コンテンツにスキップ

アカウント侵害🔗

アカウント侵害検知器は、攻撃者によって乗っ取られた兆候を示すアカウントを特定します。この検知器は、ユーザーログインおよびログイン後の行動に関連する複数のエンティティを組み合わせて、アカウントの行動をより包括的に把握し、より多くの真のポジティブ(正しい検知)を生み出します。複数の不審なアクションが確認された場合、そのアカウントが攻撃者によって使用されている可能性が高くなります。エンティティは、Password Spray、Kerberoasting、Tactic Graphs™ Detector など、他のSecureworks® Taegis™ XDRソースからアカウント侵害検知器に提供されます。

アカウント侵害の検知

要件🔗

この検知器には、以下のデータソース、インテグレーション、またはスキーマが必要です。

入力🔗

検出は以下の正規化されたソースから取得されます。

  • Auth
出力🔗

検出はXDR検出データベースおよび検出トリアージダッシュボードに送信されます。

設定オプション🔗

この検知器は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。

MITRE ATT&CK カテゴリ🔗

  • MITRE Enterprise ATT&CK - 防御回避、永続化、権限昇格、初期アクセス - 正規アカウント。詳細は MITRE Technique T1078 を参照してください。

検知器テスト🔗

この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。

注意

サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。

FROM detection WHERE metadata.creator.detector.detector_id='app:detect:account-compromise-aggregator'

参考情報🔗