Punycode🔗
Punycode検知器は、punycode を利用したホモグラフ攻撃によるフィッシングドメインを検出します。これらの攻撃では、ドメインが正規のドメインに似せて表示されます。punycodeフィッシング攻撃では、URLが正規に見え、ページの内容も正規に見える場合がありますが、実際には異なるウェブサイトです。Punycode検知器は、監視対象で手作業で厳選された最も人気のある正規ドメインのリストとドメインを比較し、新しいドメインの年齢(古いドメインほど正規である可能性が高い)やその他の要素を確認します。URLの視覚的な類似度が所定の閾値を超えた場合、検知がSecureworks® Taegis™ XDR Detections APIに発行され、XDRに表示されます。検知の信頼度は現在バイナリ(0または1)で返されます。
要件🔗
この検知器には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- DNS
入力🔗
検知は以下の正規化されたソースから行われます。
- DNS
出力🔗
この検知器による検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。
設定オプション🔗
この検知器は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されています。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - Initial Access - Spearphishing Link。詳細はMITRE Technique T1566.002をご参照ください。
検知器テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ