Kerberoasting🔗
Kerberoasting検知機は、攻撃者がKerberos Ticket Granting Service (TGS) サービステケット (ST) を利用して、アカウントのパスワードハッシュをオフラインで収集・抽出・クラックし、平文パスワードを取得する可能性のある攻撃を特定します。この攻撃の主な利点は、通常のユーザーがターゲットシステムと直接やり取りすることなく、ドメイン管理者権限を持つサービスアカウントの認証情報を取得できる点です。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Auth
入力🔗
検出は、以下の正規化されたソースから行われます。
- Auth
出力🔗
この検知機による検出は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - 資格情報アクセス - Kerberosチケットの窃取または偽造: Kerberoasting。詳細はMITRE Technique T1558.003をご参照ください。
検知機のテスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ