インポッシブルトラベル

インポッシブルトラベル検知器は、Secureworks® Taegis™ XDRデータレイクに取り込まれた認証に特化したログオンイベントを利用し、1人のユーザーに対してログオンイベント間の時間内に物理的に不可能な移動が発生したことを示す異常な組み合わせを検出します。これらの異常なイベントは、検知として公開され、XDRダッシュボードに表示されます。

インポッシブルトラベル検知

要件

この検知器には、以下のデータソース、インテグレーション、またはスキーマが必要です。

• Auth

入力

検知は以下の正規化されたソースから取得されます。

• Auth

出力

この検知器による検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。また、この検知器の検知はStolen User Credentials検知器によって利用されます。

設定オプション

この検知器は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。

MITRE ATT&CK カテゴリ

• MITRE Enterprise ATT&CK - 防御回避、永続化、権限昇格、初期アクセス - 正規アカウント。詳細はMITRE Technique T1078をご参照ください。

検知器テスト

この検知機にはサポートされているテスト方法がありませんが、詳細検索を実行することで、この検知機から検出が発生したかどうかを確認できます。

注意

サポートされているテスト方法が利用できない場合でも、詳細検索を実行することで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基盤となるデータが存在しないことを示している場合もあります。必要なスキーマがデータソースに提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。

FROM detection WHERE metadata.creator.detector.detector_id='app:detect:impossible-travel'

参考情報

• 検知器
  • Stolen User Credentials
• スキーマ
  • Auth