ドメイン生成アルゴリズム🔗
ドメイン生成アルゴリズム(DGA)検知機は、実際のドメイン名および不正なドメイン名に関する既知の情報で学習した機械学習分類器です。DGA検知機は、その学習内容をクライアントのストリーミングDNSデータに適用し、不正なアクティビティの指標となり得るドメインを検出します。
DGA検知機はドメインを「良い」または「悪い」の2つのカテゴリに分類します。不正なドメインを検出した場合、それを検出としてSecureworks® Taegis™ XDRダッシュボードおよびXDR検出データベースに送信します。検出が追加された場合でも、そのドメイン自体が本質的に悪いことを示すものではありませんが、他の検知機による検出と組み合わせることで、不正なアクティビティの特定や確認に役立ちます。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- DNS
注意
TaegisおよびRed Cloak™ Endpoint AgentのDNSフィード、ならびにリアルタイムでXDRデータレイクに取り込まれ、正規化される他のDNSイベントソース(通常1時間以内のレイテンシー)。
入力🔗
検出は以下の正規化されたソースから得られます。
- DNS
出力🔗
この検知機による検出は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されています。
注意
ドメイン生成アルゴリズム(DGA)検知機によって生成された検出に関連するイベントデータは、XDRアプリケーションに検出が表示されてから最大10分遅延する場合があります。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - コマンド&コントロール - 動的解決: ドメイン生成アルゴリズム。詳細はMITRE Technique T1568.002をご参照ください。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を実行することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を実行することで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基盤となるデータが存在しないことを示している場合もあります。必要なスキーマがデータソースに提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ