コンテンツにスキップ

検知テスト🔗

以下のアクションを使用して、Secureworks® Taegis™ XDR のイベント取り込みをテストできます。

ログ取り込みと正規化テスト🔗

DNSクエリ🔗

監視対象のホストで、watchlist-test.ctpx.secureworks.com へのDNSクエリを発生させるアクションを実行してください。

注意

LinuxおよびmacOS用のTaegis™ XDR Endpoint Agentは、DNSクエリのテレメトリーを提供しません。

Windowsホスト🔗

ping watchlist-test.ctpx.secureworks.com

注意

このpingは成功しませんが、DNSクエリのテレメトリーを発生させるはずです。

ログイン失敗🔗

監視対象のホストで、ユーザー名 TAEGIS_TEST_ALERT. でログインに失敗してください。

これにより検出が生成され、認証イベントが監視および正規化されていることを示します。

エンドポイントプロセス実行🔗

Taegis™ XDR Endpoint Agent または Red Cloak™ Endpoint Agent がインストールされたホストで、以下を実行してテスト検出を発生させます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

notepad.exe TaegisTest

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

vi taegistest

XDR 検知テスト🔗

Netflow 脅威インテリジェンス🔗

検出: 脅威インテリジェンスに関連付けられたIPアドレスで、不審または不正なアクティビティが示唆されます。

Windowsホスト: このIPアドレスはオープンポートを持っていないため、検出を発生させるにはこのIPアドレスへのUDPトラフィックを生成する必要があります。Windowsでは、netcatを使用してUDPパケットを生成できます。 

ncat.exe -u -p 53 96.82.141.209

Linuxホスト:

traceroute 96.82.141.209

Tactic Graphs Detector🔗

Multiple Attempts to Stop or Disable Windows Services の Tactic Graphs™ Detector 検出を発生させるには、Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用し、以下を順に実行してください。

コマンドラインを開き、以下を続けて実行します: 

sc delete taegistest1
sc delete taegistest2
sc delete taegistest3
sc delete taegistest4
sc delete taegistest5

Taegis Watchlist 検知🔗

Taegis Watchlist 検知は、XDR 内で Taegis Watchlist 検知機から提供されます。

PowerSploit Recon スクリプト🔗

検出: ホストが侵害された後に攻撃者がシェルを取得した場合に発生し、重大 検出が生成されます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

powershell.exe get-httpstatus

get-httpstatus という用語が認識されていないことを示すエラーが表示されるはずです。

参考🔗

Mimikatz アクティビティ — コマンドライン🔗

検出: ホストが侵害された後の標的型認証情報窃取で、 検出が生成されます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してください。

cmd.exe mimikatz

不審なFTPダウンローダーコマンド🔗

検出: ホストが侵害された後に攻撃者が追加のツールやマルウェアをダウンロードしようとしています。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

cmd.exe echo open get

注意

このコマンドを実行してもリスクはありません。実質的にCLIに出力をエコーするだけです。

WMIC経由でのスクリプトホストの不審な呼び出し🔗

検出: スクリプトホストの不審な呼び出しに関連するプロセスイベントが特定されました。このアクティビティは、マルウェアがシステムにインストールまたは起動されている可能性を示します。 検出が生成されます。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

cmd /c WMIC Process Call Create C:\Windows\System32\Wscript.exe //NOLOGO %AppData%\Local\Temp\C-Dlt-C-Org-T.vbs

Windows Defender サービスの削除🔗

検出: Windows Defender サービスの削除に関連するプロセスイベント。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

警告: この操作はホスト上のWindows Defenderを無効にします。テスト後はサービスを再度有効にしてください。

sc delete WinDefend

Netcat バックドアの可能性🔗

検出: 攻撃者がシステムへのインバウンド接続を待ち受けるバックドアを作成している可能性があります。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

C:\Recovery\nc.exe -l -p 8080 -e cmd.exe

ヒント

NetCatがシステムにない場合は、コマンドシェル cmd.exe -l -p 8080 -e cmd.exe も使用できます。このWatchlistは特定のパラメータを監視しています。

ファイルシステムジャーナルのクリア🔗

検出: ファイルシステムジャーナルのクリアに関連するプロセスイベントが特定されました。このアクティビティは、ランサムウェアがシステム上のファイルを暗号化する準備をしている可能性を示します。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

重要

本番 システムでは絶対にこのコマンドを実行しないでください。ファイルシステム情報が削除されます。

"fsutil.exe usn deletejournal /D C:"

不審なRARアーカイブコマンド🔗

検出: RemComアクティビティに関連するプロセスイベントが検知されました。これは、攻撃者がネットワーク内のターゲットシステムで横展開やコマンド実行を試みている可能性を示します。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

rar.exe a -m5 -s -r -v1m exfil.rar *.pdf

ヒント

rar.exe がシステムにない場合は、コマンドシェル "cmd.exe a -m5 -s -r -v1m exfil.rar *.pdf" も使用できます。このWatchlistは特定のパラメータを監視しています。 このコマンドを実行してもリスクはありません。

不審な共有の作成🔗

検出: 不審な名前でファイル共有を作成するプロセスイベントが特定されました。このアクティビティは、特定の攻撃者がネットワーク内で横展開を試みている可能性を示します。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

注意

共有名は意図的にスペルミスされています。

cmd.exe /c net share adnim

注意

このコマンドを実行してもリスクはありません。

Powershell エンコードコマンド🔗

検出: 不正の可能性があるPowershellの使用に関連するプロセスイベントが特定されました。このアクティビティが存在する場合、攻撃者が環境内で横展開やツールの実行を試みている可能性があります。

Windowsホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

powershell.exe -enc cwB0AGEAcgB0AC0AcAByAG8AYwBlAHMAcwAgAGMAYQBsAGMA

注意

このコマンドを実行してもリスクはありません。

カーネルセキュリティモジュールのアンロード - rmmod🔗

検出: カーネルセキュリティモジュールのアンロードを試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がシステムの防御制御を無効化しようとしている可能性を示します。

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

重要

rootまたはsudo絶対に実行しないでください。

rmmod ipchains

監査ルールおよびウォッチの削除🔗

検出: セキュリティ制御の無効化を試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がホスト上で検知回避を試みている可能性を示します。

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

重要

rootまたはsudo絶対に実行しないでください。

auditctl -D

プロセスによるBashコマンド履歴の消去🔗

検出: bashコマンド履歴の消去を試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がシステム上で活動している可能性を示します。

Linuxホストで Taegis Endpoint Agent または Red Cloak Endpoint Agent を使用している場合、コマンドラインを開き、以下のコマンドを実行してこの検出を発生させてください。

重要

これによりbash_historyが消去されます。

/bin/sh -c touch .bash_history && rm .bash_history