不審なDNSアクティビティ🔗
不審なDNSアクティビティ検知機は、攻撃者が既存のコマンド&コントロールチャネルを利用してデータを外部に持ち出そうとする試みを特定します。この検知機は、DNSアクティビティを監視し、DNSを介した外部へのデータ持ち出しや、侵害されたホストから攻撃者マシンへのC2通信の可能性を示すシーケンスやパターンを検出します。
要件🔗
この検知機には、以下のデータソース、インテグレーション、またはスキーマが必要です。
- DNS
入力🔗
この検知は、以下の正規化されたソースから得られます。
- DNS
出力🔗
この検知機による検知は、XDR検知データベースおよび検知トリアージダッシュボードに送信されます。
設定オプション🔗
この検知機は、必要なデータソースやインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CKカテゴリ🔗
- MITRE Enterprise ATT&CK - Exfiltration - Exfiltration Over C2 Channel。詳細はMITRE Technique T1041をご参照ください。
- MITRE Enterprise ATT&CK - Command and Control - Application Layer Protocol: DNS。詳細はMITRE Technique T1071.004をご参照ください。
検知機のテスト🔗
この検知器にはサポートされているテスト方法があります。
DNSクエリ検知機のテストもご参照ください。
参考情報🔗
- スキーマ