Email Watchlist

Email Watchlist検知機は、サードパーティのデータソースからEmailイベントを収集し、正規化します。これらのイベントは検出へと変換され、観測されたアクティビティに基づいて重大度と信頼度が割り当てられます。

Emailを攻撃ベクターとして利用する攻撃者のテクニック例：

• フィッシング
• マルウェア添付ファイル
• 不正なURL

Email Watchlist Detector

要件

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です：

• Proofpoint
• Mimecast

入力

検出は以下の正規化されたソースから取得されます：

• Email

入力フィールド

フィールド
sensor_type
status
threats.classification

出力

この検知機からの検出は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。

設定オプション

この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。

MITRE ATT&CKカテゴリ

• MITRE Enterprise ATT&CK - Lateral Movement - Internal Spearphishing。詳細はMITRE Technique T1534を参照してください。
• MITRE Enterprise ATT&CK - Initial Access - Phishing。詳細はMITRE Technique T1566を参照してください。
• MITRE Enterprise ATT&CK - Reconnaissance - Phishing for Information。詳細はMITRE Technique T1598を参照してください。

検知機テスト

この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。

注意

サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。

FROM detection WHERE metadata.creator.detector.detector_id='app:event-filter:email'

参考情報

• スキーマ
  • Email