Quick Mail Consent (MS O365)🔗
Mail.Read および Mail.ReadWrite 委任された権限 は、サインインしていないユーザーでもユーザーのメールにアクセスできる非常に機密性の高い権限です。Secureworks® Taegis™ XDR の Office 365 Quick Mail Consent 検知機は、Office 365 の監査ログにおいて Mail.Read または Mail.ReadWrite 権限が付与されたアプリケーション、および短期間内に発生した関連するアプリケーション同意ログを監視します。この期間は、既知の攻撃者による攻撃パターンに基づいて調整されています。監視対象となる権限セットの機密性が高く、検知機が完全に同意されたアプリケーションを監視しているため、この検知機によって生成される検知には高い重大度が付与されます。抑止がサポートされています。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Microsoft Office 365 Management API 監査ログ
- Microsoft Office 365 Management API インテグレーションを通じて収集され、XDR データレイク内で CloudAudit スキーマに正規化された Microsoft Office 365 監査ログ
入力🔗
検知は以下の正規化されたソースから得られます。
- Cloud Audit(MS O365 Management API監査ログ)
出力🔗
この検知機からの検知は、XDR 検知データベースおよび検知トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CK カテゴリ🔗
- MITRE Enterprise ATT&CK - 防御回避 - 正規アカウント - クラウドアカウント。詳細は MITRE Technique T1078.004 を参照してください。
- MITRE Enterprise ATT&CK - 永続化 - アカウント操作 - Exchange メールの代理権限。詳細は MITRE Technique T1098.002 を参照してください。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ