コンテンツにスキップ

盗まれたユーザー認証情報🔗

盗まれたユーザー認証情報検知機は、複数のソースからのシグナルを組み合わせて、単一ユーザーの盗まれたと疑われる認証情報を特定します。これらの異常なイベントは、検知として公開され、XDRダッシュボードに表示されます。

盗まれたユーザー認証情報の検知

要件🔗

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

  • 入力検知機からの検知によるAuth

  • 複数のサブ検知機からの検知を含む:

    • Impossible Travel
    • Tactic Graphs™ Detectorの特定ルール:
      • ユーザーにとって未知のユーザーエージェント
      • ユーザーにとって未知のASN
      • テナントにとって未知のASN
      • ユーザーにとって未知のIPアドレス
      • テナントにとって未知のIPアドレス
      • ユーザーにとって未知の国
    • Microsoft:IPC

入力🔗

この検知機の検知は、以下の正規化されたソースから取得されます。

  • Auth、観測結果

出力🔗

この検知機からの検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。

設定オプション🔗

この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されています。

注意

テナントプロファイルに記載されているテナントのVPNに属する送信元IPアドレスのイベントは、いずれのUnseen検知も生成しません。

MITRE ATT&CKカテゴリ🔗

  • MITRE Enterprise ATT&CK - 防御回避、永続化、権限昇格、初期アクセス - 正規アカウント。詳細はMITRE Technique T1078をご参照ください。

検知機のテスト🔗

この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。

注意

サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。

FROM detection WHERE metadata.creator.detector.detector_id='app:detect:stolen-credentials'

参考情報🔗