コンテンツにスキップ

不審なDNSアクティビティ🔗

不審なDNSアクティビティ検知機は、攻撃者が既存のコマンド&コントロールチャネルを利用してデータを窃取(エクスフィルトレーション)しようとする試みを特定します。この検知機は、DNSアクティビティにおいて、DNSエクスフィルトレーションやDNSを介したC2通信が侵害されたホストから攻撃者のマシンへ行われている可能性を示すシーケンスやパターンを監視します。

不審なDNSアクティビティの検知

要件🔗

この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。

  • DNS
入力🔗

検知は以下の正規化されたソースから行われます。

  • DNS

出力🔗

この検知機による検知は、XDR 検知データベースおよび検知トリアージダッシュボードに送信されます。

設定オプション🔗

この検知機は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。

MITRE ATT&CK カテゴリ🔗

  • MITRE Enterprise ATT&CK - エクスフィルトレーション - C2チャネル経由のエクスフィルトレーション。詳細は MITRE Technique T1041 をご参照ください。
  • MITRE Enterprise ATT&CK - コマンド&コントロール - アプリケーションレイヤープロトコル: DNS。詳細は MITRE Technique T1071.004 をご参照ください。

検知機テスト🔗

この検知機にはサポートされているテスト方法があります。

DNSクエリ検知機テスト をご参照ください。

FROM detection WHERE metadata.creator.detector.detector_id='app:detect:suspicious-dns'

参考情報🔗

  • スキーマ