ドメイン生成アルゴリズム🔗
ドメイン生成アルゴリズム(DGA)検知機は、実際のドメイン名および不正なドメイン名に関する既知の情報で学習された機械学習分類器です。DGA検知機は、その学習内容をお客様のストリーミングDNSデータに適用し、不正なアクティビティの指標となり得るドメインを検出します。
DGA検知機は、ドメインを「良い」または「悪い」の2つのカテゴリに分類します。不正なドメインを検出した場合、それを検知としてSecureworks® Taegis™ XDRダッシュボードおよびXDR検知データベースに送信します。検知が追加された場合でも、そのドメイン自体が本質的に不正であることを示すものではありませんが、他の検知機による検知と組み合わせることで、不正なアクティビティの特定や確認に役立ちます。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- DNS
注意
TaegisおよびRed Cloak™ Endpoint AgentのDNSフィード、ならびにリアルタイムでXDRデータレイクに取り込まれ正規化される、1時間以内の典型的な遅延を持つ他のDNSイベントソース。
入力🔗
この検知は、以下の正規化されたソースから得られます。
- DNS
出力🔗
この検知機による検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されています。
注意
ドメイン生成アルゴリズム(DGA)検知機によって生成された検知に関連するイベントデータは、XDRアプリケーションに検知が表示されてから最大10分遅延する場合があります。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - コマンド&コントロール - ドメイン生成アルゴリズム。詳細はMITRE Technique T1568.002をご参照ください。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ