エンドポイント

パスワードスプレーアタックを検出する。

ブルートフォース攻撃を検出する。

インターネットからローカルホストへのVNC（Virtual Network Computing）アプリケーションが検出されるとトリガーされる。

Microsoftリモートデスクトッププロトコル（RDP）がインターネットからローカルホストに検出されるとトリガーされる。

有効なアカウントからの疑わしいログインが検出されたときにトリガーされます。

子プロセスを持つはずのないプロセスがプロセスを開始したときにトリガーされる。

クリティカルファイルまたはクリティカルディレクトリ内のファイルが削除されたときにトリガーされる。

重要なファイルやディレクトリが変更され、不審なアクティビティが発生するとトリガーが作動する。

潜在的な敵対IPアドレスとの通信が発生したときにトリガーする。 潜在的な敵対 IP アドレスは、IBM X-force またはカスタム参照セット コレクションに記録されます。

PSExec モジュールの使用が検出された場合にトリガーされます。

サービスが Powershell を使用するように構成されている場合にトリガーされます。

Ryukランサムウェアに関連するIOC（ファイルハッシュ）がイベントで観測された場合にトリガーされます。

Ryukランサムウェアに関連するIOC（File Hash）がフローで観測された場合にトリガーされます。

パスワードを保存する一般的な場所を検索し、ユーザー認証情報を取得しようとする試みを検出する。

ユーザー認証情報を取得するために、パスワードを保存する共通の場所を連続して検索しようとする試みを検出する。

トークンのなりすましやトークンの盗難に関連するWindows API関数の使用を検出します。

regsvr32.exe ファイルによって開始されたアウトバウンド接続を検出します。

dllhost.exe ファイルによって開始されたアウトバウンド接続を検出します。

rundll32.exe ファイルによって開始されたアウトバウンド接続を検出します。

フローで Petya ペイロードが観察されたときにトリガーします。

トークンの偽名の使用と盗難を検出します。 (例(DuplicateToken(Ex)とImpersonateLoggedOnUserにLOGON32_LOGON_NEW_CREDENTIALSフラグを指定します)

IOC が Turla レジストリー値として認識されたときにトリガーされます。

X-Force Red StandIn に属する可能性のある動作が検出された場合にトリガーされます。

現在の作業ディレクトリ(CWD)が以下のディレクトリで検出されたときにトリガーされる：

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron*（たとえば/etc/cron.hourly、 /etc/cron.weekly）
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

以下のファイルを監視中：

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

ディレクトリトラバーサル攻撃の警告のトリガーとなる、センシティブな現在の作業ディレクトリを定義します。

カレント・ワーキング・ディレクトリ（CWD）が以下のディレクトリで検出されたときにトリガーするルールを定義する：

• /boot
• /etc/pam.d
• /etc/rsyslog
• /etc/openldap
• /etc/sysconfig/network-script
• /var/spool/cron
• /etc/cron*（たとえば/etc/cron.hourly、 /etc/cron.weekly）
• /etc/init.d/
• bin/login
• /bin/passwd
• /etc/*.conf

以下のファイルを監視中：

• /etc/shadow
• /etc/passwd
• /etc/sudoers
• /etc/syslog.conf
• /etc/crontab
• /etc/gshadow
• /etc/group
• /etc/sysconfig/syslog
• /etc/security/opasswd
• /etc/default/ufw
• .bash_history
• /usr/bin
• /usr/sbin
• /bin
• /boot
• /usr/local/bin
• /usr/local/sbin
• /opt/bin
• /opt/sbin
• Windows
• C:\autoexec.bat
• C:\boot.ini
• C:\config.sys
• C:\Windows\system.ini
• C:\Windows\win.ini
• C:\Windows\regedit.exe
• C:\Windows\System32\userinit.exe
• C:\Windows\explorer.exe
• C:\Program Files\Microsoft Security Client\msseces.exe

PowerShell Get-ChildItem コマンドが再帰的にディレクトリを発見するために使われる場合の定義です。 このイベントは、-Recurseパラメータが指定されたとき、またはForEachループ内でコマンドが使われたときに発生します。

StandInツールに関連するプロセスが観測されたときにトリガーされる。 StandInは、レッドチームがよく使う侵入テストツールです。 しかし、悪意のある行為者はこのアプリケーションを攻撃に利用することができる。

StandInツールに関連する永続化コマンドが観測されると、トリガが発生します。 StandInは、レッドチームがよく使う侵入テストツールです。 しかし、悪意のある行為者はこのアプリケーションを攻撃に利用することができる。

StandInツールに関連する防御回避コマンドが観測されたときにトリガーする。 StandInは、レッドチームがよく使う侵入テストツールです。 しかし、悪意のある行為者はこのアプリケーションを攻撃に利用することができる。

StandIn ツールに関連する特権昇格コマンドが観測されたときにトリガーされます。 StandInは、レッドチームがよく使う侵入テストツールです。 しかし、悪意のある行為者はこのアプリケーションを攻撃に利用することができる。

StandInツールに関連する列挙コマンドが観測されたときにトリガーされます。 StandInは、レッドチームがよく使う侵入テストツールです。 しかし、悪意のある行為者はこのアプリケーションを攻撃に利用することができる。

サービスがパイプを使用するように構成されている場合にトリガーされます。 これは、 getsystemを使用して特権エスカレーションによってユーザーのシステムにアクセスする攻撃者を示している可能性があります。

コマンド・ラインの危殆化指標を介して、MOVEit 転送の脆弱性のエクスプロイトを検出します。

ファイル名の危殆化指標による MOVEit 転送脆弱性エクスプロイトを検出します。

暗号漏えいのハッシュ指標による MOVEit 転送脆弱性エクスプロイトを検出します。

Microsoft Exchange のリモート・コード実行の脆弱性を検出します。

Microsoft は「CVE-2022-41040」および「CVE-2022-41082」Exchange Server を発行しました。

Microsoft Exchange のリモート・コード実行の脆弱性を検出します。

Microsoft は「CVE-2022-41040」および「CVE-2022-41082」Exchange Server を発行しました。

Microsoft Exchange のリモート・コード実行の脆弱性を検出します。

Microsoft は「CVE-2022-41040」および「CVE-2022-41082」Exchange Server を発行しました。

この規則は、既知の Windows RCE IP を検出します。

作成された新しい重要なプロセスを検出します。 重要なプロセスとは、悪意のあるアクティビティーを実行するために攻撃者によって悪用される可能性があるプロセスのことです。 一般的なプロセスは以下の通りです：PowerShell, cmd、mshta。

一時ディレクトリーの下に作成された新規ファイルを検出します。 特定の一時ディレクトリーは、悪意のあるファイルをドロップするために攻撃者によって使用される可能性があります。

QRadar 規則に従って、ショートカット (lnk) ファイルから作成された重要なプロセスを検出します。

QRadar 規則に従って、ショートカット (lnk) ファイルから作成された重要なプロセスを検出します。

1. キーを作成するためのレジストリーの変更 (永続性のため)。
2. 実行可能 ion 一時ディレクトリーをドロップします。
3. シャドー・コピーを削除します。
4. 暗号化 (ファイル変更)。

潜在的な Microsoft サポート診断ツール (MSDT) の脆弱性の悪用が検出されたときにトリガーされます。

Microsoft は、MSDT の脆弱性について「CVE-2022-30190」を発行しました。 攻撃者は、MSDT を使用してリモート・コード実行を実行し、任意のコードを実行することができます。

リファレンス・セット別に分類された潜在的な悪意のあるホストとの通信を定義します。

「XFE ATPF」接頭部で始まるリファレンス・セットは、Threat Intelligence アプリケーションによって自動的に管理され、有料サブスクリプションが必要です。 その他のリファレンス・セットは、脅威インテリジェンス・アプリケーションによって提供され、サード・パーティーの脅威インテリジェンス・フィードを組み込むために使用できます。

リファレンス・セット別に分類された潜在的な悪意のある IP との通信を定義します。

「XFE ATPF」接頭部で始まるリファレンス・セットは、Threat Intelligence アプリケーションによって自動的に管理され、有料サブスクリプションが必要です。 その他のリファレンス・セットは、脅威インテリジェンス・アプリケーションによって提供され、サード・パーティーの脅威インテリジェンス・フィードを組み込むために使用できます。

Emotet Trojan および Trickbot Trojan など、Malware as a Service (MaaS) に関連するファイル・パスの Indicator of Compromise (IoC) が観察されたときにトリガーします。

IOC は、以下のカスタム・ディレクトリーのパターンに従います。

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

「Malware as a Service_Path」リファレンス・セットは事前に定義されています。 このリファレンス・セットを関連する IOC で調整してください。

• Carbon Black Response
• エンドポイント
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

Emotet Trojan および Trickbot Trojan など、Malware as a Service (MaaS) に関連するファイル・パスの Indicator of Compromise (IoC) が観察されたときにトリガーします。

IOC は、以下のカスタム・ディレクトリーのパターンに従います。

• %APPDATA%\roaming\winapp\client_id
• %APPDATA%\roaming\winapp\group_tag
• %APPDATA%\system32\Tasks\services update
• %APPDATA%\system32\Tasks\MsSysToken
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\SYSWOW64\RandomNumber.EXE
• C:\WINDOWS\TEMP\RandomNumber.TMP

「Malware as a Service_Path」リファレンス・セットは事前に定義されています。 このリファレンス・セットを関連する IOC で調整してください。

IoC がリファレンス・セット・コレクション内で悪意のある指標として分類されているときにトリガーします。

「Malware as a Service Hash IOC in Events」ルールおよび「Ransomware: Ryuk IOC in Events」ルールは、反復を回避するためにこのルールから除外されています。 これらの目的は、専用のルール応答を使用することです。

IoC がリファレンス・セット・コレクション内で悪意のある指標として分類されているときにトリガーします。

「Malware as a Service Hash IOC in Flows」および「Ransomware: Ryuk IOC in Flows」は、反復を回避するためにこのルールから除外されています。 これらの目的は、専用のルール応答を使用することです。

このルールは、「Excessive Failed Access to an Administrative Share from the Same Source」から名前変更されました。

同じマシン上で単一の送信元 IP アドレスからの複数の失敗した認証イベントが検出されたときにトリガーします。

この動作は、マシンにアクセスするための潜在的なブルート・フォースの試行を示しています。

このルールは、「Excessive Login Failures via RDP」から名前変更されました。

別のマシン上で単一の送信元 IP アドレスからの複数の失敗した認証イベントが検出されたときにトリガーします。

この動作は、マシンにアクセスするための潜在的なブルート・フォースの試行を示しています。

このルールは、「Excessive Login Failures via Network Connection to Multiple Machines」から名前変更されました。

Malware as a service の動作が観察されたときにトリガーします。

これらの動作には、危殆化の標識を示すエンドポイントおよびファイル・パス上のダウンロード・ユーティリティーの使用が含まれます。

Emotet Trojan および Trickbot Trojan など、MaaS に関連するファイル・ハッシュの IoC が観察されたときにトリガーします。

リファレンス・セット「Malware as a Service_SHA1」、「Malware as a Service_SHA256」、および「Malware as a Service_MD5」は事前に定義されています。 これらのリファレンス・セットを関連する IoC で調整してください。

Emotet Trojan および Trickbot Trojan など、MaaS に関連するファイル・ハッシュの IoC が観察されたときにトリガーします。

「Malware as a Service_SHA1」、「Malware as a Service_SHA256」、および「Malware as a Service_MD5」は事前に定義されています。 これらのリファレンス・セットを関連する IoC で調整してください。

このルールは、Windows の脆弱性に対応して更新されました。

このルールは、Ryuk ランサムウェアに対応して更新されました。

このルールは、Ryuk ランサムウェアに対応して更新されました。

このルールは、このリリースで追加されたすべての新しい検出ルールに対応して更新されました。

このルールは、Ryuk ランサムウェアに関連するファイル・ハッシュの IoC が検出された場合にトリガーされます。

「 Ryuk_SHA256」、「 Ryuk_SHA1」、および「 Ryuk_MD5 」が事前に取り込まれています。 これらのリファレンス・セットを関連する IoC で調整してください。

このルールは、Ryuk ランサムウェアに関連するファイル・ハッシュの IoC が検出された場合にトリガーされます。

「 Ryuk_SHA256」、「 Ryuk_SHA1」、および「 Ryuk_MD5 」が事前に取り込まれています。 これらのリファレンス・セットを関連する IoC で調整してください。

Ryuk ランサムウェアが自身のコピーを作成した後に実行中のプロセスを強制終了した場合にトリガーされます。

「Ryuk Service and Process Termination List」リファレンス・セットは事前に定義されています。 このリファレンス・セットを関連するサービスおよびプロセスで調整してください。

• Malware as a Service Hash IOC in Events
• Malware as a Service Hash IOC in Flows

• Attempt to Delete Shadow Copies
• Critical File Deleted (Unix)
• RDP Hijacking Tool Detected
• Recovery Disabled in Boot Configuration Data
• Ransomware: Ryuk Service or Process Termination

• Detection of Malicious File or Process
• Detection of Malicious IOC
• File Decode or Download followed by Suspicious Activity
• Ransomware: BadRabbit IOC in Events
• Ransomware: BadRabbit IOC in Flows
• Ransomware: Maze IOC in Events
• Ransomware: Petya / NotPetya IOC in Events
• Ransomware: Petya / NotPetya IOC in Flows
• Ransomware: REvil IOC in Events
• Ransomware: WCry IOC in Events
• Ransomware: WCry IOC in Flows
• Ransomware: WCry Payload in Flows
• Ransomware IOCs Detected on Multiple Machines
• Ransomware: Ryuk IOC in Events
• Ransomware: Ryuk IOC in Flows
• Ransomware Encrypted File Extension

• Cobalt Strike Behaviour Detected
• Excessive Failed Access to an Administrative Share from the Same Source
• Excessive Nslookup Usage
• Reconnaissance Tool Detected

• Excessive File Deletion and Creation
• Ransomware Encrypted File Extension
• Ransomware: Maze Suspicious File Transfer
• Suspicious Amount of Files Deleted on the Same Machine
• Suspicious Amount of Files Renamed on the Same Machine (Windows)
• Suspicious Amount of Files Renamed/Moved on the Same Machine (Unix)

• ls -d
• find -type d
• ls -r

モニターするファイルまたはディレクトリーを指定して、「BB:CategoryDefinition: Files with Sensitive Permissions」ビルディング・ブロックを編集します。 悪用された場合の重大度が高いブート、バックアップ、ロギング、または資格情報に関連するロケーションを指定してください。

• Minergate
• Neshta
• Slayer Leecher
• NLBrute (NL)
• EternalBlue
• MimiKatz / MimiPenguin

• ngrok。ファイアウォールをバイパスする接続を開くために使用できます。
• tscon。別のアクティブな RDP セッションをハイジャックするために使用できるネイティブ Windows ツールです。

• BloodHound およびデータ取り込みツールは、Active Directory 環境の隠れた関係と意図しない関係をマップするために使用されるアプリケーションです。 攻撃者がこれらのツールを使用して、攻撃パスを容易に特定する可能性があります。
• PingCastle は、企業で Active Directory のセキュリティーを評価するために一般的に使用されるツールです。 悪意のあるアクターがこのツールを使用して、環境内の脆弱性を検出する可能性があります。
• Advanced IP Scanner は、環境のデバイスをリモート側で制御するために使用できるネットワーク・スキャナーです。 このツールは、側方移動を可能にするためにランサムウェア攻撃時に使用される可能性があります。
• AdFind は、コマンド・ラインの Active Directory 照会ツールです。 Active Directory 構成の弱点を迅速に識別するために使用される可能性があります。
• Everything (or ES) は、ファイルとフォルダーの検索を高速化できる検索ユーティリティーです。 この機能により、ランサムウェアがすべてのファイルとフォルダーに関する情報を後で暗号化するために収集できる可能性があります。
• Masscan は、ポート・スキャン・ツールです。 潜在的に脆弱なポートをリストするために攻撃者によって頻繁に使用されます。 これらのツールは、レッド・チームによって使用されることもあり、本質的に危険なものではありませんが、悪意のあるアクターによって攻撃前に環境を調査するために使用される可能性があります。

• Cisco AMP
• Cisco Firepower
• Linux
• Microsoft Office 365
• Microsoft Windows
• osquery
• Microsoft 365 Defender

• Amazon AWS
• Blue Coat
• Cisco AMP
• Cisco Ironport
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Postfix
• Squid
• Microsoft 365 Defender

• Linux
• osquery

• Amazon AWS
• Azure
• Bit9 Security Platform
• Blue Coat
• Carbon Black Protection
• Cisco AMP
• Cisco Firepower
• Cisco Ironport
• エンドポイント
• FireEye MPS
• Fortinet FortiAnalyzer
• Linux
• McAfee EPO
• Microsoft Office 365
• Microsoft Windows
• osquery
• Palo Alto PA シリーズ
• Postfix
• Squid
• Sysmon
• VMware
• Microsoft 365 Defender

• Linux
• Microsoft Windows

• Linux
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Defender
• Microsoft Windows

• osquery
• Microsoft Windows

• Carbon Black Response
• Kubernetes
• Microsoft Windows
• osquery
• Sysmon

• Carbon Black Response
• エンドポイント
• FireEye MPS
• Linux
• Microsoft Windows
• ObserveIT
• osquery

• Carbon Black Response
• Microsoft Windows

• Cisco AMP
• Microsoft 365 Defender
• osquery
• Sysmon

• Amazon AWS
• Azure
• Kubernetes
• Microsoft Office 365
• Microsoft Windows
• osquery
• VMware

• Blue Coat
• Cisco Ironport
• IBM クラウド発見アプリ QRadar
• McAfee EPO
• Squid
• Microsoft 365 Defender

• Azure
• Linux
• osquery

• ドットで始まる
• ドットで始まり、スペースを含む
• 許可ベース (例えば、-rwx------)

• /etc/login.defs
• /etc/pam.d/common-password
• /etc/pam.d/system-auth
• /etc/security/pwquality.conf

• /boot/
• /etc/pam.d/
• /etc/shadow
• /etc/passwd
• /etc/rsyslog/
• /etc/openldap/
• /etc/sysconfig/syslog
• /etc/syslog.conf
• /etc/sysconfig/network-scripts/
• /etc/default/ufw
• /etc/sudoers

• システムまたは他のプログラムによって使用される可能性があるパスワードを探すレジストリー・スキャン
• Security Accounts Manager (SAM) を使用したハッシュのダンプ
• プレーン・テキストでのパスワードの保管を許可するための WDigest レジストリーの変更

以下の AQL フィルター条件は、このルールに実装されている 3 つの資格情報のダンプ方法を示しています。 それぞれの方法は、調整のためにこれらの AQL フィルターを使用して別個に実装できます。

1. イベントが AQL フィルター照会「LOWER("Process CommandLine") MATCHES 'reg\s+query.*password.*'」に一致した場合は、攻撃者がパスワード値をスキャンしてレジストリー・ハイブを 検索した可能性があります。
2. 攻撃者は、悪意のある目的でレジストリー・ハイブをダンプして引き出すことができます。 これは、Security Accounts Manager (SAM) による資格情報のダンプを示しています (イベントが LOWER("Process CommandLine") MATCHES 'reg.*save.*(sam|system|security)' AQL フィルター照会に一致する場合)。
3. このレジストリー・キー変更は、次に誰かがこのシステムにログオンするときに資格情報を平文で保管するように WDigest に強制します (イベントが AQL フィルター照会「LOWER (" Process CommandLine) MATCHES 'reg\s+ (add|query). * uselogoncredential. *'」に一致する場合、 およびイベントが AQL フィルター照会「LOWER("Registry Key") MATCHES '\\system\\(controlset001|controlset002|currentcontrolset).*wdigest'」に一致する場合)

• %WINDIR%\AppPatch\Custom
• %WINDIR%\AppPatch\CustomSDB
• %WINDIR%\AppPatch\AppPatch64\Custom