Hands On Keyboard🔗
Hands-On-Keyboard攻撃とは、攻撃者がスクリプト化されたコマンドではなく、侵害されたホスト上で手動でアクティビティを実行する場合を指します。この種の絶えず進化する脅威アクティビティは、シグネチャによる検出が本質的に困難な場合がありますが、限られた時間枠内でこの行動が重なることで、機械学習を用いた高信頼度の確率的検出が可能となります。
この検知機は、機械学習モデルを用いて一定期間のプロセスイベントをスコアリングし、これらのスコアを基にHands-On-Keyboardアクティビティの可能性を特定し、Secureworks® Taegis™ XDRダッシュボードに検出として公開します。
重大および高の検出で確認できる情報には、以下が含まれます。
- 機械学習モデルの特徴に一致した検出期間内のイベント数
- 検出期間内のイベントに共通する親イメージパス
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
入力🔗
この検知は、以下の正規化されたソースから得られます。
プロセス
出力🔗
この検知機による検出は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - Execution - Command and Scripting Interpreter。詳細はMITRE Technique T1059をご参照ください。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ