Rare Program to Rare IP🔗
Rare Program to Rare IP検知機は、同一ホスト上で同じ時間帯に実行された珍しいプログラムハッシュと、珍しい宛先IPアドレスへのトラフィックの組み合わせを検出します。
同一ホストにおいて、プロセスIDおよびプロセスの時間帯と宛先IPアドレスが一致する場合、つまり宛先IPと珍しいプログラムの間に相関関係がある場合、検知がSecureworks® Taegis™ XDR検出データベースおよびダッシュボードに送信されます。検知に対する推奨アクションは、検知に記載されているホストまたは送信元IPアドレスでピボットし、検知に記載されているプロセスを実行したユーザーを調査することです。
Rare(珍しい)は、過去60日間のXDRデータレイク全体で一意であることを意味します。Rareであることは必ずしもプログラムが不正であることを意味しません。攻撃者は、正規のプログラムを武器化したり、古くて脆弱なプログラムを展開して悪用することがあります。同時に、パッチ管理が不十分な場合、古いプログラムが残存し、この検知機によって可視化される可能性もあります。したがって、この検知は攻撃者の潜在的な侵入経路への可視性を高めるのに役立ちます。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Netflow
- Process
入力🔗
検知は以下の正規化されたソースから得られます。
- Netflow, Process
出力🔗
この検知機による検知は、XDR検出データベースおよび検出トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されています。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - Command and Control - Application Layer Protocol。詳細はMITRE Technique T1071を参照してください。
- MITRE Enterprise ATT&CK - Command and Control - Non-Application Layer Protocol。詳細はMITRE Technique T1095を参照してください。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を実行することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を実行することで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基盤となるデータが存在しないことを示している場合もあります。必要なスキーマがデータソースに提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。