コンテンツにスキップ

検知テスト🔗

以下のアクションを使用して、Secureworks® Taegis™ XDR のイベント取り込みをテストできます。

ログ取り込みと正規化テスト🔗

DNSクエリ🔗

監視対象のホストで、watchlist-test.ctpx.secureworks.com へのDNSクエリを発生させるアクションを実行してください。

注意

LinuxおよびmacOS用のTaegis™ XDR Endpoint AgentはDNSクエリのテレメトリーを提供しません。一部のサードパーティエンドポイントエージェントもこのテレメトリーを提供しません。

Windowsホスト🔗

pingコマンドでDNSクエリを発生させます:

ping watchlist-test.ctpx.secureworks.com

または、curlコマンドでDNSクエリを発生させます:

curl http://watchlist-test.ctpx.secureworks.com

注意

これらのコマンドは成功しない場合がありますが、DNSクエリのテレメトリーは発生するはずです。

ログイン失敗🔗

監視対象のホストで、ユーザー名 TAEGIS_TEST_ALERT. でログインに失敗してください。

これにより検出が生成され、認証イベントが監視および正規化されていることを示します。

エンドポイントプロセス実行🔗

Taegis™ XDR Endpoint Agent または Red Cloak™ Endpoint Agent がインストールされたホストで、以下を実行してテスト検出を発生させます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

notepad.exe TaegisTest

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

vi taegistest

XDR 検知テスト🔗

Netflow 脅威インテリジェンス🔗

検出: 脅威インテリジェンスに関連付けられたIPアドレスで、不審または不正なアクティビティが示唆されます。

Windowsホスト: このIPアドレスはオープンポートを持っていないため、検出を発生させるにはこのIPアドレスへのUDPトラフィックを生成する必要があります。Windowsでは、netcatを使用してUDPパケットを生成できます。 

ncat.exe -u -p 53 96.82.141.209

Linuxホスト:

traceroute 96.82.141.209

Tactic Graphs Detector🔗

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用し、複数回のWindowsサービス停止または無効化の試行に関する Tactic Graphs™ Detector 検出を発生させるには、以下を実行してください。

コマンドラインを開き、以下を順に実行します: 

sc delete taegistest1
sc delete taegistest2
sc delete taegistest3
sc delete taegistest4
sc delete taegistest5

Taegis Watchlist 検知🔗

Taegis Watchlist 検知は、XDR 内で Taegis Watchlist 検知機から提供されます。

PowerSploit Recon スクリプト🔗

検出: ホストが侵害された後に攻撃者がシェルを取得した場合に発生し、重大 検出が生成されます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

powershell.exe get-httpstatus

get-httpstatus という用語が認識されていないことを示すエラーが表示されるはずです。

参考🔗

Mimikatz アクティビティ — コマンドライン🔗

検出: ホストが侵害された後の標的型認証情報窃取で、 検出が生成されます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してください。

cmd.exe mimikatz

不審なFTPダウンローダーコマンド🔗

検出: ホストが侵害された後に攻撃者が追加のツールやマルウェアをダウンロードしようとしています。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

cmd.exe echo open get

注意

このコマンドを実行してもリスクはありません。CLIに出力をエコーするだけです。

WMIC経由でのスクリプトホストの不審な呼び出し🔗

検出: スクリプトホストの不審な呼び出しに関連するプロセスイベントが特定されました。このアクティビティは、マルウェアがシステムにインストールまたは起動されている可能性を示します。 検出が生成されます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

cmd /c WMIC Process Call Create C:\Windows\System32\Wscript.exe //NOLOGO %AppData%\Local\Temp\C-Dlt-C-Org-T.vbs

Windows Defender サービスの削除🔗

検出: Windows Defender サービスの削除に関連するプロセスイベント。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

警告: この操作によりホスト上のWindows Defenderが無効化されます。テスト後はサービスを再度有効にしてください。

sc delete WinDefend

Netcat バックドアの可能性🔗

検出: 攻撃者がシステムへのインバウンド接続を待ち受けるバックドアを作成している可能性があります。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

C:\Recovery\nc.exe -l -p 8080 -e cmd.exe

ヒント

NetCatがシステムにない場合は、コマンドシェル cmd.exe -l -p 8080 -e cmd.exe も使用できます。このWatchlistは特定のパラメータを監視しています。

ファイルシステムジャーナルのクリア🔗

検出: ファイルシステムジャーナルのクリアに関連するプロセスイベントが特定されました。このアクティビティは、ランサムウェアがシステム上のファイルを暗号化しようとしている可能性を示します。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

重要

本番 システムでは絶対にこのコマンドを実行しないでください。ファイルシステム情報が削除されます。

"fsutil.exe usn deletejournal /D C:"

不審なRARアーカイブコマンド🔗

検出: RemComアクティビティに関連するプロセスイベントが検出されました。これは、攻撃者がネットワーク内のターゲットシステムで横移動やコマンド実行を試みている可能性があります。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

rar.exe a -m5 -s -r -v1m exfil.rar *.pdf

ヒント

rar.exe がシステムにない場合は、コマンドシェル "cmd.exe a -m5 -s -r -v1m exfil.rar *.pdf" も使用できます。このWatchlistは特定のパラメータを監視しています。 このコマンドを実行してもリスクはありません。

不審な共有の作成🔗

検出: 不審な名前でファイル共有を作成するプロセスイベントが特定されました。このアクティビティは、特定の攻撃者がネットワーク内で横移動を試みている可能性があります。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

注意

共有名は意図的にスペルミスされています。

cmd.exe /c net share adnim

注意

このコマンドを実行してもリスクはありません。

Powershell エンコードコマンド🔗

検出: 不正な可能性のあるPowershellの使用に関連するプロセスイベントが特定されました。このアクティビティの存在は、攻撃者が環境内で横移動やツールの実行を試みている可能性を示します。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

powershell.exe -enc cwB0AGEAcgB0AC0AcAByAG8AYwBlAHMAcwAgAGMAYQBsAGMA

注意

このコマンドを実行してもリスクはありません。

カーネルセキュリティモジュールのアンロード - rmmod🔗

検出: カーネルセキュリティモジュールのアンロードを試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がシステムの防御制御を無効化しようとしている可能性があります。

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

重要

rootまたはsudo絶対に実行しないでください。

rmmod ipchains

監査ルールおよびウォッチの削除🔗

検出: セキュリティ制御の無効化を試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がホスト上で検知回避を試みている可能性があります。

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

重要

rootまたはsudo絶対に実行しないでください。

auditctl -D

プロセスによるBashコマンド履歴の消去🔗

検出: bashコマンド履歴の消去を試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がシステム上で活動している可能性があります。

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させます。

重要

これによりbash_historyが消去されます。

/bin/sh -c touch .bash_history && rm .bash_history