Snapshot Exfiltration🔗
Snapshot Exfiltration検知器は、AWS EC2スナップショットが不正にエクスポートされた場合や、スナップショットのコピー準備のために不明なアカウントに権限が付与された場合に検知を生成します。この検知器は、ユーザーにEC2インスタンススナップショットへの権限が付与され、その後、指定された時間枠内にスナップショットが別のアカウントにコピーされる一連のイベントを検出します。
この検知器は、あらかじめ定められたルールを用いて一定期間のプロセスイベントをスコアリングし、これらのスコアをもとにSnapshot Exfiltrationの可能性があるアクティビティを特定し、検知としてSecureworks® Taegis™ XDRダッシュボードに公開します。
要件🔗
この検知器には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- CloudAudit
入力🔗
この検知は、以下の正規化されたソースから生成されます。
- AWS CloudTrailログ
出力🔗
この検知器からの検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。
設定オプション🔗
この検知器は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - Exfiltration - Transfer Data to Cloud Account。詳細はMITRE Technique T1537をご参照ください。
検知器テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ