コンテンツにスキップ

検知テスト検出🔗

以下のアクションを使用して、Secureworks® Taegis™ XDR のイベント取り込みをテストできます。

ログ取り込み & 正規化テスト🔗

DNSクエリ🔗

監視対象のホストで、watchlist-test.ctpx.secureworks.com へのDNSクエリを発生させるアクションを実行してください。

注意

LinuxおよびmacOS用のTaegis™ XDR Endpoint AgentはDNSクエリのテレメトリーを提供しません。一部のサードパーティーエンドポイントエージェントもこのテレメトリーを提供しません。

Windowsホスト🔗

pingでDNSクエリを発生させます:

ping watchlist-test.ctpx.secureworks.com

または、curlでDNSクエリを発生させます:

curl http://watchlist-test.ctpx.secureworks.com

注意

これらのコマンドは成功しない場合がありますが、DNSクエリのテレメトリーは発生するはずです。

ログイン失敗🔗

監視対象のホストで、ユーザー名 TAEGIS_TEST_ALERT. でログインに失敗してください。

これにより検知が生成され、認証イベントが監視および正規化されていることを示します。

エンドポイントプロセス実行🔗

Taegis™ XDR Endpoint Agent または Red Cloak™ Endpoint Agent がインストールされたホストで、以下を実行してテスト検知を発生させます。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

notepad.exe TaegisTest

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたLinuxホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

vi taegistest

XDR 検知機テスト🔗

Netflow 脅威インテリジェンス🔗

検知: 脅威インテリジェンスに関連付けられたIPアドレスで、不審または不正なアクティビティが示唆されます。

Windowsホスト: このIPアドレスはオープンポートを持っていないため、検知を発生させるにはこのIPアドレスへのUDPトラフィックを生成する必要があります。Windowsでは、netcatを使用してUDPパケットを生成できます。 

ncat.exe -u -p 53 96.82.141.209

Linuxホスト:

traceroute 96.82.141.209

Tactic Graphs Detector🔗

複数回のWindowsサービス停止または無効化の試行に対するTactic Graphs™ Detector検知を発生させるには、Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで以下を実行してください。

コマンドラインを開き、以下を連続して実行します: 

sc delete taegistest1
sc delete taegistest2
sc delete taegistest3
sc delete taegistest4
sc delete taegistest5

Taegis Watchlist検知🔗

Taegis Watchlist検知は、XDR 内でTaegis Watchlist検知機から提供されます。

PowerSploit Reconスクリプト🔗

検知: ホストが侵害された後に攻撃者がシェルを取得した場合に発生し、重大 検知が生成されます。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

powershell.exe get-httpstatus

get-httpstatus という用語が認識されていないことを示すエラーが表示されるはずです。

参考🔗

Mimikatzアクティビティ — コマンドライン🔗

検知: ホストが侵害された後の標的型認証情報窃取で、 検知が生成されます。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してください。

cmd.exe mimikatz

不審なFTPダウンローダーコマンド🔗

検知: 攻撃者がホスト侵害後に追加ツールやマルウェアをダウンロードしようとする試み。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

cmd.exe echo open get

注意

このコマンドを実行してもリスクはありません。実質的にCLIに出力をエコーするだけです。

WMIC経由でのスクリプトホストの不審な呼び出し🔗

検知: スクリプトホストの不審な呼び出しに関連するプロセスイベントが特定されました。このアクティビティは、マルウェアがシステムにインストールまたは起動されている可能性を示します。 検知が生成されます。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

cmd /c WMIC Process Call Create C:\Windows\System32\Wscript.exe //NOLOGO %AppData%\Local\Temp\C-Dlt-C-Org-T.vbs

Windows Defenderサービスの削除🔗

検知: Windows Defenderサービスの削除に関連するプロセスイベント。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

警告: この操作はホスト上のWindows Defenderを無効化します。テスト後はサービスを再有効化してください。

sc delete WinDefend

Netcatバックドアの可能性🔗

検知: 攻撃者がシステムへのインバウンド接続を待ち受けるバックドアを作成している可能性があります。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

C:\Recovery\nc.exe -l -p 8080 -e cmd.exe

ヒント

システムにNetCatがない場合は、コマンドシェル cmd.exe -l -p 8080 -e cmd.exe も使用できます。このWatchlistは特定のパラメータを監視しています。

ファイルシステムジャーナルのクリア🔗

検知: ファイルシステムジャーナルのクリアに関連するプロセスイベントが特定されました。このアクティビティは、ランサムウェアがシステム上のファイルを暗号化しようとしている可能性を示します。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

重要

本番 システムでは絶対にこのコマンドを実行しないでください。ファイルシステム情報が削除されます。

"fsutil.exe usn deletejournal /D C:"

不審なRARアーカイブコマンド🔗

検知: RemComアクティビティに関連するプロセスイベントが検知されました。これは、攻撃者がネットワーク内のターゲットシステムで横移動やコマンド実行を試みている可能性を示します。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

rar.exe a -m5 -s -r -v1m exfil.rar *.pdf

ヒント

システムに rar.exe がない場合は、コマンドシェル "cmd.exe a -m5 -s -r -v1m exfil.rar *.pdf" も使用できます。このWatchlistは特定のパラメータを監視しています。 このコマンドを実行してもリスクはありません。

不審な共有作成🔗

検知: 不審な名前でファイル共有を作成するプロセスイベントが特定されました。このアクティビティは、特定の攻撃者がネットワーク内で横移動を試みている可能性を示します。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

注意

共有名は意図的にスペルミスされています。

cmd.exe /c net share adnim

注意

このコマンドを実行してもリスクはありません。

Powershellエンコードコマンド🔗

検知: 不正の可能性があるpowershellの使用に関連するプロセスイベントが特定されました。このアクティビティの存在は、攻撃者が環境内で横移動やツールの実行を試みている可能性を示します。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたWindowsホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

powershell.exe -enc cwB0AGEAcgB0AC0AcAByAG8AYwBlAHMAcwAgAGMAYQBsAGMA

注意

このコマンドを実行してもリスクはありません。

カーネルセキュリティモジュールのアンロード - rmmod🔗

検知: カーネルセキュリティモジュールのアンロードを試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がシステムの防御制御を無効化しようとしている可能性を示します。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたLinuxホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

重要

rootまたはsudo絶対に実行しないでください。

rmmod ipchains

監査ルールおよびウォッチの削除🔗

検知: セキュリティ制御の無効化を試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がホスト上で検知回避を試みている可能性を示します。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたLinuxホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

重要

rootまたはsudo絶対に実行しないでください。

auditctl -D

プロセスによるbashコマンド履歴の消去🔗

検知: bashコマンド履歴の消去を試みるプロセスイベントが特定されました。このアクティビティは、攻撃者がシステム上で活動している可能性を示します。

Taegis Endpoint Agent または Red Cloak Endpoint Agent がインストールされたLinuxホストで、コマンドラインを開き、以下のコマンドを実行してこの検知を発生させます。

重要

これによりbash_historyが消去されます。

/bin/sh -c touch .bash_history && rm .bash_history