コンテンツにスキップ

ブルートフォース🔗

ブルートフォース検知機は、攻撃者がActive Directory環境への侵入を試みる際に、異なるパスワードを繰り返し入力し、最終的に正しい組み合わせを見つけようとする事例を特定します。ブルートフォース検知機はauthイベントのストリームを処理し、特定の認証失敗の連続の後、短時間内に成功したログオンが発生した場合に検知を作成します。

ブルートフォース検知機

要件🔗

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

入力🔗

検知は以下の正規化されたソースから取得されます。

  • Auth
出力🔗

検知はXDR検知データベースおよび検知トリアージダッシュボードに送信されます。

設定オプション🔗

この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。

MITRE ATT&CKカテゴリ🔗

  • MITRE Enterprise ATT&CK - 資格情報アクセス - ブルートフォース。詳細はMITRE Technique T1110をご参照ください。

検知機のテスト🔗

この検知機にはサポートされているテスト方法がありませんが、詳細検索を実行することで、この検知機から検出が発生したかどうかを確認できます。

注意

サポートされているテスト方法が利用できない場合でも、詳細検索を実行することで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基盤となるデータが存在しないことを示している場合もあります。必要なスキーマがデータソースに提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。

FROM detection WHERE metadata.creator.detector.detector_id='app:detect:brute-force-detector'

参考情報🔗