1.Splunk
まずは以下のサイトの情報について調べてみた。
https://github.com/splunk/security_content/blob/develop/detections/web/zscaler_adware_activities_threat_blocked.yml
1.1 detections/web/ T1556
| Sigmaルール名 | テクニック番号 | 参考情報 |
| zscaler_adware_activities_threat_blocked.yml | T1566 | threatname=adware —– 以下のThreat Protectionを参照 https://help.zscaler.com/zia/nss-feed-output-format-web-logs |
| zscaler_behavior_analysis_threat_blocked.yml | T1566 | threatname!=”None” threatclass=”Behavior Analysis” —– About Threat Categories https://help.zscaler.com/zia/about-threat-categories |
| zscaler_cryptominer_downloaded_threat_blocked.yml | T1566 | Cryptomining is here to stay in the enterprise https://www.zscaler.jp/blogs/security-research/cryptomining-here-stay-enterprise |
| zscaler_employment_search_web_activity.yml | T1566 | urlsupercategory https://community.zscaler.com/s/question/0D54u00009evmrPCAQ/how-the-url-category-work-in-zscaler-proxy |
| zscaler_exploit_threat_blocked.yml | T1566 | threatname=exploit |
| zscaler_legal_liability_threat_blocked.yml | T1566 | Legal Liability https://help.zscaler.com/zia/about-url-categories |
| zscaler_malware_activity_threat_blocked.yml | T1566 | threatname=malware |
| zscaler_phishing_activity_threat_blocked.yml | T1566 | threatname=”HTML.Phish*” —– https://threatlabz.zscaler.com/threat-library?category=phishing |
| zscaler_potentially_abused_file_download.yml | T1566 | the download of potentially malicious file types, such as .scr, .dll, .bat, and .lnk |
| zscaler_privacy_risk_destinations_threat_blocked.yml | T1566 | urlclass=”Privacy Risk” |
| zscaler_scam_destinations_threat_blocked.yml | T1566 | threatname=scam |
| zscaler_virus_download_threat_blocked.yml | T1566 | threatclass=Virus |
1.2 detections/web/ T1566以外
| Sigmaルール名 | テクニック番号 | 参考情報 |
| detect_remote_access_software_usage_url.yml | T1219 | detects the execution of known remote access software (like AnyDesk, GoToMyPC, LogMeIn, and TeamViewer) within the environment —– SPL解説 | lookup remote_access_software remote_domain AS url_domain OUTPUT … lookupコマンドを使って、url_domain(URLのドメイン名)とリモートアクセスソフトウェアのデータベースを照合します。 |
| hunting_for_log4shell.yml | T1190 T1133 | |
| log4shell_jndi_payload_injection_attempt.yml | T1190 T1133 | |
| log4shell_jndi_payload_injection_with_outbound_connection.yml | T1190 T1133 | |
| detections/web/monitor_web_traffic_for_brand_abuse.yml | Brand Monitoring | 監視対象ブランドのドメインに非常に似たドメインへのWebリクエストを特定し、潜在的なブランド悪用を示します。この分析は、Webプロキシやネットワークトラフィック解析ツールなどのWebトラフィックソースからデータを活用し、「ESCU – DNSTwist Domain Names」検索によって生成された既知のドメインのバリエーションと照合します。 —– Dnstwist https://zenn.dev/tatsui/articles/1dff8410b7bdd7 |
| detections/web/proxyshell_proxynotshell_behavior_detected.yml | T1190 T1133 | ProxyShellまたはProxyNotShellの脆弱性を介したWindows Exchangeサーバーの潜在的な悪用と、nltest、Cobalt Strike、Mimikatzの実行や新しいユーザーの追加などのポストエクスプロイト活動を特定します。悪意が確認された場合、攻撃者はExchangeサーバーを制御し、データを外部に流出させ、長期的なアクセスを維持する可能性があります。 |
| detections/web/spring4shell_payload_url_request.yml | T1505.003 T1505 T1190 T1133 | |
| detections/web/sql_injection_with_long_urls.yml | T1190 | |
| detections/web/web_jsp_request_via_url.yml | T1505.003 T1505 T1190 T1133 | associated with CVE-2022-22965 (Spring4Shell) exploitation attempts |
| detections/web/web_remote_shellservlet_access.yml | T1190 |
1.3 detections/application/
| Sigmaルール名 | テクニック番号 | 参考情報 |
| email_servers_sending_high_volume_traffic_to_hosts.yml | T1114 T1114.002 |
2. Zscaler
Steal-It Campaign
https://www.zscaler.com/blogs/security-research/steal-it-campaign
監査ログについて(ZIA)
https://help.zscaler.com/ja/zia/about-audit-logs
以下、ChatGPTに考えてもらった、Zscaler(ZIA)への管理者アカウントによる不審な捜査を検知するSigmaルール。
Zscaler Internet Access (ZIA)において、管理者アカウントによる不審な操作を検知するためのSigmaルールを作成する際、主に以下のような要素を考慮する必要があります。
ログの種類:ZIAの管理者アクションに関するログ(例:ログイン、設定変更、ポリシー変更、ユーザー管理など)。
不審なアクションの定義:不審な場所からのログイン、不自然な時間帯のアクセス、大量の設定変更、未知のIPアドレスからの操作など。
攻撃の兆候:失敗したログイン試行が続いた後の成功したログイン、アクセス制御の変更、ユーザー追加/削除、権限昇格の試みなど。
以下は、ZIAにおける不審な管理者操作を検知するためのSigmaルールの例です。
yaml
title: Suspicious Admin Activity in Zscaler Internet Access
id: d2b0ef64-d2a8-4e83-bec8-742ec74541bd
description: Detects suspicious administrative actions in Zscaler Internet Access (ZIA) by an admin account, including login from unusual IPs, abnormal access times, or critical changes in security configurations.
status: experimental
author: Your Name
date: 2024/09/09
logsource:
product: zscaler
service: zia
category: authentication
detection:
selection:
# Specify potential suspicious actions from logs
event_category: "admin_activity"
action:
- "login"
- "config_change"
- "user_management"
user_role: "admin"
filter_by_ip:
src_ip:
- "192.168.0.0/16" # Example of filtering known internal IPs (adjust as needed)
filter_by_time:
hour:
- "00-06" # Activity outside normal working hours
condition: selection and not filter_by_ip and filter_by_time
fields:
- timestamp
- user
- action
- src_ip
- dest_ip
- user_agent
falsepositives:
- Scheduled administrative tasks performed during maintenance windows
- Legitimate admin activities from VPN or off-site locations
level: high
tags:
- attack.t1078 # Valid Accounts
- attack.t1098 # Account Manipulation
- zscaler
- zia
- admin_activity
ルールの内容:
title: Zscaler Internet Accessでの管理者の不審な活動を検知します。
logsource: ZscalerのログデータがauthenticationカテゴリでZIA関連のイベントに基づいています。
detection: 管理者アクティビティ(login、config_change、user_managementなど)を検知し、特定のフィルタ条件(例:内部IPアドレスや通常業務時間外のアクティビティ)に基づいて不審な活動を特定。
filter_by_ip: 内部の信頼されたIPアドレスからのアクセスを除外。
filter_by_time: 夜間のアクセスを検知。
fields: ログの重要なフィールド(タイムスタンプ、ユーザー、アクション、ソースIPなど)をリストアップ。
falsepositives: 定期的なメンテナンス活動やVPN経由の合法的なアクティビティが誤検知として考えられます。
このルールは、ZIAの管理者アカウントが行った不審な操作を特定するのに役立ちます。
コメントを残す