コンテンツにスキップ

盗まれたユーザー認証情報🔗

盗まれたユーザー認証情報検知機は、複数のソースからのシグナルを組み合わせて、単一ユーザーに対する盗まれたと疑われるユーザー認証情報を特定します。これらの異常なイベントは、検知として公開され、XDRダッシュボードに表示されます。

盗まれたユーザー認証情報の検知

要件🔗

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

  • Auth(入力検知機からの検知による)

  • 複数のサブ検知機からの検知を含む:

    • Impossible Travel
    • Tactic Graphs™ Detector の特定ルール:
      • ユーザーに対する未確認ユーザーエージェント
      • ユーザーに対する未確認ASN
      • テナントに対する未確認ASN
      • ユーザーに対する未確認IPアドレス
      • テナントに対する未確認IPアドレス
    • Microsoft:IPC

入力🔗

この検知機は、以下の正規化されたソースから検知を受け取ります。

  • Auth、観測結果

出力🔗

この検知機からの検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。

設定オプション🔗

この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。

注意

テナントプロファイルに記載されているテナントのVPNに属する送信元IPアドレスのイベントは、いずれの Unseen 検知も生成しません。

MITRE ATT&CK カテゴリ🔗

  • MITRE Enterprise ATT&CK - 防御回避、永続化、権限昇格、初期アクセス - 正規アカウント。詳細は MITRE Technique T1078 を参照してください。

検知機テスト🔗

この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。

注意

サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。

FROM detection WHERE metadata.creator.detector.detector_id='app:detect:stolen-credentials'

参考情報🔗