e3da-4344-8545-205d3290647c/
An adversary may disable or modify cloud logging capabilities and integrations to limit what data is collected on their activities and avoid detection.
T1562.008: Disable or Modify Cloud Logs
T1056: Input Capture
T1056.002: Impersonation
T1070: Indicator Removal
T1070.004: Clear Mailbox Data
T1550: Use Alternate Authentication Material
T1550.001: Application Access Token
T1550.004: Web Session Cookie
T1110: Brute Force
https://research.splunk.com/cloud/d441364c-349c-453b-b55f-12eccab67cf9/

https://research.splunk.com/cloud/31641378-2fa9-42b1-948e-25e281cb98f7/
Adversaries may use brute force techniques to gain access to accounts when passwords are unknown or when password hashes are obtained.
T1110.001: Password Guessinghttps://research.splunk.com/cloud/7f398cfb-918d-41f4-8db8-2e2474e02222/Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt access to accounts.
T1110.002: Password Cracking
T1110.003: Password Sprayinghttps://research.splunk.com/cloud/ea4e2c41-dbfb-4f5f-a7b6-9ac1b7f104aa/

https://research.splunk.com/cloud/8d486e2e-3235-4cfe-ac35-0d042e24ecb4/
Adversaries may use a single or small list of commonly used passwords against many different accounts to attempt to acquire valid account credentials.
T1110.004: Credential Stuffinghttps://research.splunk.com/cloud/ea4e2c41-dbfb-4f5f-a7b6-9ac1b7f104aa/

https://research.splunk.com/cloud/8d486e2e-3235-4cfe-ac35-0d042e24ecb4/
Adversaries may use credentials obtained from breach dumps of unrelated accounts to gain access to target accounts through credential overlap.
T1606: Forge Web Credentials
T1606.002: SAML Tokens
T1556: Modify Authentication Process
T1556.006: Multi-Factor Authentication
T1556:.007: Hybrid Identity
T1621: Multi-Factor Authentication Request Generation
T1528: Steal Application Access Token
T1539: Steal Web Session Cookie
T1552: Unsecured Credentials
T1552.006: Chat Messages<Information Disclosureに該当>
攻撃者がチャットメッセージ内に含まれる認証情報を悪用する手法です。企業や組織内では、従業員がチャットツール(例:Slack、Microsoft Teams、WhatsAppなど)を利用して情報をやり取りすることが一般的です。この中で、不注意に認証情報(例:パスワード、APIキー、アクセストークンなど)が共有されることがあります。攻撃者はこれらのチャットメッセージを監視または取得し、認証情報を利用してシステムやデータに不正アクセスを試みます。
T1087: Account Discovery
T1087.001: Email Account

T1087.002: Cloud Account
T1538: Cloud Service Discovery

T1069: Permission Groups Discovery
T1069.002: Cloud Groups

T1534: Internal Spearphishing
<Spoofing, Repudiation, Information Disclosureに該当>
攻撃者が組織内部の信頼できる人物を装い、特定の個人またはグループに対してフィッシング攻撃を行う手法です。この手法は、攻撃者が内部ネットワークにアクセスできる場合に利用され、内部の正当なメールアドレスを使って偽のメッセージを送信し、受信者を騙して機密情報を提供させたり、マルウェアをダウンロードさせたりします。この種のフィッシングは、外部からのフィッシング攻撃よりも信頼性が高いため、成功率が高くなります。
T1071: Taint Shared Content<Tampering, Repudiation, Information Disclosureに該当>
攻撃者が共有コンテンツに悪意あるデータやリンクを挿入する手法です。このコンテンツは、企業内のファイル共有サービス(例:SharePoint、OneDrive、Google Driveなど)やコラボレーションツール(例:Slack、Microsoft Teams)で共有されることが多く、悪意あるコンテンツが組織内で広範に拡散される可能性があります。攻撃者はこれを利用して、マルウェアの配布やフィッシング攻撃を行うことができます。
T1550: Use Alternate Authentication Material
T1550.001: Application Access Token<Spoofing, Tampering, Information Disclosureに該当>
攻撃者がアプリケーションアクセス用のトークンを使用して認証をバイパスする手法です。アプリケーショントークンは、特定のアプリケーションやサービスにアクセスするために使用される認証情報です。これらのトークンを取得することで、攻撃者はユーザーの認証情報を使わずにリソースにアクセスできるようになります。このテクニックは、OAuthトークンやAPIキーなどを悪用することが多く、特にクラウドサービスやWebアプリケーションで広く利用されています。
T1550.004:Web Session Cookie

T1530: Data from Cloud Storage
<Information Disclosureに該当>
攻撃者がクラウドストレージサービスからデータを収集する手法です。クラウドストレージサービス(例:Google Drive、Dropbox、Amazon S3、Microsoft OneDriveなど)は、企業や個人がデータを保存・共有するために広く利用されています。攻撃者は、認証情報の窃取、脆弱性の悪用、設定ミスの利用などを通じてクラウドストレージにアクセスし、機密情報や重要なデータを取得します。特に設定ミス(例えば、公開アクセス設定の誤り)を利用することが多いです。
T1213: Data from Information Repositories<Information Disclosureに該当>
攻撃者がクラウドストレージサービスからデータを収集する手法です。クラウドストレージサービス(例:Google Drive、Dropbox、Amazon S3、Microsoft OneDriveなど)は、企業や個人がデータを保存・共有するために広く利用されています。攻撃者は、認証情報の窃取や脆弱性の悪用、設定ミスの利用などを通じてクラウドストレージにアクセスし、機密情報や重要なデータを取得します。
T1213.002: Sharepoint<Information Disclosureに該当>
攻撃者がSharePointなどの情報リポジトリからデータを収集する手法です。SharePointは、企業内でドキュメントの管理や共同作業に広く使われるプラットフォームです。攻撃者は、正当な認証情報を用いるか、システムの脆弱性を悪用することでSharePointにアクセスし、機密情報や重要なデータを収集します。この手法は、企業の内部文書、プロジェクト情報、顧客データなどの貴重な情報を標的とします。
T1114: Email Collectionhttps://research.splunk.com/cloud/289ed0a1-4c78-4a43-9321-44ea2e089c14/

https://research.splunk.com/cloud/5f694cc4-a678-4a60-9410-bffca1b647dc/
Adversaries may target user email to collect sensitive information.
T1114.002: Remote Email Collectionhttps://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_pst_export_alert.yml

https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_pst_export_alert_using_new_compliancesearchaction.yml
https://research.splunk.com/cloud/21421896-a692-4594-9888-5faeb8a53106/

https://research.splunk.com/cloud/27ab61c5-f08a-438a-b4d3-325e666490b3/

https://research.splunk.com/cloud/2ce9f31d-ab4f-4179-b2b7-c77a9652e1d8/

https://research.splunk.com/cloud/f4cabbc7-c19a-4e41-8be5-98daeaccbb50/

https://research.splunk.com/cloud/7cd853e9-d370-412f-965d-a2bcff2a2908/

https://research.splunk.com/cloud/e600cf1a-0bef-4426-b42e-00176d610a4d/

https://research.splunk.com/cloud/e600cf1a-0bef-4426-b42e-00176d610a4d/

https://research.splunk.com/deprecated/b25d2973-303e-47c8-bacd-52b61604c6a7/
<Information Disclosureに該当>
攻撃者がリモートから電子メールを収集する手法です。このテクニックでは、攻撃者がターゲットのメールサーバーにアクセスし、メールボックスの内容をダウンロードまたは転送します。リモートアクセスは、認証情報の窃取、アカウントの乗っ取り、または悪意あるアプリケーションのインストールなどを通じて行われます。特にMicrosoft 365(M365)環境では、Exchange OnlineやOutlookを標的とすることが一般的です。
T1114.003: Email Forwarding Rulehttps://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_susp_inbox_forwarding.ymlhttps://research.splunk.com/cloud/0b6bc75c-05d1-4101-9fc3-97e706168f24/

https://research.splunk.com/cloud/68469fd0-1315-44ba-b7e4-e92847bb76d6/

https://research.splunk.com/cloud/ac7c4d0a-06a3-4278-aa59-88a5e537f981/

https://research.splunk.com/deprecated/7f398cfb-918d-41f4-8db8-2e2474e02c28/
<Information Disclosureに該当>
攻撃者が電子メールの転送ルールを設定または改ざんして、ユーザーのメールボックスから外部のアドレスにメールを転送させる手法です。これにより、攻撃者は被害者の受信メールのコピーを取得し、機密情報や重要な通信内容を盗み出すことができます。この手法は特に目立ちにくく、長期間にわたって情報収集が行えるため、企業や個人にとって深刻なリスクとなります。
T1048: Exfiltration Over Alternative Protocol
<Information Disclosureに該当>
攻撃者が通常の通信プロトコルとは異なるプロトコルを使用してデータを外部に持ち出す手法です。この方法は、検出回避のために使われることが多く、ネットワークモニタリングシステムやセキュリティ対策を回避するのに効果的です。M365(Microsoft 365)環境では、攻撃者は通常のHTTP/HTTPSトラフィックを避けるために、他のプロトコル(例えば、FTP、SMTP、DNSトンネリングなど)を利用してデータを外部に送信することがあります。
T1567: Exfiltration Over Web Service攻撃者がターゲットネットワークからデータを外部に持ち出すために、Dropbox、Google Drive、OneDriveなどのウェブサービスを利用する技術です。この手法を用いることで、攻撃者は流出させたデータをインターネットを通じて効率的かつ秘匿性高く転送できます。
T1567.002: Exfiltration Over Webhook攻撃者がデータをターゲットシステムから外部に転送するために、Webhookを利用する技術です。Webhookは、特定のイベントが発生したときにHTTPリクエストを外部のサーバーに送信する仕組みです。これを悪用することで、攻撃者はターゲットシステムから外部サーバーにデータを流出させることができます。
T1030: Transfer Data to Cloud Account
<ChatGPT提案 Sigma rule>
logsource: product: azure service: activity detection: selection: OperationName: – “Upload file to OneDrive” – “Upload file to SharePoint” – “Share file link via OneDrive” – “Share file link via SharePoint” condition: selection
攻撃者が機密情報や盗んだデータを自身が制御するクラウドアカウントに転送する技術です。これにより、攻撃者は盗んだデータを安全かつ効率的に管理しやすくなります。
T1531: Account Access Removal<ChatGPT提案 Sigma rule>
logsource:
product: azure
service: azuread
detection:
selection:
Category: AccountLogon
OperationName:
– “Disable user”
– “Delete user”
condition: selection
攻撃者がアカウントへのアクセスを取り消したり削除したりする技術です。これにより、正当なユーザーや管理者がシステムにアクセスできなくなり、インシデント対応や回復を妨げることが目的です。この技術は、攻撃者が環境を支配し続け、攻撃の成功を延ばすための戦略の一部です。
T1499: Endpoint Denial of Service
T1499.001: Service Exhaustion Flood
T1499.002: Application Exhaustion Flood
T1499.003: Application or System Exploitation
T1649: Financial Theft
T1498: Network Denial of Service
T1498.001: Direct Network Flood
T1498.002: Reflection Amplification

Splunk rules該当なし

https://research.splunk.com/cloud/8a1b22eb-50ce-4e26-a691-97ff52349569/
https://research.splunk.com/cloud/868f3131-d5e1-4bf1-af5b-9b0fbaaaedbb/
https://research.splunk.com/cloud/58e034de-1f87-4812-9dc3-a4f68c7db930/
https://research.splunk.com/cloud/6c382336-22b8-4023-9b80-1689e799f21f/
https://research.splunk.com/cloud/fddad083-cdf5-419d-83c6-baa85e329595/
https://research.splunk.com/cloud/fd22124e-dbac-4744-a8ce-be10d8ec3e26/
https://research.splunk.com/cloud/242e4d30-cb59-4051-b0cf-58895e218f40/
https://research.splunk.com/cloud/2d8679ef-b075-46be-8059-c25116cb1072/

Sigma rules 該当なし

https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_detection/microsoft365_from_susp_ip_addresses.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_activity_by_terminated_user.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_activity_from_anonymous_ip_addresses.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_activity_from_infrequent_country.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_data_exfiltration_to_unsanctioned_app.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_potential_ransomware_activity.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_susp_oauth_app_file_download_activities.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_unusual_volume_of_file_deletion.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/cloud/m365/threat_management/microsoft365_user_restricted_from_sending_email.yml

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA