SharpHound🔗
SharpHound検知機は、デフォルトの収集方法を用いてSharpHoundが実行された被害ホストからのRed Cloakテレメトリープロファイルを検出するように設計されています。これにより、攻撃者のマシンにRed Cloakがインストールされているかどうかに関わらず、SharpHoundを検知することが可能です。SharpHoundはBloodHound用のデータコレクターであり、脅威アクター、レッドチーム、ブルーチームによって、脆弱なActive Directory構成や攻撃経路を迅速に特定するためによく使用されます。この検知機は、Red Cloak™ Endpoint Agentからの認証およびネットフローイベントを監視し、一定期間内にテレメトリープロファイルに一致する特定のイベントシーケンスが発生した場合に検知を作成します。
ヒント
この検知機の作成に至ったSecureworks Counter Threat Unit™ (CTU)のリサーチについては、ブログ記事 Sniffing Out SharpHound on Its Hunt for Domain Admin をご覧ください。
注意
イベントタイムラインは、利用可能な場合に表示されます。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- Auth
- Netflow
ヒント
SharpHound検知機は、適切に正規化されたスキーマを提供するCisco Firewall、Windows Snare Logs、SentinelOneなどのサードパーティソースをサポートしています。
入力🔗
検知は以下の正規化されたソースから行われます。
- Auth, Netflow
出力🔗
検知はSecureworks® Taegis™ XDR検知データベースおよび検知トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - Resource Development - Obtain Capabilities: Tool。詳細は MITRE Technique T1588.002 をご覧ください。
- MITRE Enterprise ATT&CK - Collection - Archive Collected Data。詳細は MITRE Technique T1560 をご覧ください。
- MITRE Enterprise ATT&CK - Discovery - Local Groups。詳細は MITRE Technique T1069.001 をご覧ください。
- MITRE Enterprise ATT&CK - Discovery - Domain Groups。詳細は MITRE Technique T1069.002 をご覧ください。
- MITRE Enterprise ATT&CK - Execution - Native API。詳細は MITRE Technique T1106 をご覧ください。
検知機テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。