ID タクティクス 検出 プラットフォーム データソース pkey
T1548 防御の回避、特権のエスカレーション setuid または setgid ビットが設定されているファイルをファイルシステムで監視します。また、プロセスの API 呼び出しに、[Process Injection](https://attack.mitre.org/techniques/T1055) や [DLL Search Order Hijacking](https://attack.mitre.org/techniques/T1574/001) を通じて異常にロードされた DLL を示す動作がないかどうかを確認します。これは、より高い権限を持つプロセスにアクセスしようとする試みを示すものです。Linux では、auditd がユーザの実際の ID と実効 ID が異なるたびに警告を出すことができます (これは sudo したときに発生します)。

AustricaionExecuteWithPrivileges が実行されていることを示す可能性のある <code>/usr/libexec/security_authtrampoline</code> の実行を監視することを検討してください。また、MacOSのシステムログは、AustralicationExecuteWithPrivilegesが呼び出されていることを示している場合があります。

Linux では、ユーザーの実際の ID と有効な ID が異なるたびに auditd が警告を出すことがあります(これは sudo したときに起こります)。このテクニックは、macOSやLinuxシステムの通常の機能を悪用していますが、sudoは、<code>/etc/sudoers</code>ファイルの<code>LOG_INPUT</code>と<code>LOG_OUTPUT</code>ディレクティブに基づいて、すべての入力と出力をログに記録する機能を持っています。

システム上でユーザーがローカル管理者グループに属しているときにUACバイパスを実行する方法は数多くあり、すべてのバリエーションを対象に検出することは難しいかもしれません。努力すべきは、ミティゲーションと、UACバイパスが実行される前後に実行される可能性のあるプロセスの起動やアクションに関する十分な情報の収集でしょう。一部のUACバイパス手法は、ユーザがアクセス可能な特定のレジストリ設定の変更に依存しています。アナリストは、レジストリ設定が不正に変更されていないか監視する必要があります。
Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルのメタデータ、ファイル:ファイルの変更、プロセス。OS APIの実行、Process:プロセス: プロセスの作成, プロセス:プロセス: プロセスの作成, プロセス: プロセスのメタデータ, Windows レジストリ:Windows レジストリ: Windows レジストリキーの変更 1
T1548.002 防御の回避、特権のエスカレーション ユーザーがシステムのローカル管理者グループに属している場合、UAC バイパスを実行する方法は数多くあるため、すべてのバリエーションを対象に検知することは難しいかもしれません。ミティゲーションに力を入れ、UACバイパスの実行前後に行われる可能性のあるプロセスの起動やアクションに関する十分な情報を収集する必要があります。プロセス・インジェクション](https://attack.mitre.org/techniques/T1055)や[DLL Search Order Hijacking](https://attack.mitre.org/techniques/T1574/001)による異常なロードされたDLLを示す挙動についてプロセスのAPIコールを監視し、より高い権限を持つプロセスへのアクセスを試みることを示します。

いくつかのUACバイパス手法は、ユーザーがアクセス可能な特定のレジストリ設定の変更に依存しています。例えば、

* <code>eventvwr.exe</code>のバイパスは、<code>[HKEY_CURRENT_USER]\\scfile\shellopen\command</code>レジストリキーを使用します。(Citation: enigma0x3 Fileless UAC Bypass)

* <code>sdclt.exe</code>のバイパスは、<code>[HKEY_CURRENT_USER]を使用して、<code>Microsoft_Windows_CurrentVersion_App Paths_control.exe</code> and <code>[HKEY_CURRENT_USER]\Software\Classes\exefile\shell\runas\command\isolatedCommand</code> Registry keys.(Citation: enigma0x3 sdclt app paths)(Citation: enigma0x3 sdclt bypass)

Analysts should monitor these Registry settings for unauthorized changes.
Windows コマンドコマンド実行、プロセス。Process: プロセスの作成、Process:プロセスのメタデータ、Windowsレジストリ。Windows レジストリキーの変更 2
T1548.004 防御の回避、特権のエスカレーション <code>/usr/libexec/security_authtrampoline</code>の実行を監視することを検討してください。これは、<code>AuthorizationExecuteWithPrivileges</code>が実行されていることを示している可能性があります。また、MacOSのシステムログは、<code>AuthorizationExecuteWithPrivileges</code>が呼び出されていることを示す場合があります。OSのAPIコールバックの実行を監視することも、この動作を検出する方法の一つですが、専用のセキュリティツールが必要です。 macOS プロセスOSのAPI実行、プロセス。プロセスの生成 3
T1548.001 防御回避、特権のエスカレーション setuidまたはsetgidビットが設定されているファイルをファイルシステムで監視する。chmodなどのユーティリティーの実行とそのコマンドライン引数を監視し、setuidまたはsetguidビットが設定されているかどうかを調べます。 Linux、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルのメタデータ、ファイル:ファイルの変更 4
T1548.003 防御の回避、特権のエスカレーション Linuxでは、auditdはユーザーの実際のIDと実効IDが異なるたびに警告を出すことができます(これはsudoをしたときに起こることです)。このテクニックはmacOSやLinuxシステムの正常な機能を悪用していますが、sudoは<code>/etc/sudoers</code>ファイルの<code>LOG_INPUT</code>と<code>LOG_OUTPUT</code>ディレクティブに基づいて、すべての入力と出力をログに記録する機能を持っています。 Linux、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成Process: プロセスの作成、Process:プロセスメタデータ 5
T1134 防御回避、特権のエスカレーション 敵対者が標準的なコマンドラインシェルを使用している場合、アナリストはコマンドラインのアクティビティを監査することでトークンの操作を検知することができます。具体的には、<code>runas</code>コマンドが使用されているかどうかを確認する必要があります。詳細なコマンドラインロギングは、Windowsではデフォルトでは有効になっていません。(引用:Microsoft Command-line Logging)

敵対者がWindowsトークンAPIを直接呼び出すペイロードを使用している場合、アナリストは、ユーザーのネットワークアクティビティの慎重な分析、実行中のプロセスの調査、および他のエンドポイントやネットワークの動作との相関関係を通じてのみ、トークン操作を検出することができます。

ペイロードがアクセストークンを操作するために利用できるWindows APIコールは数多くあります(例:<code>LogonUser</code>)。<code>LogonUser</code>(引用:Microsoft LogonUser)、<code>DuplicateTokenEx</code>(引用:Microsoft DuplicateTokenEx)、<code>ImpersonateLoggedOnUser</code>(引用:Microsoft ImpersonateLoggedOnUser)などがあります。)

プロセスやスレッドのトークン情報をシステムに照会し、ユーザーがローカルのSYSTEMアカウントになりすましてプロセスを所有しているような不整合を探します。(引用:BlackHat Atkinson Winchester Token Manipulation)

Event Tracing for Windows (ETW)を介して収集されたデータからのEventHeader ProcessId、WindowsイベントログからのCreator Process ID/Name、(ETWやタスクマネージャ、プロセスエクスプローラなどの他のユーティリティからも生成される)ProcessIDとParentProcessIDなど、PPID情報を格納する様々なフィールド間の不整合を探します。ETWが提供するEventHeader ProcessIdは、実際の親プロセスを特定します。
Windows Active Directoryです。Active Directory Object Modification, Command:コマンドの実行, プロセスの実行OS APIの実行, プロセス:プロセス: プロセスの作成、プロセス:プロセス: プロセスの作成, プロセス: プロセスのメタデータ, ユーザアカウント:ユーザーアカウント:ユーザーアカウントのメタデータ 6
T1134.002 防御の回避、特権のエスカレーション 敵対者が標準的なコマンドラインシェルを使用している場合、アナリストはコマンドラインのアクティビティを監査することでトークンの操作を検知することができます。具体的には、<code>runas</code>コマンドが使用されているかどうかを確認する必要があります。引用:Microsoft Command-line Logging)

敵対者が Windows トークン API を直接呼び出すペイロードを使用している場合、アナリストは、ユーザーのネットワーク活動の慎重な分析、実行中のプロセスの調査、および他のエンドポイントやネットワークの動作との相関関係を通じてのみ、トークンの操作を検出することができます。

アナリストは、<code>DuplicateToken(Ex)</code>や<code>CreateProcessWithTokenW</code>などのWindows APIの使用を監視し、他の不審な動作と相関させることで、ユーザーや管理者による通常の善意の使用による誤検知を減らすこともできます。
Windows コマンドコマンド実行、プロセスOS APIの実行 7
T1134.003 防御の回避、特権のエスカレーション 敵対者が標準的なコマンドラインシェルを使用している場合、アナリストはコマンドラインのアクティビティを監査することでトークンの操作を検知することができます。具体的には、<code>runas</code>コマンドが使用されているかどうかを確認する必要があります。引用:Microsoft Command-line Logging)

敵対者が Windows トークン API を直接呼び出すペイロードを使用している場合、アナリストは、ユーザーのネットワーク活動の慎重な分析、実行中のプロセスの調査、および他のエンドポイントやネットワークの動作との相関関係を通じてのみ、トークンの操作を検出することができます。

アナリストは、<code>LogonUser</code> や <code>SetThreadToken</code> などの Windows API の使用を監視し、他の疑わしい動作と相関させることで、ユーザーや管理者による通常の良心的な使用に起因する誤検知を減らすこともできます。
Windows コマンドコマンド実行、プロセスOS APIの実行 8
T1134.004 防御回避、特権のエスカレーション 例えば、Event Tracing for Windows (ETW)を介して収集されたデータからのEventHeader ProcessId、WindowsイベントログからのCreator Process ID/Name、そしてProcessIDとParentProcessID(ETWやタスクマネージャ、プロセスエクスプローラなどのユーティリティからも生成される)など、PPID情報を格納する様々なフィールド間の不一致を探します。ETWが提供するEventHeader ProcessIdは、実際の親プロセスを特定します。(引用:CounterCept PPID Spoofing Dec 2018)

<code>CreateProcess</code>/<code>CreateProcessA</code>へのAPIコールを監視・分析し、特にユーザー/潜在的に悪意のあるプロセスからのもので、PPIDを明示的に割り当てるパラメータを持つもの(例:Process Creation Flagsが0x8XXXで、拡張された起動情報でプロセスが作成されていることを示す(引用:Microsoft Process Creation Flags May 2018))を監視・分析します。また、<code>CreateProcess</code>/<code>CreateProcessA</code>の悪意ある使用は、プロセス作成属性を更新するために必要となる<code>UpdateProcThreadAttribute</code>の呼び出しによって進められることがあります。(引用:Secuirtyinbits Ataware3 May 2019) これは、通常のUAC昇格の動作から誤検知を発生させる可能性があるため、可能であればシステムのベースライン/通常のシステム活動の理解と比較してください。
Windows プロセスOSのAPI実行、プロセス。プロセスの生成、プロセスのプロセスのメタデータ 9
T1134.005 防御回避、特権のエスカレーション PowerShellの<code>Get-ADUser</code>コマンドレット(引用:Microsoft Get-ADUser)を使用して、ユーザーのSID-History属性のデータを調べ、特に同じドメインのSID-History値を持つユーザーを調べます。(引用:AdSecurity SID History Sept 2015) また、ドメインコントローラのアカウント管理イベントを監視し、SID-Historyの変更が成功した場合と失敗した場合を確認します。(引用:AdSecurity SID History Sept 2015) (引用:Microsoft DsAddSidHistory)

<code>DsAddSidHistory</code>関数へのWindows APIコールを監視します。(引用:マイクロソフト DsAddSidHistory)
Windows Active Directory。Active Directory オブジェクトの変更、プロセス。OSのAPI実行、ユーザーアカウント。ユーザーアカウント:ユーザーアカウントのメタデータ 10
T1134.001 防御回避、特権のエスカレーション 敵対者が標準的なコマンドラインシェルを使用している場合、アナリストはコマンドラインのアクティビティを監査することでトークンの操作を検知することができます。具体的には、<code>runas</code>コマンドが使用されているかどうかを確認してください。Windowsでは、詳細なコマンドラインログはデフォルトでは有効になっていません。(引用:Microsoft Command-line Logging)

アナリストは、<code>DuplicateToken(Ex)</code>、<code>ImpersonateLoggedOnUser</code>、<code>SetThreadToken</code>などのWindows APIの使用を監視し、他の不審な行動と相関させることで、ユーザーや管理者による通常の善意の使用による誤検知を減らすこともできます。
Windows コマンドコマンド実行、プロセスOS APIの実行 11
T1531 インパクト プロセス監視を使用して、[Net](https://attack.mitre.org/software/S0039)の使用など、アカウントの削除やパスワードの変更に関わるバイナリの実行やコマンドライン・パラメータを監視します。また、Windowsのイベントログには、アカウントへのアクセスを削除しようとする敵対者の試みに関連するアクティビティが記録されていることがあります。

* イベントID 4723 - An attempt was made to change an account's password
* イベントID 4724 - An attempt was made to reset an account's password
* イベントID 4726 - A user account was deleted
* イベントID 4740 - A user account was locked out

[Net](https://attack.mitre.org/software/S0039)やこれらのイベントIDでの警告は、高度な偽陽性を生成する可能性があるため、システムが通常どのように使用されているかについてのベースラインの知識と比較し、可能な限り修正イベントを他の悪意のある活動の兆候と関連付けるようにします。
Linux、Windows、macOS Active Directory。Active Directory Object Modification, User Account:ユーザーアカウント: ユーザーアカウントの削除, ユーザーアカウント:ユーザーアカウント: ユーザーアカウントの修正 12
T1087 ディスカバリー システムやネットワークの発見技術は、敵が環境を知るために、通常、作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを通じて情報を取得することもできます。

<code>net.exe</code>や<code>net1.exe</code>など、ユーザーアカウントの列挙に使用できるプロセスを、特に連続して実行された場合には監視します。(引用:Elastic - Koadiac Detection with EQL)
Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS コマンドCommand: コマンド実行、File: ファイルアクセス、Process:Process: プロセスの作成、User Account:ユーザーアカウントのメタデータ 13
T1087.004 ディスカバリー クラウドアカウントに関する情報を収集するためのプロセス、コマンドライン引数、ログを監視し、アカウント発見を行うクラウド API の呼び出しを含むアクションを確認する。

システムやネットワークの発見技術は、通常、敵が環境を知るために作戦中に発生するものであり、通常のネットワーク運用でもある程度発生します。そのため、ディスカバリーのデータやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある行動の連鎖の一部として捉えるべきです。
Azure AD, Google Workspace, IaaS, Office 365, SaaS コマンドCommand: コマンド実行、User Account:ユーザーアカウント:ユーザーアカウントのメタデータ 14
T1087.002 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習するために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。
システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を持つリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 15
T1087.003 ディスカバリー システムやネットワークの発見技術は、敵が環境を知るために、通常、作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を持つリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Google Workspace, Office 365, Windows コマンドCommand: コマンド実行、User Account:ユーザーアカウント:ユーザーアカウントのメタデータ 16
T1087.001 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習するために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを通じて情報を取得することもできます。

<code>net.exe</code>や<code>net1.exe</code>など、ユーザーアカウントの列挙に使用できるプロセスを、特に連続して実行された場合には監視します。(引用:Elastic - Koadiac Detection with EQL)
Linux、Windows、macOS コマンドコマンド実行、ファイル:ファイルアクセス、プロセス。プロセス作成 17
T1098 永続性 イベントID4738、4728、4670など、システムやドメイン上のアカウントオブジェクトおよび/またはパーミッションの変更に相関するイベントを収集する。(引用:Microsoft User Modified Event)(引用:Microsoft Security Event 4670) 他の不審な活動と相関してアカウントの変更を監視する。変更は、通常とは異なる時間帯に、または通常とは異なるシステムから発生する可能性があります。特に、対象となるアカウントと対象となるアカウントが異なる場合(引用:InsiderThreat ChangeNTLM 2017年7月)や、古いパスワードを知らずにパスワードを変更するなどの追加フラグを含むイベントを監視する(引用:GitHub Mimikatz Issue 92 2017年6月)

通常とは異なる時間帯、または通常とは異なるシステムやサービスへの認証情報の使用を監視する。これは、他の不審な活動と相関することもあります。

侵害されたアカウントに過度に広範な権限が付与されていることを示すような、異常な権限変更を監視します。
Azure AD, Google Workspace, IaaS, Linux, Office 365, Windows, macOS Active Directoryです。Active Directory: Active Directory Object Modification, Command:コマンド:コマンドの実行、ファイル:ファイルの変更、グループ:グループの変更Group: Group Modification, Process:Process: プロセスの作成, User Account:ユーザーアカウントの変更 18
T1098.003 永続性 クラウド管理者アカウントの使用ログを収集し、そのアカウントへの役割の割り当てに関する異常な活動を特定する。管理者ロールに割り当てられたアカウントのうち、既知の管理者数が一定の閾値を超えたものを監視する。 Office 365 ユーザーアカウントユーザーアカウントの変更 19
T1098.001 永続性 サービスプリンシパルとアプリケーションの変更について、Azure Activity Logを監視します。SSH キーを作成またはインポートする API の使用を監視します。特に、予期しないユーザーや root アカウントなどのアカウントによる使用を監視します。

通常とは異なる時間帯に、または通常とは異なるシステムやサービスに対して認証情報が使用されていないかを監視します。これは、他の不審な活動と相関がある場合もあります。
Azure AD, IaaS Active Directory。Active Directoryオブジェクトの変更、ユーザーアカウントの変更ユーザーアカウント:ユーザーアカウントの変更 20
T1098.002 永続性

あるアカウントから送信された電子メールの量が通常よりも多く、ネットワーク内の実在するアカウントから同様のフィッシングメールが送信された場合は、アカウントが侵害され、電子メールの権限を変更してアクセスしようとする試みが行われている兆候である可能性があります。
Office 365, Windows グループグループ:グループの変更、ユーザーアカウント:ユーザーアカウントの変更ユーザーアカウントの変更 21
T1098.004 永続性 ファイル整合性監視を使用して、システム上の各ユーザの<code>authorized_keys</code>ファイルに加えられた変更を検出する。

<code>/etc/ssh/sshd_config</code>ファイルを変更している疑わしいプロセスを監視します。
Linux、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセス作成 22
T1583 リソース開発 ドメイン登録情報のWHOISデータベースなど、新たに獲得したインフラの追跡に役立つサービスの利用を検討する。このような活動の多くは、標的となる組織の目に見えないところで行われている可能性があるため、このような行動の検知は困難です。

検知の取り組みは、敵のライフサイクルの関連する段階、例えば、コマンド&コントロールの段階に焦点を当てることができます。
PRE 23
T1583.005 リソース開発 このような活動の多くは、標的となる組織の視界の外で行われるため、このような行動の検知は困難です。検知作業は、「フィッシング」(https://attack.mitre.org/techniques/T1566)、「エンドポイントサービス拒否」(https://attack.mitre.org/techniques/T1499)、「ネットワークサービス拒否」(https://attack.mitre.org/techniques/T1498)など、敵のライフサイクルの関連する段階に集中することができます。 PRE 24
T1583.002 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 25
T1583.001 リソース開発 ドメイン登録情報は、意図的に公開された登録ログに記録されています。WHOISデータベースやパッシブDNSなど、新たに取得したドメインの追跡に役立つサービスの利用を検討してください。場合によっては、既知のドメイン登録情報を基にして、敵対者が購入した他のインフラを発見することができるかもしれません。異なるTLDを含め、自社のドメインと類似した構造を持つドメインを監視することを検討してください。ドメイン名登録情報を追跡、照会、監視するための様々なツールやサービスが存在しますが、複数のDNSインフラを追跡するためには、複数のツールやサービス、またはより高度な分析が必要になる場合があります。

検知の取り組みは、初期アクセス時やコマンド&コントロール時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 26
T1583.004 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 27
T1583.003 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 28
T1583.006 リソース開発 このような活動の多くは、標的となる組織の視界の外で行われるため、このような行動の検知は困難である。検知の努力は、敵のライフサイクルの関連する段階、例えば、コマンド&コントロール([Webサービス](https://attack.mitre.org/techniques/T1102))や[Webサービスを介した侵入](https://attack.mitre.org/techniques/T1567)などに集中することができます。 PRE 29
T1595 偵察 単一のソースから大量に発信されるなど、スキャンを示唆する不審なネットワークトラフィックを監視します(特に、そのソースが敵対者/ボットネットに関連していることがわかっている場合)。

このような活動の多くは、発生率とそれに伴う誤検知率が非常に高く、標的組織の可視範囲外で行われている可能性があるため、防御側では検知が困難になります。

検知の取り組みは、初期アクセス時など、敵のライフサイクルの関連する段階に集中することがあります。
PRE ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 30
T1595.001 偵察

このような活動の多くは、発生率や誤検知率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になります。

検知の取り組みは、初期アクセス時など、敵のライフサイクルの関連する段階に集中することがあります。
PRE ネットワークトラフィックネットワークトラフィックの流れ 31
T1595.002 偵察 単一のソースから大量に発信されるなど、スキャンを示唆する不審なネットワークトラフィックを監視します(特に、そのソースが敵対者/ボットネットに関連していることがわかっている場合)。

このような活動の多くは、発生率とそれに伴う誤検知率が非常に高く、標的組織の可視範囲外で行われている可能性があるため、防御側では検知が困難になります。

検知の取り組みは、初期アクセス時など、敵のライフサイクルの関連する段階に集中することがあります。
PRE ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 32
T1071 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスは疑わしい。パケットの内容を分析して、シンタックス、構造、またはデータを隠すために敵が利用する可能性のあるその他の変数に関して、期待されるプロトコル標準に従わないアプリケーション層のプロトコルを検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 33
T1071.004 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスは疑わしい。パケットの内容を分析して、構文や構造、またはデータを隠すために敵が利用する可能性のあるその他の変数に関して、期待されるプロトコル標準に従わないアプリケーション層のプロトコルを検出します(引用:University of Birmingham C2)

既知の悪いドメインまたは疑わしいドメインとの間のDNSトラフィックを監視します。
Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 34
T1071.002 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスは疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルに従わないアプリケーション層のプロトコルを検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 35
T1071.003 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスは疑わしい。パケットの内容を分析して、シンタックス、構造、またはデータを隠すために敵が利用する可能性のあるその他の変数に関して、期待されるプロトコル標準に従わないアプリケーション層のプロトコルを検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 36
T1071.001 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスは疑わしい。パケットの内容を分析して、構文や構造、またはデータを隠すために敵が利用する可能性のあるその他の変数に関して、期待されるプロトコル標準に従っていないアプリケーション層のプロトコルを検出します(引用:University of Birmingham C2)

既知の悪質な、または疑わしいドメインとの間のWebトラフィックを監視します。
Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 37
T1010 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習していく中で、作戦中に発生します。

プロセスやコマンドラインの引数を監視し、システムやネットワークの情報を収集するためのアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 38
T1560 コレクション アーカイブ・ソフトウェアやアーカイブ・ファイルは、さまざまな方法で検出できます。システム上に存在する可能性のある一般的なユーティリティーや、敵対者が持ち込む可能性のあるユーティリティーは、プロセスの監視や既知のアーカイブユーティリティーのコマンドライン引数を監視することで検出できます。

Windows DLL crypt32.dll をロードするプロセスは、暗号化、復号化、またはファイル署名の検証を行うために使用される可能性があります。

圧縮または暗号化されたファイルタイプに関連する拡張子やヘッダーを持つファイルの書き込みを検出することを検討してください。検知活動は、ネットワーク侵入検知システムまたはデータ損失防止システムがファイルヘッダを分析することにより、圧縮または暗号化されたファイルが転送中に検知されるような、後続の流出活動に焦点を当てることができる。(引用:Wikipedia ファイルヘッダシグネチャ
Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、プロセス:プロセスの作成Process: プロセスの作成、Script: スクリプトの実行スクリプトの実行 39
T1560.003 コレクション カスタムアーカイブ手法は、その多くがビット演算などの標準的なプログラミング言語の概念を使用しているため、検出するのが非常に困難です。 Linux、Windows、macOS ファイル:ファイル作成、スクリプト。スクリプトの実行 40
T1560.002 コレクション 既知のアーカイブ・ライブラリへのアクセスについてプロセスを監視する。

圧縮または暗号化されたファイルタイプに関連する拡張子やヘッダーを持つファイルの書き込みを検出することを検討する。検出作業は、ネットワーク侵入検知システムやデータ損失防止システムがファイルヘッダを分析することで、圧縮または暗号化されたファイルが転送中に検出されるような、後続の流出活動に焦点を当てることができます。(引用:Wikipedia ファイルヘッダシグネチャ
Linux、Windows、macOS ファイル:ファイル作成、スクリプト。スクリプトの実行 41
T1560.001 コレクション システム上に存在したり、敵対者によって持ち込まれたりする一般的なユーティリティは、プロセス監視や既知のアーカイブユーティリティのコマンドライン引数を監視することで検出できる可能性があります。

圧縮または暗号化されたファイルタイプに関連する拡張子やヘッダーを持つファイルの書き込みを検出することを検討する。検出作業は、ネットワーク侵入検知システムやデータ損失防止システムがファイルヘッダを分析することで、圧縮または暗号化されたファイルが転送中に検出されるような、後続の流出活動に焦点を当てることができます。(引用:Wikipedia ファイルヘッダシグネチャ
Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、プロセス:プロセスの作成。プロセスの作成 42
T1123 コレクション 様々なAPIが使用されているため、この技術の検出は難しいかもしれません。APIの使用に関する遠隔測定データは、システムが通常どのように使用されているかによっては有用ではないかもしれませんが、システム上で発生している他の潜在的に悪質な活動の背景を提供する可能性があります。

この技術の使用を示す可能性のある動作としては、マイク、録音機器、録音ソフトウェアと相互作用する機器やソフトウェアに関連するAPIにアクセスする未知または異常なプロセス、およびオーディオデータを含むファイルをディスクに定期的に書き込むプロセスがあります。
Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行 43
T1119 コレクション 使用する方法によっては、アクションには、一般的なファイルシステムのコマンドや、バッチファイルやスクリプト内のコマンドラインインターフェイス上のパラメータが含まれる場合があります。このような一連のアクションは、システムやネットワーク環境によっては珍しいことかもしれません。自動収集は、[Data Staged](https://attack.mitre.org/techniques/T1074)のような他の技術と一緒に行われることがあります。そのため、ファイルアクセスの監視で、異常なプロセスが連続してファイルを開き、一度に多くのファイルをファイルシステム上の別の場所にコピーする動作を行っていることを示す場合、自動収集の動作を示している可能性があります。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接やり取りしてデータを収集することができます。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールでデータを取得することもできます。 Linux、Windows、macOS コマンドコマンド実行、ファイル:ファイルアクセス、スクリプト。スクリプトの実行 44
T1020 Exfiltration プロセスのファイルアクセスパターンとネットワークの動作を監視する。認識されていないプロセスやスクリプトがファイルシステムを通過し、ネットワークトラフィックを送信しているように見える場合は、疑わしい可能性があります。 Linux、ネットワーク、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローNetwork Traffic: Network Traffic Content, Network Traffic: Network Traffic Flow, Script:スクリプトの実行 45
T1020.001 Exfiltration ネットワークトラフィックを監視して、通常とは異なるデータフローを検出する(例:異常なネットワーク通信、これまでに見たことのない不審な通信、一定の間隔で固定サイズのデータパケットを送信する通信)。 パケットの内容を解析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。 ネットワーク ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 46
T1197 防御力 回避、粘り強さ BITS はサービスとして動作しており、その状態は Sc クエリユーティリティ (<code>sc query bits</code>) で確認することができます。(引用: Microsoft Issues with BITS July 2011) アクティブな BITS のタスクは、[BITSAdmin](https://attack.mitre.org/software/S0190) ツール (<code>bitsadmin /list /allusers /verbose</code>) を使用して列挙することができます。(引用: Microsoft BITS)

[BITSAdmin](https://attack.mitre. org/software/S0190) ツールの使用状況を監視します。org/software/S0190)ツール(特に「Transfer」、「Create」、「AddFile」、「SetNotifyFlags」、「SetNotifyCmdLine」、「SetMinRetryDelay」、「SetCustomHeaders」、「Resume」コマンドオプション)の使用状況を監視します(引用:Microsoft BITS) 管理者ログ、PowerShellログ、WindowsイベントログにBITSの活動を記録します。(引用:Elastic - Hunting for Persistence Part 1) また、BITSのジョブデータベースを解析することで、ジョブに関するより詳細な情報を調査することも検討してください。(引用:CTU BITS Malware June 2016)

BITSが生成するネットワークアクティビティを監視・分析します。BITSのジョブは、リモート接続にHTTP(S)とSMBを使用し、作成したユーザーに紐付けられており、そのユーザーがログオンしているときにのみ機能します(このルールは、ユーザーがジョブをサービスアカウントにアタッチした場合でも適用されます)(引用:Microsoft BITS)
Windows コマンドについてコマンド実行、ネットワークトラフィック。ネットワーク接続の作成、Process:Process: プロセスの作成、Service: サービス。サービスメタデータ 47
T1547 パーシステンス、プリビレッジ・エスカレーション レジストリへの関連する追加など、自動起動実行のトリガーとして使用される可能性のあるメカニズムが追加または変更されていないか監視する。また、既知のアップデートやパッチ、その他の計画された管理活動とは関連性のない変更を探します。また、Sysinternals Autorunsなどのツールを使用して、システムの自動起動設定の変更を検出することもできます。(引用:TechNet Autoruns) 一部の自動起動設定の変更は、正規のソフトウェアがインストールされた通常の状態でも発生する可能性があります。

自動起動プログラムとしての疑わしいプログラムの実行は、過去のデータと比較した際に、これまでに見られなかった異常なプロセスとして表示されることがあります。悪意のある活動の確信度を高めるためには、データやイベントを単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる一連の行動の一部として見る必要があります。

プロセスによるDLLのロードを監視し、特に、認識されていない、または通常はプロセスにロードされないDLLを探します。

カーネルの変更やドライバのインストールに関わるユーティリティやコマンドラインパラメータの異常な使用を監視します。
Linux、Windows、macOS コマンドコマンドの実行、Driver:Driver: Driver Load, File: File Creation, File: File Modification, Kernel:Kernel: Kernel Module Load, Module:モジュールのロード、Process:OS API の実行、Process:プロセスの作成、Windows レジストリ:Windows レジストリ: Windows レジストリキーの作成, Windows レジストリ: Windows レジストリキーの修正Windows レジストリキーの変更 48
T1547.014 パーシステンス、プリビレッジ・エスカレーション レジストリキーの追加や<code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\</code>への変更を監視してください。

Sysinternals Autoruns などのツールを使用して、Active Setup レジストリの場所やスタートアップフォルダのリストなど、永続化の試みである可能性のあるシステムの変更を検出することもできます。(引用:TechNet Autoruns)スタートアッププログラムとして疑わしいプログラムが実行されると、過去のデータと比較したときに、これまでに見られなかった異常なプロセスとして表示されることがあります。
Windows コマンドコマンドの実行、プロセス。プロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリキーの変更 49
T1547.002 パーシステンス、プリビレッジ・エスカレーション レジストリを監視し、LSAレジストリキーの変更を確認する。LSAプロセスのDLLロードを監視する。Windows 8.1およびWindows Server 2012 R2では、レジストリキー<code>HKLM_SOFTWARE_Microsoft_Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe</code>にAuditLevel = 8を設定することで、署名されていないDLLがLSAにロードされようとするとイベントが発生することがあります。(引用:Graeber 2014)(引用:Microsoft Configure LSA Windows コマンドコマンド実行, モジュール:モジュールのロード、Windowsレジストリ。Windows レジストリキーの変更 50
T1547.006 パーシステンス、プリビレッジ・エスカレーション Linuxシステムにおけるモジュールのロード、アンロード、および操作は、次のコマンドを監視することで検出することができます:<code>modprobe</code>、<code>insmod</code>、<code>lsmod</code>、<code>rmmod</code>、または<code>modinfo</code>(引用者注。Linux Loadable Kernel Module Insert and Remove LKMs) LKMは通常、<code>/lib/modules</code>にロードされ、拡張子は.ko(「カーネルオブジェクト」)です。ko("kernel object")という拡張子を持つ。(引用:Wikipedia Loadable Kernel Module)

macOSの場合、<code>kextload</code>コマンドの実行を監視し、他の未知または不審な活動と関連付けます。

敵対者は、悪意のあるモジュールをロードする前に、そのモジュールが適切にコンパイルされていることを確認するために、ターゲットシステム上でコマンドを実行することがあります。(また、実行中のLinuxカーネルの正確なバージョンを特定するためのコマンドを実行したり、同じ.ko(カーネルオブジェクト)ファイルの複数のバージョンをダウンロードして、実行中のシステムに適したものを使用したりすることもあります(引用:Trend Micro Skidmap)多くのLKMは、適切にコンパイルするために(ターゲットカーネルに固有の)Linuxヘッダを必要とします。これらは通常、オペレーティングシステムのパッケージマネージャを通じて入手し、通常のパッケージのようにインストールします。UbuntuおよびDebianベースのシステムでは、次のように実行することで実現できます。 <code>apt-get install linux-headers-$(uname -r)</code> RHELおよびCentOSベースのシステムでは、次のように実行することで実現できます。 <code>yum install kernel-devel-$(uname -r)</code>。
Linux、macOS コマンドコマンド:コマンド実行、File:ファイル作成、Kernel:カーネルモジュールロード 51
T1547.008 パーシステンス、プリビレッジ・エスカレーション LSAプロテクションを有効にした状態で、イベントログ(イベント3033および3063)を監視して、LSAプラグインおよびドライバーのロードに失敗したことを確認します。(引用:Microsoft LSA Protection Mar 2014) また、lsass.exe の DLL ロード操作を監視します。(引用:Microsoft DLL Security)

Sysinternals Autoruns/Autorunscユーティリティ(引用:TechNet Autoruns)を利用して、LSAに関連するロードされたドライバーを調べます。
Windows Driver:Driver: Driver Load, File: File Creation, File: File Modification, Module: Module Load:モジュールのロード 52
T1547.011 パーシステンス、プリビレッジ・エスカレーション ファイルシステムの監視により、plistファイルが変更されているかどうかを判断できます。ほとんどの場合、ユーザーはこれらを変更する権限を持っていないはずです。Knock Knock」のようないくつかのソフトウェア・ツールは、パーシステンス・メカニズムを検出し、参照されている特定のファイルを示すことができます。

共有ファイルリストで作成されたすべてのログインアイテムは、アップルメニュー→システム環境設定→ユーザーとグループ→ログインアイテムで見ることができます。この領域(および対応するファイルの場所)は、既知の良いアプリケーションを監視し、許可する必要があります。その他、ログインアイテムはアプリケーションバンドル内の<code> Contents/Library/LoginItems </code>にあるので、これらのパスも監視する必要があります。(引用:Adding Login Items)

修正されたplistファイルに起因する異常なプロセス実行を監視してください。不審な活動を示す可能性のある、plist ファイルを修正するために使用される、または plist ファイルを引数として受け取るユーティリティを監視してください。
macOS ファイル:ファイル作成、ファイル:ファイル修正、プロセス。プロセス作成 53
T1547.010 パーシステンス、プリビレッジ・エスカレーション <code>AddMonitor</code>へのプロセスAPIコールを監視します。(引用:AddMonitor) spoolsv.exeがロードするDLLを監視して、異常なDLLがないか調べます。System32ディレクトリに書き込まれた新しいDLLで、既知の正常なソフトウェアやパッチとの関連性がないものは、疑わしい可能性があります。

レジストリの<code>HKLM\SYSTEM¶CurrentControlSet\ControlPrint\Monitors</code>への書き込みを監視します。Autorunsユーティリティを実行すると、永続化メカニズムとしてこのレジストリキーをチェックします(引用:TechNet Autoruns)。
Windows ファイル:ファイル作成、モジュール:モジュールロードモジュールのロード、プロセスOS APIの実行、Windowsレジストリ。Windows レジストリキーの変更 54
T1547.012 パーシステンス、プリビレッジ・エスカレーション <code>AddPrintProcessor</code>および<code>GetPrintProcessorDirectory</code>へのプロセスAPIコールを監視する。新しいプリントプロセッサDLLはプリントプロセッサディレクトリに書き込まれます。また、レジストリの<code>HKLM\SYSTEM#ControlSet001#ControlePrint\Environments\[Windows architecture]Print Processors\[user defined]Driver</code>や<code>GetPrintProcessorDirectory</code>への書き込みを監視します。Code>HKLM\\CurrentControlSet\PrintEnvironments\[Windows architecture]Printer Processors\[user defined]\Driver</code>を用いて、プリントプロセッサーのインストールを行う。

spoolsv.exe がロードする DLL の異常を監視します。既知の正常なソフトウェアやパッチとの関連性がないプリントプロセッサは、疑わしい可能性があります。
Windows Driver:Driver: Driver Load, File: File Creation, Module: Module Load:Module: モジュールのロード、Process: プロセスのロードOS API の実行、Windows レジストリ:Windows レジストリキーの変更 55
T1547.007 パーシステンス、プリビレッジ・エスカレーション アプリケーションの再開に関連する特定のplistファイルを監視することで、アプリケーションが再開のために自分自身を登録したことを示すことができます。 macOS コマンドの実行コマンド:コマンドの実行、ファイル:ファイルの変更 56
T1547.001 パーシステンス、プリビレッジ・エスカレーション レジストリを監視して、既知のソフトウェアやパッチサイクルなどに関連しない実行キーの変更を確認する。スタートフォルダに追加や変更がないか監視する。Sysinternals Autorunsなどのツールを使用して、ランキーのレジストリの場所やスタートアップフォルダの一覧を表示するなど、永続化の試みである可能性のあるシステムの変更を検出することもできます。(引用:TechNet Autoruns) スタートアッププログラムとして疑わしいプログラムが実行されると、過去のデータと比較したときに、これまでに見られなかった異常なプロセスとして表示されることがあります。

これらの場所の変更は、通常、正規のソフトウェアがインストールされたときに発生します。悪意のある活動の確信度を高めるためには、データやイベントを単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる一連の行動の一部として見る必要があります。
Windows コマンドコマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリキーの変更 57
T1547.005 パーシステンス、プリビレッジ・エスカレーション レジストリを監視し、SSP レジストリキーの変更を確認する。LSAプロセスのDLLロードを監視する。Windows 8.1およびWindows Server 2012 R2では、レジストリキー<code>HKLM®SOFTWARE®Microsoft®Windows NT\CurrentVersion®Image File Execution Options\LSASS.exe</code>にAuditLevel = 8を設定することで、署名されていないSSP DLLがLSAにロードされようとするとイベントが発生することがあります。 (引用:Graeber 2014) (引用:Microsoft Configure LSA) Windows コマンドコマンド実行, モジュール:モジュールのロード、Windowsレジストリ。Windows レジストリキーの変更 58
T1547.009 パーシステンス、プリビレッジ・エスカレーション ショートカットのターゲット・パスは変更されない可能性が高いため、既知のソフトウェアの変更、パッチ、削除などと関連性のないショートカット・ファイルの変更は、疑わしい可能性があります。分析では、ショートカットファイルの変更や作成イベントを、ネットワーク接続を行う未知の実行ファイルのプロセス起動など、敵対者の既知の行動に基づく他の疑わしいイベントと関連付けるようにします。

ゾーン識別子の値が1より大きいLNKファイルの作成を監視します。これは、LNKファイルがネットワーク外から発生したことを示している可能性があります。
Windows ファイル:ファイル作成、ファイル:ファイル修正、プロセス。プロセス作成 59
T1547.003 パーシステンス、プリビレッジ・エスカレーション ベースライン値と、<code>RegCreateKeyEx</code>や<code>RegSetValueEx</code>などのアプリケーションプログラミングインターフェイス(API)の呼び出しや、W32tm.exeユーティリティの実行など、レジストリ内のW32Time情報の変更に関連するアクティビティを監視/分析します。(引用:Microsoft W32Time May 2017) カスタムタイムプロバイダーの登録数に制限はありませんが、それぞれがディスクに書き込まれるDLLペイロードを必要とする場合があります。(引用:Github W32Time 2017年10月)

Sysinternals Autorunsツールを使用して、タイムプロバイダとして登録されているDLLを含む自動起動場所を分析することもできます。(引用:TechNet Autoruns)
Windows コマンドコマンド実行, モジュール:モジュールのロード、Process:プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 60
T1547.004 パーシステンス、プリビレッジ・エスカレーション Winlogonに関連するレジストリエントリの変更が、既知のソフトウェアやパッチサイクルなどと相関していないかどうかを監視する。また、Sysinternals Autorunsなどのツールを使用して、現在のWinlogonヘルパー値の一覧表示など、永続化を試みている可能性のあるシステム変更を検出することもできます。(引用:TechNet Autoruns) また、System32に書き込まれた新しいDLLが、既知の良質なソフトウェアやパッチと関連していない場合も、疑わしい可能性があります。

プロセスが悪意のあるDLLをロードしていることが原因と考えられる、プロセスの異常な動作を調べます。データやイベントは単独で見るのではなく、コマンド&コントロールのために行われたネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Windows コマンドコマンド実行, モジュール:モジュールのロード、Windowsレジストリ。Windows レジストリキーの変更 61
T1547.013 パーシステンス、プリビレッジ・エスカレーション 悪意のある XDG 自動起動エントリは、<code>/etc/xdg/autostart</code> および <code>~/.config/autostart</code> ディレクトリ内のファイル作成および変更イベントを監査することで検出できます。個々の設定によっては、ディフェンダーは環境変数 <code>$XDG_CONFIG_HOME</code> または <code>$XDG_CONFIG_DIRS</code> を照会して Autostart エントリのパスを決定する必要があります。正当なパッケージに関連していないAutostartエントリーファイルは、疑わしいと考えられます。

この方法で生成された疑わしいプロセスやスクリプトは、XDG 仕様を実装するデスクトップ コンポーネントを親プロセスとし、ログオンしているユーザーとして実行されます。
Linux コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 62
T1037 パーシステンス、プリビレッジ・エスカレーション ログオンスクリプトを監視して、異常なユーザーまたは異常な時間帯に異常なアクセスがないかどうか。通常の管理業務以外で異常なアカウントがファイルを追加または変更していないか。実行中のプロセスを監視して、ログオン時に異常なプログラムや実行ファイルが実行されていないかを確認する。 Linux、Windows、macOS Active Directoryです。Active Directory: Active Directory Object Modification, Command:コマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセスの作成, Windows レジストリ:Windows レジストリキーの作成 63
T1037.002 パーシステンス、プリビレッジ・エスカレーション ログオンスクリプトを監視して、異常なユーザーまたは異常な時間帯に異常なアクセスがないかどうか。通常の管理業務以外で異常なアカウントがファイルを追加または変更していないか。実行中のプロセスを監視して、ログオン時に異常なプログラムや実行ファイルが実行されていないかを確認する。 macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 64
T1037.001 パーシステンス、プリビレッジ・エスカレーション

ログオン時に実行されるプログラムや実行ファイルに異常がないかどうか、実行中のプロセスを監視します。
Windows コマンドコマンドの実行、プロセス。プロセスの作成、Windowsレジストリ。Windows レジストリキーの作成 65
T1037.003 パーシステンス、プリビレッジ・エスカレーション ログオンスクリプトを監視して、異常なユーザーまたは異常な時間帯に異常なアクセスがないかどうか。通常の管理業務以外で異常なアカウントがファイルを追加または変更していないか。実行中のプロセスを監視して、ログオン時に異常なプログラムや実行ファイルが実行されていないかを確認する。 Windows Active Directoryです。Active Directory: Active Directory Object Modification, Command:コマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセスの作成 66
T1037.004 パーシステンス、プリビレッジ・エスカレーション <code>/etc/</code>ディレクトリ内のRCスクリプトへの予期せぬ変更を監視します。

<code>/etc/rc.local</code>ファイルの作成を監視します。RCスクリプトの種類はUnix系ディストリビューションごとに異なりますが、いくつかのRCスクリプトは<code>/etc/rc.local</code>が存在する場合に実行されます。
Linux、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 67
T1037.005 パーシステンス、プリビレッジ・エスカレーション <code>/Library/StartupItems</code>フォルダに変更がないか監視することができます。同様に、この仕組みから実際に実行されるプログラムをホワイトリストと照合する必要があります。

起動時に実行されるプロセスを監視し、異常なアプリケーションや未知の動作がないかを確認します。
macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 68
T1217 ディスカバリー プロセスやコマンドライン引数を監視して、ブラウザのブックマーク情報を収集するためのアクションを確認します。内蔵機能を持つリモートアクセスツールでは、APIを使用して直接対話して情報を収集することができます。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのシステム管理ツールを使って情報を取得することもできます。

システムやネットワークの発見技術は、通常、敵が環境を学習する際に、作戦を通じて発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて、収集や流出などの他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Linux、Windows、macOS コマンドコマンド実行、ファイル:ファイルアクセス、プロセス。プロセス作成 69
T1176 永続性 通常の拡張機能、期待される拡張機能、および良性の拡張機能から逸脱したブラウザ拡張機能のインストールをインベントリして監視します。プロセス監視とネットワーク監視を使用して、C2サーバと通信しているブラウザを検出することができます。ただし、悪意のある拡張機能が生成するトラフィックの性質や量によっては、この方法では最初に検出することが難しい場合があります。

レジストリに書き込まれた新しいアイテムやディスクに書き込まれたPEファイルを監視します。

macOSでは、<code>profiles install -type=configuration</code>のように、コマンドラインでプロファイルツールの使用状況を監視します。さらに、インストールされたすべての拡張機能は、<code>/Library/Managed Preferences/username/</code>ディレクトリに<code>plist</code>ファイルを保持します。リストアップされたすべてのファイルが、承認された拡張機能と一致していることを確認してください。(引用元:xorrior chrome extensions macOS)
Linux、Windows、macOS コマンドを使用しています。Command: コマンド実行、File: ファイル作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、プロセス:プロセスの作成プロセスの作成, Windows レジストリ:Windows レジストリキーの作成 70
T1110 クレデンシャルアクセス 認証ログを監視して、システムやアプリケーションのログイン時に[Valid Accounts](https://attack.mitre.org/techniques/T1078)の失敗を確認します。認証失敗が多い場合は、正規の認証情報を使用してシステムにアクセスしようとするブルートフォース攻撃が行われている可能性があります。また、様々なアカウントで多くの認証失敗が発生していないか監視します。これは、パスワードスプレイの試みに起因する可能性があります。ハッシュがクラックされても、一般的には対象となるネットワークの範囲外で行われるため、検出は困難です。 Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ユーザーアカウント。ユーザーアカウント認証 71
T1110.004 クレデンシャルアクセス 認証ログを監視して、システムやアプリケーションのログイン時に[Valid Accounts](https://attack.mitre.org/techniques/T1078)の失敗を確認します。認証失敗が多い場合は、正規の認証情報を使ってシステムにアクセスしようとするブルートフォースの試みがある可能性があります。 Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ユーザーアカウント。ユーザーアカウント認証 72
T1110.002 クレデンシャルアクセス ハッシュがクラックされた場合、これは一般的にターゲット・ネットワークの範囲外で行われるため、検出することは困難です。OS Credential Dumping](https://attack.mitre.org/techniques/T1003)や[Kerberoasting](https://attack.mitre.org/techniques/T1558/003)など、クレデンシャルを取得するために使用される他の敵対者の行動を検出することに注力することを検討してください。 Azure AD、Linux、Office 365、Windows、macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ユーザーアカウント。ユーザーアカウント認証 73
T1110.001 クレデンシャルアクセス 認証ログを監視して、システムやアプリケーションのログイン時に[Valid Accounts](https://attack.mitre.org/techniques/T1078)の失敗を確認します。認証失敗が多い場合は、正規の認証情報を使ってシステムにアクセスしようとするブルートフォースの試みがある可能性があります。 Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ユーザーアカウント。ユーザーアカウント認証 74
T1110.003 クレデンシャルアクセス 有効なアカウント](https://attack.mitre.org/techniques/T1078)のシステムやアプリケーションのログイン失敗の認証ログを監視します。

以下のイベントIDを検討してください。(引用:Trimarc Detecting Password Spraying)

* Domain Controllers: "Audit Logon" (Success & Failure) for event ID 4625.
* Domain Controllers: "Audit Kerberos Authentication Service" (Success & Failure) for event ID 4771.
* All systems: "Audit Logon" (Success & Failure) for event ID 4648.
Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ユーザーアカウント。ユーザーアカウント認証 75
T1612 防衛回避 環境内のホストにおけるDockerデーモンへの予期せぬDockerイメージ構築要求を監視します。さらに、悪意のあるコードのダウンロードを示す、環境内でこれまでに見たことのない異常なIPとのその後のネットワーク通信を監視します。 コンテナ 画像についてイメージ:イメージ作成、ネットワークトラフィック:ネットワーク接続作成Network Connection Creation(ネットワーク接続作成)、Network Traffic(ネットワークトラフィック)。ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックのコンテンツ、ネットワークトラフィック:ネットワークトラフィックのフローネットワークトラフィックの流れ 76
T1115 コレクション クリップボードへのアクセスは、オペレーティング・システム上の多くのアプリケーションの正当な機能です。もし組織がこの動作を監視することを選択した場合、そのデータは、他の不審な動作やユーザー主導ではない動作と相関させる必要があるでしょう。 Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行 77
T1580 ディスカバリー クラウドインフラストラクチャコンポーネントのアクティビティの集中的なロギングを確立する。ログを監視して、新規または予期せぬユーザによるディスカバリー API コールの使用など、クラウドインフラストラクチャに関する情報を収集するためのアクションを確認する。誤検知を減らすために、クラウド事業者がサポートしている場合、有効な変更管理手順では、変更内容とともにログに記録される既知の識別子(タグやヘッダなど)を導入することで、有効で期待されるアクションと悪意のあるアクションを区別することができます。 IaaS クラウドストレージ。Cloud Storage Enumeration, Cloud Storage:Cloud Storage: Cloud Storage Metadata, Instance:Instance: Instance Enumeration, Instance:Instance: Instance Metadata, Snapshot:スナップショット: スナップショットの列挙, スナップショット:Snapshot: Snapshot Metadata, Volume:Volume: Volume Enumeration, Volume:Volume: Volume Metadata 78
T1538 ディスカバリー アカウントのアクティビティログを監視して、クラウドサービスの管理コンソールに関連して実行されたアクションやアクティビティを確認します。AWSなどの一部のクラウド事業者では、管理コンソールへのログイン試行に対して個別のログイベントを提供しています。(引用:AWS Console Sign-in Events) Azure AD, Google Workspace, IaaS, Office 365 ログオンセッション。ログオンセッションの作成、ユーザーアカウント。ユーザーアカウントの認証 79
T1526 ディスカバリー クラウドサービスの発見技術は、敵対者がクラウドベースのシステムやサービスを標的としている場合、作戦中に発生する可能性が高くなります。

クラウドサービスの発見のように見える正常で良性のシステムやネットワークのイベントは、環境や使用方法によってはまれにしか発生しません。クラウドサービスの利用状況を監視し、環境内での敵対的な存在を示すような異常な動作がないかを確認します。
Azure AD, Google Workspace, IaaS, Office 365, SaaS クラウドサービス。Cloud Service Enumeration, Cloud Service:クラウドサービスのメタデータ 80
T1059 実行 コマンドラインやスクリプティングの活動は、コマンドライン引数を含むプロセスの実行を適切にロギングすることで把握できます。この情報は、敵対者がネイティブプロセスやカスタムツールをどのように使用しているかという点で、敵対者の行動をさらに深く理解するのに役立ちます。また、特定の言語に関連するモジュールの読み込みを監視します。

スクリプトが一般ユーザに制限されている場合、システム上でスクリプトを実行できるようにしようとする試みは、疑わしいと考えられます。スクリプトがシステム上で一般的に使用されていないにもかかわらず有効になっている場合、パッチ適用やその他の管理者機能によって周期的に実行されているスクリプトは疑わしいと考えられます。

スクリプトは、使用する監視の種類に応じて、イベントを生成する可能性のある、システ ムにさまざまな影響を与えるアクションを実行する可能性があります。プロセスやコマンドライン引数を監視して、スクリプトの実行とその後の動作を確認します。アクションは、ネットワークやシステムの情報の発見、収集、またはその他のスクリプトによる危殆化後の動作に関連している可能性があり、ソース・スクリプトにつながる検知の指標として使用することができます。
Linux、ネットワーク、Windows、macOS コマンドコマンド実行, モジュール:Module: モジュールのロード、Process:Process: プロセスの作成、Script:スクリプトの実行 81
T1059.002 実行 <code>osascript</code>を介したAppleScriptの実行や、システム上で発生する他の不審な動作に関連する可能性のある<code>NSAppleScript</code>や<code>OSAScript</code>のAPIの使用を監視します。スクリプトは、使用する監視の種類に応じて、イベントを生成する可能性のある、システムに様々な影響を与えるアクションを実行する可能性があります。プロセスやコマンドライン引数を監視して、スクリプトの実行とその後の動作を確認します。アクションは、ネットワークやシステムの情報 [発見](https://attack.mitre.org/tactics/TA0007)、[収集](https://attack.mitre.org/tactics/TA0009)、またはその他のスクリプトによる危殆化後の動作に関連している可能性があり、ソーススクリプトにつながる検知の指標として使用できる可能性があります。

多数の誤検知を避けるためには、標準的な使用パターンを理解することが重要です。通常のユーザに対してスクリプトの使用が制限されている場合は、システム上で実行されているスクリプトを有効にしようとする試みは疑わしいと考えられます。スクリプトがシステム上で一般的に使用されていないにもかかわらず有効になっている場合、パッチ適用やその他の管理者機能からサイクル外で実行されているスクリプトは疑わしいと考えられます。スクリプトの動作と意図を判断するために、可能な限りファイルシステムからスクリプトをキャプチャする必要があります。
macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 82
T1059.007 実行 プロセスアクティビティ、Windows スクリプトホスト(通常は cscript.exe または wscript.exe)の使用、スクリプトを含むファイルアクティビティ、スクリプト言語に関連するモジュール(例:JScript.dll)のロードなど、スクリプトの実行に関連するイベントを監視します。スクリプトの実行は、システムにさまざまな影響を与えるアクションを実行する可能性があり、使用する監視の種類に応じてイベントを生成する可能性があります。プロセスやコマンドライン引数の実行とその後の動作を監視します。アクションは、ネットワークやシステムの情報[発見](https://attack.mitre.org/tactics/TA0007)、[収集](https://attack.mitre.org/tactics/TA0009)、またはその他のプログラム可能な侵害後の動作に関連している可能性があり、ソースにつながる検出の指標として使用することができます。

システム上で発生している他の不審な動作に関連している可能性のある、<code>osascript</code>を介したJXAの実行や<code>OSAScript</code> APIの使用を監視します。

標準的な使用パターンを理解することは、多数の誤検知を避けるために重要です。スクリプトが通常のユーザに制限されている場合、システム上で実行されている関連コンポーネントを有効にしようとする試みは、疑わしいと考えられます。スクリプトがシステム上で一般的に使用されていないにもかかわらず有効になっている場合、パッチ適用やその他の管理者機能によるサイクルを超えた実行は疑わしいと考えられます。スクリプトの動作や意図を特定するために、可能な限りファイルシステムからスクリプトをキャプチャする必要があります。
Linux、Windows、macOS コマンドコマンド実行, モジュール:Module: モジュールのロード、Process:Process: プロセスの作成、Script:スクリプトの実行 83
T1059.008 実行 未承認または疑わしいコマンドがデバイス構成の変更に使用されていないか、コンソールまたは実行メモリの一部にあるコマンド履歴を確認することを検討してください。(引用:Cisco IOS Software Integrity Assurance - Command History)

コマンド インタープリタへの未承認の変更を発見するために、ネットワーク デバイス構成のコピーを既知の良いバージョンと比較することを検討してください。同じプロセスはランタイム メモリの比較によっても達成できますが、これは自明なことではなく、ベンダーの支援が必要な場合もあります。
ネットワーク コマンドコマンド実行 84
T1059.001 実行 適切な実行ポリシーが設定されていても、敵対者がレジストリやコマンドラインを介して管理者やシステムへのアクセス権を得た場合、独自の実行ポリシーを定義できる可能性が高いです。このようなシステム上のポリシーの変更は、PowerShellの悪意ある使用を検知するための手段となるかもしれません。

System.Management.Automation.dllなどのPowerShell固有のアセンブリに関連するアーティファクトのロードおよび/または実行を監視する(特に異常なプロセス名/場所に対して)(引用:Sixdub PowerPick 2016年1月)(引用:SilentBreak Offensive PS 2015年12月)

実行中に発生する内容の忠実度を高めるために、PowerShellのロギングをオンにすることも有益です(これは.NETの呼び出しに適用されます)。(引用:Malware Archaeology PowerShell Cheat Sheet) PowerShell 5.0では、強化されたログ機能が導入され、その後、それらの機能の一部がPowerShell 4.0に追加されました。それ以前のバージョンのPowerShellには、多くのログ機能はありません。(引用:FireEye PowerShell Logging 2016) 組織は、PowerShellの実行詳細をデータ分析プラットフォームに集めて、他のデータと補完することができます。
Windows コマンドコマンド実行, モジュール:Module: モジュールのロード、Process:Process: プロセスの作成、Script:スクリプトの実行 85
T1059.006 実行 悪意のある活動の指標となりうる、Pythonの異常な使用やpython.exeの動作をシステムで監視します。標準的な使用パターンを理解することは、多数の誤検知を避けるために重要です。スクリプトが通常のユーザに制限されている場合、システム上で実行されているスクリプトを有効にしようとする行為は疑わしいと考えられます。スクリプトがシステム上で一般的に使用されていないにもかかわらず有効になっている場合、パッチ適用やその他の管理者機能からサイクル外で実行されているスクリプトは疑わしいと考えられます。

スクリプトは、使用する監視の種類に応じて、イベントを生成する可能性のある、システ ムにさまざまな影響を与えるアクションを実行する可能性があります。プロセスやコマンドライン引数を監視して、スクリプトの実行とその後の動作を確認します。動作は、ネットワークやシステム情報の発見、収集、またはその他のスクリプトによる危殆化後の動作に関連している可能性があり、ソーススクリプトにつながる検出の指標として使用することができます。
Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 86
T1059.004 実行 管理者、開発者、またはパワーユーザーのシステムでは、職能に応じてUnixシェルの使用が一般的になることがあります。スクリプトが一般ユーザに制限されている場合、システム上で実行されているスクリプトを有効にしようとする行為は疑わしいと考えられます。スクリプトがシステム上で一般的に使用されていないにもかかわらず有効になっている場合、パッチ適用やその他の管理者機能によりサイクル外で実行されているスクリプトは疑わしいと考えられます。

スクリプトは、使用する監視の種類に応じて、イベントを生成する可能性のある、システ ムにさまざまな影響を与えるアクションを実行する可能性があります。プロセスやコマンドライン引数を監視して、スクリプトの実行とその後の動作を確認します。アクションは、ネットワークやシステムの情報の発見、収集、またはその他のスクリプトによる危殆化後の動作に関連している可能性があり、ソース・スクリプトにつながる検知の指標として使用することができます。
Linux、macOS コマンドコマンドの実行、プロセス。プロセス作成 87
T1059.005 実行 Officeアプリケーションによるプロセスの起動、Windowsスクリプトホストの使用(通常はcscript.exeまたはwscript.exe)、VBペイロードやスクリプトを含むファイル操作、VB言語に関連するモジュールの読み込み(例:vbscript.dll)など、VBの実行に関連するイベントを監視します。VB の実行は、システムに様々な影響を与えるアクションを実行する可能性があり、使用する監視の種類によってはイベントを生成する可能性があります。プロセスやコマンドライン引数の実行とその後の動作を監視します。動作は、ネットワークやシステムの情報 [発見](https://attack.mitre.org/tactics/TA0007)、[収集](https://attack.mitre.org/tactics/TA0009)、またはその他のプログラム可能な危殆化後の動作に関連している可能性があり、ソースにつながる検出の指標として使用することができます。

標準的な使用パターンを理解することは、多数の誤検出を避けるために重要です。VBの実行が通常のユーザに制限されている場合、システム上で実行されている関連コンポーネントを有効にしようとする試みは、疑わしいと考えられます。VBの実行がシステム上で一般的に使用されていないにもかかわらず、有効化されている場合、パッチ適用やその他の管理者機能のサイクルから外れて実行されると、疑わしいと考えられます。ペイロードやスクリプトは、可能な限りファイルシステムからキャプチャし、その動作や意図を確認する必要があります。
Linux、Windows、macOS コマンドコマンド実行, モジュール:Module: モジュールのロード、Process:Process: プロセスの作成、Script:スクリプトの実行 88
T1059.003 実行 Windows のコマンドシェルは、管理者、開発者、またはパワーユーザーのシステムで、職務に応じてよく使用されます。通常のユーザーに対してスクリプトが制限されている場合、システム上で実行されているスクリプトを有効にしようとする行為は疑わしいと考えられます。システム上でスクリプトが一般的に使用されていないにもかかわらず、スクリプトが有効になっている場合、パッチ適用やその他の管理者機能によりサイクル外で実行されているスクリプトは疑わしいと考えられます。

スクリプトは、使用する監視の種類に応じて、イベントを生成する可能性のある、システ ムにさまざまな影響を与えるアクションを実行する可能性があります。プロセスやコマンドライン引数を監視して、スクリプトの実行とその後の動作を確認します。動作は、ネットワークやシステム情報の発見、収集、またはその他のスクリプトによる危殆化後の動作に関連している可能性があり、ソーススクリプトにつながる検出の指標として使用することができます。
Windows コマンドコマンドの実行、プロセス。プロセス作成 89
T1092 コマンド&コントロール リムーバブルメディアのファイルアクセスを監視します。リムーバブルメディアのマウント時に実行されるプロセスの検出 Linux、Windows、macOS ドライブドライブアクセス、ドライブドライブの作成 90
T1586 リソース開発 組織に関連するソーシャルメディア上の活動を監視することを検討してください。

このような活動の多くは、標的となる組織の目に触れないところで行われるため、このような行動の検知は困難です。検知の努力は、初期アクセス時(例:[Phishing](https://attack.mitre.org/techniques/T1566))など、敵のライフサイクルの関連する段階に集中することができます。
PRE 91
T1586.002 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知作業は、初期アクセス時(例:[Phishing](https://attack.mitre.org/techniques/T1566))など、敵のライフサイクルの関連する段階に集中することができます。 PRE 92
T1586.001 リソース開発 組織に関連するソーシャルメディア上の活動を監視することを検討してください。疑わしい活動には、組織の職員を名乗るペルソナや、最近変更されたアカウントが組織に属するアカウントに多数の接続要求を行っていることなどがあります。

検知活動は、初回アクセス時(例:[Spearphishing via Service](https://attack.mitre.org/techniques/T1566/003))など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 93
T1554 永続性 署名証明書のメタデータを収集・分析し、環境内で実行されるソフトウェアの署名の有効性を確認する。

モジュールの読み込み、ファイルの読み書き、ネットワーク接続など、クライアントアプリケーションの異常な動作の監視を検討する。
Linux、Windows、macOS ファイル:ファイルの作成、ファイル:ファイルの削除、ファイル:ファイルのメタデータ、ファイル:ファイルの変更 94
T1584 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、防御側にとっては検知が難しくなります。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 95
T1584.005 リソース開発 このような活動の多くは、標的となる組織の視界の外で行われるため、このような行動の検知は困難です。検知作業は、「フィッシング」(https://attack.mitre.org/techniques/T1566)、「エンドポイントサービス拒否」(https://attack.mitre.org/techniques/T1499)、「ネットワークサービス拒否」(https://attack.mitre.org/techniques/T1498)など、敵のライフサイクルの関連する段階に集中することができます。 PRE 96
T1584.002 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 97
T1584.001 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 98
T1584.004 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 99
T1584.003 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知のための努力は、敵のライフサイクルの関連する段階、例えばコマンド&コントロールの段階に集中することができます。 PRE 100
T1584.006 リソース開発 このような活動の多くは、標的となる組織の視界の外で行われるため、このような行動の検知は困難である。検知の努力は、敵のライフサイクルの関連する段階、例えば、コマンド&コントロール([Webサービス](https://attack.mitre.org/techniques/T1102))や[Webサービスを介した侵入](https://attack.mitre.org/techniques/T1567)などに集中することができます。 PRE 101
T1609 実行 コンテナ管理サービスのアクティビティや実行されたコマンドは、コンテナや基盤となるホスト上のコマンドライン引数を用いたプロセスの実行をロギングすることで把握することができます。Dockerでは、デーモンログが、デーモンおよびコンテナサービスレベルのイベントを把握します。また、Kubernetesのシステムコンポーネントログは、クラスタ内のコンテナに出入りするアクティビティを検出することがあります。 コンテナ コマンドコマンド実行 102
T1613 ディスカバリー コンテナとKubernetesクラスタのコンポーネントのアクティビティに対する集中的なロギングを確立する。これは、Kubernetesノードにロギングエージェントを配備し、アプリケーションポッドのサイドカープロキシからログを取得することで、クラスタレベルで悪意のあるアクティビティを検出することができます。

新規または予期しないユーザによるディスカバリーAPIコールの使用など、コンテナインフラストラクチャに関する情報を収集するために実行される可能性のあるアクションについて、ログを監視します。アカウントのアクティビティログを監視して、Kubernetesダッシュボードやその他のWebアプリケーションに関連して実行されたアクションやアクティビティを確認します。
コンテナ アプリケーションログです。アプリケーションログ:アプリケーションログの内容、Cluster:Cluster: クラスタのメタデータ, Container:Container: Container Enumeration, Container:Container: Container Metadata, Pod: Pod Enumeration, Pod: Pod Metadata 103
T1136 永続性 <code>net user</code>や<code>useradd</code>など、アカウント作成に関連するプロセスやコマンドライン・パラメータを監視します。ネットワーク内のアカウント作成に関するデータを収集します。イベントID 4720は、Windowsシステムやドメインコントローラにユーザーアカウントが作成されたときに生成されます。(引用:Microsoft User Creation Event) ドメインおよびローカルシステムのアカウントの定期的な監査を行い、敵によって作成された可能性のある疑わしいアカウントを検出する。

クラウド管理者アカウントの使用ログを収集し、新しいアカウントの作成やそれらのアカウントへの役割の割り当てにおける異常な活動を特定する。管理者ロールに割り当てられたアカウントが、既知の管理者の一定の閾値を超えていないか監視する。
Azure AD, Google Workspace, IaaS, Linux, Office 365, Windows, macOS コマンドコマンドの実行、プロセス。Process: プロセスの作成、User Account:ユーザーアカウントの作成 104
T1136.003 永続性 クラウドユーザーおよび管理者アカウントの使用ログを収集し、新規アカウントの作成やそれらのアカウントへの役割の割り当てにおける異常な活動を特定する。管理者ロールに割り当てられたアカウントのうち、既知の管理者数が一定の閾値を超えたものを監視する。 Azure AD, Google Workspace, IaaS, Office 365 ユーザーアカウントユーザーアカウントの作成 105
T1136.002 永続性 <code>net user /add /domain</code>のような、ドメインアカウント作成に関連するプロセスやコマンドラインパラメータを監視する。ネットワーク内のアカウント作成に関するデータを収集します。イベントID 4720は、Windowsドメインコントローラにユーザーアカウントが作成されたときに生成されます。(引用:Microsoft User Creation Event) ドメインアカウントの定期的な監査を行い、敵によって作成された可能性のある疑わしいアカウントを検出する。 Linux、Windows、macOS コマンドコマンドの実行、プロセス。Process: プロセスの作成、User Account:ユーザーアカウントの作成 106
T1136.001 永続性 <code>net user /add</code>や<code>useradd</code>などのローカルアカウント作成に関連するプロセスやコマンドラインパラメータを監視します。ネットワーク内のアカウント作成に関するデータを収集します。イベントID 4720は、Windowsシステムでユーザーアカウントが作成されたときに生成されます。(引用:Microsoft User Creation Event) ローカル・システム・アカウントの定期的な監査を行い、敵が作成した可能性のある疑わしいアカウントを検出する。 Linux、Windows、macOS コマンドコマンドの実行、プロセス。Process: プロセスの作成、User Account:ユーザーアカウントの作成 107
T1543 パーシステンス、プリビレッジ・エスカレーション 既知のソフトウェアやパッチサイクルなどと相関性のないシステムプロセスの変化を、信頼できるシステムベースラインとの比較も含めて監視すること。新しいソフトウェアのインストール時に、新たな良性のシステムプロセスが作成されることがある。データやイベントは単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、横移動など、他の活動につながる可能性のある一連の行動の一部として見るべきです。

サービスを変更できるツールのコマンドライン呼び出しは、特定の環境でシステムがどのように一般的に使用されているかに応じて、異常な場合があります。既知のサービスからの異常なプロセスコールツリーや、発見や他の敵の技術に関連する可能性のある他のコマンドの実行を確認してください。

システムレベルのプロセスに関連するファイルの変更を監視してください。
Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの実行。OS APIの実行、プロセス。プロセス: プロセスの作成, サービス: サービスの作成, サービス: サービスの変更サービスの作成、サービスの変更サービス: サービスの作成、サービス: サービスの変更、Windows レジストリ:Windows レジストリ:Windows レジストリキーの作成、Windows レジストリ:Windows レジストリキーの修正Windows レジストリ: Windows レジストリキーの作成, Windows レジストリ: Windows レジストリキーの変更 108
T1543.001 パーシステンス、プリビレッジ・エスカレーション 追加のplistファイルや、Objective-SeeのKnockKnockアプリケーションなどのユーティリティを使用して、Launch Agentの作成を監視します。また、Launch Agentは永続化のためにディスク上のファイルを必要としますが、これも他のファイル・モニタリング・アプリケーションでモニターすることができます。 macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、サービス:サービスの作成。サービス:サービスの作成、サービス:サービスの変更サービスの変更 109
T1543.004 パーシステンス、プリビレッジ・エスカレーション plistファイルやObjective-SeeのKnockKnockアプリケーションなどのユーティリティを使用して、起動デーモンの作成や変更を監視します。 macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセス: プロセスの作成、サービス: サービスの作成サービス:サービスの作成、サービス:サービスの変更サービスの変更 110
T1543.002 パーシステンス、プリビレッジ・エスカレーション Systemdサービスユニットファイルは、<code>/etc/systemd/system</code>、<code>/usr/lib/systemd/system/</code>、<code>/home/<username>/.config/systemd/user/</code>ディレクトリ内のファイル作成や変更イベント、および関連するシンボリックリンクを監査することで検出できます。このようにして生成された疑わしいプロセスやスクリプトは、親プロセスが「systemd」、親プロセスIDが「1」で、通常は「root」ユーザーとして実行されます。

疑わしいsystemdサービスは、信頼できるシステムのベースラインと結果を比較することでも特定できます。悪質なsystemdサービスは、システム全体のサービスを調べるためにsystemctlユーティリティーを使用して検出することができます: <code>systemctl list-units -?type=service ?all</code>。ファイルシステム上の <code>.service</code> ファイルの内容を分析し、それらが正当で期待される実行ファイルを参照していることを確認してください。

<code>/usr/sbin/service</code> などの関連ユーティリティーと同様に、「systemctl」ユーティリティーの実行とコマンドライン引数を監査することで、悪意のある systemd サービスの実行を発見できるかもしれません。
Linux コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセス: プロセスの作成、サービス: サービスの作成サービス:サービスの作成、サービス:サービスの変更サービスの変更 111
T1543.003 パーシステンス、プリビレッジ・エスカレーション プロセスやコマンドライン引数を監視して、サービスを作成または変更する可能性のあるアクションを探します。サービスを追加または変更できるツールをコマンドラインから呼び出すことは、特定の環境でシステムがどのように一般的に使用されているかに応じて、通常とは異なる場合があります。サービスは、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールによっても変更される可能性があるため、適切なデータを収集するために追加のログを設定する必要があるかもしれません。また、内蔵機能を備えたリモートアクセスツールは、Windows APIと直接対話して、一般的なシステムユーティリティの外でこれらの機能を実行することができます。分析に使用するサービスユーティリティの実行とサービスバイナリパスの引数を収集します。サービスのバイナリパスは、コマンドやスクリプトを実行するために変更されている場合もあります。

既知のソフトウェアやパッチサイクルなどと相関性のないサービスレジストリエントリの変更を探します。サービス情報はレジストリの<code>HKLM\SYSTEM\CurrentControlSet\Services</code>に保存されています。バイナリパスの変更や、サービスの起動タイプが手動または無効から自動に変更された場合、通常はそのようなことはないのですが、疑わしい場合があります。Sysinternals Autorunsなどのツールを使用して、永続化の試みである可能性のあるシステムサービスの変更を検出することもできます(引用:TechNet Autoruns)

新しいサービスの作成は、変更可能なイベントを生成することがあります(例:イベントID 4697および/または7045(引用:Microsoft 4697 APR 2017)(引用:Microsoft Windows Event Forwarding FEB 2018))。

サービスを介した疑わしいプログラムの実行は、過去のデータと比較すると、これまで見られなかった異常値のプロセスとして現れることがあります。既知のサービスからの異常なプロセスコールツリーや、ディスカバリーやその他の敵対的手法に関連する可能性のある他のコマンドの実行を確認してください。データやイベントは単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、横移動など、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Windows コマンドコマンド実行、プロセスOSのAPI実行、プロセス。プロセスの作成、サービスサービスの作成、サービスサービス: サービスの作成、サービス: サービスの変更、Windows レジストリ:Windows レジストリ:Windows レジストリキーの作成、Windows レジストリ:Windows レジストリキーの変更Windows レジストリ: Windows レジストリキーの作成, Windows レジストリ: Windows レジストリキーの変更 112
T1555 クレデンシャルアクセス システムコール、ファイル読み取りイベント、およびプロセスを監視して、パスワードの検索を示す不審なアクティビティや、プロセスメモリでの認証情報のキーワード検索(password、pwd、login、store、secure、credentialsなど)の実行に関連するその他のアクティビティを確認します。ファイル読み取りイベントは、既知のパスワード保存アプリケーションの周辺を監視する必要があります。 Linux、Windows、macOS コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、プロセス:プロセス。OS API の実行, Process:プロセスアクセス、プロセスプロセス作成 113
T1555.003 クレデンシャルアクセス Google ChromeのLogin Dataデータベースファイルなど、認証情報を含むウェブブラウザのファイルを特定します(<code>AppData®Local®Google®Chrome®User Data®Default®Login Data</code>)。認証情報を含むウェブブラウザのファイルの読み取りイベントを監視します。特に、読み取りプロセスが対象のウェブブラウザとは無関係である場合には注意が必要です。PowerShell Transcriptionを含むプロセス実行ログを監視し、ウェブブラウザのプロセスメモリの読み取り、正規表現の利用、一般的なウェブアプリケーション(Gmail、Twitter、Office365など)のキーワードが多数含まれているものなどを中心に監視します。 Linux、Windows、macOS コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、プロセス:プロセス。OS API の実行、Process:プロセスアクセス 114
T1555.001 クレデンシャルアクセス キーチェーンのロックを解除し、そこからパスワードを使用することは非常に一般的なプロセスであるため、検出技術には多くのノイズが含まれる可能性があります。キーチェーンへのシステムコールを監視することで、不審なプロセスがキーチェーンにアクセスしようとしているかどうかを判断することができます。 macOS コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、プロセス。OS APIの実行 115
T1555.005 クレデンシャルアクセス API コール、ファイル読み取りイベント、およびプロセスを監視して、パスワードマネージャのプロセスメモリ内での検索を示す可能性のある不審な活動を監視することを検討してください。

既知のパスワードマネージャアプリケーション周辺のファイル読み取りを監視することを検討してください。
Linux、Windows、macOS コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、プロセス:プロセス。OS API の実行、Process:プロセスアクセス 116
T1555.002 クレデンシャルアクセス プロセスやコマンドライン引数を監視し、認証情報を検索するユーザーや、メモリをスキャンしてパスワードを取得する自動化ツールを使用するユーザーを取り囲むアクティビティを監視します。 Linux、macOS コマンドコマンドの実行、プロセスプロセスアクセス 117
T1555.004 クレデンシャルアクセス <code>vaultcmd.exe</code>のプロセスとコマンドラインのパラメータを監視して、Windows Credentialsロッカーからクレデンシャルをリストアップするなどの不審な活動を監視する(例.<code>vaultcmd /listcreds: "Windows Credentials"</code>)。

Windows Credential Managerからのクレデンシャルをリストアップする可能性のある<code>CredEnumerateA</code>などのAPIコールの監視を検討する。(Citation: Microsoft CredEnumerate)(Citation: Delpy Mimikatz Crendential Manager)

不審な活動がないか、Vault のロケーションである <code>%Systemdrive%Users\\AppData>Local%Microsoft\[Vault/Credentials]</code> へのファイルの読み取りを監視することを検討してください。(Citation: Malwarebytes The Windows Vault)
Windows コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、プロセス:プロセス。OS APIの実行、プロセスプロセス作成 118
T1485 インパクト プロセスモニタリングを使用して、[SDelete](https://attack.mitre.org/software/S0195)のようなデータ破壊活動に関与する可能性のあるバイナリの実行およびコマンドラインパラメータを監視します。不審なファイルが作成されていないか、異常なファイル変更が行われていないかを監視します。特に、ユーザーディレクトリや<code>C:Windows\System32</code>の下で大量のファイル修正が行われていないかを確認してください。

クラウド環境では、AWSにおける<code>DeleteDBCluster</code>や<code>DeleteGlobalCluster</code>イベントのような異常な大量削除イベントの発生や、<code>DeleteBucket</code>のような大量のデータ削除イベントが短期間に発生した場合、疑わしい活動である可能性があります。
IaaS、Linux、Windows、macOS クラウドストレージをCloud Storage Deletion, Command:コマンドの実行、File: ファイルの削除、File: ファイルの変更、Image:Image: Image Deletion, Instance:Instance: Instance Deletion, Process:プロセス:プロセスの作成、スナップショット:スナップショットの削除スナップショット: スナップショットの削除, ボリューム: ボリュームの削除ボリュームの削除 119
T1132 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 120
T1132.002 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 121
T1132.001 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 122
T1486 インパクト プロセス監視を使用して、vssadmin、wbadmin、bcdeditなど、データ破壊活動に関与するバイナリの実行およびコマンドラインパラメータを監視する。疑わしいファイルの作成や、異常なファイル変更活動を監視します。

場合によっては、異常なカーネルドライバのインストール活動を監視することで、検知に役立てることができます。

クラウド環境では、ストレージオブジェクトがコピーによって異常に置き換えられたことを示すイベントを監視します。
IaaS、Linux、Windows、macOS クラウドストレージ。Cloud Storage Metadata, Cloud Storage:Cloud Storage: Cloud Storage Modification, Command:コマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセス作成 123
T1565 インパクト 必要に応じて、重要なファイルのハッシュ、位置、変更点を検査し、疑わしい値や予期しない値がないか確認する。データの送信を伴う一部の重要なプロセスでは、操作されたデータを特定するために、手動または帯域外での整合性チェックが有効な場合があります。 Linux、Windows、macOS ファイル:ファイルの作成、ファイル:ファイルの削除、ファイル:ファイルのメタデータ、ファイル:ファイルの変更、Network Traffic:ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフロー、プロセス.OSのAPI実行 124
T1565.003 インパクト 重要なアプリケーションのバイナリファイルのハッシュ、位置、および変更点を検査し、疑わしい/予期しない値がないかどうかを確認します。 Linux、Windows、macOS ファイル:ファイルの作成、ファイル:ファイルの削除、ファイル:ファイルのメタデータ、ファイル:ファイルの変更、プロセス。OSのAPI実行 125
T1565.001 インパクト 必要に応じて、重要なファイルのハッシュ、位置、変更点を検査し、疑わしい/予期しない値がないかを確認します。 Linux、Windows、macOS ファイル:ファイルの作成、ファイル:ファイルの削除、ファイル:ファイルの修正 126
T1565.002 インパクト ネットワーク上を通過するデータの操作を検知することは、適切なツールがなければ困難です。場合によっては、ネットワークを通過する重要なファイルに対して、ファイルのハッシュ化などの整合性確認を行うことがあります。また、データの送信を伴う重要なプロセスでは、操作されたデータを特定するために、手動または帯域外の整合性チェックが有効な場合があります。 Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィック。ネットワークトラフィックの流れ、プロセスOSのAPI実行 127
T1001 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 128
T1001.001 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 129
T1001.003 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 130
T1001.002 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 131
T1074 コレクション 特に、7zip、RAR、ZIP、zlibなど、ファイルの暗号化や圧縮を行っていると思われるプロセスでは、データがステージングされている可能性があります。公開されている書き込み可能なディレクトリ、セントラルロケーション、一般的に使用されているステージングディレクトリ(ごみ箱、一時フォルダなど)を監視し、ステージングの可能性がある圧縮または暗号化されたデータを定期的にチェックしてください。

プロセスやコマンドライン引数を監視し、ファイルを収集して結合するために実行できるアクションを確認してください。機能が組み込まれたリモートアクセスツールでは、Windows APIと直接やりとりして、データを収集したり、ある場所にコピーしたりすることがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使ってデータを取得し、ステージングすることもできます。
IaaS、Linux、Windows、macOS コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、ファイル:ファイル作成 132
T1074.001 コレクション 特に、7zip、RAR、ZIP、zlibなど、ファイルの暗号化や圧縮を行っていると思われるプロセスでは、データがステージングされている可能性があります。公開されている書き込み可能なディレクトリ、セントラルロケーション、一般的に使用されているステージングディレクトリ(ごみ箱、一時フォルダなど)を監視し、ステージングの可能性がある圧縮または暗号化されたデータを定期的にチェックしてください。

プロセスやコマンドライン引数を監視し、ファイルを収集して結合するために実行できるアクションを確認してください。機能が組み込まれたリモートアクセスツールでは、Windows APIと直接やりとりして、データを収集したり、ある場所にコピーしたりすることがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使ってデータを取得し、ステージングすることもできます。
Linux、Windows、macOS コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、ファイル:ファイル作成 133
T1074.002 コレクション 特に、7zip、RAR、ZIP、zlibなど、ファイルの暗号化や圧縮を行っていると思われるプロセスでは、データがステージングされている可能性があります。公開されている書き込み可能なディレクトリ、セントラルロケーション、一般的に使用されているステージングディレクトリ(ごみ箱、一時フォルダなど)を監視し、ステージングの可能性がある圧縮または暗号化されたデータを定期的にチェックしてください。

プロセスやコマンドライン引数を監視し、ファイルを収集して結合するために実行できるアクションを確認してください。機能が組み込まれたリモートアクセスツールでは、Windows APIと直接やりとりして、データを収集したり、ある場所にコピーしたりすることがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使ってデータを取得し、ステージングすることもできます。
IaaS、Linux、Windows、macOS コマンドコマンド:コマンド実行、ファイル:ファイルアクセス、ファイル:ファイル作成 134
T1030 Exfiltration ネットワークデータを分析し、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するデータ量を大幅に上回るデータを送信する)。あるプロセスが長時間の接続を維持して固定サイズのデータパケットを一貫して送信している場合や、あるプロセスが接続を開いて固定サイズのデータパケットを一定の間隔で送信している場合は、集約的なデータ転送を行っている可能性があります。ネットワークを利用しているプロセスのうち、通常はネットワーク通信を行っていないプロセスや、これまでに見たことのないプロセスは疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2) Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 135
T1530 コレクション クラウドプロバイダーのストレージサービスへの異常なクエリを監視します。予想外のソースからのアクティビティは、データへのアクセスを許可する不適切なパーミッションが設定されていることを示している可能性があります。また、あるユーザーが特定のオブジェクトにアクセスしようとして失敗した後、同じユーザーが特権を拡大し、同じオブジェクトにアクセスしたことを検出すると、疑わしい活動の兆候となります。 IaaS クラウドストレージクラウドストレージへのアクセス 136
T1602 コレクション 信頼されていないホストやネットワークが送受信するネットワークトラフィックのうち、問い合わせを受けた機器の設定情報を勧誘・取得するものを特定する(引用:Cisco Advisory SNMP v3 Authentication Vulnerabilities) ネットワーク ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの内容 137
T1602.002 コレクション 信頼できないホストやネットワークが送受信するネットワークトラフィックを特定する。ネットワーク機器の設定に含まれる可能性のある文字列を識別するためのシグネチャを設定する。(引用:US-CERT TA18-068A 2018) ネットワーク ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの内容 138
T1602.001 コレクション MIBコンテンツを公開したり、不正なプロトコルを使用したりする、信頼できないホストやネットワークが送受信するネットワークトラフィックを特定します。(引用:Cisco Advisory SNMP v3 Authentication Vulnerabilities) ネットワーク ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの内容 139
T1213 コレクション 情報リポジトリは一般的に非常に多くのユーザーを抱えているため、悪意のある利用を検知することは容易ではありません。少なくとも、特権ユーザ(Active Directory Domain、Enterprise、またはSchema Administratorsなど)による情報リポジトリへのアクセスを注意深く監視し、警告する必要があります。これらの種類のアカウントは、通常、情報リポジトリへのアクセスに使用されるべきではありません。このような行為は、リポジトリ内のすべてのデータを取得するためにプログラムを使用していることを示している可能性があります。また、成熟度の高い環境では、UBA(User-Behavioral Analytics)プラットフォームを活用して、ユーザーベースの異常を検出し、警告を発することができるかもしれません。

MicrosoftのSharePoint内のユーザーアクセスログは、特定のページやドキュメントへのアクセスを報告するように構成することができます。(引用:Microsoft SharePoint Logging) また、アトラシアンのConfluenceにおけるユーザーアクセスログは、AccessLogFilterを通じて特定のページやドキュメントへのアクセスを報告するように設定することができます。(引用:Atlassian Confluence Logging) より強力な検知機能を実現するためには、追加のログストレージと分析インフラが必要になるでしょう。
Google Workspace, Linux, Office 365, SaaS, Windows, macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ログオンセッション。ログオンセッションの作成 140
T1213.001 コレクション 特権ユーザー(Active Directory Domain、Enterprise、Schema 管理者など)による Confluence リポジトリへのアクセスを監視する。これらのタイプのアカウントは通常、情報リポジトリへのアクセスに使用されるべきではないからです。このような動作は、リポジトリ内のすべてのデータを取得するためにプログラムを使用していることを示している可能性があります。成熟度の高い環境では、UBA(User-Behavioral Analytics)プラットフォームを活用して、ユーザーベースの異常を検出し、警告することが可能かもしれません。

Atlassian の Confluence 内のユーザーアクセスログは、AccessLogFilter を通して特定のページやドキュメントへのアクセスを報告するように設定することができます。(引用:Atlassian Confluence Logging) より強固な検知機能を実現するためには、追加のログストレージと分析インフラが必要になるでしょう。
SaaS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ログオンセッション。ログオンセッションの作成 141
T1213.002 コレクション MicrosoftのSharePoint内のユーザーアクセスログは、特定のページやドキュメントへのアクセスを報告するように設定することができます。(引用元:Microsoft SharePoint Logging)。)情報リポジトリは一般的にかなり多くのユーザーを抱えているため、悪意のある利用を検知することは容易ではありません。少なくとも、特権ユーザー(Active Directory Domain、Enterprise、またはSchema Administratorsなど)が行う情報リポジトリへのアクセスは注意深く監視し、警告する必要があります。このような行為は、リポジトリ内のすべてのデータを取得するためにプログラムを使用していることを示している可能性があります。成熟度の高い環境では、UBA(User-Behavioral Analytics)プラットフォームを活用して、ユーザーベースの異常を検出して警告することが可能かもしれません。

Office 365, Windows アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ログオンセッション。ログオンセッションの作成 142
T1005 コレクション プロセスやコマンドライン引数を監視して、システムからファイルを収集するために実行できるアクションを確認します。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接やり取りしてデータを収集することができます。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使ってデータを取得することもできます。 Linux、Windows、macOS コマンドコマンド実行、ファイル:ファイルアクセス 143
T1039 コレクション プロセスやコマンドライン引数を監視して、ネットワーク共有からファイルを収集するために実行できるアクションを探します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接対話してデータを収集することができます。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールでデータを取得することもできます。 Linux、Windows、macOS コマンドを実行します。コマンド実行、File: ファイルアクセス、Network Share:ネットワーク共有アクセス 144
T1025 コレクション システムに接続されたリムーバブルメディアからファイルを収集するために実行できるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接対話してデータを収集することができます。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールでデータを取得することもできます。 Linux、Windows、macOS コマンドコマンド実行、ファイル:ファイルアクセス 145
T1491 インパクト 社内外のWebサイトを監視し、予定外のコンテンツ変更がないか確認する。アプリケーションのログを監視し、悪用の試みや成功を示すような異常な動作を確認する。ディープパケットインスペクションを使用して、SQLインジェクションなどの一般的な悪用トラフィックの成果物を確認する。ウェブアプリケーションファイアウォールは、悪用を試みる不適切な入力を検出することができます。

IaaS、Linux、Windows、macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ファイル:ファイルの作成、ファイル:ファイルの変更、ネットワークトラフィック。ネットワークトラフィック:ネットワークトラフィックの内容 146
T1491.002 インパクト 外部のWebサイトを監視し、予定外のコンテンツ変更がないか確認する。アプリケーションのログを監視し、悪用の試みや成功を示すような異常な動作がないか確認する。ディープパケットインスペクションを使用して、SQLインジェクションなどの一般的な悪用トラフィックの成果物を確認する。ウェブアプリケーションファイアウォールは、悪用を試みる不適切な入力を検出することがあります。 IaaS、Linux、Windows、macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ファイル:ファイルの作成、ファイル:ファイルの変更、ネットワークトラフィック。ネットワークトラフィック:ネットワークトラフィックの内容 147
T1491.001 インパクト 社内やWebサイトを監視し、予定外のコンテンツ変更がないか確認する。アプリケーションのログを監視し、悪用の試みや成功を示すような異常な動作を確認する。ディープパケットインスペクションを使用して、SQLインジェクションなどの一般的な悪用トラフィックの成果物を確認する。ウェブアプリケーションファイアウォールは、悪用を試みる不適切な入力を検出することがあります。 Linux、Windows、macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ファイル:ファイルの作成、ファイル:ファイルの変更、ネットワークトラフィック。ネットワークトラフィック:ネットワークトラフィックの内容 148
T1140 防衛回避 ファイルや情報の難読化解除や復号化の動作を検出することは、実装によっては難しい場合があります。機能がマルウェアに含まれていて、Windows APIを使用している場合は、ロードされたライブラリやAPIコールの解析を試みるよりも、アクションの前後で悪意のある動作を検出しようとする方が良い結果を得られる可能性があります。スクリプトが使用されている場合は、分析のためにスクリプトを収集する必要があるかもしれません。プロセスやコマンドラインの監視を行い、スクリプトや[certutil](https://attack.mitre.org/software/S0160)などのシステムユーティリティに関連する悪意のある動作を検出します。

アーカイブツールのZipやRARなど、一般的なアーカイブファイルのアプリケーションや拡張子の実行ファイルパスやコマンドライン引数を監視し、他の不審な動作と相関させることで、通常のユーザや管理者の動作による誤検知を減らします。
Linux、Windows、macOS ファイル:ファイル修正、プロセス。プロセス:プロセスの作成、スクリプト:スクリプトの実行スクリプトの実行 149
T1610 防御回避、実行 環境内の不審な、または未知のコンテナイメージやポッドを監視します。Kubernetesノードにロギングエージェントを配備し、アプリケーションポッドのサイドカープロキシからログを取得して、クラスタレベルで悪意のあるアクティビティを検出します。Dockerでは、デーモン・ログが、コンテナをデプロイするものを含むリモートAPIコールの洞察を提供します。ネイティブ技術そのものではなく、コンテナのデプロイに使用される管理サービスやアプリケーションのログも監視する必要があります。 コンテナ アプリケーションログ。アプリケーションログ:アプリケーションログの内容、コンテナ:コンテナの作成コンテナ:コンテナ作成、コンテナコンテナ:コンテナの起動、ポッド:ポッドの作成、ポッド:ポッドの変更 150
T1587 リソース開発 このような活動の多くは、標的となる組織の視界の外で行われるため、このような行動の検知は困難である。検知の努力は、防衛回避や指揮統制など、敵のライフサイクルの関連する段階に集中することができる。 PRE 151
T1587.002 リソース開発 この活動の多くは、標的となる組織の目に見えないところで行われるため、この行動の検知は困難です。検知の努力は、[Code Signing](https://attack.mitre.org/techniques/T1553/002)や[Install Root Certificate](https://attack.mitre.org/techniques/T1553/004)など、関連する後続の動作に集中することができます。 PRE 152
T1587.003 リソース開発 インターネット上のサイトで使用されている証明書の追跡を支援する可能性のあるサービスの利用を検討する。場合によっては、既知の証明書情報を軸にして、他の敵対者のインフラを明らかにすることができるかもしれません。(引用:Splunk Kovar Certificates 2017)

検知の取り組みは、[Webプロトコル](https://attack.mitre.org/techniques/T1071/001)、[非対称暗号](https://attack.mitre.org/techniques/T1573/002)、および/または[ルート証明書のインストール](https://attack.mitre.org/techniques/T1553/004)など、関連する動作に焦点を当てているかもしれません。
PRE 153
T1587.004 リソース開発 このような活動の多くは、対象となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の努力は、エクスプロイトの使用に関連する行動(すなわち、[公開アプリケーションのエクスプロイト](https://attack.mitre.org/techniques/T1190)、[クライアント実行のためのエクスプロイト](https://attack.mitre.org/techniques/T1203)、[特権エスカレーションのためのエクスプロイト](https://attack.mitre.org/techniques/T1068)、[防御回避のためのエクスプロイト](https://attack.mitre.org/techniques/T1211)、[クレデンシャルアクセスのためのエクスプロイト](https://attack.mitre.org/techniques/T1212)、[リモートサービスのエクスプロイト](https://attack.mitre.org/techniques/T1210)、[アプリケーションまたはシステムのエクスプロイト](https://attack.mitre.org/techniques/T1499/004))に集中することができます。 PRE 154
T1587.001 リソース開発 このような活動の多くは、標的組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の取り組みは、敵のライフサイクルのうち、危殆化した後の段階に焦点を当てることができる。 PRE 155
T1006 防衛回避 プロセスが行うドライブボリュームのハンドルオープンを監視して、いつ論理ドライブに直接アクセスしてもよいかを判断する。(引用:Github PowerSploit Ninjacopy)

論理ドライブからファイルをコピーし、一般的なファイルシステムの保護を回避するために実行される可能性のあるアクションについて、プロセスとコマンドライン引数を監視します。この手法は[PowerShell](https://attack.mitre.org/techniques/T1059/001)でも使用される可能性があるため、PowerShellスクリプトの追加ロギングを推奨します。
Windows コマンドコマンド実行、Drive:ドライブアクセス 156
T1561 インパクト パーティションブートセクター、マスターブートレコード、ディスクパーティションテーブル、BIOSパラメータブロック/スーパーブロックのような機密性の高い場所への読み書きの試みを監視します。<code>\\\\.\\</code>表記を使用して、直接アクセスの読み取り/書き込みの試みを監視します。(引用:Microsoft Sysmon v6 May 2017) 異常なカーネルドライバーのインストール活動を監視します。 Linux、Windows、macOS コマンドコマンド実行、Drive:Drive: Drive Access, Drive:Drive: Drive Access, Drive: Drive Modification, Driver: Driver Load:ドライバ:ドライバのロード、プロセス:プロセスの作成プロセス作成 157
T1561.001 インパクト パーティションブートセクターやBIOSパラメータブロック/スーパーブロックなどの機密性の高い場所への読み取り/書き込みの試みを監視します。<code>\\\\.\\</code>表記を使用したダイレクトアクセスのリード/ライトの試みを監視します。(引用:Microsoft Sysmon v6 May 2017) 異常なカーネルドライバのインストール活動を監視します。 Linux、Windows、macOS コマンドコマンド実行、Drive:Drive: Drive Access, Drive:Drive: Drive Access, Drive: Drive Modification, Driver: Driver Load:ドライバ:ドライバのロード、プロセス:プロセスの作成プロセス作成 158
T1561.002 インパクト マスターブートレコードやディスクパーティションテーブルなどの機密性の高い場所への読み取り/書き込みの試みを監視します。<code>\\\\.\\</code>表記を使用した直接アクセスの読み取り/書き込みの試みを監視します。(引用:Microsoft Sysmon v6 May 2017) 異常なカーネルドライバーのインストール活動を監視します。 Linux、Windows、macOS コマンドコマンド実行、Drive:Drive: Drive Access, Drive:Drive: Drive Access, Drive: Drive Modification, Driver: Driver Load:ドライバ:ドライバのロード、プロセス:プロセスの作成プロセス作成 159
T1484 防御回避、特権のエスカレーション Windowsのイベントログを利用してドメインポリシーの変更を検出することができる場合がある。例えば、グループポリシーの変更は、ディレクトリサービスオブジェクトの修正、作成、削除解除、移動、および削除のための様々なWindowsイベントIDの下で記録されることがある(それぞれイベントID 5136、5137、5138、5139、5141)。ユーザーやアプリケーションがドメインのフェデレーション設定を変更したり、ActionTypesの<code>Set federation settings on domain</code>や<code>Set domain authentication</code>でドメイン認証をManagedからFederatedに更新したりした場合など、ドメイン信頼設定の変更を監視します。(引用:Microsoft - Azure Sentinel ADFSDomainTrustMods)(引用:Microsoft 365 Defender Solorigate) これには、変更の詳細について、同じインスタンスIDを持つ関連するイベントID 510と相関させることができるイベントID 307の監視も含まれる場合があります。(引用: Sygnia Golden SAML)(引用: CISA SolarWinds Cloud Detection)

ドメインポリシー設定を変更するために利用される可能性のあるコマンド/小道具およびコマンドライン引数の監視を検討する。(引用: Microsoft - Update or Repair Federated domain) フェデレーション設定の変更など、一部のドメインポリシーの変更は稀であると思われる。(引用: Microsoft 365 Defender Solorigate)
Azure AD, Windows Active Directory:Active Directory オブジェクトの作成, Active Directory:Active Directory: Active Directory Object Deletion, Active Directory:Active Directory: Active Directory オブジェクトの修正, コマンド:コマンドの実行 160
T1484.002 防御回避、特権のエスカレーション ユーザーやアプリケーションがドメインのフェデレーション設定を変更したり、ActionTypesの<code>Set federation settings on domain</code>や<code>Set domain authentication</code>でドメイン認証をManagedからFederatedに更新したりしたときなど、ドメイン信頼設定の変更を監視する。(引用:Microsoft - Azure Sentinel ADFSDomainTrustMods) これはまた、変更の詳細について、同じインスタンスIDを持つ関連するイベントID 510に相関させることができるイベントID 307の監視を含むかもしれません。(引用: Sygnia Golden SAML)(引用: CISA SolarWinds Cloud Detection)

次のような PowerShell コマンドを監視します: <code>Update-MSOLFederatedDomain ?DomainName: "Federated Domain Name"</code>、または<code>Update-MSOLFederatedDomain ?DomainName: "Federated Domain Name" ?supportmultipledomain</code>などのPowerShellコマンドを監視します。(引用元:Microsoft - Update or Repair Federated domain)
Azure AD, Windows Active Directory:Active Directory オブジェクトの作成, Active Directory:Active Directory: Active Directory オブジェクトの修正, コマンド:コマンドの実行 161
T1484.001 防御の回避、特権のエスカレーション Windowsのイベントログでディレクトリサービスの変更を監視することで、GPOの変更を検出することができます。

* Event ID 5136 - A directory service object was modified
* Event ID 5137 - A directory service object was created
* Event ID 5138 - A directory service object was undeleted
* Event ID 5139 - A directory service object was moved
* Event ID 5141 - A directory service object was deleted


GPOの不正使用は、多くの場合、[Scheduled Task/Job](https://attack.mitre.org/techniques/T1053)のような他の動作を伴っており、それに関連したイベントがあるので、それを検出することができます。SeEnableDelegationPrivilegeのような後続の権限値の変更は、新規ログオンに割り当てられた権限(イベントID 4672)やユーザ権限の割り当て(イベントID 4704)に関連するイベントでも検索できます。
Windows Active Directory:Active Directory オブジェクトの作成, Active Directory:Active Directory: Active Directory Object Deletion, Active Directory:Active Directory: Active Directory オブジェクトの修正, コマンド:コマンドの実行 162
T1482 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習していく中で、作戦中に発生します。

プロセスやコマンドラインの引数を監視し、`nltest /domain_trusts`など、システムやネットワークの情報を収集するために実行される可能性のあるアクションを探します。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することがあります。DSEnumerateDomainTrusts()` Win32 APIコールを探して、[Domain Trust Discovery](https://attack.mitre.org/techniques/T1482)に関連する活動を見つけてください。(引用:Harmj0y Domain Trusts) また、[PowerShell](https://attack.mitre.org/techniques/T1059/001)のようなWindowsシステム管理ツールを使って情報を取得することもできます。.NETのメソッドである`GetAllTrustRelationships()`は、[Domain Trust Discovery](https://attack.mitre.org/techniques/T1482)の指標となり得る。(引用:Microsoft GetAllTrustRelationships)
Windows コマンドコマンド実行、プロセスOSのAPI実行、プロセス。プロセス作成、スクリプトスクリプトの実行 163
T1189 初期アクセス ファイアウォールやプロキシは、悪質なドメインやパラメータが含まれる可能性のあるURLを検査することができます。また、ウェブサイトや要求されたリソースについて、ドメインの古さ、登録者、既知の不良リストに載っているかどうか、他のユーザーが以前に何回接続したかなど、評判に基づいた分析を行うことができます。

ネットワーク侵入検知システム、場合によってはSSL/TLSのMITM検査を利用して、既知の悪意のあるスクリプト(recon、ヒープスプレー、ブラウザ識別のスクリプトが頻繁に再利用されています)、一般的なスクリプトの難読化、エクスプロイトコードを探すことができます。

正当なウェブサイトからのドライブバイエクスプロイトに基づく侵害の検知は困難な場合があります。また、エンドポイントシステムにおいて、ブラウザプロセスの異常な動作など、侵害の成功を示す可能性のある動作を確認してください。これには、ディスクに書き込まれた不審なファイル、実行を隠蔽しようとする[Process Injection](https://attack.mitre.org/techniques/T1055)の証拠、Discoveryの証拠、またはシステムに追加のツールが転送されたことを示すその他の異常なネットワークトラフィックなどが含まれます。
Linux, SaaS, Windows, macOS アプリケーションログ。Application Log: アプリケーションログの内容、File: ファイルの作成、Network Traffic:Network Traffic: ネットワーク接続の作成, Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックの内容、プロセス:プロセスの作成プロセス作成 164
T1568 コマンド&コントロール 動的に生成されたC2を検出することは、異なるアルゴリズムの数、常に進化するマルウェア ファミリ、およびアルゴリズムの複雑化により、困難な場合があります。疑似ランダムに生成されたドメイン名を検出するには、頻度分析、マルコフ連鎖、エントロピー、辞書単語の割合、母音と他の文字の比率などを使用するなど、複数のアプローチがあります(引用:Data Driven Security DGA)。CDN ドメインは、そのドメイン名の形式により、これらの検出を引き起こす可能性があります。名前に基づいてアルゴリズムで生成されたドメインを検出することに加えて、疑わしいドメインを検出するためのもう1つのより一般的なアプローチは、最近登録された名前や、めったに訪れないドメインをチェックすることです。 Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 165
T1568.003 コマンド&コントロール この技術の検出には、ポート計算アルゴリズムの具体的な実装を知る必要があるため、困難です。アルゴリズムが判明している場合は、DNSレコードを解析することで検知できる可能性があります。 Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 166
T1568.002 コマンド&コントロール 動的に生成されたドメインを検出することは、異なる DGA アルゴリズムの数、常に進化するマルウェアファミリー、アルゴリズムの複雑化などにより、困難を伴います。疑似ランダムに生成されたドメイン名を検出するには、頻度分析、マルコフ連鎖、エントロピー、辞書単語の割合、母音と他の文字の比率など、無数のアプローチがあります(引用:Data Driven Security DGA)CDN ドメインは、ドメイン名の形式によってこれらの検出を引き起こす可能性があります。名前に基づいて DGA ドメインを検出することに加えて、疑わしいドメインを検出するため のより一般的なアプローチとして、最近登録された名前やめったにアクセスされないドメイ ンをチェックすることがあります。

DGA ドメインを検出するための機械学習アプローチが開発され、応用に成功しています。一つのアプローチは、N-Gram 法を用いて、ドメイン名に使用されている文字列のランダム性スコアを決定するものです。ランダムネススコアが高く、ドメインがホワイトリスト(CDNなど)に登録されていない場合、ドメインが正規のホストに関連しているのか、DGAに関連しているのかを判断できる可能性があります(引用:Pace University Detecting DGA May 2017)別のアプローチとして、ディープラーニングを使用して、ドメインをDGA生成のものとして分類する方法があります(引用:Elastic Predicting DGA)
Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 167
T1568.001 コマンド&コントロール 一般的に、クライアントのリクエストを迅速に処理するウェブトラフィックの負荷分散のため、fast flux DNSの使用を検出することは困難です。シングルフラックスの場合、静的なドメイン名に対してIPアドレスのみが変更されます。ダブルフラックスの場合は、静的なものは何もありません。ドメインレジストラやサービスプロバイダなどの防御側が、検知するのに最適な立場にあると考えられます。 Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 168
T1114 コレクション

Exfiltrationのためのローカルシステムの電子メールファイルへのファイルアクセス、ネットワーク内の電子メールサーバへの異常なプロセスの接続、公開されているWebメールサーバでの異常なアクセスパターンや認証の試みなどは、すべて悪意のある活動の指標となる可能性があります。

ローカルの電子メールファイルを収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。

自動転送ルールによって転送されたメッセージはすべて、手動で転送されたメッセージと同じ表示になるため、検出は困難です。また、ユーザがこのような自動転送ルールが追加されていることに気づかず、自分のアカウントが侵害されていることを疑わないことも可能です。メール転送ルールだけでは、メールアカウントの通常の使用パターンや操作には影響しません。

自動転送されたメッセージには、一般的に、ヘッダに存在する可能性のある特定の検出可能なアーティファクトが含まれています。このようなアーティファクトは、プラットフォーム固有のものです。例としては、<code>X-MS-Exchange-Organization-AutoForwarded</code>がtrueに設定されていたり、<code>X-MailFwdBy</code>や<code>X-Forwarded-To</code>などがあります。<code>forwardingSMTPAddress</code>パラメータは、ユーザのアクションではなく管理者によって管理される転送プロセスで使用されます。メールボックスに対するすべてのメッセージは、指定されたSMTPアドレスに転送されます。ただし、典型的なクライアントサイドのルールとは異なり、メッセージはメールボックスに転送されたようには表示されず、指定された宛先のメールボックスに直接送信されたように表示されます。(引用:Microsoft Tim McMichael Exchange Mail Forwarding 2)<code>X-MS-Exchange-Organization-AutoForwarded</code>ヘッダー(自動転送を示す)が付いたメールが大量に送られてくるが、転送されたメッセージの外観と一致するメールが対応する数だけない場合は、ユーザーレベルではなく管理者レベルでのさらなる調査が必要であることを示している可能性がある。
Google Workspace, Office 365, Windows アプリケーションログ。アプリケーション・ログ・コンテンツ、コマンド。Command: コマンド実行、File: ファイルアクセス、Logon Session:Logon Session: ログオンセッションの作成、Network Traffic: ネットワークトラフィック。ネットワーク接続の作成 169
T1114.003 コレクション 自動転送ルールによって転送されたすべてのメッセージは、手動で転送されたメッセージと同じ表示になるため、検出は困難です。また、ユーザーがこのような自動転送ルールが追加されていることに気づかず、自分のアカウントが侵害されていることを疑わないことも可能です。メール転送ルールだけでは、メールアカウントの通常の使用パターンや操作に影響を与えることはありません。

自動転送されたメッセージは、一般的に、ヘッダーに存在する可能性のある特定の検出可能なアーティファクトを含んでいます。このようなアーティファクトは、プラットフォーム固有のものです。例えば、`X-MS-Exchange-Organization-AutoForwarded`がtrueに設定されていたり、`X-MailFwdBy`や`X-Forwarded-To`が含まれています。forwardingSMTPAddress`パラメータは、ユーザのアクションではなく、管理者によって管理される転送プロセスで使用されます。メールボックスに対するすべてのメッセージは、指定されたSMTPアドレスに転送されます。しかし、典型的なクライアントサイドのルールとは異なり、メッセージはメールボックス内で転送されたようには表示されず、指定された宛先のメールボックスに直接送信されたように表示されます。(引用:Microsoft Tim McMichael Exchange Mail Forwarding 2)転送されたメッセージの外観と一致するメールの数が対応する数ではなく、`X-MS-Exchange-Organization-AutoForwarded`ヘッダー(自動転送を示す)が付いたメールの数が多い場合は、ユーザーレベルではなく管理者レベルでさらなる調査が必要であることを示している可能性があります。
Google Workspace, Office 365, Windows アプリケーションログです。アプリケーションログの内容 170
T1114.001 コレクション プロセスやコマンドライン引数を監視して、ローカルの電子メールファイルを収集するために実行される可能性のあるアクションを監視します。ローカルの電子メールファイルにアクセスする異常なプロセスを監視します。内蔵機能を持つリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することができます。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールでも情報を取得できる場合があります。 Windows コマンドコマンド実行、ファイル:ファイルアクセス 171
T1114.002 コレクション 不明または異常な場所からの異常なログイン行為を監視し、特に特権アカウント(例:Exchange管理者アカウント)を監視する。 Google Workspace, Office 365, Windows コマンド。Command: コマンド実行、Logon Session:Logon Session: ログオンセッションの作成、Network Traffic: ネットワークトラフィック。ネットワーク接続の作成 172
T1573 コマンド&コントロール SSL/TLS検査は、暗号化された通信チャネル内のコマンド&コントロール・トラフィックを検出する一つの方法です。(引用:SANS Decrypting SSL) SSL/TLS検査には一定のリスクがあり、証明書の検証が不完全であるなどの潜在的なセキュリティ問題を回避するために、導入前に考慮する必要があります。(引用:SEI SSL Inspection Risks)

一般的に、ネットワーク・データを分析して、通常とは異なるデータ・フロー(クライアントがサーバーから受信するよりも大幅に多くのデータを送信するなど)がないかを確認します。通常はネットワーク通信を行わない、あるいは見たこともないようなネットワークを利用しているプロセスが疑われます。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2)
Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 173
T1573.002 コマンド&コントロール SSL/TLS検査は、暗号化された通信チャネル内のコマンド&コントロール・トラフィックを検出する一つの方法です。(引用:SANS Decrypting SSL) SSL/TLS検査には一定のリスクがあり、証明書の検証が不完全であるなどの潜在的なセキュリティ問題を回避するために、導入前に考慮する必要があります。(引用:SEI SSL Inspection Risks)

一般的に、ネットワーク・データを分析して、通常とは異なるデータ・フロー(クライアントがサーバーから受信するよりも大幅に多くのデータを送信するなど)がないかを確認します。通常はネットワーク通信を行わない、あるいは見たこともないようなネットワークを利用しているプロセスが疑われます。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2)
Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 174
T1573.001 コマンド&コントロール 対称型暗号の場合、サンプルからアルゴリズムと鍵を入手し、それを使ってネットワークトラフィックを解読し、マルウェアの通信シグネチャを検出できる可能性があります。

一般的に、ネットワークデータを分析して、通常とは異なるデータの流れ(クライアントがサーバーから受信するデータよりも大幅に多くのデータを送信するなど)がないかを確認します。通常はネットワーク通信を行わない、あるいはこれまでに見たことがないようなネットワークを利用するプロセスは疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2)
Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 175
T1499 インパクト エンドポイントDoSの検知は、サービスの可用性に大きな影響を与えるほどの影響が出る前に達成できることもありますが、そのような応答時間は一般的に非常に積極的な監視と対応を必要とします。ネットフロー、SNMP、カスタムスクリプトなどの典型的なネットワークスループット監視ツールを使用して、回線利用率の急激な増加を検出することができます。(引用:Cisco DoSdetectNetflow)ネットワークトラフィックをリアルタイムで自動化して定性的に調査することで、1種類のプロトコルの急激な急増を特定することができます。

ネットワークレベルの検出に加えて、エンドポイントのログや計測も検出に役立ちます。ウェブアプリケーションを標的とした攻撃では、ウェブサーバ、アプリケーションサーバ、データベースサーバのいずれかにログが生成されることがあります。

エンドポイントDoSの標的となる可能性のあるサービスの可用性を外部から監視します。
Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れネットワークトラフィック:ネットワークトラフィックフロー、センサーヘルスホストステータス 176
T1499.003 インパクト エンドポイントDoSの検知は、サービスの可用性に大きな影響を与えるほどの影響が出る前に達成できることもありますが、そのような応答時間は一般的に非常に積極的な監視と対応を必要とします。ネットフロー、SNMP、カスタムスクリプトなどの典型的なネットワークスループット監視ツールを使用して、回線利用率の急激な増加を検出することができます。(引用:Cisco DoSdetectNetflow)ネットワークトラフィックをリアルタイムで自動化して定性的に調査することで、1種類のプロトコルの急激な急増を特定することができます。

ネットワークレベルの検出に加えて、エンドポイントのログや計測も検出に役立ちます。ウェブアプリケーションを標的とした攻撃では、ウェブサーバ、アプリケーションサーバ、データベースサーバのいずれかにログが生成されることがありますが、これを利用して攻撃の種類を特定することができます。
Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れネットワークトラフィック:ネットワークトラフィックフロー、センサーヘルスホストステータス 177
T1499.004 インパクト ウェブアプリケーションを標的とした攻撃では、ウェブサーバ、アプリケーションサーバ、およびデータベースサーバにログが生成されることがあり、これを利用して攻撃の種類を特定することができます。エンドポイントDoSの標的となる可能性のあるサービスの可用性を外部から監視する。 Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れネットワークトラフィック:ネットワークトラフィックフロー、センサーヘルスホストステータス 178
T1499.001 インパクト エンドポイントDoSの検知は、サービスの可用性に大きな影響を与えるほどの影響が出る前に達成できることもありますが、そのような応答時間は一般的に非常に積極的な監視と対応を必要とします。ネットフロー、SNMP、カスタムスクリプトなどの典型的なネットワーク・スループット監視ツールを使用して、回線使用率の急激な増加を検出することができます。(引用:Cisco DoSdetectNetflow) ネットワーク・トラフィックをリアルタイムで自動化し、定性的に調査することで、1種類のプロトコルの急激な急増を特定することができ、攻撃が開始された時点で検出することができます。 Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容、ネットワークトラフィック。ネットワークトラフィック:ネットワークトラフィックフロー、センサーヘルス。ホストの状態 179
T1499.002 インパクト エンドポイントDoSの検知は、サービスの可用性に大きな影響を与えるほどの影響が出る前に達成できることもありますが、そのような応答時間は一般的に非常に積極的な監視と対応を必要とします。ネットフロー、SNMP、カスタムスクリプトなどの典型的なネットワークスループット監視ツールを使用して、回線利用率の急激な増加を検出することができます。(引用:Cisco DoSdetectNetflow)ネットワークトラフィックをリアルタイムで自動化して定性的に調査することで、1種類のプロトコルの急激な急増を特定することができます。

ネットワークレベルの検出に加えて、エンドポイントのログや計測も検出に役立ちます。ウェブアプリケーションを標的とした攻撃では、ウェブサーバ、アプリケーションサーバ、データベースサーバのいずれかにログが生成されることがあります。

エンドポイントDoSの標的となる可能性のあるサービスの可用性を外部から監視します。
Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れネットワークトラフィック:ネットワークトラフィックフロー、センサーヘルスホストステータス 180
T1611 Privilege Escalation(特権の乱用 不審な、あるいは未知のコンテナイメージやポッドが環境に展開されていないか、特にrootとして実行されているコンテナを監視してください。さらに、<code>mount</code>などのシステムコールが予期せず使用されていないかどうか(およびその結果としてのプロセスアクティビティ)を監視します。これは、特権コンテナからホストへの脱出の試みを示す可能性があります。Kubernetesでは、コンテナのボリューム構成の変更に関連するクラスタレベルのイベントを監視します。 コンテナ、Linux、Windows コンテナ。コンテナの作成、プロセスOS APIの実行、プロセス。プロセスの作成 181
T1585 リソース開発 組織に関連するソーシャルメディア上の活動を監視することを検討してください。

このような活動の多くは、標的となる組織の目に触れないところで行われるため、このような行動の検知は困難です。検知の努力は、初期アクセス時(例:[Phishing](https://attack.mitre.org/techniques/T1566))など、敵のライフサイクルの関連する段階に集中することができます。
PRE 182
T1585.002 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の努力は、初期アクセス時(例:[Phishing](https://attack.mitre.org/techniques/T1566))など、敵のライフサイクルの関連する段階に集中することができます。 PRE 183
T1585.001 リソース開発 組織に関連するソーシャルメディア上の活動を監視することを検討してください。疑わしい活動には、組織の従業員を名乗るペルソナや、最近作成/変更されたアカウントが組織のアカウントへの接続を多数要求していることなどが考えられます。

検知活動は、初回アクセス時(例:[Spearphishing via Service](https://attack.mitre.org/techniques/T1566/003))など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 184
T1546 パーシステンス、プリビレッジ・エスカレーション イベントベースの実行のきっかけとなるメカニズムの追加や変更を監視すること。特に、未知のプログラムの実行、ネットワークソケットのオープン、ネットワーク経由での通信などの異常なコマンドの追加を監視すること。

これらのメカニズムは、OS によって異なりますが、一般的には、Windows レジストリ、CIM(Common Information Model)、特定の名前のファイルなどの構成情報を格納する中央リポジトリに格納されており、最後のファイルはハッシュ化され、既知の良好な値と比較することができます。

プロセス、API/システムコール、およびこれらのイベントリポジトリを操作するその他の一般的な方法を監視します。

Sysinternals Autoruns などのツールを使用して、永続化の試みである可能性のある実行トリガーの変更を検出することができます。また、ディスカバリーアクションやその他の技術に関連する可能性のある他のコマンドの実行のために、異常なプロセスコールツリーを探します。

プロセスによるDLLのロードを監視し、特に、認識されていない、または通常はプロセスにロードされないDLLを探します。プロセスが悪意のあるDLLをロードしたことが原因と思われる、プロセスの異常な動作を探します。データやイベントは単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントの実施など、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Linux、Windows、macOS コマンドコマンド:コマンドの実行、File:ファイルの作成、File:ファイルのメタデータ、File:ファイルの変更、Module:モジュールのロード, Process:Process: プロセスの作成, WMI: WMI の作成, Windows Registry:Windows レジストリキーの変更 185
T1546.008 パーシステンス、プリビレッジ・エスカレーション 既知のソフトウェアやパッチサイクルなどと関連性のない、アクセシビリティユーティリティのバイナリやバイナリパスの変更は疑わしい。関連するキーのレジストリを変更できるツールをコマンドラインで起動している場合も疑わしい。ユーティリティーの引数やバイナリ自体に変更がないか監視する必要があります。<code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options</code>内のレジストリキーを監視してください。 Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセスの作成、Windows レジストリ。Windows レジストリキーの変更 186
T1546.009 パーシステンス、プリビレッジ・エスカレーション プロセスによるDLLのロードを監視し、特に認識されていないDLLや通常はプロセスにロードされないDLLを探します。AppCertDLLsのレジストリ値を監視し、既知のソフトウェアやパッチサイクルなどと関連性のない変更がないかを確認する。RegCreateKeyExやRegSetValueExなどのレジストリ編集を示すアプリケーション・プログラミング・インターフェース(API)の呼び出しを監視・分析する。(引用:Elastic Process Injection 2017年7月)

Sysinternals Autorunsなどのツールでは、AppCertのDLLが自動起動先として見落とされることがあります。(引用:TechNet Autoruns) (引用:Sysinternals AppCertDlls 2007年10月)

プロセスが悪意のあるDLLをロードしていることが原因と思われる、プロセスの異常な動作を探します。データやイベントは単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントの実施など、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Windows コマンドコマンド実行, モジュール:モジュールのロード、Process:プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 187
T1546.010 パーシステンス、プリビレッジ・エスカレーション user32.dllをロードするプロセスによるDLLロードを監視し、認識されていない、または通常はプロセスにロードされないDLLを探します。AppInit_DLLs レジストリの値を監視し、既知のソフトウェアやパッチサイクルなどと相関性のない変更を探します。<code>RegCreateKeyEx</code>や<code>RegSetValueEx</code>など、レジストリの編集を示すアプリケーション・プログラミング・インターフェース(API)の呼び出しを監視、分析します。(引用:Elastic Process Injection July 2017)

Sysinternals Autorunsなどのツールを使用して、現在のAppInit DLLの一覧表示など、永続化の試みである可能性のあるシステムの変更を検出することもできます。(引用:TechNet Autoruns)

プロセスが悪意のあるDLLをロードしていることが原因と考えられる、プロセスの異常な動作を探します。データやイベントは単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントの実施など、他の活動につながる可能性のある行動の連鎖の一部として見る必要があります。
Windows コマンドコマンド実行, モジュール:モジュールのロード、Process:プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 188
T1546.011 パーシステンス、プリビレッジ・エスカレーション 現在公開されているシムを検出するツールはいくつかあります(引用元:Black Hat 2015 App Shim)。

* Shim-Process-Scanner - 実行中のすべてのプロセスのメモリをチェックして、あらゆるシムフラグを検出します
* Shim-Detector-Lite - カスタムシムデータベースのインストールを検出します
* Shim-Guard - レジストリにシムがインストールされていないか監視します
* ShimScanner - メモリ内のアクティブなシムを見つけるフォレンジックツールです
* ShimCacheMem - メモリからシムキャッシュを引き出すVolatilityプラグインです(注意:シムは再起動後にのみキャッシュされます)

sdbinst.exeやコマンドライン引数のプロセス実行を監視して、アプリケーションのシム乱用の可能性を探ります。sdbinst.exeとコマンドライン引数のプロセス実行を監視して、アプリケーションシムの悪用を示唆する可能性があります。
Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、モジュール:モジュールのロードModule: モジュールのロード、Process:プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 189
T1546.001 パーシステンス、プリビレッジ・エスカレーション ファイル拡張子をデフォルトのアプリケーションの実行に関連付けるレジストリキーの変更を収集・分析し、未知のプロセス起動アクティビティやそのプロセスの異常なファイルタイプと関連付けます。

ユーザーのファイル関連設定は、<code> [HKEY_CURRENT_USER]の下に保存され、<code> [HKEY_CLASSES_ROOT]</code>の下に設定された関連を上書きします。

また、ディスカバリーアクションやその他の技術に関連する可能性のある他のコマンドの実行に関する異常なプロセスコールツリーを探します。
Windows コマンドコマンドの実行、プロセス。プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 190
T1546.015 パーシステンス、プリビレッジ・エスカレーション 置き換えられたレジストリ参照を検索したり、レジストリ操作 (例: [Reg](https://attack.mitre.org/software/S0075)) で既知のバイナリパスを未知のパスや悪意のあるコンテンツに置き換えたりすることで、COM ハイジャックを検出する機会があります。一部のサードパーティアプリケーションがユーザーCOMオブジェクトを定義していても、HKEY_CURRENT_USER\Software\Classes\CLSID\内のオブジェクトの存在は異常である可能性があり、HKEY_LOCAL_MACHINE SOFTWARE\CLSID\内のマシンオブジェクトよりも先にユーザーオブジェクトがロードされるため、調査する必要があります(引用:Elastic COM Hijacking)。

同様に、ソフトウェアのDLLロードを収集して分析した場合、COMオブジェクトのレジストリ変更と相関性のある異常なDLLロードがあれば、COMハイジャックが行われたことを示す可能性があります。
Windows コマンドコマンド実行, モジュール:モジュールのロード、Process:プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 191
T1546.014 パーシステンス、プリビレッジ・エスカレーション <code>/etc/emond.d/rules/</code>と<code>/private/var/db/emondClients</code>に作成または変更されたファイルをチェックすることで、emondルールの作成を監視します。 macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 192
T1546.012 パーシステンス、プリビレッジ・エスカレーション GFlagsツールの異常な使用のほか、異常な親の下で、および/または<code>DEBUG_PROCESS</code>や<code>DEBUG_ONLY_THIS_PROCESS</code>などのデバッグを示す作成フラグで生成される一般的なプロセスを監視する。(引用:Microsoft Dev Blog IFEO Mar 2010)

IFEOに関連するレジストリ値の監視、およびサイレント・プロセス・エグジットの監視を行い、既知のソフトウェア、パッチサイクルなどと相関しない変更を確認する。<code>RegCreateKeyEx</code>や<code>RegSetValueEx</code>など、レジストリの編集を示すアプリケーション・プログラミング・インターフェイス(API)の呼び出しを監視・分析します。(引用:Elastic Process Injection 2017年7月)
Windows コマンドコマンドの実行、プロセス。プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 193
T1546.006 パーシステンス、プリビレッジ・エスカレーション バイナリヘッダの変更に使用される可能性のあるプロセスを監視する。ファイルシステムを監視して、アプリケーションのバイナリの変更や無効なチェックサム/シグネチャを確認します。また、アプリケーションのアップデートやパッチと一致しないバイナリの変更も極めて疑わしいものです。 macOS コマンドCommand: コマンド実行、File: ファイルのメタデータ、File: ファイルの変更、Module:モジュールのロード、Process:プロセス作成 194
T1546.007 パーシステンス、プリビレッジ・エスカレーション ほとんどの環境では、netsh.exe が子プロセスを持つことはまれです。プロセスの実行を監視し、netsh.exe によって生成された子プロセスに悪意がないかどうかを調べます。レジストリ キーの <code>HKLM--SOFTWARE--Microsoft--Netsh</code> を監視し、既知のシステム ファイルや良性のソフトウェアと関連しない、新しいエントリや疑わしいエントリがないか調べます。(引用:Demaske Netsh Persistence) Windows コマンドコマンド実行, モジュール:モジュールのロード、Process:プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 195
T1546.013 パーシステンス、プリビレッジ・エスカレーション <code>profile.ps1</code>が保存されている場所は、新しいプロファイルや変更がないか監視する必要があります。(引用:Malware Archaeology PowerShell Cheat Sheet) プロファイルの保存場所の例を以下に示します。

* <code>$PsHome\Profile.ps1</code>
* <code>$PsHome\Microsoft.{HostProgram}_profile.ps1</code>
* <code>$Home\My Documents\PowerShell\Profile.ps1</code>
* <code>$Home\\PowerShell\Microsoft.{HostProgram}_profile.ps1</code>

PowerShell の異常なコマンド、PowerShell ドライブやモジュールの異常なロード、未知のプログラムの実行を監視します。
Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 196
T1546.002 パーシステンス、プリビレッジ・エスカレーション .scrファイルのプロセス実行およびコマンドラインパラメータを監視する。典型的なユーザーの動作とは相関しない可能性のある、レジストリ内のスクリーンセーバーの設定変更を監視する。

Sysinternals Autorunsなどのツールを使用して、レジストリ内のスクリーンセーバーのバイナリパスの変更を検出できる。疑わしいパスやPEファイルは、ネットワーク内の正規のスクリーンセーバーの中でも異常なものを示している可能性があるため、調査する必要があります。
Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセスの作成、Windows レジストリ。Windows レジストリキーの変更 197
T1546.005 パーシステンス、プリビレッジ・エスカレーション トラップコマンドは、シェルやプログラムに登録する必要があるため、ファイルに表示されます。ファイルに不審なトラップコマンドがないか監視することで、調査時に不審な動作を絞り込むことができます。トラップ割り込みで実行される不審なプロセスを監視する。 Linux、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 198
T1546.004 パーシステンス、プリビレッジ・エスカレーション ユーザーはシェルプロファイルファイルをカスタマイズすることができますが、通常、これらのファイルに表示されるコマンドには特定の種類のものしかありません。

<code>/etc/profile</code>および<code>/etc/profile.d</code>の変更を監視します。これらのファイルは、システム管理者のみが変更する必要があります。MacOSユーザーは、Endpoint Security Frameworkのファイルイベントを活用して、これらの特定のファイルを監視することができます。(引用: ESF_filemonitor)

ほとんどのLinuxおよびmacOSシステムでは、システムで利用可能な有効なシェルオプションのファイルパスのリストが<code>/etc/shells</code>ファイルにあります。
Linux、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス。プロセスの作成 199
T1546.003 パーシステンス、プリビレッジ・エスカレーション WMIイベントサブスクリプションのエントリを監視し、現在のWMIイベントサブスクリプションと各ホストの既知の良好なサブスクリプションを比較します。また、Sysinternals Autorunsなどのツールを使用して、永続化の試みである可能性のあるWMIの変更を検出することもできます。(Citation: TechNet Autoruns) (Citation: Medium Detecting WMI Persistence) 新しいWMI <code>EventFilter</code>、<code>EventConsumer</code>、および<code>FilterToConsumerBinding</code>イベントの作成を監視します。イベントID 5861は、新しい<code>EventFilterToConsumerBinding</code>イベントが作成されると、Windows 10システムに記録されます(引用:Elastic - Hunting for Persistence Part 1)

WMIパーシスタンスの登録に使用できるプロセスやコマンドライン引数を監視します。<code>Register-WmiEvent</code> [PowerShell](https://attack.mitre.org/techniques/T1059/001)コマンドレット(引用:Microsoft Register-WmiEvent)や、サブスクリプションの実行(WmiPrvSe.exe WMI Provider Hostプロセスからの生成など)に起因するものを監視します。
Windows コマンドコマンドの実行、Process:プロセスの作成、WMI:WMIの作成 200
T1480 防衛回避 ガードレールの使用を検知することは、実装によっては困難な場合があります。様々なシステム情報を収集したり、他の形式の[Discovery](https://attack.mitre.org/tactics/TA0007)を実行したりする不審なプロセスが、特に短時間で生成されているかどうかを監視することは、検知の助けになるかもしれません。 Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 201
T1480.001 防衛回避 環境キーイングの使用を検出することは、実装によっては困難な場合があります。様々なシステム情報を収集したり、他の形式の[Discovery](https://attack.mitre.org/tactics/TA0007)を実行したりする不審なプロセスが、特に短時間で生成されているかどうかを監視すると、検知に役立つ場合があります。 Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 202
T1048 Exfiltration ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2) Linux、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 203
T1048.002 Exfiltration ネットワークデータを分析して、通常とは異なるデータフロー(クライアントがサーバーから受信するよりも大幅に多くのデータを送信するなど)を確認します。通常はネットワーク通信を行っていない、またはこれまでに見たことがないネットワークを利用するプロセスは疑わしい(引用:バーミンガム大学C2) Linux、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 204
T1048.001 Exfiltration ネットワークデータを分析して、通常とは異なるデータフローを確認する(クライアントがサーバーから受信するよりも大幅に多くのデータを送信するなど)。通常はネットワーク通信を行わない、またはこれまでに見たことのないネットワークを利用するプロセスは疑わしいものです。(引用:バーミンガム大学 C2)

ネットワークトラフィックを分析したり、マルウェア内のハードコードされた値を探したりすることで、対称鍵交換の成果物や証拠を回収できる場合があります。回復した場合、これらの鍵は、コマンド&コントロール・チャネルからのネットワーク・データを復号するために使用することができます。
Linux、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 205
T1048.003 Exfiltration ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2) Linux、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 206
T1041 Exfiltration ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2) Linux、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 207
T1011 Exfiltration 通常はネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用するプロセスを監視します。

通信インターフェースの追加や複製など、ホストアダプタの設定の変更を監視し、調査する。
Linux、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 208
T1011.001 Exfiltration 通常はネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用するプロセスを監視します。

通信インターフェースの追加や複製など、ホストアダプタの設定の変更を監視し、調査する。
Linux、Windows、macOS コマンドのことです。コマンド実行、ファイル:ファイルアクセス、ネットワークトラフィック。ネットワーク接続の作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 209
T1052 Exfiltration リムーバブルメディアのファイルアクセスを監視する。リムーバブルメディアのマウント時に実行されるプロセスの検出 Linux、Windows、macOS コマンドCommand: コマンド実行、Drive:ドライブ:ドライブの作成、ファイル:ファイルのアクセス、プロセス:プロセスの作成プロセス作成 210
T1052.001 Exfiltration リムーバブルメディアのファイルアクセスを監視する。リムーバブルメディアのマウント時に実行されるプロセスの検出 Linux、Windows、macOS コマンドCommand: コマンド実行、Drive:ドライブ:ドライブの作成、ファイル:ファイルのアクセス、プロセス:プロセスの作成プロセス作成 211
T1567 Exfiltration ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常はネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスは疑わしい。ユーザーの行動を監視することで、異常な活動パターンを検出できる可能性があります。 Linux、Windows、macOS コマンドのことです。Command: コマンド実行、File: ファイルアクセス、Network Traffic:Network Traffic: ネットワークトラフィックコンテンツ、Network Traffic:ネットワークトラフィックの流れ 212
T1567.002 Exfiltration ネットワークデータを分析し、既知のクラウドストレージサービスへの通常とは異なるデータフロー(クライアントがサーバーから受信するデータ量よりも大幅に多いデータを送信するなど)がないかを確認します。通常はネットワーク通信を行わない、またはこれまでに見たことのないネットワークを利用するプロセスは疑わしい。ユーザーの行動を監視することで、異常な活動パターンを検出できる可能性があります。 Linux、Windows、macOS コマンドのことです。Command: コマンド実行、File: ファイルアクセス、Network Traffic:Network Traffic: ネットワークトラフィックコンテンツ、Network Traffic:ネットワークトラフィックの流れ 213
T1567.001 Exfiltration ネットワークデータを分析して、コードリポジトリに通常とは異なるデータフロー(クライアントがサーバーから受信するデータよりも大幅に多いデータを送信するなど)がないかを確認する。通常はネットワーク通信を行わない、またはこれまでに見たことのないネットワークを利用するプロセスは疑わしい。ユーザーの行動を監視することで、異常な活動パターンを検出できる可能性があります。 Linux、Windows、macOS コマンドのことです。Command: コマンド実行、File: ファイルアクセス、Network Traffic:Network Traffic: ネットワークトラフィックコンテンツ、Network Traffic:ネットワークトラフィックの流れ 214
T1190 初期アクセス アプリケーションのログを監視し、悪用の試みや成功を示すような異常な動作を確認する。ディープパケットインスペクションを使用して、SQLインジェクションなどの一般的な悪用トラフィックの成果物を確認する。ウェブアプリケーションファイアウォールは、悪用を試みる不適切な入力を検出することがあります。 コンテナ、IaaS、Linux、ネットワーク、Windows、macOS アプリケーションログの内容アプリケーションログ:アプリケーションログの内容、ネットワークトラフィック:ネットワークトラフィックの内容ネットワークトラフィック:ネットワークトラフィックの内容 215
T1203 実行 ソフトウェアの悪用を検出することは、利用可能なツールによっては困難な場合があります。また、エンドポイントシステムでは、ブラウザやOfficeプロセスの異常な動作など、不正侵入の成功を示すような動作を確認してください。これには、ディスクに書き込まれた不審なファイル、実行を隠蔽しようとする[Process Injection](https://attack.mitre.org/techniques/T1055)の証拠、Discoveryの証拠、またはシステムに追加のツールが転送されたことを示すようなその他の異常なネットワークトラフィックが含まれます。 Linux、Windows、macOS 216
T1212 クレデンシャルアクセス ソフトウェアの不正利用を検知することは、利用可能なツールによっては困難な場合があります。ソフトウェアの悪用は必ずしも成功するとは限らず、悪用されたプロセスが不安定になったり、クラッシュしたりすることもあります。また、プロセスの異常な動作など、不正侵入が成功したことを示す可能性のあるシステム上の動作を確認してください。悪用によって取得されたクレデンシャルリソースは、通常は使用されていなかったり、見られていなかったりしても、使用されていることが検出できる場合があります。 Linux、Windows、macOS 217
T1211 防衛回避 防御回避のための悪用は、システムが侵害された直後に行われ、後のアクションで検出されないようにするため、持ち込まれて使用される可能性のある追加のツールのために行われることがあります。ソフトウェアの悪用を検知することは、利用可能なツールによっては困難な場合があります。ソフトウェアの悪用は、必ずしも成功するとは限らず、悪用されたプロセスが不安定になったり、クラッシュしたりすることがあります。また、プロセスの異常な動作など、不正侵入が成功したことを示す可能性のあるシステム上の動作を確認してください。これには、ディスクに書き込まれた不審なファイル、実行を隠そうとする[Process Injection](https://attack.mitre.org/techniques/T1055)の証拠、またはDiscoveryの証拠が含まれます。 Linux、Windows、macOS 218
T1068 Privilege Escalation(特権の乱用 ソフトウェアの不正利用を検知することは、利用可能なツールによっては困難な場合があります。ソフトウェアの悪用は、必ずしも成功するとは限らず、悪用されたプロセスが不安定になったり、クラッシュしたりすることがあります。また、エンドポイントシステムでは、プロセスの異常な動作など、不正侵入が成功したことを示すような動作を確認してください。これには、ディスクに書き込まれた不審なファイル、実行を隠蔽しようとするための[Process Injection](https://attack.mitre.org/techniques/T1055)の証拠、またはDiscoveryの証拠が含まれます。敵対者がカーネルモードでコードを実行するためにドロップして悪用する可能性のある既知の脆弱なドライバの存在またはロード(例:Sysmon Event ID 6)を監視することを検討してください(引用:Microsoft Driver Block Rules)

[OS Credential Dumping](https://attack.mitre.org/techniques/T1003)のいくつかの方法のような追加のアクションを実行するには、より高い権限が必要になることがよくあります。敵対者がより高い特権を得たことを示すような追加の活動を探してください。
コンテナ、Linux、Windows、macOS ドライバードライバー負荷 219
T1210 ラテラル・ムーブメント ソフトウェアの不正利用を検知することは、利用可能なツールによっては困難な場合があります。ソフトウェアの悪用は、必ずしも成功するとは限らず、悪用されたプロセスが不安定になったり、クラッシュしたりすることがあります。また、エンドポイントシステムでは、プロセスの異常な動作など、不正侵入が成功したことを示すような動作を確認してください。これには、ディスクに書き込まれた不審なファイル、実行を隠蔽しようとするための[Process Injection](https://attack.mitre.org/techniques/T1055)の証拠、Discoveryの証拠、システムに追加のツールが転送されたことを示すようなその他の異常なネットワークトラフィックなどがあります。 Linux、Windows、macOS アプリケーションログの内容アプリケーションログ:アプリケーションログの内容、ネットワークトラフィック:ネットワークトラフィックの内容ネットワークトラフィック:ネットワークトラフィックの内容 220
T1133 イニシャルアクセス、パーシスタンス リモートサービスへの認証のために敵が使用する[Valid Accounts](https://attack.mitre.org/techniques/T1078)を検出するためのベストプラクティスに従うこと。認証ログを収集し、通常とは異なるアクセスパターン、活動の時間帯、通常の営業時間外のアクセスなどを分析する。

公開されたリモートサービスへのアクセスに認証が必要でない場合、公開されたAPIやアプリケーションの外部からの異常な使用など、後続の活動を監視する。
コンテナ、Linux、Windows アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ログオンセッション:ログオンセッションのメタデータLogon Session: ログオンセッションのメタデータ、Network Traffic: ネットワークトラフィックネットワークトラフィックフロー 221
T1008 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れを確認する(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信する)。通常のネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2) Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 222
T1083 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習する際に作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて「収集」や「侵入」などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドラインの引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接対話して情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 223
T1222 防衛回避 ACLおよびファイル/ディレクトリの所有権を変更しようとする試みを監視し、調査する。ACLやファイル/ディレクトリの所有権を変更するために使用されるコマンドの多くは、システムに組み込まれたユーティリティであり、高い誤検出率を発生させる可能性があります。そのため、システムが通常どのように使用されているかについての基本的な知識と比較し、可能であれば変更イベントを他の悪意のある活動の兆候と関連付けるようにしてください。

重要なバイナリ/設定ファイルを含むフォルダに対して、ファイル/ディレクトリの権限変更監査を有効にすることを検討してください。例えば、DACLが変更されると、Windowsセキュリティログイベント(イベントID 4670)が作成されます。(引用:EventTracker File Permissions Feb 2014)
Linux、Windows、macOS Active Directoryです。Active Directory: Active Directory Object Modification, Command:コマンド:コマンドの実行、ファイル:ファイルのメタデータ、プロセス:プロセスの作成プロセス作成 224
T1222.002 防衛回避 ACLおよびファイル/ディレクトリの所有権を変更しようとする試みを監視し、調査する。ACLやファイル/ディレクトリの所有権を変更するために使用されるコマンドの多くは、システムに組み込まれたユーティリティであり、高い誤検出率を発生させる可能性があります。そのため、システムが通常どのように使用されているかについての基本的な知識と比較し、可能な場合には変更イベントを他の悪意のある活動の兆候と関連付けるようにしてください。

重要なバイナリ/設定ファイルを含むフォルダに対して、ファイル/ディレクトリの権限変更監査を有効にすることを検討してください。
Linux、macOS コマンドです。コマンドの実行、ファイル:ファイルのメタデータ、プロセス。プロセス作成 225
T1222.001 防衛回避 DACLおよびファイル/ディレクトリの所有権を変更しようとする試みを監視および調査する。DACLおよびファイル/ディレクトリの所有権を変更するために使用されるコマンドの多くは、システムに組み込まれたユーティリティであり、高い誤検出率を生成する可能性があります。そのため、システムが通常どのように使用されているかについての基本的な知識と比較し、可能な場合は変更イベントを他の悪意のある活動の兆候と関連付けるようにしてください。

重要なバイナリ/設定ファイルを含むフォルダのファイル/ディレクトリ権限変更監査を有効にすることを検討してください。例えば、DACLが変更されると、Windowsセキュリティログイベント(イベントID 4670)が作成されます。(引用:EventTracker File Permissions Feb 2014)
Windows Active Directoryです。Active Directory: Active Directory Object Modification, Command:コマンド:コマンドの実行、ファイル:ファイルのメタデータ、プロセス:プロセスの作成プロセス作成 226
T1495 インパクト システムのファームウェアの操作が検出される可能性があります。(引用:MITRE Trustworthy Firmware Measurement)BIOSへの読み書きの試みを記録し、既知のパッチの動作と比較します。 Linux、Windows、macOS ファームウェアです。ファームウェアの変更 227
T1187 クレデンシャルアクセス TCPポート139、445、UDPポート137のSMBトラフィックと、ネットワークから未知の外部システムに出ようとするWebDAVトラフィックを監視します。このような試みが検出された場合は、エンドポイントのデータソースを調査して根本的な原因を突き止めます。内部トラフィックについては、ワークステーション間の異常な(ベースラインと比較して)SMBトラフィックを監視します。

外部のネットワークリソースを指すリソースを含むシステムや仮想環境上で、.LNK、.SCF、その他のファイルの作成と変更を監視します。(引用:US-CERT APT Energy 2017年10月)
Windows File: File Access、File: File Creation、File: File Modification、Network Traffic。ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィックの流れ 228
T1606 クレデンシャルアクセス 不明なアカウントに関連するログオンやその他のユーザーセッション活動など、異常な認証活動を監視する。同一ユーザーが異なる場所や異なるシステムからウェブサイトやクラウドベースのアプリケーションにアクセスするなど、リソースへの予期せぬ異常なアクセスを監視します。 Azure AD, Google Workspace, Linux, Office 365, SaaS, Windows, macOS ログオンセッションログオンセッションの作成、ウェブクレデンシャル。Webクレデンシャル:Webクレデンシャルの作成、Webクレデンシャル:Webクレデンシャルの使用Webクレデンシャル:Webクレデンシャルの使用 229
T1606.002 クレデンシャルアクセス SAML トークンは信頼できる証明書によって署名されているため、この手法を検知することは難しいかもしれません。偽造プロセスは防御者の目の届かないところで行われる可能性が高いため、検知できないかもしれませんが、その後の偽造トークンの使用は確認できるかもしれません。侵害された、または敵対者が生成したトークン署名証明書によって作成された SAML トークンを使用した異常なログインを監視する。これらのログインは、オンプレミスのリソースでも、証明書を信頼するクラウド環境からでも発生する可能性がある。(引用:Microsoft SolarWinds Customer Guidance) SAML SSO を使用するサービス・プロバイダーへのログインで、ドメイン内に対応する 4769、1200、および 1202 イベントがないものを検索する。(引用:Sygnia Golden SAML)

SAML レスポンスを修正して、各サービス・プロバイダー用のカスタム要素を含めることを検討する。サービスプロバイダーのアクセスログでこれらのカスタム要素を監視し、異常なリクエストを検出する。(引用:Sygnia Golden SAML
Azure AD, Google Workspace, Office 365, SaaS, Windows ログオンセッションログオンセッションの作成、ウェブクレデンシャル。Webクレデンシャル:Webクレデンシャルの作成、Webクレデンシャル:Webクレデンシャルの使用Webクレデンシャル:Webクレデンシャルの使用 230
T1606.001 クレデンシャルアクセス 不明なアカウントに関連するログオンやその他のユーザーセッション活動など、異常な認証活動を監視する。同一ユーザーが異なる場所や異なるシステムからウェブサイトやクラウドベースのアプリケーションにアクセスするなど、リソースへの予期せぬ異常なアクセスを監視します。 Linux, SaaS, Windows, macOS ログオンセッションログオンセッションの作成、ウェブクレデンシャル。Webクレデンシャル:Webクレデンシャルの作成、Webクレデンシャル:Webクレデンシャルの使用Webクレデンシャル:Webクレデンシャルの使用 231
T1592 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 232
T1592.004 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 233
T1592.003 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 234
T1592.001 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 235
T1592.002 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 236
T1589 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 237
T1589.001 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 238
T1589.002 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 239
T1589.003 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 240
T1590 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 241
T1590.002 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 242
T1590.001 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 243
T1590.005 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 244
T1590.006 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 245
T1590.004 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 246
T1590.003 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 247
T1591 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 248
T1591.002 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 249
T1591.001 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 250
T1591.003 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 251
T1591.004 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 252
T1200 初期アクセス 資産管理システムは、ネットワーク上に存在しないはずのコンピュータシステムやネットワークデバイスの検出に役立つことがあります。

エンドポイントセンサーは、USB、Thunderboltなどの外部デバイスの通信ポートを介したハードウェアの追加を検出することができます。
Linux、Windows、macOS 253
T1564 防衛回避 ファイル、プロセス、コマンドライン引数を監視して、隠されたアーティファクトを示すアクションを探します。イベントログと認証ログを監視して、隠し属性が使用されていることを記録する。ファイルシステムとシェルコマンドを監視して、隠し属性が使用されていないか確認する。 Linux、Windows、macOS コマンドコマンド実行、File:ファイルコンテンツ、File:ファイル作成、File:ファイルメタデータ、File:ファイル修正、Firmware:ファームウェア: ファームウェアの変更, Process:OS API 実行、Process:プロセス:OS API の実行、プロセス:プロセスの作成、プロセス:プロセスの作成プロセス作成, スクリプト:スクリプトの実行、サービス。サービス:サービスの作成、ユーザーアカウント:ユーザーアカウントの作成ユーザーアカウント: ユーザーアカウントの作成、ユーザーアカウント:ユーザーアカウント:ユーザーアカウントの作成、ユーザーアカウント:ユーザーアカウントのメタデータ、Windowsレジストリ:Windowsレジストリキーの変更Windows レジストリ:Windows レジストリキーの変更 254
T1564.005 防衛回避 隠しファイルシステムの使用を検出することは、実装によっては非常に困難な場合があります。マルウェアがどのように隠しファイルシステムと相互作用するか、または隠しファイルシステムがどのようにロードされるかなど、敵のライフサイクルの関連する側面を検出することに重点を置くことができます。レジストリやディスク上の特定のファイルとの異常なやりとりを探すことを検討してください。同様に、隠しファイルシステムが起動時に予約済みのディスクスペースからロードされる場合は、[Bootkit](https://attack.mitre.org/techniques/T1542/003)の活動の検出に焦点を移すことを検討します。 Linux、Windows、macOS ファイル:ファイル修正、ファームウェア。ファームウェア:ファームウェアの修正、Windowsレジストリ:Windowsレジストリキーの修正Windows レジストリキーの変更 255
T1564.001 防衛回避 ファイルシステムとシェルコマンドを監視して、先頭に「...」が付いたファイルが作成されていないか、また、Windowsのコマンドラインでattrib.exeを使用して隠し属性を追加していないかを確認します。 Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルのメタデータ、プロセス。プロセス作成 256
T1564.002 防衛回避 この手法では、新規ユーザーがログイン画面に表示されることはありませんが、新規ユーザーの他の兆候はすべて存在します。このユーザーはホームディレクトリを取得し、認証ログにも表示されます。 macOS ファイル:ファイルの修正、ユーザーアカウント。ユーザーアカウント:ユーザーアカウントの作成、ユーザーアカウントユーザーアカウントのメタデータ 257
T1564.003 防衛回避 プロセスやコマンドライン引数を監視して、隠しウィンドウを示す動作を確認する。Windowsでは、イベントロギングやPowerShellロギングを有効にして設定し、隠しウィンドウのスタイルをチェックする。MacOSでは、plistファイルは特定のフォーマットを持つASCIIテキストファイルなので、比較的簡単に解析できます。ファイルモニタリングでは、plistファイルに含まれる<code>apple.awt.UIElement</code>やその他の怪しいplistタグをチェックしてフラグを立てることができます。 Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成Process: プロセスの作成、Script: スクリプトの実行スクリプトの実行 258
T1564.004 防衛回避 NTFS EAに保存された情報を特定するためのフォレンジック技術が存在する。(引用:Journey into IR ZeroAccess NTFS EA) <code>ZwSetEaFile</code>と<code>ZwQueryEaFile</code>のWindows API関数の呼び出しと、EAとのやりとりに使用されるバイナリを監視し、(引用:Oddvar Moe ADS1 Jan 2018) (引用:Oddvar Moe ADS2 Apr 2018) 変更された情報の存在を定期的にスキャンすることを検討してください。(引用:SpectorOps Host-Based 2017年7月)

Windowsユーティリティを使用してADSを作成し、対話する方法は数多くあります。コロンを含むファイル名での操作(実行、コピーなど)を監視します。この構文(ex: <code>file.ext:ads[.ext]</code>)は、ADSによく関連しています。(Citation: Microsoft ADS Mar 2014) (Citation: Oddvar Moe ADS1 Jan 2018) (Citation: Oddvar Moe ADS2 Apr 2018) ADSの実行や作成に使用できるユーティリティのより網羅的なリストについては、https://gist.github.com/api0cradle/cdd2d0d0ec9abb686f0e89306e277b8f。

SysinternalsのStreamsツールを使用して、ADSを持つファイルを発見することができます。また、<code>dir /r</code>コマンドは、ADSを表示するために使用することができる。(引用: Symantec ADS May 2009) 多くのPowerShellコマンド(Get-Item, Set-Item, Remove-Item, Get-ChildItemなど)は、ADSと対話するために<code>-stream</code>パラメータを受け取ることもできる。(引用:MalwareBytes ADS July 2015) (引用:Microsoft ADS Mar 2014)
Windows コマンドコマンド:コマンドの実行、ファイル:ファイルのメタデータ、ファイル:ファイルの変更、プロセス。OS APIの実行 259
T1564.006 防衛回避 一般的な仮想化技術(例:VirtualBox、VMware、QEMU、Hyper-V)に関連するバイナリファイルなど、仮想インスタンスの実行に関連するファイルやプロセスの監視を検討します。仮想化ソフトウェアの良性の使用に対して非典型的なプロセスのコマンドライン引数の監視を検討します。仮想化バイナリの使用や、ヘッドレス(バックグラウンドでUIを持たない)仮想インスタンスの実行に関連するコマンドライン引数は、特に疑わしい場合があります。

仮想化ソフトウェアが敵対者によってインストールされた場合、レジストリが検出の機会を提供する可能性があります。仮想化ソフトウェアに関しては、[Windowsサービス](https://attack.mitre.org/techniques/T1543/003)の監視を検討してください。

企業環境では仮想化技術の良識ある利用が一般的ですが、データやイベントを単独で見るのではなく、一連の行動の一部として見る必要があります。
Linux、Windows、macOS コマンドCommand: コマンド実行、File: ファイル作成、Process:プロセスの作成、サービス。サービスの作成、Windowsレジストリ。Windows レジストリキーの変更 260
T1564.007 防衛回避 VBAのソースコードとp-codeの違いを見つけることに検出の努力を払うべきである。(Citation: Walmart Roberts Oct 2018) pcodedmp disassemblerなどのツールを用いて、実行前にp-codeからVBAコードを抽出することができる。oletools toolkitはpcodedmp disassemblerを活用し、VBAのソースコードとp-codeに存在するキーワードを比較することで、VBAの踏み台を検出します。(引用:pcodedmp Bontchev)(引用:oletools toolkit)

ドキュメントがグラフィカル・ユーザー・インターフェース(GUI)で開かれている場合、悪意のあるp-codeは逆コンパイルされ、閲覧することができます。しかし、プロジェクトのプロパティを指定する<code>PROJECT</code>ストリームを特定の方法で変更すると、逆コンパイルされたVBAコードは表示されません。例えば、<code>PROJECT</code>ストリームに未定義のモジュール名を追加すると、GUIでVBAのソースコードを読もうとすることができなくなります。(引用:FireEye VBA stomp Feb 2020)
Linux、Windows、macOS ファイル:ファイルの内容、スクリプトスクリプトの実行 261
T1574 防御回避、パーシスタンス、プリビレッジ・エスカレーション ファイルシステムを監視して、DLLの移動、名前の変更、交換、修正を行う。既知のソフトウェアやパッチなどとの関連性がない、プロセスにロードされるDLLのセットの変化(過去の動作との比較)は疑わしいものです。プロセスに読み込まれたDLLを監視し、同じファイル名でありながら異常なパスを持つDLLを検出します。ソフトウェアのアップデートと関連性のない .manifest および .local リダイレクトファイルの変更または作成は疑わしいものです。

ソフトウェアのアップデート中に通常発生する可能性のあるバイナリおよびサービス実行ファイルの変更を確認します。既存のサービス実行ファイルと一致するように実行ファイルが書き込まれたり、名前が変更されたり、移動されたりすると、それが検出され、他の不審な行動と関連づけられる可能性があります。

環境変数の変更とその変更を実行するコマンドを監視する。

プロセスの異常な活動を監視する(例:ネットワークを使用していないプロセスがネットワークを使用するようになる、プロセスコールツリーが異常になる)。ハッシュなどのライブラリのメタデータを追跡し、プロセスの実行時にロードされるライブラリを以前の実行時と比較して、パッチやアップデートとは相関しない差異を検出する。

サービスの変更はレジストリに反映されます。既存のサービスの変更は頻繁に行わないようにしてください。サービスのバイナリパスや障害パラメータが、そのサービスの典型的な値ではない値に変更され、ソフトウェアの更新と相関がない場合は、悪意のある活動によるものである可能性があります。データやイベントは単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。

Sysinternals Autorunsなどのツールを使用して、現在のサービス情報のリストアップなど、持続を試みる可能性のあるシステムの変更を検出することもできます。(引用:Autoruns for Windows) サービスを介した疑わしいプログラムの実行は、過去のデータと比較すると、これまでに見られなかった異常なプロセスとして表示されることがあります。
Linux、Windows、macOS コマンドCommand: コマンド実行、File: ファイル作成、File: ファイル修正、Module:モジュールのロード、Process:Process: プロセスの作成、Service:Service: サービスのメタデータ、Windows Registry:Windows レジストリキーの変更 262
T1574.012 防御回避、パーシスタンス、プリビレッジ・エスカレーション COR_PROFILERのシステムおよびユーザースコープの不正使用を検出するために、レジストリのCOR_ENABLE_PROFILING、COR_PROFILER、およびCOR_PROFILER_PATHへの変更を監視します。この変更は、既知の開発者ツールに関連しないシステムおよびユーザー環境変数に対応しています。wmic.exe、setx.exe、[Reg](https://attack.mitre.org/software/S0075)などのコマンドラインツールによるこれらのレジストリキーの不審な変更については、特に注意が必要です。COR_PROFILER変数の変更を示すコマンドライン引数を監視することで、検出の助けになる場合があります。COR_PROFILERのシステム、ユーザー、およびプロセスの範囲での不正使用については、CLRがプロセスの異常な動作を引き起こした直後に.NETプロセスにロードされる、新しい疑わしい非管理型プロファイリングDLLを監視してください(引用:Red Canary COR_PROFILER May 2020)。 Windows コマンドコマンド実行, モジュール:モジュールのロード、Process:プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 263
T1574.001 防御回避、パーシスタンス、プリビレッジ・エスカレーション ファイルシステムを監視して、DLLの移動、名前の変更、交換、修正を行う。既知のソフトウェアやパッチなどと関連性のない、プロセスにロードされるDLLのセットの変化(過去の動作との比較)は疑わしいものです。プロセスに読み込まれたDLLを監視し、同じファイル名でありながら異常なパスを持つDLLを検出します。.manifest`および`.local`リダイレクトファイルの変更または作成が、ソフトウェアのアップデートと関連していない場合は疑わしい。 Windows ファイル:ファイル作成、ファイル:ファイル修正、モジュール。モジュールのロード 264
T1574.002 防御回避、パーシスタンス、プリビレッジ・エスカレーション 新しいファイルやプログラムの導入だけでなく、プロセスの異常な活動(ネットワークを使用していないプロセスがネットワークを使用し始めたなど)を監視する。ハッシュなどのDLLメタデータを追跡し、プロセスの実行時にロードされるDLLを以前の実行時と比較することで、パッチやアップデートと相関しない差異を検出する。 Windows File:ファイル作成、File:ファイル修正、Module:モジュール。モジュールのロード、プロセスプロセス作成 265
T1574.004 防御回避、パーシスタンス、プリビレッジ・エスカレーション ファイルシステムを監視して、dylibsの移動、名前の変更、交換、修正を行う。既知のソフトウェアやパッチなどと相関性のない、プロセスにロードされるdylibのセットの変化(過去の動作との比較)は疑わしいものです。同じ名前の複数の dylib をシステムでチェックし、どのバージョンが歴史的にプロセスにロードされてきたかを監視してください。

ランパス依存のライブラリには、<code>LC_LOAD_DYLIB</code>、<code>LC_LOAD_WEAK_DYLIB</code>、<code>LC_RPATH</code>などがあります。その他、macOSのローダで認識される特別なキーワードとして、<code>@rpath</code>、<code>@loader_path</code>、<code>@executable_path</code>があります(引用:Apple Developer Doco Archive Run-Path)。これらのローダ命令は、<code>otool -l</code>コマンドを使って、個々のバイナリやフレームワークについて調べることができます。Objective-SeeのDylib Hijacking Scannerは、dylibハイジャックに対して脆弱なアプリケーションを特定するために使用することができます。(引用:Wardle Dylib Hijack Vulnerable Apps)(引用:Github EmpireProject HijackScanner)
macOS ファイル:ファイル作成、ファイル:ファイル修正、モジュール。モジュールのロード 266
T1574.006 防御回避、パーシスタンス、プリビレッジ・エスカレーション <code>LD_PRELOAD</code>や<code>DYLD_INSERT_LIBRARIES</code>などの共有ライブラリの読み込みに関連する環境変数やファイルの変更、およびこれらの変更を実装するコマンドを監視します。

プロセスの異常なアクティビティを監視します(例:ネットワークを使用していないプロセスがネットワークを使用し始める)。ハッシュなどのライブラリのメタデータを追跡し、プロセスの実行時にロードされるライブラリを以前の実行時と比較して、パッチやアップデートとは相関しない差異を検出する。
Linux、macOS コマンドCommand: コマンド実行、File: ファイル作成、File: ファイル修正、Module:モジュールのロード, Process:プロセス作成 267
T1574.005 防御回避、パーシスタンス、プリビレッジ・エスカレーション ソフトウェアのアップデート時に通常発生する可能性のある、バイナリやサービス実行ファイルの変更を確認します。実行ファイルが既存のサービス実行ファイルと一致するように書き込まれたり、名前が変更されたり、移動されたりすると、それが検出され、他の不審な行動と関連づけられる可能性があります。

典型的なプロセスやサービスからの異常なプロセスコールツリーや、ディスカバリーやその他の敵のテクニックに関連する可能性のある他のコマンドの実行を調べます。
Windows File:ファイル作成、File:ファイル修正、Module:モジュール。モジュール:モジュールのロード、プロセス:プロセスの作成プロセス:プロセス作成、サービス:サービスメタデータサービスメタデータ 268
T1574.007 防御回避、パーシスタンス、プリビレッジ・エスカレーション パーシャルディレクトリにちなんだ名前のファイルや、環境変数を通じて一般的なプロセスが検索される可能性のある場所、またはユーザーが書き込み可能であってはならない場所にあるファイルの作成を監視します。パーシャルディレクトリの名前を持つプロセスの実行パスについて、実行プロセスを監視します。Windowsシステムプログラムや、パスなしで一般的に実行されるプログラム(「findstr」、「net」、「python」など)にちなんで名付けられたプログラムのファイル作成を監視します。

データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Windows ファイル:ファイル作成、ファイル:ファイル修正、プロセス。プロセス作成 269
T1574.008 防御回避、パーシスタンス、プリビレッジ・エスカレーション パーシャルディレクトリにちなんだ名前のファイルや、環境変数を通じて一般的なプロセスが検索される可能性のある場所、またはユーザーが書き込み可能であってはならない場所にあるファイルの作成を監視します。パーシャルディレクトリの名前を持つプロセスの実行パスについて、実行プロセスを監視します。Windowsシステムプログラムやパスなしで一般的に実行されるプログラム(「findstr」、「net」、「python」など)にちなんだ名前のプログラムのファイル作成を監視します。

データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Windows ファイル:ファイル作成、ファイル:ファイル修正、プロセス。プロセス作成 270
T1574.009 防御回避、パーシスタンス、プリビレッジ・エスカレーション パーシャルディレクトリにちなんだ名前のファイルや、環境変数を通じて一般的なプロセスが検索される可能性のある場所、またはユーザーが書き込み可能であってはならない場所にあるファイルの作成を監視します。パーシャルディレクトリの名前を持つプロセスの実行パスについて、実行プロセスを監視します。Windowsシステムプログラムや、パスなしで一般的に実行されるプログラム(「findstr」、「net」、「python」など)にちなんで名付けられたプログラムのファイル作成を監視します。

データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Windows ファイル:ファイル作成、ファイル:ファイル修正、プロセス。プロセス作成 271
T1574.010 防御回避、パーシスタンス、プリビレッジ・エスカレーション ソフトウェアのアップデート時に通常発生する可能性のある、バイナリやサービス実行ファイルの変更を確認します。実行ファイルが既存のサービス実行ファイルと一致するように書き込まれたり、名前が変更されたり、移動されたりした場合、それが検出され、他の不審な行動と関連づけられる可能性があります。

典型的なプロセスやサービスからの異常なプロセスコールツリーや、ディスカバリーやその他の敵対的な技術に関連する可能性のある他のコマンドの実行を調べます。
Windows ファイル:ファイル作成、ファイル:ファイル修正、プロセス:プロセス作成プロセス:プロセス作成、サービス:サービスメタデータサービスメタデータ 272
T1574.011 防御回避、パーシスタンス、プリビレッジ・エスカレーション サービスの変更はレジストリに反映されます。既存のサービスへの変更は頻繁に行われるべきではありません。サービスのバイナリパスや障害パラメータがそのサービスの典型的な値ではない値に変更され、ソフトウェアの更新との相関がない場合は、悪意のある活動によるものである可能性があります。データやイベントは単独で見るのではなく、コマンド&コントロールのためのネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。

Sysinternals Autorunsなどのツールを使用して、現在のサービス情報のリストアップなど、持続を試みる可能性のあるシステムの変更を検出することもできます。(引用:Autoruns for Windows) 既知のソフトウェアやパッチサイクルなどと関連性のないサービスの変更を探します。サービスを介した疑わしいプログラムの実行は、過去のデータと比較すると、これまでに見られなかった異常なプロセスとして表示されることがあります。

サービスを変更するために行われる可能性のあるアクションについて、プロセスおよびコマンドライン引数を監視します。組み込み機能を備えたリモートアクセスツールは、通常のシステムユーティリティの外でこれらの機能を実行するために、Windows APIと直接対話することができます。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを通じてサービスが変更されることもあるため、適切なデータを収集するために追加のロギングを設定する必要がある場合もあります。
Windows コマンドコマンドの実行、プロセス。Process: プロセスの作成、Service:Service: サービスのメタデータ、Windows Registry:Windows レジストリキーの変更 273
T1562 防衛回避 プロセスやコマンドライン引数を監視して、セキュリティツールやロギングサービスが殺されたり、実行が停止したりしていないかを確認する。レジストリの編集を監視し、セキュリティツールに対応するサービスや起動プログラムが変更されていないか確認する。

セキュリティ対策を無効にするために利用可能な環境変数や API を監視します。
コンテナ、IaaS、Linux、Office 365、Windows、macOS クラウドサービス。Cloud Service Disable, Cloud Service:クラウドサービスの変更、コマンド。コマンドの実行、Firewall:Firewall: Firewall Disable, Firewall:Firewall: Firewall Disable, Firewall: Firewall Rule Modification, Process:プロセス:プロセスの終了、スクリプト:スクリプトの実行スクリプトの実行、Sensor Health:ホストの状態、サービス。サービスのメタデータ、Windows レジストリ。Windows レジストリ:Windows レジストリキーの削除、Windows レジストリ:Windows レジストリキーの修正Windows レジストリ: Windows レジストリキーの変更 274
T1562.008 防衛回避 ログを無効にするAPIコールのログを監視します。AWSでは、<code>StopLogging</code>と<code>DeleteTrail</code>を監視します。(引用:Stopping CloudTrail from Sending Events to CloudWatch Logs) GCPでは、<code>google.logging.v2.ConfigServiceV2.UpdateSink</code>を監視します。(引用:Configuring Data Access audit logs) Azureでは、<code>az monitor diagnostics-settings delete</code>を監視します。(引用:az monitor diagnostics-settings) さらに、ログソースが突然なくなった場合は、無効化されたことを示している可能性があります。 IaaS クラウドサービス。Cloud Service Disable, Cloud Service:クラウドサービスの変更 275
T1562.002 防衛回避 プロセスやコマンドライン引数を監視し、ログを無効にするためのコマンドを探します。イベントログの欠落は疑わしいかもしれません。 Windows コマンドコマンド実行、Sensor Health。ホストの状態 276
T1562.007 防衛回避 クラウドのログを監視し、セキュリティグループやファイアウォールルールの変更や新規作成を行う。 IaaS ファイアウォールファイアウォールの無効化、ファイアウォールファイアウォールルールの変更 277
T1562.004 防衛回避 プロセスやコマンドライン引数を監視して、ファイアウォールが無効化または変更されているかどうかを確認する。ファイアウォールを管理するキーに対するレジストリの編集を監視する。 Linux、Windows、macOS コマンドコマンド実行, Firewall:Firewall: Firewall Disable, Firewall:Firewall: Firewall Disable, Firewall: Firewall Rule Modification, Windows Registry:Windows レジストリキーの変更 278
T1562.001 防衛回避 プロセスやコマンドライン引数を監視して、セキュリティツールが殺されたり、実行が停止したりしていないかを確認する。レジストリの編集を監視して、セキュリティツールに対応するサービスやスタートアッププログラムが変更されていないか確認する。ログイベントの欠如は疑わしいかもしれません。 コンテナ、IaaS、Linux、Windows、macOS コマンドコマンド実行、プロセス。Process: Process Termination, Sensor Health:ホストの状態、Service:Service Metadata、Windows Registry:Windows レジストリ:Windows レジストリキーの削除、Windows レジストリ:Windows レジストリキーの変更Windows レジストリ: Windows レジストリキーの変更 279
T1562.003 防衛回避 ユーザー セッションと <code>.bash_history</code> に新しいコマンドが明らかにないことを関連付けることは、疑わしい行動の手がかりになります。さらに、ユーザーが<code>HISTCONTROL</code>、<code>HISTFILE</code>、<code>HISTFILESIZE</code>などの環境変数を確認したり変更したりしている場合も、疑わしいと考えられます。

<code>-HistorySaveStyle SaveNothing</code>コマンドライン引数で作成されるプロセスや、PowerShellコマンドの<code>Set-PSReadlineOption -HistorySaveStyle SaveNothing</code>および<code>Set-PSReadLineOption -HistorySavePath {File Path}</code>の使用を通じて、PowerShellのコマンド履歴設定が変更されていないかを監視します。
Linux、Windows、macOS コマンドコマンド実行、Sensor Health。ホストの状態 280
T1562.006 防衛回避 ホストセンサーからのアクティビティの報告がないことを検出します。ブロッキングの方法が異なると、報告の途絶が生じる可能性があります。

収集したホスト情報の種類によっては、プロセスが停止したり、接続がブロックされたりするきっかけとなったイベントを分析者が検出できる場合があります。例えば、Sysmonは、その構成状態が変更されたときにログを記録します(イベントID16)。また、Windows Management Instrumentation(WMI)を使用して、特定のトレースセッションからプロバイダが削除されたことを記録するETWプロバイダを登録することができます。(引用:Medium Event Tracing Tampering 2018) ETWの変更を検出するには、すべてのETWイベントプロバイダーの設定を含むレジストリキーを監視することもできます:<code>HKLM\SYSTEM®CurrentControlSet\WMI\Autologger\AUTOLOGGER_NAME<{PROVIDER_GUID}</code>。
Linux、Windows、macOS コマンドCommand Execution, Sensor Health:ホストの状態、Windows レジストリ。Windows レジストリキーの変更 281
T1525 永続性 ユーザーによるイメージやコンテナとのやりとりを監視して、異常な追加や変更があったものを特定する。

コンテナ環境では、レジストリの設定によっては、Dockerデーモンのログを監視したり、Kubernetesの監査ログを設定して監視することで、変更を検知できる場合がある。
コンテナ、IaaS イメージ画像の作成、画像画像の修正 282
T1070 防衛回避 ファイルシステムの監視は、指標となるファイルの不適切な削除や変更を検出するために使用されることがあります。 ファイルシステムに保存されていないイベントについては、別の検出メカニズムが必要になる場合があります。 コンテナ、Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの削除、ファイル:ファイルのメタデータ、ファイル:ファイルの変更、ネットワークトラフィック。ネットワークトラフィック: ネットワークトラフィックコンテンツ, Process:OS API の実行,Process:プロセスの作成、ユーザーアカウントユーザーアカウント:ユーザーアカウント認証、Windows レジストリ:Windows レジストリキー削除Windows レジストリ:Windows レジストリキーの削除、Windows レジストリ:Windows レジストリキーの変更。Windows レジストリ: Windows レジストリキーの変更 283
T1070.003 防衛回避 特にSSHのようなリモートターミナルサービスを介したユーザー認証で、そのユーザーの<code>~/.bash_history</code>に新しいエントリがない場合は疑わしいです。さらに、<code>~/.bash_history</code>ファイルの削除や消去は、疑わしい活動の指標となります。

<code>ConsoleHost_history.txt</code>の不審な変更や削除、および<code>Clear-History</code>コマンドの使用を監視してください。
Linux、Windows、macOS コマンドの実行コマンド:コマンドの実行、ファイル:ファイルの削除、ファイル:ファイルの変更 284
T1070.002 防衛回避 ファイルシステムの監視では、指標となるファイルの不適切な削除や変更を検出することができます。また、ログファイルを操作する不審なプロセスを監視します。 Linux、macOS コマンドの実行コマンド:コマンドの実行、ファイル:ファイルの削除、ファイル:ファイルの変更 285
T1070.001 防衛回避 Windowsイベントログの削除(ネイティブバイナリ(引用:Microsoft wevtutil 2017年10月)、API関数(引用:Microsoft EventLog.Clear)、または[PowerShell](https://attack.mitre.org/techniques/T1059/001) (引用:Microsoft Clear-EventLog))によっても、変更可能なイベント(イベントID 1102:「The audit log was cleared」)が発生することがあります。 Windows コマンドコマンド実行、プロセスOS APIの実行 286
T1070.004 防衛回避 ユーザー層やシステムの使われ方によっては、DELやサードパーティ製のユーティリティやツールなどの良性のコマンドライン機能に関連するイベントが環境内で発見されることは珍しいかもしれません。コマンドラインの削除機能を監視して、敵対者がドロップして削除する可能性のあるバイナリやその他のファイルとの相関関係を確認することで、悪意のある活動の検知につながる可能性があります。また、企業ネットワーク内のシステムには存在しない、敵対者が持ち込む可能性のある既知の削除ツールや安全な削除ツールを監視することも良い方法です。モニタリングツールの中には、コマンドライン引数を収集するものもありますが、DELはcmd.exeのネイティブ機能なので、DELコマンドを収集することはできません。 Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの削除 287
T1070.005 防衛回避 ネットワーク環境の使用方法によっては、ネットワーク共有の接続が一般的になることがあります。Windows Admin Shares](https://attack.mitre.org/techniques/T1077)の検出のためのベストプラクティスに従うことを含め、SMB上のリモートシェアの確立および削除に関連する<code>net use</code>コマンドのコマンドライン呼び出しを監視します。また、システム間のSMBトラフィックをキャプチャしてデコードし、関連するネットワーク共有セッションやファイル転送アクティビティを探すこともできます。Windowsの認証ログは、認証されたネットワーク共有がいつ、どのアカウントによって確立されたかを判断するのにも役立ちます。また、ネットワーク共有のアクティビティを他のイベントと関連付けて、悪意のあるアクティビティの可能性を調査するのにも使用できます。 Windows コマンドについてコマンド実行、ネットワークトラフィック。Network Traffic: ネットワークトラフィックの内容, Process:Process: プロセスの作成、User Account:ユーザーアカウント認証 288
T1070.006 防衛回避 タイムスタンプが変更されたファイルの側面を検出するフォレンジック技術が存在する。(引用元:WindowsIR Anti-Forensic Techniques)ファイルハンドルオープンの情報を収集し、タイムスタンプの値を比較できるファイル修正モニタリングを使用することで、タイムストンピングを検出できる可能性があります。 Linux、Windows、macOS ファイル:ファイルのメタデータ、ファイル:ファイルの修正 289
T1202 防衛回避 プログラム/コマンド/ファイルの起動および/または子プロセス/ネットワーク接続の生成に関連するパラメータを含む、またはその結果であるプロセスの作成などのイベントについて、Sysmonなどのホストベースの検出メカニズムからのログを監視および分析します。(引用:RSA Forfiles Aug 2017) Windows コマンドコマンドの実行、プロセス。プロセス作成 290
T1105 コマンド&コントロール ファイルの作成やネットワークに転送されるファイルを監視します。外部ネットワークに接続された異常なプロセスがシステム上にファイルを作成している場合は、疑わしい可能性があります。また、通常は発生しないFTPなどのユーティリティーの使用も疑わしい場合があります。

ネットワークデータを分析して、通常とは異なるデータの流れ(クライアントがサーバーから受信するよりも大幅に多くのデータを送信するなど)がないかを確認します。ネットワークを利用するプロセスのうち、通常はネットワーク通信を行わないものや、これまでに見たことがないものは疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2)
Linux、Windows、macOS ファイル:ファイル作成、ネットワークトラフィック。Network Connection Creation(ネットワーク接続の作成)、Network Traffic(ネットワークトラフィック)。ネットワークトラフィック:ネットワーク接続の作成」、「ネットワークトラフィック:ネットワーク接続のコンテンツ」、「ネットワークトラフィック:ネットワーク接続のフローネットワークトラフィックの流れ 291
T1490 インパクト プロセス監視を使用して、vssadmin、wbadmin、bcdedit など、システム回復の阻害に関与するバイ ナリの実行およびコマンドラインパラメータを監視します。Windows のイベントログ(例:システムカタログが削除されたことを示すイベント ID 524)には、疑わしい活動に関連するエントリが含まれている可能性があります。

システムの復旧に関わるサービスの状態を監視します。システムリカバリー機能に関連するレジストリの変更を監視してください(例:<code>HKEY_CURRENT_USER\Software\Policies\Microsoft\PreviousVersions\DisableLocalPage</code>の作成)。
Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの削除、プロセス:プロセスの作成Process: プロセスの作成、Service:Service: サービスのメタデータ、Windows Registry:Windows レジストリキーの変更 292
T1056 コレクション、クレデンシャル・アクセス 検出方法は入力の取得方法によって異なりますが、特定のWindows APIコール(例:`SetWindowsHook`、`GetKeyState`、`GetAsyncKeyState`)の監視(引用:Adventures of a Keystroke)、[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)の悪意のあるインスタンスの監視、キーロギングやAPIフッキングを示唆する未承認のドライバやカーネルモジュールが存在しないことの確認などがあります。 Linux、ネットワーク、Windows、macOS Driver:Driver: Driver Load, File: File Modification, Process: Process:OSのAPI実行、プロセス。プロセスの作成、プロセスプロセスのメタデータ、Windows レジストリ。Windows レジストリキーの変更 293
T1056.004 コレクション、クレデンシャル・アクセス フック手続きをインストールする`SetWindowsHookEx`関数や`SetWinEventHook`関数の呼び出しを監視する(引用:Microsoft Hook Overview)(引用:Volatility Detecting Hooks Sept 2012)また、ツール(引用:Volatility Detecting Hooks Sept 2012)(引用:PreKageo Winhook Jul 2011)(引用:Jay GetHooks Sept 2011)を使ったり、プログラムで内部のカーネル構造を調べたりして、フックチェーン(フックの種類ごとにフック手続きへのポインタを保持する)の分析を検討する。(引用: Zairon Hooking Dec 2006)(引用: EyeofRa Detecting Hooking June 2017)

ルートキット検出器(引用: GMER Rootkits)も、さまざまな種類のフッキング活動を監視するために使用することができます。

メモリ内のコードを対応する静的バイナリのコードと比較することで、ライブプロセスの整合性を検証します。特に、コードフローをリダイレクトするジャンプやその他の命令をチェックします。また、新たに起動したプロセスのスナップショットを取り(引用:Microsoft Process Snapshot)、メモリ内IATを参照される関数の実アドレスと比較することも検討してください。(引用:StackExchange Hooks Jul 2012)(引用:Adlice Software IAT Hooks Oct 2014)
Windows プロセスOSのAPI実行、プロセス。プロセスのメタデータ 294
T1056.002 コレクション、クレデンシャル・アクセス プロセスの実行を監視して、通常とは異なるプログラムや、ユーザーに認証情報の入力を促すために使用される可能性のある[Command and Scripting Interpreter](https://attack.mitre.org/techniques/T1059)の悪意のあるインスタンスを探します。

入力プロンプトを検査・精査して、従来とは異なるバナー、テキスト、タイミング、ソースなどの不正の指標を探します。
Windows、macOS プロセスプロセス作成 295
T1056.001 コレクション、クレデンシャル・アクセス キーロガーには様々な形態があり、レジストリの変更やドライバのインストール、フックの設定、キーストロークを傍受するためのポーリングなどが考えられます。よく使われるAPIコールには、`SetWindowsHook`、`GetKeyState`、`GetAsyncKeyState`などがあります。(引用:Adventures of a Keystroke) レジストリやファイルシステムに変更がないか監視し、インストールされたドライバーを監視し、一般的なキーロギングのAPIコールを探します。APIコールだけではキーロギングの指標にはなりませんが、ディスクに書き込まれた新しいファイルや異常なプロセスなどの他の情報と組み合わせることで有用な行動データが得られる場合があります。 Linux、ネットワーク、Windows、macOS ドライバ。ドライバのロード、プロセスOS APIの実行、Windowsレジストリ。Windows レジストリキーの変更 296
T1056.003 コレクション、クレデンシャル・アクセス ファイルモニタリングを使用して、組織のログインページのWebディレクトリ内のファイルの変更を検出し、Webサーバーのコンテンツの承認された更新と一致しないことを検出することができます。 Linux、Windows、macOS ファイル:ファイルの変更 297
T1559 実行 IPCメカニズムの悪用に関連する、ファイル/コマンド、ロードされたDLL/ライブラリ、または生成されたプロセス内の文字列を監視します。 Windows モジュールモジュールロード、プロセスプロセス作成、スクリプトスクリプトの実行 298
T1559.001 実行 アプリケーションに通常関連していないDLLやその他のモジュールをロードしているCOMオブジェクトを監視します。(引用:Enigma Outlook DCOM Lateral Movement 2017年11月) [Query Registry](https://attack.mitre.org/techniques/T1012)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)を介したCOMオブジェクトの列挙も、悪意のある使用を進める可能性があります。(引用:Fireeye Hunting COM 2019年6月)(引用:Enigma MMC20 COM 2017年1月)

COMオブジェクトに関連するプロセス、特に現在ログオンしているユーザーとは異なるユーザーによって起動されたプロセスの生成を監視します。
Windows モジュールモジュールロード、プロセスプロセス作成、スクリプトスクリプトの実行 299
T1559.002 実行 Microsoft Officeアプリケーションが、通常はアプリケーションに関連付けられていないDLLやその他のモジュールをロードしたり、これらのアプリケーションが異常なプロセス(cmd.exeなど)を生成したりするなど、DDEの乱用を示す異常な動作についてプロセスを監視します。

OLEファイルやOffice Open XMLファイルをスキャンして、「DDEAUTO」、「DDE」、およびDDEの実行を示すその他の文字列を検出することができます。(引用:NVisio Labs DDE Detection Oct 2017)
Windows モジュールモジュールロード、プロセスプロセス作成、スクリプトスクリプトの実行 300
T1534 ラテラル・ムーブメント ネットワーク侵入検知システムやメールゲートウェイは通常、内部のメールをスキャンすることはありませんが、組織はメールのコピーをセキュリティサービスに送信してオフラインで分析するジャーナリングベースのソリューションを活用したり、オンプレミスやAPIベースの統合を利用してサービス統合型のソリューションを取り入れたりすることで、内部のスピアフィッシング攻撃の検知に役立てることができます(引用元:Trend Micro When Phishing Starts from the Inside 2017)。 Google Workspace, Linux, Office 365, SaaS, Windows, macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 301
T1570 ラテラル・ムーブメント SMBなどのプロトコルを使用して、ネットワーク内でのファイル作成やファイル転送を監視します。内部ネットワークに接続されたプロセスがシステム上にファイルを作成する異常なプロセスは疑わしい場合があります。ファイルのリモート転送をサポートするために使用される可能性のあるユーティリティやコマンドライン引数の異常な使用を監視することを検討します。複数のホストで作成された同様のファイルハッシュや特性(例:ファイル名)を監視することを検討します。 Linux、Windows、macOS コマンドコマンド実行、File:ファイル作成、File:ファイルメタデータ、Network Traffic:ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:フロー、Process:プロセス作成 302
T1185 コレクション これは、敵のトラフィックが通常のユーザーのトラフィックに紛れてしまうため、検出が難しい技術です。新たなプロセスは作成されず、ディスクにソフトウェアが追加されることもありません。認証ログを使用して、特定のウェブアプリケーションへのログインを監査することができますが、アクティビティが一般的なユーザの行動と一致する場合、悪意のあるログインと良性のログインを判断することは困難です。ブラウザアプリケーションに対するプロセスインジェクションを監視する。 Windows ログオン・セッションログオンセッションの作成、プロセスプロセスアクセス 303
T1557 コレクション、クレデンシャル・アクセス ネットワークトラフィックを監視し、MiTMの既知の動作に関連する異常を検出する。ネットワーク・トラフィック・フローの形成に関わるシステム設定ファイルの変更を監視することを検討する。 Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの流れ、ネットワークトラフィック。ネットワークトラフィックフロー、サービス。サービスの作成、Windows レジストリ。Windows レジストリキーの変更 304
T1557.002 コレクション、クレデンシャル・アクセス

ARPポイズニングの兆候がないか、エンドポイントのARPキャッシュの変化を収集することを検討してください。例えば、複数のIPアドレスが1つのMACアドレスにマッピングされている場合は、ARPキャッシュがポイズニングされていることを示す指標となります。
Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 305
T1557.001 コレクション、クレデンシャル・アクセス EnableMulticast」のDWORD値が変更されていないか、<code>HKLM_Software_Policies_Microsoft_Windows NT#DNSClient</code>を監視します。値が「0」の場合、LLMNRが無効であることを示します。(引用:Sternsecurity LLMNR-NBTNS)

セキュリティポリシーでLLMNR/NetBIOSが無効になっている場合、ポートUDP5355とUDP137のトラフィックを監視してください。

LLMNR/NBT-NSのスプーフィング検出ツールを導入してください。(引用:GitHub Conveigh) イベントID4697と7045のWindowsイベントログを監視することは、成功したリレー技術を検出するのに役立つかもしれません。(引用:Secure Ideas SMB Relay)
Windows ネットワークトラフィックネットワークトラフィックの流れ、ネットワークトラフィック。ネットワークトラフィックフロー、サービス。サービスの作成、Windows レジストリ。Windows レジストリキーの変更 306
T1036 防衛回避 ファイルのハッシュを収集します。ファイル名と期待されるハッシュが一致しない場合は疑わしいです。ファイルの監視を行います。既知の名前のファイルが通常とは異なる場所にある場合は疑わしいです。

ディスク上のファイル名とバイナリの PE メタデータのファイル名が一致しない場合は、コンパイル後にバイナリの名前が変更されている可能性があります。バイナリのディスクとリソースのファイル名を収集して比較し、InternalName、OriginalFilename、および/またはProductNameが期待されるものと一致しているかどうかを確認することで、有用な手がかりが得られる可能性がありますが、必ずしも悪意のある活動を示すとは限りません。(引用:Elastic Masquerade Ball)ファイルの名前の可能性に注目するのではなく、使用されていることがわかっているコマンドライン引数に注目し、区別した方が検出率が高くなります。(引用:Twitter ItsReallyNick Masquerading Update)

ファイル名の最後の文字にスペースが入っていたり、右から左へのオーバーライド文字「\u202E」、「[U+202E]」、「%E2%80%AE」など、ユーザーを騙してファイルタイプを誤認させようとしている可能性のある一般的な文字の表示を確認してください。
コンテナ、Linux、Windows、macOS コマンドCommand: コマンド実行、File: ファイルのメタデータ、File: ファイルの変更、Image:Image: Image Metadata, Process:プロセス: プロセスのメタデータ, Scheduled Job:Scheduled Job: Scheduled Job Metadata, Scheduled Job:Scheduled Job: Scheduled Job Metadata, Scheduled Job: Scheduled Job Modification, Service:Service: サービス作成、Service:サービス: サービスメタデータ 307
T1036.001 防衛回避 署名証明書のメタデータを収集・分析し、環境内で実行されるソフトウェアの署名の有効性をチェックし、無効な署名や、通常とは異なる証明書の特性や異常値を探します。 Windows、macOS ファイル:ファイルのメタデータ 308
T1036.004 防衛回避 既知のソフトウェアやパッチサイクルなどと相関性のないタスクやサービスの変更を探す。スケジュールされたタスクやサービスを通じた疑わしいプログラムの実行は、過去のデータと比較した際に、これまでに見られなかった異常なプロセスとして表示されることがあります。プロセスやコマンドライン引数を監視して、タスクやサービスを作成するためのアクションを確認する。データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。 Linux, Windows コマンドコマンド実行, スケジュールされたジョブ:Scheduled Job: Scheduled Job Metadata, Scheduled Job:Scheduled Job: Scheduled Job Modification, Service:Service: サービスの作成、Service:サービス: サービスの作成、サービス: メタデータ 309
T1036.005 防衛回避 ファイルのハッシュを収集します。ファイル名と期待されるハッシュが一致しない場合は疑わしいです。ファイルの監視を行います。既知の名前のファイルが通常とは異なる場所にある場合は疑わしいです。

ディスク上のファイル名とバイナリの PE メタデータのファイル名が一致しない場合は、コンパイル後にバイナリの名前が変更されている可能性があります。バイナリのディスクとリソースのファイル名を収集して比較し、InternalName、OriginalFilename、および/またはProductNameが期待されるものと一致しているかどうかを確認することで、有用な手がかりが得られる可能性がありますが、必ずしも悪意のある活動を示すとは限りません。(引用:Elastic Masquerade Ball) ファイル名の可能性に注目するのではなく、使用されていることがわかっているコマンドライン引数に注目し、区別した方が検出率が高くなります。(引用:Twitter ItsReallyNick Masquerading Update)

コンテナ環境では、名前だけに頼るのではなく、イメージIDやレイヤーハッシュを使用してイメージを比較します。(引用:Docker Images) Kubernetesでクラスタ内に予期せぬ新しいリソースが作成されていないか、特に非典型的なユーザによって作成されていないかを監視します。
コンテナ、Linux、Windows、macOS ファイル:ファイルのメタデータ、画像:画像のメタデータImage: Image Metadata, Process: Process Metadataプロセス:プロセスメタデータ 310
T1036.003 防衛回避 ディスク上のファイル名とバイナリの PE メタデータのファイル名が一致しない場合は、コンパイル後にバイナリの名前が変更された可能性が高いと考えられます。バイナリのディスクとリソースのファイル名を収集して比較し、InternalName、OriginalFilename、および/またはProductNameが予想されるものと一致しているかどうかを確認することで、有用な手掛かりを得ることができますが、必ずしも悪意のある活動を示すとは限りません。(引用:Elastic Masquerade Ball) ファイル名の可能性に注目するのではなく、使用されていることがわかっているコマンドライン引数に注目し、それを区別する方が検出率が高くなるからです。(引用:Twitter ItsReallyNick Masquerading Update) Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルのメタデータ、ファイル:ファイルの変更、プロセス。プロセス: プロセスのメタデータ 311
T1036.002 防衛回避 検出方法としては、<code>\u202E</code>、<code>[U+202E]</code>、<code>%E2%80%AE</code>など、ファイル名内のRTLO文字の一般的なフォーマットを調べることが必要です。また、防御側は、解析ツールがRTLO文字を解釈せず、RTLO文字を含むファイルの真の名前を表示するようにチェックする必要があります。 Linux、Windows、macOS ファイル:ファイルのメタデータ 312
T1036.006 防衛回避 ファイル名の最後にスペースがあることは一般的ではありませんので、これはファイルモニタリングで簡単に確認できます。しかし、ユーザーの視点では、Finder.appの中やTerminal.appのコマンドラインからでは、これに気づくのは非常に困難です。ファイル名に標準外の拡張子を含むバイナリから実行されるプロセスは疑わしい。 Linux、macOS ファイル:ファイルのメタデータ 313
T1556 クレデンシャルアクセス、防御回避、パーシスタンス ドメインコントローラおよび/またはローカルコンピュータに書き込まれた新しい、見慣れないDLLファイルを監視する。パスワードフィルターのレジストリエントリの変更を監視し(例:<code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lsa\Notification Packages</code>)、これらのファイルが参照するDLLファイルを関連づけて調査する。

パスワードフィルターは、lsass.exeの自動実行およびロードされるDLLとしても表示されます。(引用:Clymb3r Function Hook Passwords Sept 2013)

lsass.exeを操作するために使用できる<code>OpenProcess</code>の呼び出しを監視します。(引用: Dell Skeleton)

PAM の設定とモジュールのパス (例: <code>/etc/pam.d/</code>) の変更を監視します。

/Library/Security/SecurityAgentPluginsディレクトリに不審な追加がないか監視する。(引用:Xorrior Authorization Plugins)

企業全体および外部からアクセス可能なサービスに対して、堅牢で一貫性のあるアカウントアクティビティ監査ポリシーを設定する。(引用:TechNet Audit Policy) ユーザーアカウント、管理者アカウント、サービスアカウントのいずれかのアカウントを共有しているシステム間で、疑わしいアカウントの動作を確認します。例:1つのアカウントで複数のシステムに同時にログインしている、複数のアカウントで同じマシンに同時にログインしている、変な時間帯や営業時間外にアカウントがログインしている。アクティビティは、インタラクティブなログインセッションや、特定のアカウントとしてリモートシステム上でバイナリを実行するために使用されているアカウントからのプロセスオーナーシップの場合があります。他のセキュリティ・システムとログイン情報を相関させる(例:ユーザがアクティブなログイン・セッションを持っているが、建物に入っていない、またはVPNアクセスを持っていない)。
Linux、ネットワーク、Windows、macOS File:ファイルの作成、File:ファイルの変更、Logon Session:Logon Session: Logon Session Creation, Module:モジュールのロード、プロセスOS APIの実行、Process:プロセスアクセス、Windows レジストリ:Windows レジストリキーの変更 314
T1556.001 クレデンシャルアクセス、防御回避、パーシスタンス ドメインコントローラ上で実行されている lsass.exe を操作するために使用できる <code>OpenProcess</code> の呼び出しや、認証関連のシステム DLL (cryptdll.dll や samsrv.dll など) からエクスポートされる関数に対する悪意のある変更を監視します。(引用:Dell Skeleton)

企業全体および外部からアクセス可能なサービスに対して、強固で一貫性のあるアカウント活動の監査ポリシーを設定します。(引用:TechNet Audit Policy) ユーザーアカウント、管理者アカウント、サービスアカウントのいずれかを共有しているシステム間で、疑わしいアカウントの動作を確認します。例:1つのアカウントで複数のシステムに同時にログインしている、複数のアカウントで同じマシンに同時にログインしている、変な時間帯や営業時間外にアカウントがログインしている。アクティビティは、インタラクティブなログインセッションや、特定のアカウントとしてリモートシステム上でバイナリを実行するために使用されているアカウントからのプロセスオーナーシップの場合があります。他のセキュリティ・システムとログイン情報を関連付ける(例:ユーザーはアクティブなログイン・セッションを持っているが、建物に入っていないか、VPNアクセスを持っていない)。
Windows ファイル:ファイルの変更、ログオンセッション。ログオンセッションの作成、プロセスOS APIの実行、Process:プロセスアクセス 315
T1556.004 クレデンシャルアクセス、防御回避、パーシスタンス オペレーティング システム ファイルのチェックサムを検証し、メモリ内のオペレーティング システムのイメージを検証することを検討してください。(Citation: Cisco IOS Software Integrity Assurance - Image File Verification)(Citation:Cisco IOS Software Integrity Assurance - Run-Time Memory Verification)

この動作の検出は難しいかもしれません。検出の努力は、[Modify System Image](https://attack.mitre.org/techniques/T1601)のような、密接に関連する敵の動作に集中しているかもしれません。
ネットワーク ファイル:ファイルの変更 316
T1556.002 クレデンシャルアクセス、防御回避、パーシスタンス ドメインコントローラおよび/またはローカルコンピュータに書き込まれた新しい、見慣れないDLLファイルを監視する。パスワードフィルタのレジストリエントリの変更を監視し(例:<code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlLsa\Notification Packages</code>)、これらのファイルが参照するDLLファイルを関連付けて調査します。

パスワードフィルタは、lsass.exeの自動実行およびロードされるDLLとしても表示されます。(引用:Clymb3r Function Hook Passwords Sept 2013)
Windows ファイル:ファイル作成、モジュール。モジュールのロード、Windowsレジストリ。Windows レジストリキーの変更 317
T1556.003 クレデンシャルアクセス、防御回避、パーシスタンス PAMの設定とモジュールのパス(例:<code>/etc/pam.d/</code>)の変更を監視する。AIDEなどのシステム統合ツールやauditdなどの監視ツールを使用してPAMファイルを監視します。

ユーザーアカウント、管理者アカウント、サービスアカウントのいずれかを共有しているシステム間で、疑わしいアカウントの動作を確認します。例:1つのアカウントで複数のシステムに同時にログインしている、複数のアカウントで同じマシンに同時にログインしている、変な時間帯(例:ユーザが不在の時)や営業時間外にアカウントがログインしている。アクティビティは、インタラクティブなログインセッションや、特定のアカウントとしてリモートシステム上でバイナリを実行するために使用されているアカウントからのプロセスの所有権である可能性があります。他のセキュリティ・システムとログイン情報を相関させる(例:ユーザはアクティブなログイン・セッションを持っているが、建物に入っていない、またはVPNアクセスを持っていない)。
Linux、macOS File:ファイルの変更、Logon Session。ログオンセッションの作成 318
T1578 防衛回避 クラウド・コンピュート・インフラストラクチャ・コンポーネントのアクティビティを集中的に記録します。短期間に複数のスナップショットが作成された場合や、新規または予期しないユーザが新しいインスタンスにスナップショットをマウントした場合など、疑わしいイベントのシーケンスを監視する。誤検知を減らすために、クラウド事業者がサポートしている場合、有効な変更管理手順では、変更内容とともにログに記録される既知の識別子(タグやヘッダなど)を導入することで、有効で期待されるアクションと悪意のあるアクションを区別することができます。 IaaS インスタンスインスタンスの作成、Instance:Instance: Instance Deletion, Instance: Instance ModificationInstance: Instance Modification, Instance:Instance: Instance Deletion, Instance: Instance Modification, Instance: Instance Start, Instance: Instance StopInstance: Instance Start, Instance: Instance Stop, Snapshot:Snapshot: スナップショットの作成、Snapshot:スナップショット削除、スナップショットSnapshot: Snapshot Deletion, Snapshot: Snapshot Modification, Volume:Volume: ボリュームの作成、Volume:ボリューム: ボリューム作成、ボリューム: ボリューム削除、ボリューム: ボリューム修正ボリュームの変更 319
T1578.002 防衛回避 新しいインスタンスやVMの作成は、多くのクラウド環境で一般的に行われています。イベントは単独で見るのではなく、他のアクティビティにつながる可能性のある一連の動作の一部として見る必要があります。

AWSでは、CloudTrailのログがインスタンスの作成を<code>RunInstances</code>イベントでキャプチャし、AzureではVMの作成がAzureアクティビティログでキャプチャされることがあります。(引用:AWS CloudTrail Search)(引用:Azure Activity Logs) GoogleのCloud Auditログ内のAdmin Activity監査ログは、VMを作成するための<code>gcloud compute instances create</code>の使用を検出するために使用することができます。(引用:Cloud Audit Logs)
IaaS インスタンスインスタンスの作成 320
T1578.001 防衛回避 スナップショットの作成は、多くのクラウド環境で一般的に行われている操作です。

AWSでは、CloudTrailログがスナップショットの作成やAWS BackupのすべてのAPIコールをイベントとして捉えます。CloudTrailによって収集された情報を使用することで、行われたリクエスト、リクエストが行われたIPアドレス、どのユーザーがリクエストを行ったか、いつリクエストが行われたか、その他の詳細を特定することができます(引用:AWS Cloud Trail Backup API)。

Azureでは、スナップショットの作成がAzureアクティビティログに記録されることがあります。また、バックアップ復元イベントは、完了した復元ジョブのカスタムアラートを作成することで、Azure Monitor Log Dataを介して検出することができます(引用:Azure - Monitor Logs)

GoogleのCloud Auditログ内のAdmin Activity監査ログを使用して、スナップショットから新しいVMディスクを作成する<code>gcloud compute instances create</code>コマンドの使用を検出することができます。(引用:Cloud Audit Logs) また、GCP APIの<code>"sourceSnapshot":</code>パラメータを<code>"global/snapshots/[BOOT_SNAPSHOT_NAME]</code>にポイントして使用していることを検出することも可能です。(引用:GCP - Creating and Starting a VM)
IaaS スナップショットスナップショットの作成 321
T1578.003 防衛回避 新しいインスタンスや仮想マシンの削除は、多くのクラウド環境で一般的に行われています。イベントは単独で見るのではなく、他のアクティビティにつながる一連の動作の一部として捉える必要があります。例えば、インスタンスの作成、そのインスタンスへのスナップショットのマウント、新しいユーザーアカウントによるそのインスタンスの削除といった一連のイベントを検出すると、疑わしいアクティビティを示すことになります。

AWSでは、CloudTrailのログが<code>TerminateInstances</code>イベントでインスタンスの削除をキャプチャし、AzureではVMの削除がAzureアクティビティログでキャプチャされることがあります。(引用:AWS CloudTrail Search)(引用:Azure Activity Logs) GoogleのCloud Auditログ内のAdmin Activity監査ログは、VMを削除するための<code>gcloud compute instances delete</code>の使用を検出するために使用することができます。(引用:Cloud Audit Logs)
IaaS インスタンスInstance Deletion 322
T1578.004 防衛回避 インスタンスのアクティビティを集中的に記録し、スナップショットに戻したり、変更をロールバックしたり、ストレージのパーシステンスやタイプを変更した後でも、システムイベントの監視やレビューに利用できるようにする。スナップショットやロールバック、VM構成の変更に関連するイベントを、通常のアクティビティとは別に監視すること。誤検知を減らすために、クラウド事業者がサポートしている場合、有効な変更管理手順では、変更内容とともにログに記録される既知の識別子(タグやヘッダなど)を導入することで、有効で期待されるアクションと悪意のあるアクションを区別することができます。 IaaS インスタンスInstance Modification, Instance:Instance Start, Instance:インスタンスの停止 323
T1112 防衛回避 レジストリへの変更は正常であり、Windowsオペレーティングシステムの一般的な使用中に発生します。特定のキーでレジストリ監査を有効にして、値が変更されるたびに警告可能なイベント(イベントID 4657)を生成することを検討してください(ただし、Reghideやその他の回避方法で値が作成された場合は、このイベントは発生しない可能性があります)。(引用:Microsoft 4657 APR 2017) 既知のソフトウェアやパッチサイクルなどと相関のないソフトウェアをWindowsの起動時にロードするレジストリエントリの変更は、起動フォルダ内のファイルの追加や変更と同様に、疑わしいものです。変更には、新しいサービスや、悪意のあるファイルを指すように既存のバイナリパスを変更することも含まれます。サービス関連のエントリに変更があった場合、そのファイルを実行するために、ローカルまたはリモートのサービスが開始または再起動される可能性があります。

レジストリ内の情報を変更または削除するために実行される可能性のあるアクションについて、プロセスおよびコマンドライン引数を監視します。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することができます。レジストリは、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを通じて変更されることもあり、分析に必要な情報を収集するために、オペレーティングシステムに追加のログ機能を設定する必要がある場合があります。

Reghideなどのレジストリキーの隠蔽に関連するプロセス、コマンドライン引数、およびAPIコールを監視します。(引用:Microsoft Reghide NOV 2006) WindowsのネイティブAPIコールおよび/またはAutoruns(引用:SpectorOps Hiding Reg Jul 2017)やRegDelNull(引用:Microsoft RegDelNull July 2016)などのツールを使用して、悪意のある隠されたレジストリエントリを検査およびクリーンアップします。
Windows コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリ: Windows レジストリキーの作成、Windows レジストリ: Windows レジストリキーの削除、Windows レジストリ: Windows レジストリキーの修正。Windows レジストリ: Windows レジストリキーの修正 324
T1601 防衛回避 ほとんどの組み込みネットワーク機器には、現在稼働しているOSのバージョンを表示するコマンドが用意されています。 このコマンドを使用してオペレーティングシステムのバージョン番号を照会し、対象となる機器で期待されるバージョンと比較します。 この方法は[Patch System Image](https://attack.mitre.org/techniques/T1601/001)と組み合わせて使用されることがあるため、ベンダーが提供するオペレーティングシステム・イメージ・ファイルの整合性も検証することが適切な場合があります。

オペレーティング・システム・ファイルのチェックサムを、信頼できるソースからの既知の優良コピーのチェックサムと比較します。 組み込みネットワーク機器のプラットフォームには、ファイルのチェックサムを計算する機能があるものとないものがあります。 機能を備えているプラットフォームであっても、ファイルのコピーを信頼できるコンピュータにダウンロードし、危険性のないソフトウェアでチェックサムを計算することをお勧めします。 (引用:Cisco IOS Software Integrity Assurance - Image File Verification)

組み込みネットワーク機器のベンダーの多くは、機器の所有者と協力して、メモリ上で実行されているオペレーティングシステムの整合性を検証するための高度なデバッグサポートを提供することができます。 オペレーティングシステムの漏洩が疑われる場合は、ベンダーのテクニカルサポートに連絡し、現在稼働しているシステムをより詳細に検査するためのサービスを受けるようにしてください。 (引用Cisco IOS ソフトウェア インテグリティ アシュアランス - ランタイム メモリの検証)
ネットワーク ファイル:ファイルの変更 325
T1601.002 防衛回避 多くの組み込みネットワーク機器には、現在稼働しているOSのバージョンを表示するコマンドが用意されています。 このコマンドを使用して、オペレーティングシステムのバージョン番号を照会し、対象となる機器で期待されるバージョンと比較します。 イメージのダウングレードは[Patch System Image](https://attack.mitre.org/techniques/T1601/001)と一緒に使用されることがあるため、ベンダーが提供するオペレーティングシステムのイメージファイルの整合性も確認することが適切な場合があります。 ネットワーク ファイル:ファイルの変更 326
T1601.001 防衛回避 オペレーティングシステムファイルのチェックサムを、信頼できるソースからの既知の正常なコピーのチェックサムと比較します。 組み込みネットワークデバイスのプラットフォームには、ファイルのチェックサムを計算する機能があるものとないものがあります。 機能を備えているプラットフォームであっても、ファイルのコピーを信頼できるコンピュータにダウンロードして、侵害されていないソフトウェアでチェックサムを計算することをお勧めします。(引用:Cisco IOS Software Integrity Assurance - Image File Verification)

組み込みネットワーク機器の多くのベンダーは、機器の所有者と協力して、メモリ内で実行されているオペレーティングシステムの整合性を検証するための高度なデバッグサポートを提供することができます。 オペレーティングシステムの漏洩が疑われる場合は、ベンダーのテクニカルサポートに連絡し、現在稼働しているシステムをより詳細に検査するためのサービスを受けるようにしてください。 (引用Cisco IOS ソフトウェア インテグリティ アシュアランス - ランタイム メモリの検証)
ネットワーク ファイル:ファイルの変更 327
T1104 コマンド&コントロール ネットワーク接続を使用した未知または不審なプロセス活動を関連付けるホストデータは、マルウェアのコマンド&コントロールシグネチャやインフラストラクチャに基づく既存の侵害の指標を補完するために重要です。また、システムやネットワークの情報を発見したことによる後続の行動や、横移動を発生源のプロセスに関連付けることも有用なデータとなります。 Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 328
T1106 実行 API関数の良性の使用は一般的であり、悪意のある動作との区別が難しいため、APIコールを監視すると、大量のデータが生成され、特定の状況下で収集しない限り、防御に役立たない可能性があります。APIモニタリングを使用してAPI関数の呼び出しを取り巻く動作と他のイベントを相関させることで、イベントに追加のコンテキストが提供され、それが悪意のある動作によるものかどうかを判断するのに役立つ可能性があります。

Windows API の利用には、呼び出された関数の提供に関連するシステム DLL(kernel32.dll、advapi32.dll、user32.dll、gdi32.dll など)をプロセスがロード/アクセスすることが含まれる場合があります。DLLのロードを監視することで、特に異常なプロセスや悪意のあるプロセスへのロードを監視することで、Windows APIの悪用を示すことができます。ノイズが多いものの、このデータを他の指標と組み合わせることで、敵対者の活動を特定することができます。
Linux、Windows、macOS モジュールモジュールのロード、プロセスOSのAPI実行 329
T1599 防衛回避 問題となっているデバイスとは別のデバイスを使用して、帯域外パケットキャプチャまたはネット ワークフローデータを使用して、ボーダーネットワークデバイスの両方のインターフェイス上のネット ワークトラフィックを監視することを検討する。

ボーダーネットワークデバイスの設定を監視して、ポリシー実施セクションが意図されたものであることを検証する。 より制限の少ない、または以前に許可されていなかった特定のトラフィックタイプを許可するルールを探してください。
ネットワーク ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 330
T1599.001 防衛回避 ボーダーネットワーク機器の両方のインターフェイスでネットワークトラフィックを監視することを検討してください。 ネットワーク間で装置から送信されるパケットを比較し、NATが実装されている兆候を確認してください。 IPアドレスが変更されたパケットは、レイヤ3以降にカプセル化されたデータのサイズと内容が同じである必要があります。 場合によっては、ポートアドレス変換(PAT)も敵対者によって使用されるかもしれません。

ボーダーネットワークデバイスの設定を監視して、意図しないNATルールが許可なく追加されていないかを確認してください。
ネットワーク ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 331
T1498 インパクト ネットワークDoSの検知は、トラフィック量がサービスの可用性に影響を与えるほどになる前に達成できる場合もありますが、そのような応答時間を実現するためには、一般的に非常に積極的な監視と応答性、または上流のネットワークサービスプロバイダが提供するサービスが必要となります。ネットワークやサービスの利用率の急激な増加を検出するには、netflow(引用:Cisco DoSdetectNetflow)、SNMP、カスタムスクリプトなどの典型的なネットワークスループット監視ツールを使用することができます。ネットワーク・トラフィックをリアルタイムで自動化し、定性的に調査することで、ある種のプロトコルの突然の急増を特定することができ、ネットワークDoSイベントの開始時に検出することができます。多くの場合、リードタイムはわずかで、ネットワークやサービスの可用性が低下するイベントの指標となります。その後、前述の分析ツールを使用して、障害の原因となっているDoSの種類を特定し、修復に役立てることができます。 Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS ネットワークトラフィックネットワークトラフィックフロー、センサーヘルスホストの状態 332
T1498.001 インパクト ネットワークフラッドの検出は、トラフィック量がサービスの可用性に影響を与えるほどになる前に達成できる場合もありますが、このような応答時間は、一般的に非常に積極的な監視と応答性、または上流のネットワークサービスプロバイダが提供するサービスを必要とします。ネットワークやサービスの利用率の急激な上昇を検出するためには、netflow(引用:Cisco DoSdetectNetflow)、SNMP、カスタムスクリプトなどの典型的なネットワークスループット監視ツールを使用することができます。ネットワークトラフィックをリアルタイムで自動化し、定性的に調査することで、ある種のプロトコルの突然の急増を特定することができ、ネットワークフラッドイベントの開始を検知することができます。多くの場合、リードタイムが短く、ネットワークまたはサービスの可用性が低下するイベントの指標となることがあります。その後、前述の解析ツールを使用して、障害の原因となっているDoSの種類を特定し、修復に役立てることができます。 Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS ネットワークトラフィックネットワークトラフィックフロー、センサーヘルスホストの状態 333
T1498.002 インパクト リフレクション・アンプフィケーションの検出は、トラフィック量がサービスの可用性に影響を与えるほどになる前に達成できる場合もありますが、このような応答時間を実現するためには、通常、非常に積極的な監視と応答性、または上流のネットワーク・サービス・プロバイダーが提供するサービスが必要です。ネットワークやサービスの利用率の急激な上昇を検出するためには、netflow(引用:Cisco DoSdetectNetflow)、SNMP、カスタムスクリプトなどの典型的なネットワークスループット監視ツールを使用することができます。ネットワーク・トラフィックをリアルタイムで自動化し、定性的に調査することで、1種類のプロトコルの突然の急増を特定し、反射増幅型のDoSイベントを開始時に検出することができます。多くの場合、リードタイムはわずかで、ネットワークやサービスの可用性が低下するイベントの指標となります。そして、前述の解析ツールを使用して、障害の原因となっているDoSの種類を特定し、修復に役立てることができます。 Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS ネットワークトラフィックネットワークトラフィックフロー、センサーヘルスホストの状態 334
T1046 ディスカバリー システムやネットワークの発見技術は、通常、敵対者が環境を知るために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見るべきである。

正当なリモートサービススキャンによる正常で良性のシステムやネットワークイベントは、環境やその使用方法によっては珍しいものになる。合法的なオープンポートや脆弱性のスキャンは環境内で行われることがあり、開発された検知機能との混同を避ける必要がある。また、ネットワーク侵入検知システムを使用してスキャン行為を特定することもできる。ネットワークのプロセス使用を監視し、ネットワーク内のフローを検査してポートスキャンを検出する。
コンテナ、IaaS、Linux、Windows、macOS クラウドサービス。Cloud Service Enumeration, Command:コマンド実行、ネットワークトラフィック。ネットワークトラフィックフロー 335
T1135 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習する際に作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性がある行動の連鎖の一部として見るべきです。

正当なリモートシステムディスカバリーに関連する正常で良性のシステムやネットワークイベントは、環境やその使用方法によっては珍しいものになるかもしれません。プロセスやコマンドラインの引数を監視して、システムやネットワークの情報を収集するために実行される可能性のあるアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールでも情報を取得できる場合があります。
Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 336
T1040 クレデンシャルアクセス、ディスカバリー ネットワークトラフィックを盗聴するまでのイベントを検出することが、最適な検出方法であると考えられます。ホストレベルでは、敵対者は、現在侵害されているシステムを経由しないトラフィックを捕捉するために、有線ネットワーク上の他のデバイスに対して[Man-in-the-Middle](https://attack.mitre.org/techniques/T1557)攻撃を行う必要があると考えられます。このような情報の流れの変化は、エンクレーブ・ネットワーク・レベルで検出可能です。ARPスプーフィングや無償のARPブロードキャストを監視する。侵害されたネットワーク・デバイスを検出するのは、少し難しいです。悪意のある変更を検出するには、管理者のログイン、設定変更、デバイス・イメージの監査が必要です。 Linux、ネットワーク、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 337
T1095 コマンド&コントロール ネットワークトラフィックを分析し、異常なデータを含むICMPメッセージやその他のプロトコル、またはネットワーク内外で通常見られないデータを検出します。(引用元:Cisco Blog Legacy Device Attacks)

ネットワークデータを分析し、通常とは異なるデータの流れを検出します。(例:クライアントがサーバーから受信するデータよりも大幅に多くのデータを送信するなど)通常はネットワーク通信を行わない、あるいはこれまでに見たことのないネットワークを利用するプロセスが疑われる。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出します。(引用:University of Birmingham C2)

代替通信チャネルの有効化および/または利用に関連する機能へのAPIコールを監視および調査します。
Linux、ネットワーク、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 338
T1571 コマンド&コントロール パケットの内容を分析して、使用されているポートに期待されるプロトコルの動作に従わない通信を検出する。ネットワークデータを分析して、通常とは異なるデータの流れ(例:クライアントがサーバーから受信するよりも大幅に多くのデータを送信している)を検出します。通常はネットワーク通信を行わない、またはこれまでに見たことのないネットワークを利用するプロセスは疑わしい。(引用:バーミンガム大学C2) Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 339
T1003 クレデンシャルアクセス ### Windows
lsass.exe と相互作用する予期しないプロセスを監視します。(引用:Medium Detecting Attempt to Steal Passwords from Memory) [Mimikatz](https://attack.mitre.org/software/S0002)のような一般的なクレデンシャルダンパは、LSA Subsystem Service (LSASS) プロセスを開き、LSA secrets key を探し出し、クレデンシャルの詳細が保存されているメモリ内のセクションを復号することでアクセスします。

ハッシュ・ダンパは、ローカル・ファイル・システム(%SystemRoot%/system32/config/SAM)上のSecurity Accounts Manager(SAM)を開いたり、レジストリSAMキーのダンプを作成して、保存されているアカウント・パスワード・ハッシュにアクセスしたりします。ハッシュダンパの中には、ローカルファイルシステムをデバイスとして開き、SAMテーブルを解析することで、ファイルアクセスの防御を回避するものもあります。また、ハッシュを読み取る前にSAMテーブルのインメモリ・コピーを作成するものもあります。

Windows 8.1およびWindows Server 2012 R2では、LSASS.exeが作成されたときのWindowsログを監視して、LSASSが保護されたプロセスとして起動したことを確認します。

プロセスやコマンドライン引数を監視して、クレデンシャルダンピングを示唆するプログラムの実行を確認します。リモートアクセスツールには、機能が組み込まれていたり、[Mimikatz](https://attack.mitre.org/software/S0002)のような既存のツールが組み込まれている場合があります。[PowerShell](https://attack.mitre.org/techniques/T1059/001)スクリプトにも、PowerSploitのInvoke-Mimikatzモジュールのようなクレデンシャルダンプ機能が含まれているものがあります(引用:Powersploit)。分析に必要な情報を収集するためには、オペレーティングシステムで追加のログ機能を設定する必要があるかもしれません。

DCSyncに関連する可能性のあるレプリケーション要求やその他の予定外のアクティビティについて、ドメインコントローラのログを監視します。(引用:Microsoft DRSR Dec 2017) (引用:Microsoft GetNCCChanges) (引用:Samba DRSUAPI) 注意:ドメインコントローラーは、デフォルトのドメインコントローラーアカウントから発信されるレプリケーション要求をログに記録しないことがあります。(引用:Harmj0y DCSync Sept 2015)。また、既知のドメインコントローラーに関連付けられていないIPからのネットワークプロトコル(引用:Microsoft DRSR 2017年12月)(引用:Microsoft NRPC 2017年12月)およびその他のレプリケーション要求(引用:Microsoft SAMR)を監視する。(引用:AdSecurity DCSync Sept 2015)

### Linux
メモリに保存されているパスワードやハッシュを取得するためには、プロセスは解析対象のプロセスの/procファイルシステムにあるマップファイルを開く必要があります。このファイルは<code>/proc/<pid>/maps</code>というパスに格納されており、<code><pid></code>ディレクトリには、このような認証データを照会されるプログラムの固有のpidが格納されています。多くのLinuxディストリビューションに同梱されている監視ツールAuditDを使用すると、procファイルシステムでこのファイルを開く敵対的なプロセスを監視し、そのようなプログラムのpid、プロセス名、および引数について警告することができます。
Linux、Windows、macOS Active Directoryです。Active Directory: Active Directory Object Access, Command:Command: コマンド実行、File: ファイルアクセス、Network Traffic:ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れ、Process:OS API の実行、Process:Process: OS API 実行、Process: プロセスアクセス、Process:プロセスの作成、Windows レジストリ。Windows レジストリキーへのアクセス 340
T1003.008 クレデンシャルアクセス 多くのLinuxディストリビューションに同梱されている監視ツールAuditDは、<code>/etc/passwd</code>や<code>/etc/shadow</code>にアクセスしようとする敵対的なプロセスを監視し、そのようなプログラムのpid、プロセス名、引数を警告するために使用できます。 Linux コマンドコマンド実行、ファイル:ファイルアクセス 341
T1003.005 クレデンシャルアクセス プロセスやコマンドライン引数を監視して、クレデンシャル・ダンピングを示唆するプログラムの実行を監視する。リモートアクセスツールには、Mimikatzのような機能が組み込まれていたり、既存のツールが組み込まれていたりします。PowerSploitのInvoke-Mimikatzモジュールなど、クレデンシャル・ダンピング機能を含むPowerShellスクリプトも存在します(引用:Powersploit)。分析に必要な情報を収集するためには、オペレーティングシステムに追加のログ機能を設定する必要があるかもしれません。

敵対者が使用している危険な[Valid Accounts](https://attack.mitre.org/techniques/T1078)の検出も役立つかもしれません。
Windows コマンドコマンド実行 342
T1003.006 クレデンシャルアクセス DCSyncに関連している可能性のあるレプリケーション要求やその他の予定外のアクティビティについて、ドメインコントローラーのログを監視します。(引用:Microsoft DRSR Dec 2017) (引用:Microsoft GetNCCChanges) (引用:Samba DRSUAPI) また、既知のドメインコントローラーに関連していないIPからのネットワークプロトコル(引用:Microsoft DRSR Dec 2017) (引用:Microsoft NRPC Dec 2017) およびその他のレプリケーション要求(引用:Microsoft SAMR)についても監視します。(引用:AdSecurity DCSync Sept 2015)

注意:ドメインコントローラは、デフォルトのドメインコントローラアカウントから発信されるレプリケーション要求を記録しない場合があります。(引用:Harmj0y DCSync Sept 2015)
Windows Active Directory。Active Directory Object Access, Network Traffic:ネットワークトラフィックの内容、ネットワークトラフィック。ネットワークトラフィックの流れ 343
T1003.004 クレデンシャルアクセス プロセスやコマンドライン引数を監視して、クレデンシャル・ダンピングを示唆するプログラムの実行を監視する。リモートアクセスツールには、Mimikatzのような機能が組み込まれていたり、既存のツールが組み込まれていたりします。PowerSploitのInvoke-Mimikatzモジュールのように、クレデンシャルダンプ機能を含むPowerShellスクリプトも存在します(引用:Powersploit)分析に必要な情報を収集するためには、オペレーティングシステムに追加のログ機能を設定する必要があるかもしれません。 Windows コマンドを実行します。コマンドの実行、Windowsレジストリ。Windows レジストリキーのアクセス 344
T1003.001 クレデンシャルアクセス LSASS.exeと相互作用する予期せぬプロセスを監視します。(引用:Medium Detecting Attempt to Steal Passwords from Memory) Mimikatzなどの一般的なクレデンシャルダンパは、プロセスを開いてLSASS.exeにアクセスし、LSA秘密鍵を探し出し、クレデンシャルの詳細が保存されているメモリ内のセクションを復号します。

Windows 8.1 および Windows Server 2012 R2 では、LSASS.exe が作成されたときの Windows ログを監視し、LSASS が保護されたプロセスとして開始されたことを確認します。

クレデンシャル ダンプを示唆するプログラムの実行について、プロセスおよびコマンドライン引数を監視します。リモートアクセスツールには、機能が組み込まれていたり、Mimikatzのような既存のツールが組み込まれていたりします。また、PowerSploitのInvoke-Mimikatzモジュールなど、クレデンシャルダンプ機能を含むPowerShellスクリプトも存在します(引用:Powersploit)。これらのスクリプトでは、分析に必要な情報を収集するために、オペレーティングシステムに追加のログ機能を設定する必要があるかもしれません。
Windows コマンドコマンド実行、プロセスOS APIの実行、プロセスプロセスアクセス、プロセスプロセス作成 345
T1003.003 クレデンシャルアクセス プロセスやコマンドライン引数を監視して、クレデンシャル・ダンピングを示唆するプログラムの実行、特にNTDS.ditへのアクセスやコピーの試みを監視します。 Windows コマンドコマンド実行、ファイル:ファイルアクセス 346
T1003.007 クレデンシャルアクセス メモリに保存されているパスワードやハッシュを取得するためには,分析対象となるプロセスの/procファイルシステムにあるmapsファイルを開く必要があります。このファイルは、<code>/proc/\*/maps</code>というパスに格納されており、<code>/proc/\*</code>ディレクトリには、認証データを照会するプログラムの固有のpidが格納されています。多くのLinuxディストリビューションに搭載されているAuditD監視ツールを使用すると、procファイルシステムでこのファイルを開く敵対的なプロセスを監視し、そのようなプログラムのpid、プロセス名、および引数を警告することができます。 Linux コマンドコマンド実行、ファイル:ファイルアクセス 347
T1003.002 クレデンシャルアクセス ハッシュダンパは、ローカルファイルシステム(<code>%SystemRoot%/system32/config/SAM</code>)上のSAM(Security Accounts Manager)を開いたり、レジストリのSAMキーのダンプを作成したりして、保存されているアカウントのパスワードハッシュにアクセスします。ハッシュダンプの中には、ローカルファイルシステムをデバイスとして開き、SAMテーブルに解析してファイルアクセスの防御を回避するものもあります。また、ハッシュを読み取る前にSAMテーブルのインメモリ・コピーを作成するものもあります。また、敵対者が使用している危険な[Valid Accounts](https://attack.mitre.org/techniques/T1078)の検出も有効です。 Windows コマンドを実行します。コマンド実行、ファイル:ファイルアクセス、Windowsレジストリ。Windows レジストリキーへのアクセス 348
T1027 防衛回避 ファイルの難読化の検出は、難読化の過程でシグネチャで一意に検出できるような成果物が残らない限り困難です。難読化自体の検出が不可能な場合は、難読化されたファイルの原因となった悪意のある活動(例えば、ファイルシステム上でファイルの書き込み、読み取り、変更に使用された方法)を検出できる可能性があります。

難読化の指標や、'''^'''や'''"''などの解釈されないエスケープ文字などの既知の疑わしい構文を含むコマンドにフラグを立てて分析します。WindowsのSysmonとイベントID 4688は、プロセスのコマンドライン引数を表示します。難読化解除ツールを使用すると、ファイル/ペイロード内のこれらの指標を検出することができます。(引用:GitHub Revoke-Obfuscation) (引用:FireEye Revoke-Obfuscation 2017年7月) (引用:GitHub Office-Crackros 2016年8月)

Initial Access用のペイロードに使用されている難読化は、ネットワークで検出することができます。ネットワーク侵入検知システムやメールゲートウェイのフィルタリングを利用して、圧縮・暗号化された添付ファイルやスクリプトを識別します。電子メールの添付ファイル起爆装置の中には、圧縮・暗号化された添付ファイルを開くことができるものがあります。Web サイトから暗号化された接続で配信されるペイロードは、暗号化されたネットワークトラフィックの検査が必要です。

悪意のあるツールが最初に検出されると、アンチウイルスやその他のセキュリティツールの警告が発せられることがあります。同様の事象は、ネットワークIDSやメールスキャンアプライアンスなどを通じて境界でも発生する可能性があります。最初の検出は、より侵略的な侵入の可能性を示すものとして扱うべきです。警告システムは、最初の警告以降も、検出されなかった活動を徹底的に調査する必要があります。敵対者は、アンチウイルスの検出のような個々のイベントが調査されないことや、アナリストがそのイベントをネットワーク上で発生している他の活動と決定的に関連付けることができないことを想定して、作戦を続行することがあります。
Linux、Windows、macOS コマンドコマンド実行, コマンド。コマンド:コマンドの実行、ファイル:ファイルの内容、ファイル:ファイルの作成、ファイル:ファイルのメタデータ、プロセス:プロセスの作成。プロセス作成 349
T1027.001 防衛回避 ファイルのパディングに使用される方法によっては、ファイルベースの署名は、スキャンまたはオンアクセスベースのツールを使用してパディングを検出することができます。 パディングされたファイルから生成されたプロセスは、実行されると、システムやネットワーク情報の発見や横移動など、侵入に使用されたことを示す他の動作特性を示すことがあります。これらは、ソースファイルを示すイベント指標として使用できます。 Linux、Windows、macOS ファイル:ファイルの内容、ファイル:ファイルのメタデータ 350
T1027.004 防衛回避 csc.exeやGCC/MinGWなどの一般的なコンパイラの実行ファイルパスやコマンドライン引数を監視し、他の不審な行動と相関させることで、通常のユーザや管理者の行動による誤検知を減らします。また、ペイロードのコンパイル時には、ファイル作成やファイル書き込みのイベントが発生することがあります。ネイティブではないバイナリ形式や、Monoのようなクロスプラットフォームのコンパイラや実行フレームワークを探し、それらがシステム上で正当な目的を持っているかどうかを判断する(引用:TrendMicro WindowsAppMac)一般的に、これらはソフトウェア開発のような特定の限られた場合にのみ使用されるべきものです。 Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルのメタデータ、プロセス。プロセス作成 351
T1027.005 防衛回避 悪意のあるツールが最初に検出されると、アンチウイルスやその他のセキュリティツールの警告が発せられることがあります。同様のイベントは、ネットワークIDSや電子メールスキャンアプライアンスなどを通じて境界でも発生する可能性があります。最初の検出は、より侵襲的な侵入の可能性を示すものとして扱われるべきです。警告システムは、最初の警告以降も、検出されなかった活動を徹底的に調査する必要があります。敵対者は、アンチウイルスの検出のような個々のイベントが調査されないことや、アナリストがそのイベントをネットワーク上で発生している他のアクティビティと決定的に関連付けることができないことを想定して、作戦を続行することがあります。 Linux、Windows、macOS 352
T1027.002 防衛回避 ファイルスキャンを使用して、既知のソフトウェアパッカーやパッカー技術の成果物を探します。正規のソフトウェアは、バイナリサイズを小さくしたり、プロプライエタリなコードを保護するためにパッキング技術を使用することがあるため、パッキングは悪意のある活動の決定的な指標ではありません。 Windows、macOS ファイル:ファイルの内容、ファイル:ファイルのメタデータ 353
T1027.003 防衛回避 ステガノグラフィの検出は、難読化プロセスによって残された、既知のシグネチャで検出可能な人工物がない限り困難です。ステガノグラフィの解読に関連するシステムの成果物に残された他のシグネチャが文字列であるかどうかを調べます。 Linux、Windows、macOS ファイル:ファイルの内容 354
T1588 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難である。検知の努力は、防衛回避や指揮統制など、敵のライフサイクルの関連する段階に集中することができる。 PRE 355
T1588.003 リソース開発 この活動の多くは、標的となる組織の目に見えないところで行われるため、この行動の検知は困難です。検知の努力は、[Code Signing](https://attack.mitre.org/techniques/T1553/002)や[Install Root Certificate](https://attack.mitre.org/techniques/T1553/004)など、関連する後続の動作に集中することができます。 PRE 356
T1588.004 リソース開発 新しく発行された証明書やインターネット上のサイトで使用されている証明書の追跡を支援するサービスの利用を検討する。場合によっては、既知の証明書情報を軸にして、他の敵対組織のインフラを発見することができるかもしれません。(引用:Splunk Kovar Certificates 2017)敵対組織のツールのサーバー側コンポーネントの中には、SSL/TLS証明書にデフォルト値が設定されているものがあるかもしれません。(引用:Recorded Future Beacon Certificates)

検知の取り組みは、[Webプロトコル](https://attack.mitre.org/techniques/T1071/001)、[非対称暗号](https://attack.mitre.org/techniques/T1573/002)、および/または[ルート証明書のインストール](https://attack.mitre.org/techniques/T1553/004)など、関連する動作に焦点を当てているかもしれません。
PRE 357
T1588.005 リソース開発
この活動の多くは、対象となる組織の目に見えないところで行われるため、この行動の検知は困難です。検知の努力は、エクスプロイトの使用に関連する行動(すなわち、[公開アプリケーションのエクスプロイト](https://attack.mitre.org/techniques/T1190)、[クライアント実行のためのエクスプロイト](https://attack.mitre.org/techniques/T1203)、[特権エスカレーションのためのエクスプロイト](https://attack.mitre.org/techniques/T1068)、[防御回避のためのエクスプロイト](https://attack.mitre.org/techniques/T1211)、[クレデンシャルアクセスのためのエクスプロイト](https://attack.mitre.org/techniques/T1212)、[リモートサービスのエクスプロイト](https://attack.mitre.org/techniques/T1210)、[アプリケーションまたはシステムのエクスプロイト](https://attack.mitre.org/techniques/T1499/004))に集中することができます。
PRE 358
T1588.001 リソース開発 このような活動の多くは、標的組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の取り組みは、敵のライフサイクルのうち、危殆化した後の段階に焦点を当てることができる。 PRE 359
T1588.002 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の取り組みは、敵のライフサイクルのうち、危殆化した後の段階に焦点を当てることができる。 PRE 360
T1588.006 リソース開発 このような活動の多くは、対象となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の努力は、脆弱性の悪用の可能性に関連する行動(すなわち、[公開アプリケーションの悪用](https://attack.mitre.org/techniques/T1190)、[クライアント実行のための悪用](https://attack.mitre.org/techniques/T1203)、[特権エスカレーションのための悪用](https://attack.mitre.org/techniques/T1068)、[防御回避のための悪用](https://attack.mitre.org/techniques/T1211)、[クレデンシャルアクセスのための悪用](https://attack.mitre.org/techniques/T1212)、[リモートサービスの悪用](https://attack.mitre.org/techniques/T1210)、[アプリケーションまたはシステムの悪用](https://attack.mitre.org/techniques/T1499/004))に焦点を当てることができます。 PRE 361
T1137 永続性 プロセスID(PID)や親プロセスID(PPID)などのプロセス実行情報を収集し、Officeプロセスに起因する異常なアクティビティの連鎖を探します。また、標準的でないプロセス実行ツリーは、疑わしいまたは悪意のある動作を示す場合があります。winword.exeが不審なプロセスや他の敵対的な技術に関連するアクティビティの親プロセスである場合、アプリケーションが悪意を持って使用されたことを示している可能性があります。

Office関連の多くの永続化メカニズムは、レジストリへの変更を必要とし、バイナリ、ファイル、スクリプトがディスクに書き込まれたり、悪意のあるスクリプトを含むように既存のファイルが変更されたりします。レジストリキーの作成や変更に関連するイベントを収集し、Officeベースの永続化に使用される可能性のあるキーを探します。(引用:CrowdStrike Outlook Forms)(引用:Outlook Today Home Page)

マイクロソフトは、メール環境のメール転送ルールやカスタムフォームを安全に収集するためのPowerShellスクリプトと、その出力を解釈するための手順を公開しています。(引用: Microsoft Detect Outlook Forms) SensePostは、悪意のあるルールやフォーム、Home Pageへの攻撃に使用できるツール[Ruler](https://attack.mitre.org/software/S0358)を公開していますが、Rulerの使用を検知するツールを公開しています。(引用: SensePost NotRuler)
Office 365, Windows アプリケーションログ。アプリケーションログ:アプリケーションログの内容、コマンド:コマンドの実行Command: コマンド実行、File: ファイル作成、File: ファイル変更、Module:Module: モジュールのロード、Process: プロセスの作成プロセスの作成, Windows レジストリ:Windows Registry: Windows レジストリキーの作成, Windows Registry:Windows レジストリ: Windows レジストリキーの作成, Windows レジストリ: Windows レジストリキーの変更 362
T1137.006 永続性 ファイルシステム上のOfficeの信頼できる場所を監視・検証し、アドインの有効化に関連するレジストリエントリを監査する(引用:GlobalDotName 2019年6月号)(引用:MRWLabs Office Persistence Add-ins)

プロセスID(PID)と親プロセスID(PPID)を含むプロセス実行情報を収集し、Officeプロセスに起因する異常な活動の連鎖を探します。非標準的なプロセス実行ツリーは、疑わしいまたは悪意のある動作を示すこともあります。
Office 365, Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリキーの変更 363
T1137.001 永続性 Office関連の永続化メカニズムの多くは、レジストリの変更や、バイナリ、ファイル、スクリプトのディスクへの書き込み、または悪意のあるスクリプトを含むように既存のファイルを変更することが必要です。Officeベースの永続化に使用される可能性のあるキーについて、レジストリキーの作成と変更に関連するイベントを収集します。(引用:CrowdStrike Outlook Forms)(引用:Outlook Today Home Page) 基本テンプレートにはVBAマクロが含まれていない可能性が高いため、Normal.dotmのような基本テンプレートの変更も調査する必要があります。また、Officeマクロのセキュリティ設定の変更についても調査する必要があります。(引用:GlobalDotName 2019年6月号) Office 365, Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、ファイル:ファイルの変更、プロセス:プロセスの作成。プロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリキーの変更 364
T1137.002 永続性 Office Testレジストリキーの作成を監視します。Office関連の永続化メカニズムの多くは、レジストリの変更や、バイナリ、ファイル、スクリプトのディスクへの書き込み、または悪意のあるスクリプトを含むように既存のファイルの変更を必要とします。Officeベースのパーシステンスに使用される可能性のあるキーについて、レジストリキーの作成と変更に関連するイベントを収集します。v13.52以降、AutorunsはOffice Testレジストリキーを使用してセットアップされたタスクを検出することができます。(引用:Palo Alto Office Test Sofacy)

Officeプロセスの異常なDLLロードの監視を検討します。
Office 365, Windows コマンドCommand: コマンド実行、File: ファイル作成、File: ファイル修正、Module:モジュールのロード、プロセスプロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリ: Windows レジストリキーの作成, Windows レジストリ: Windows レジストリキーの変更 365
T1137.003 永続性 Microsoftは、メール環境のメール転送ルールやカスタムフォームを安全に収集するためのPowerShellスクリプトと、その出力を解釈するための手順を公開しています。(引用:Microsoft Detect Outlook Forms) SensePostは、悪意のあるルール、フォーム、ホームページへの攻撃に使用できるツール[Ruler](https://attack.mitre.org/software/S0358)を提供していますが、Rulerの使用を検知するツールを公開しています。(引用:SensePost NotRuler)

プロセスID(PID)や親プロセスID(PPID)などのプロセス実行情報を収集し、Officeプロセスに起因する異常なアクティビティの連鎖を探します。標準的でないプロセス実行ツリーは、不審な動作や悪意のある動作を示すこともある。
Office 365, Windows アプリケーションログの内容アプリケーションログの内容、コマンド。コマンド:コマンドの実行、プロセス:プロセスの作成プロセス作成 366
T1137.004 永続性 Microsoftは、メール環境のメール転送ルールやカスタムフォームを安全に収集するためのPowerShellスクリプトと、その出力を解釈するための手順を公開しています。(引用:Microsoft Detect Outlook Forms) SensePostは、悪意のあるルール、フォーム、ホームページへの攻撃に使用できるツール[Ruler](https://attack.mitre.org/software/S0358)を提供していますが、Rulerの使用を検知するツールを公開しています。(引用:SensePost NotRuler)

プロセスID(PID)や親プロセスID(PPID)などのプロセス実行情報を収集し、Officeプロセスに起因する異常なアクティビティの連鎖を探します。標準的でないプロセス実行ツリーは、不審な動作や悪意のある動作を示すこともある。
Office 365, Windows アプリケーションログの内容アプリケーションログの内容、コマンド。コマンド:コマンドの実行、プロセス:プロセスの作成プロセス作成 367
T1137.005 永続性 Microsoftは、メール環境のメール転送ルールやカスタムフォームを安全に収集するためのPowerShellスクリプトと、その出力を解釈するための手順を公開しています。(引用:Microsoft Detect Outlook Forms) SensePostは、悪意のあるルール、フォーム、ホームページへの攻撃に使用できるツール[Ruler](https://attack.mitre.org/software/S0358)を提供していますが、Rulerの使用を検知するツールを公開しています。(引用:SensePost NotRuler)

プロセスID(PID)や親プロセスID(PPID)などのプロセス実行情報を収集し、Officeプロセスに起因する異常なアクティビティの連鎖を探します。標準的でないプロセス実行ツリーは、不審な動作や悪意のある動作を示すこともある。
Office 365, Windows アプリケーションログの内容アプリケーションログの内容、コマンド。コマンド:コマンドの実行、プロセス:プロセスの作成プロセス作成 368
T1201 ディスカバリー パスワードポリシーの発見に使用されている可能性のあるツールやコマンドライン引数のプロセスを監視します。その活動を発信元のシステムの他の不審な活動と相関させることで、有効なユーザや管理者の活動による誤検知の可能性を低減します。敵対者は、操作の初期段階でパスワードポリシーを見つけようとする可能性が高く、その活動は他の発見活動と一緒に起こる可能性があります。 Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 369
T1120 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習していく中で、作戦中に発生します。

プロセスやコマンドラインの引数を監視し、システムやネットワークの情報を収集するためのアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 370
T1069 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習するために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS アプリケーションログ。アプリケーション・ログ・コンテンツ、コマンド。Command: コマンド実行, Group:Group: Group Enumeration, Group:Group: Group Enumeration, Group: Group Metadata, Process:プロセス作成 371
T1069.003 ディスカバリー システムやネットワークの発見技術は、敵が環境を知るために、通常、作戦中に発生します。

プロセスやコマンドライン引数を監視し、システムやネットワークの情報を収集するためのアクションを確認します。また、クラウドサービスのアクティビティログやアカウントログを監視することで、通常のアクティビティのベースラインと比較して異常な不審なコマンドを発見することができます。
Azure AD, Google Workspace, IaaS, Office 365, SaaS アプリケーションログ。アプリケーション・ログ・コンテンツ、コマンド。Command: コマンド実行, Group:Group: Group Enumeration, Group:Group: Group Enumeration, Group: Group Metadata, Process:プロセス作成 372
T1069.002 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習するために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 373
T1069.001 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習するために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を持つリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 374
T1566 初期アクセス ネットワーク侵入検知システムや電子メールゲートウェイを利用して、転送中の悪意のある添付ファイルを使ったフィッシングを検知することができます。また、悪意のある添付ファイルを識別するために爆発室を使用することもできます。

DKIM+SPFやヘッダ解析に基づくフィルタリングは、電子メールの送信者が偽装されていることを検出するのに役立ちます。(引用:Microsoft Anti Spoofing)(引用:ACSC Email Spoofing)

電子メール内のURL検査(短縮リンクの拡大を含む)は、既知の悪意のあるサイトへのリンクを検出するのに役立ちます。起爆装置を使ってこれらのリンクを検出し、自動的に悪意のあるサイトかどうかを判断するか、ユーザーがリンクを訪れたときにコンテンツをキャプチャして待つことができます。

サービスを介したフィッシングに使用される一般的なサードパーティサービスの多くはTLS暗号を利用しているため、最初の通信/配信を検知するには一般的にSSL/TLS検査が必要です。SSL/TLS検査では、侵入検知シグネチャやその他のセキュリティ・ゲートウェイ・アプライアンスがマルウェアを検知できる可能性があります。

アンチウイルスは、ユーザのコンピュータにダウンロードされた悪意のある文書やファイルを検知できる可能性があります。ユーザー実行](https://attack.mitre.org/techniques/T1204)が発生すると、後続する動作の多くの検出が可能になります。
Google Workspace, Linux, Office 365, SaaS, Windows, macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 375
T1598 偵察 フィッシングの具体的な手法によって、検出される内容が異なる場合があります。1つの異常な/未知の送信者からのメッセージを多数のアカウントが受信するなど、疑わしい電子メールのアクティビティを監視する。DKIM+SPFやヘッダー分析に基づくフィルタリングは、電子メールの送信者が偽装されている場合に検出するのに役立ちます。(引用:Microsoft Anti Spoofing)(引用:ACSC Email Spoofing)

リンクをたどる際には、分類されていないサイトや既知の悪質なサイトへの参照を監視します。

ソーシャルメディアのトラフィックを監視し、情報提供を求めるメッセージや、異常なファイルやデータの転送(特に、未知のアカウントや疑わしいアカウントが関与するもの)など、不審な活動がないかを確認します。
PRE アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 376
T1598.002 偵察 1つの異常な/不明な送信者からのメッセージを多数のアカウントが受信するなど、疑わしい電子メールの活動を監視します。DKIM+SPFやヘッダー分析に基づくフィルタリングは、メールの送信者が偽装されている場合の検出に役立ちます。(引用:Microsoft Anti Spoofing)(引用:ACSC Email Spoofing) PRE アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 377
T1598.003 偵察 1つの異常な/不明な送信者からのメッセージを多数のアカウントが受信しているなど、疑わしい電子メールの活動を監視します。DKIM+SPFやヘッダー分析に基づくフィルタリングは、電子メールの送信者が偽装されている場合の検出に役立ちます。(引用:Microsoft Anti Spoofing)(引用:ACSC Email Spoofing)

未分類のサイトや既知の悪質なサイトへの参照を監視します。電子メール内のURLの検査(短縮リンクの拡大を含む)は、既知の悪質なサイトにつながるリンクを検出するのにも役立ちます。
PRE アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 378
T1598.001 偵察 ソーシャルメディアのトラフィックを監視して、情報提供を求めるメッセージや、異常なファイルやデータの転送(特に、未知のアカウントや疑わしいアカウントが関与するもの)など、不審な活動を監視します。

このような活動の多くは、発生率やそれに伴う偽陽性率が非常に高く、標的組織の可視範囲外で行われている可能性があるため、防御側では検知が困難になります。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に集中することがあります。
PRE アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 379
T1566.001 初期アクセス ネットワーク侵入検知システムや電子メールゲートウェイを利用して、転送中の悪意のある添付ファイルを用いたスピアフィッシングを検知することができます。また、悪意のある添付ファイルを特定するために爆発室を使用することもできます。

DKIM+SPFやヘッダ解析に基づくフィルタリングは、電子メールの送信者が偽装されている場合に検出するのに役立ちます。(引用: Microsoft Anti Spoofing)(引用: ACSC Email Spoofing)

アンチウィルスは、電子メールサーバやユーザのコンピュータに保存されるためにスキャンされる悪意のある文書や添付ファイルを検出できる可能性があります。エンドポイントセンシングやネットワークセンシングは、添付ファイルが開かれた後の悪意のあるイベント(Microsoft Word文書やPDFがインターネットに接続されたり、Powershell.exeが生成されたりするなど)を、[Exploitation for Client Execution](https://attack.mitre.org/techniques/T1203)や悪意のあるスクリプトの使用などの手法で検出できる可能性があります。

Microsoft Officeやその他の生産性ソフトウェアから生成される不審な子孫プロセスを監視します。(引用:Elastic - Koadiac Detection with EQL)
Linux、Windows、macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 380
T1566.002 初期アクセス 電子メール内のURL検査(短縮リンクの拡大を含む)は、既知の悪意のあるサイトにつながるリンクを検出するのに役立ちます。起爆装置を使ってこれらのリンクを検出し、自動的に悪意のあるサイトかどうかを判断するか、ユーザーがリンクを訪れたときにコンテンツをキャプチャして待つことができます。

DKIM+SPFやヘッダー分析に基づくフィルタリングは、電子メールの送信者が偽装されている場合に検出するのに役立ちます。(引用:Microsoft Anti Spoofing)(引用:ACSC Email Spoofing)

この技術は通常エンドポイントでのユーザーの操作を伴うため、可能な検出の多くは[User Execution](https://attack.mitre.org/techniques/T1204)が発生した時点で行われます。
Google Workspace, Linux, Office 365, SaaS, Windows, macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 381
T1566.003 初期アクセス スピアフィッシングに使用される一般的なサードパーティのサービスは、TLS暗号を利用しているため、最初の通信/配信を検出するには、通常、SSL/TLS検査が必要です。SSL/TLS検査では、侵入検知シグネチャやその他のセキュリティ・ゲートウェイ・アプライアンスがマルウェアを検知できる可能性があります。

アンチウイルスは、ユーザーのコンピュータにダウンロードされた悪意のあるドキュメントやファイルを検知できる可能性があります。エンドポイント・センシングやネットワーク・センシングでは、ファイルが開かれた後の悪意のあるイベント(Microsoft Word文書やPDFがインターネットに接続されたり、Powershell.exeが生成されたりするなど)を、「クライアント実行のためのエクスプロイト」(https://attack.mitre.org/techniques/T1203)や悪意のあるスクリプトの使用などの手法で検出できる可能性があります。
Linux、Windows、macOS アプリケーションログの内容Application Log: アプリケーションログ コンテンツ, Network Traffic: ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィックネットワークトラフィック:ネットワークトラフィックの流れ 382
T1542 防御力 回避、粘り強さ 悪意のある目的で操作される可能性のあるOS前のブートメカニズムの整合性チェックを行う。ブートレコードやファームウェアのスナップショットを取り、既知の良好なイメージと比較する。APIコールによって実行可能なブートレコード、BIOS、EFIへの変更をログに記録し、既知の良好な動作やパッチと比較する。

ディスクチェック、フォレンジックユーティリティ、デバイスドライバからのデータ(プロセスやAPIコールなど)によって、より深い調査を必要とする異常が発見されることがあります。(引用:ITWorld Hard Disk Health Dec 2014)
Linux、ネットワーク、Windows コマンドコマンド実行、Drive:Drive: Drive Modification, Driver: Driver Metadata:Driver: Driver Metadata, Firmware: Firmware Modification:ファームウェアの変更、ネットワークトラフィック。ネットワークトラフィック:ネットワーク接続の作成、プロセス:OS APIの実行OS APIの実行 383
T1542.003 防御力 回避、粘り強さ MBRとVBRの整合性チェックを行う。MBRとVBRのスナップショットを取り、既知の優良サンプルと比較する。MBRおよびVBRに発生した変化を報告し、不審な活動やさらなる分析の指標とする。 Linux, Windows ドライブドライブの改造 384
T1542.002 防御力 回避、粘り強さ デバイスドライバの使用(プロセスやAPIコールなど)やSMART(Self-Monitoring, Analysis and Reporting Technology)(引用元:SanDisk SMART)(引用元:SmartMontools)のディスク監視で提供されるデータやテレメトリにより、コンポーネントの悪意ある操作が明らかになることがあります。

ディスクチェックおよびフォレンジックユーティリティ(引用:ITWorld Hard Disk Health Dec 2014)は、文字列、予期しないディスクパーティションテーブルエントリ、またはより詳細な調査を必要とする異常なメモリブロックなど、悪意のあるファームウェアの指標を明らかにすることがあります。また、コンポーネントのファームウェアと動作のハッシュを含むコンポーネントを、既知の正常なイメージと比較することも検討してください。
Windows ドライバです。Driver: Driver Metadata、Firmware:ファームウェア:ファームウェアの変更、プロセスOS APIの実行 385
T1542.004 防御力 回避、粘り強さ 防御側がベンダーのサポートを受けずにROMMONの動作を検証する手段は文書化されていません。ネットワーク機器が侵害された疑いがある場合は、ベンダーに連絡してさらなる調査を支援してもらってください。 ネットワーク ファームウェアです。ファームウェアの変更 386
T1542.001 防御力 回避、粘り強さ システムのファームウェアの操作を検出することができる。(引用:MITRE Trustworthy Firmware Measurement) 脆弱なシステムのBIOSイメージをダンプして検査し、既知の正常なイメージと比較する。(引用:MITRE Copernicus) 違いを分析して、悪意のある変更が行われたかどうかを判断する。BIOSへの読み書きの試みを記録し、既知のパッチ動作と比較する。

同様に、EFIモジュールを収集し、EFI実行バイナリの既知のクリーンなリストと比較することで、潜在的に悪意のあるモジュールを検出することができます。CHIPSECフレームワークを使用して、ファームウェアの変更が行われたかどうかを分析することができます。(引用:McAfee CHIPSEC Blog) (引用:Github CHIPSEC) (引用:Intel HackingTeam UEFI Rootkit)
Windows ファームウェアです。ファームウェアの変更 387
T1542.005 防御力 回避、粘り強さ システム ブート、起動構成、または実行中の OS に対する不正な変更を発見するために、ネットワーク デバイスの構成とシステム イメージのコピーを既知の良いバージョンと比較することを検討します。(引用:Cisco IOS Software Integrity Assurance - Secure Boot)(引用:Cisco IOS Software Integrity Assurance - Image File Verification)ランタイム メモリの比較でも同様の処理が可能ですが、これは自明ではないため、ベンダーの支援が必要な場合があります。 (引用Cisco IOS Software Integrity Assurance - Run-Time Memory Verification)

コンソールまたは実行メモリの一部でコマンド履歴を確認し、未承認または疑わしいコマンドがデバイス構成の変更に使用されていないかどうかを確認します。(引用:Cisco IOS Software Integrity Assurance - Command History) システムの稼働時間、起動したイメージ、起動構成などのブート情報を確認し、結果が環境で予想される動作と一致しているかどうかを判断する。(引用:Cisco IOS Software Integrity Assurance - Boot Information) TFTP やその他のファイル共有プロトコルを特に標的とするような、デバイスへの異常な接続や接続試行を監視します。
ネットワーク コマンドコマンド実行、ファームウェア。Firmware:ファームウェアの変更、Network Traffic:ネットワークトラフィック。ネットワーク接続の作成 388
T1057 ディスカバリー システムやネットワークの発見技術は、通常、敵対者が環境を学習していく中で、作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性がある行動の連鎖の一部として見るべきです。

プロセスの発見のように見える通常の良性のシステムやネットワークのイベントは、環境や使用方法によっては珍しいものになります。プロセスやコマンドラインの引数を監視して、システムやネットワークの情報を収集するために実行される可能性のあるアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールでも情報を取得できる場合があります。
Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 389
T1055 防御回避、特権のエスカレーション 様々なタイプのコードインジェクションを示すWindows APIコールを監視すると、膨大な量のデータが発生する可能性があります。また、API関数の良心的な使用は一般的であり、悪意のある動作との区別が難しいため、特定の状況下で既知の悪質なコールのシーケンスを収集しない限り、防御に直接役立たない可能性があります。<code>CreateRemoteThread</code>、<code>SuspendThread</code>/<code>SetThreadContext</code>/<code>ResumeThread</code>、<code>QueueUserAPC</code>/<code>NtQueueApc</code>などの Windows API 呼び出しは、悪意のある動作と区別することが困難です。code>NtQueueApcThread</code>のように、他のプロセス内のメモリを変更するために使用できるものや、<code>VirtualAllocEx</code>/<code>WriteProcessMemory</code>のように、このテクニックに使用することができます。(引用:Elastic Process Injection 2017年7月)

DLL/PEファイルのイベント、具体的にはこれらのバイナリファイルの作成や、プロセスへのDLLの読み込みを監視します。認識されていない、または通常はプロセスにロードされないDLLを探してください。

ptraceシステムコールなどのLinux固有のコールを監視しても、その特殊な性質のために大量のデータは生成されないはずですが、一般的なプロセスインジェクション手法の一部を検出するための非常に効果的な方法となります。(引用:ArtOfMemoryForensics) (引用:GNU Acct) (引用:RHEL auditd) (引用:Chokepoint preload rootkits)

外部モジュールに感染したプロセスを示す可能性のある指標として、名前付きパイプの作成および接続イベント(イベントID 17および18)を監視します。(引用:Microsoft Sysmon v6 May 2017)

プロセスの動作を分析して、ネットワーク接続を開く、ファイルを読むなど、通常は行わない動作をプロセスが行っているかどうかを判断し、危殆化後の動作に関連する可能性のある疑わしい動作を判断します。
Linux、Windows、macOS File: File Metadata, File: File Modification, Module:モジュールのロード、プロセスOSのAPI実行、プロセスプロセスアクセス 390
T1055.004 防御回避、特権のエスカレーション 様々なタイプのコード・インジェクションを示すWindows APIコールを監視すると、膨大な量のデータが生成される可能性があります。また、API関数の良性の使用は一般的であり、悪意のある動作との区別が難しいため、特定の状況下で既知の悪質なコール・シーケンスを収集しない限り、防御に直接役立たない可能性があります。Windows の API コールには、<code>SuspendThread</code>/<code>SetThreadContext</code>/<code>ResumeThread</code>、<code>QueueUserAPC</code>/<code>NtQueueApcThread<?<code>VirtualAllocEx</code>/<code>WriteProcessMemory</code>など、他のプロセス内のメモリを変更するために使用できるものが、このテクニックに使用される可能性があります。(引用:Elastic Process Injection 2017年7月)

プロセスの動作を分析して、プロセスがネットワーク接続を開いたり、ファイルを読み込んだり、あるいはコンプロマイズ後の動作に関連する可能性のあるその他の疑わしい動作など、通常は行わない動作を行っているかどうかを判断します。
Windows プロセスOSのAPI実行、プロセスプロセスアクセス 391
T1055.001 防御回避、特権のエスカレーション 様々なタイプのコード・インジェクションを示すWindows APIコールを監視すると、膨大な量のデータが生成される可能性があります。また、API関数の良性の使用は一般的であり、悪意のある動作との区別が難しいため、既知の悪質なコール・シーケンスについて特定の状況下で収集しない限り、防御に直接役立たない可能性があります。<code>CreateRemoteThread</code>などのWindows APIコールや、<code>VirtualAllocEx</code>/<code>WriteProcessMemory</code>など、他のプロセス内のメモリを変更するために使用できるものが、この手法に使用される可能性があります(引用:Elastic Process Injection 2017年7月)

DLL/PEファイルのイベントを監視します。具体的には、これらのバイナリファイルの作成や、プロセスへのDLLのロードを監視します。認識されていない、または通常はプロセスにロードされないDLLを探します。

プロセスの動作を分析して、プロセスがネットワーク接続を開く、ファイルを読むなど、通常は行わない動作を行っているかどうか、または危殆化後の動作に関連する可能性のあるその他の疑わしい動作を判断します。
Windows モジュールモジュールのロード、プロセスOSのAPI実行、プロセスプロセスアクセス 392
T1055.011 防御の回避、特権のエスカレーション GetWindowLong(引用元:Microsoft GetWindowLong関数)やSetWindowLong(引用元:Microsoft SetWindowLong関数)など、EWMの列挙や操作に関連するAPIコールを監視します。また、この手法に関連するマルウェアは、SendNotifyMessage(引用:Microsoft SendNotifyMessage関数)を使用して、関連するウィンドウプロシージャを起動し、最終的に悪意のあるインジェクションを行います。(引用:Elastic Process Injection 2017年7月) Windows プロセスOSのAPI実行 393
T1055.002 防御の回避、特権のエスカレーション 様々なタイプのコード・インジェクションを示すWindows APIコールを監視すると、膨大な量のデータが生成される可能性があります。また、API関数の良性の使用は一般的であり、悪意のある動作との区別が難しいため、特定の状況下で既知の悪質なコール・シーケンスを収集しない限り、防御に直接役立たない可能性があります。<code>CreateRemoteThread</code>などのWindowsのAPIコールや、<code>VirtualAllocEx</code>/<code>WriteProcessMemory</code>など、他のプロセス内のメモリを変更するために使用できるAPIコールが、この手法に使用される可能性があります。(引用:Elastic Process Injection 2017年7月)

プロセスの動作を分析して、プロセスがネットワーク接続を開いたり、ファイルを読み込んだり、あるいはコンプロマイズ後の動作に関連する可能性のあるその他の疑わしい動作など、通常は行わない動作を行っているかどうかを判断します。
Windows プロセスOSのAPI実行、プロセスプロセスアクセス 394
T1055.009 防御回避、特権のエスカレーション ファイルシステムの監視により、/procファイルが変更されているかどうかを確認できます。

プロセスの動作を分析して、プロセスが通常は行わない動作を行っていないかどうかを判断します。例えば、ネットワーク接続を開いたり、ファイルを読み込んだり、危殆化後の動作に関連するような疑わしい動作を行っていないかどうかを判断します。
Linux ファイル:ファイルの変更 395
T1055.013 防御回避、特権のエスカレーション <code>CreateTransaction</code>、<code>CreateFileTransacted</code>、<code>RollbackTransaction</code>、およびTxFの活動を示すその他のまれにしか使用されない関数の呼び出しを監視および分析します。また、プロセス ドッペルグは、<code>NtCreateProcessEx</code>や<code>NtCreateThreadEx</code>への呼び出しや、<code>WriteProcessMemory</code>など、他のプロセス内のメモリを変更するために使用されるAPI呼び出しを介して、Windowsプロセス ローダーの時代遅れで文書化されていない実装を呼び出します。(引用:BlackHat Process Doppelg?ning Dec 2017) (引用:hasherezade Process Doppelg?ning Dec 2017)

プロセスが作成または削除されるたびにコールバックをトリガするPsSetCreateProcessNotifyRoutine(引用:Microsoft PsSetCreateProcessNotifyRoutineルーチン)の間に報告されたファイルオブジェクトをスキャンし、特に書き込みアクセスが有効になっているファイルオブジェクトを探します。(引用:BlackHat Process Doppelg?nging Dec 2017) また、メモリ上に読み込まれたファイルオブジェクトと、ディスク上の対応するファイルを比較することも検討します。(引用: hasherezade Process Doppelg?ng 2017年12月)

プロセスの動作を分析して、プロセスがネットワーク接続を開いたり、ファイルを読み込んだり、あるいは危殆化後の動作に関連する可能性のあるその他の不審な動作など、通常は行わない動作を行っているかどうかを判断します。
Windows ファイル:ファイルのメタデータ、プロセスOS APIの実行 396
T1055.012 防御回避、特権のエスカレーション 様々なタイプのコードインジェクションを示すWindows APIコールを監視すると、膨大な量のデータが生成される可能性があります。また、API関数の良性の使用は一般的であり、悪意のある動作との区別が難しいため、特定の状況下で既知の悪質なコールのシーケンスを収集しない限り、防御に直接役立たない可能性があります。<code>CreateRemoteThread</code>、<code>SuspendThread</code>/<code>SetThreadContext</code>/<code>ResumeThread</code> などの Windows API コールや、これらのコールを使用して悪意のある操作を行うことはできません。や、<code>VirtualAllocEx</code>/<code>WriteProcessMemory</code>のように、他のプロセス内のメモリを変更するために使用できるものは、このテクニックに使用することができます。(引用:Elastic Process Injection 2017年7月)

プロセスの動作を分析して、プロセスがネットワーク接続を開いたり、ファイルを読み込んだり、あるいはコンプロマイズ後の動作に関連する可能性のあるその他の疑わしい動作など、通常は行わない動作を行っているかどうかを判断します。
Windows プロセスOSのAPI実行、プロセスプロセスアクセス 397
T1055.008 防御の回避、特権のエスカレーション ptraceシステムコールなどのLinux特有のコールを監視しても、その特殊な性質から大量のデータを生成することはなく、一般的なプロセスインジェクション手法のいくつかを検出するための非常に効果的な方法となります。(引用:ArtOfMemoryForensics) (引用:GNU Acct) (引用:RHEL auditd) (引用:Chokepoint preload rootkits)

プロセスの動作を分析して、プロセスがネットワーク接続を開いたり、ファイルを読み込んだりするなど、通常は行わない動作を行っていないかどうかを判断し、危殆化後の動作に関連する可能性のある疑わしい動作を確認します。
Linux プロセスOSのAPI実行、プロセスプロセスアクセス 398
T1055.003 防御回避、特権のエスカレーション 様々なタイプのコードインジェクションを示すWindows APIコールを監視すると、膨大な量のデータが生成される可能性があります。また、API関数の良性の使用は一般的であり、悪意のある動作との区別が難しいため、特定の状況下で既知の悪質なコールのシーケンスを収集しない限り、防御に直接役立たない可能性があります。<code>CreateRemoteThread</code>、<code>SuspendThread</code>/<code>SetThreadContext</code>/<code>ResumeThread</code> などの Windows API コールや、これらのコールを使用して悪意のある操作を行うことができます。や、<code>VirtualAllocEx</code>/<code>WriteProcessMemory</code>のように、他のプロセス内のメモリを変更するために使用できるものは、このテクニックに使用することができます。(引用:Elastic Process Injection 2017年7月)

プロセスの動作を分析して、プロセスがネットワーク接続を開いたり、ファイルを読み込んだり、あるいはコンプロマイズ後の動作に関連する可能性のあるその他の疑わしい動作など、通常は行わない動作を行っているかどうかを判断します。
Windows プロセスOSのAPI実行、プロセスプロセスアクセス 399
T1055.005 防御回避、特権のエスカレーション 様々なタイプのコードインジェクションを示すWindows APIコールを監視すると、膨大な量のデータが生成される可能性があります。また、API関数の良性の使用は一般的で、悪意のある動作との区別が難しいため、特定の状況下で既知の悪質なコールのシーケンスを収集しない限り、防御に直接役立たない可能性があります。<code>CreateRemoteThread</code>、<code>SuspendThread</code>/<code>SetThreadContext</code>/<code>ResumeThread</code> などの Windows API コールや、これらのコールを使用して悪意のある操作を行うことはできません。や、<code>VirtualAllocEx</code>/<code>WriteProcessMemory</code>のように、他のプロセス内のメモリを変更するために使用できるものは、このテクニックに使用することができます。(引用:Elastic Process Injection 2017年7月)

プロセスの動作を分析して、プロセスがネットワーク接続を開いたり、ファイルを読み込んだり、あるいはコンプロマイズ後の動作に関連する可能性のあるその他の疑わしい動作など、通常は行わない動作を行っているかどうかを判断します。
Windows プロセスOSのAPI実行、プロセスプロセスアクセス 400
T1055.014 防御回避、特権のエスカレーション ptraceやmmapなどのシステムコールが悪意を持って使用されていないかどうかを監視します。引用:ArtOfMemoryForensics)(引用:GNU Acct)(引用:RHEL auditd)(引用:Chokepoint preload rootkits)

プロセスの動作を分析して、ネットワーク接続を開いたり、ファイルを読み込んだりするなど、通常は行わない動作をプロセスが行っていないかどうかを判断し、侵害後の動作に関連する可能性のある疑わしい動作を確認します。
Linux モジュールモジュールのロード、プロセスOSのAPI実行 401
T1572 コマンド&コントロール SSH(ポート22)など、トンネリングに一般的に関連するポート/プロトコルを使用して、外部接続をリッスン/確立するシステムを監視します。また、PlinkやOpenSSHクライアントなど、トンネリングによく関連するプロセスを監視します。

ネットワークデータを分析して、通常とは異なるデータの流れ(クライアントがサーバーから受信するよりも大幅に多くのデータを送信しているなど)を調べます。通常はネットワーク通信を行わない、あるいはこれまでに見たことがないようなネットワークを利用するプロセスは疑わしい。パケットの内容を分析して、シンタックス、構造、またはデータを隠すために敵が利用する可能性のあるその他の変数に関して、期待されるプロトコル標準に従わないアプリケーション層のプロトコルを検出します(引用: University of Birmingham C2)。
Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 402
T1090 コマンド&コントロール ネットワークデータを分析して、通常とは異なるデータの流れ(クライアントがサーバーから受信するよりも大幅に多くのデータを送信している場合や、互いに通信しないはずの、あるいは通信しないことが多いクライアント間でのデータの流れなど)を調べます。通常はネットワーク通信を行っていない、またはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用しているポートに期待されるプロトコルの動作に従わない通信を検出する。(引用:バーミンガム大学 C2)

既知の匿名性ネットワーク([Tor](https://attack.mitre.org/software/S0183)など)へのトラフィックの監視を検討します。
Linux、ネットワーク、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 403
T1090.004 コマンド&コントロール SSL 検査が実施されている場合や、トラフィックが暗号化されていない場合は、HTTP ヘッダーの Host フィールドが HTTPS SNI と一致するかどうか、またはドメイン名のブロックリストや許可リストと照合することができます。(引用Fifield Blocking Resistent Communication through domain fronting 2015) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックの内容 404
T1090.002 コマンド&コントロール ネットワークデータを分析し、通常とは異なるデータの流れを確認する。例えば、クライアントが外部のサーバーから受信するよりも大幅に多くのデータを送信している場合など。通常のネットワーク通信を行っていない、あるいはこれまでに見たことのないネットワークを利用しているプロセスが疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 405
T1090.001 コマンド&コントロール ネットワークデータを分析して、互いに通信しないはずの、あるいは頻繁に通信しないクライアント間で、通常とは異なるデータの流れがないかどうか。通常はネットワーク通信を行わない、あるいは見たことのないネットワークを利用するプロセスが疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルの動作に従わない通信を検出する(引用:University of Birmingham C2) Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 406
T1090.003 コマンド&コントロール マルチホップ・プロキシの使用を監視する場合、実際のコマンド&コントロール・サーバからのネットワーク・データを使用することで、受信フローと送信フローの相関を取り、悪意のあるトラフィックをその発生源まで追跡することができます。マルチホッププロキシは、既知の匿名ネットワーク([Tor](https://attack.mitre.org/software/S0183)など)や、この技術を使用している既知の敵対的インフラストラクチャへのトラフィックを警告することでも検出できます。

ネットワークデバイスのコンテキストでは、インターネットからの暗号化された通信のうち、ボーダルーターに宛てられたトラフィックを監視します。 このトラフィックを設定と比較して、デバイスが意図したサイト間仮想プライベートネットワーク(VPN)接続が設定されているかどうかを判断します。侵入された可能性のあるルータから発信された、組織内の他のルータに宛てられた暗号化通信のトラフィックを監視します。 送信元と送信先をデバイスの設定と比較し、これらのチャネルが許可された仮想プライベート・ネットワーク (VPN) 接続であるか、またはその他の暗号化された通信モードであるかを判断します。ボーダールータに宛てられた、暗号化されたインターネットからのICMPトラフィックを監視する。 暗号化されたデータをICMP経由でネットワーク機器に送信する正当なユースケースは、あったとしてもほとんどありません。
Linux、ネットワーク、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 407
T1012 ディスカバリー システムやネットワークの発見技術は、通常、敵対者が環境を知るために作戦中に発生します。

Windows レジストリとの連携は、[Reg](https://attack.mitre.org/software/S0075)などのユーティリティを使用したコマンドラインから、または API を通じてレジストリと連携する可能性のあるマルウェアの実行を通じて行われることがあります。レジストリへの問い合わせに使用されるユーティリティーのコマンドラインからの起動は、プロセスおよびコマンドラインの監視によって検出される場合があります。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールからも情報を取得することができます。
Windows コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセスの作成、Windows レジストリ。Windows レジストリキーへのアクセス 408
T1219 コマンド&コントロール リモート管理ツールに関連するアプリケーションやプロセスを監視する。これらのツールが正規のユーザや管理者によって使用されている場合、誤検知を減らすために、他の不審な行動とアクティビティを関連付けます。

ネットワークデータを分析して、通常とは異なるデータフロー(クライアントがサーバから受信するよりも大幅に多くのデータを送信するなど)を確認します。通常はネットワーク通信を行わない、あるいはこれまでに見たことがないようなネットワークを利用するプロセスは疑わしい。パケットの内容を分析して、使用されているポートに対して期待されるプロトコルに従わないアプリケーション層のプロトコルを検出する。

[Domain Fronting](https://attack.mitre.org/techniques/T1090/004)は、防御を回避するために併用されることがあります。敵対者は、これらのリモートツールを侵害されたシステムに導入する必要があるでしょう。ホストベースのソリューションでは、これらのツールのインストールを検出または防止できる可能性があります。
Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れネットワークトラフィックの流れ、プロセスプロセス作成 409
T1563 ラテラル・ムーブメント これらのサービスの使用は、ネットワーク環境や使用方法によっては、正当なものである可能性があります。また、アクセスパターンやリモートログイン後に発生するアクティビティなど、その他の要因によって、そのサービスに対する疑わしいまたは悪意のある行動が示されることもあります。通常はアクセスしないシステムにログインしたユーザアカウントや、比較的短期間に複数のシステムにアクセスするパターンを監視します。

サービスセッションのハイジャックに関連するプロセスやコマンドライン引数を監視します。
Linux、Windows、macOS コマンド。Command: コマンド実行、Logon Session:Logon Session: Logon Session Creation, Network Traffic:ネットワークトラフィック: ネットワークトラフィックコンテンツ, ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:フロー、プロセス:プロセスの作成プロセス作成 410
T1563.002 ラテラル・ムーブメント RDPセッションのハイジャックを検出するために、`tscon.exe`の使用についてプロセスを監視し、`cmd.exe /k`または`cmd.exe /c`を引数に使用するサービス作成を監視することを検討してください。

RDPの使用は、ネットワーク環境や使用方法によっては、正当なものである可能性があります。また、アクセスパターンやリモートログイン後のアクティビティなど、その他の要素がRDPの不審な動作や悪意のある動作を示している場合もあります。
Windows コマンド。Command: コマンド実行、Logon Session:Logon Session: Logon Session Creation, Network Traffic:ネットワークトラフィック: ネットワークトラフィックコンテンツ, ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:フロー、プロセス:プロセスの作成プロセス作成 411
T1563.001 ラテラル・ムーブメント SSHの使用は、ネットワーク環境や使用方法によっては、正当なものである可能性があります。また、アクセスパターンやリモートログイン後のアクティビティなど、その他の要因によって、SSHを利用した疑わしいまたは悪質な行為が示されることもあります。通常はアクセスしないシステムにログインしているユーザアカウントや、比較的短期間に複数のシステムにアクセスしているパターンを監視します。また、異なるユーザが使用しているユーザのSSHエージェントのソケットファイルを監視します。 Linux、macOS コマンド。Command: コマンド実行、Logon Session:Logon Session: Logon Session Creation, Network Traffic:ネットワークトラフィック: ネットワークトラフィックコンテンツ, ネットワークトラフィック:ネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:フロー、プロセス:プロセスの作成プロセス作成 412
T1021 ラテラル・ムーブメント リモートサービスに関連するログインアクティビティの使用を、異常な動作やその他の悪意のあるまたは疑わしいアクティビティと関連付ける。敵対者は、横移動を試みる前に、発見技術によって環境とシステム間の関係を知る必要があるでしょう。 Linux、Windows、macOS コマンド。Command: コマンド実行、Logon Session:Logon Session: Logon Session Creation, Module:モジュールのロード、Network Share:Network Share: Network Share Access, Network Traffic:ネットワーク接続の作成, ネットワークトラフィック:ネットワークトラフィック:ネットワーク接続の作成, ネットワークトラフィック:ネットワークトラフィックフロー, プロセス:プロセス作成 413
T1021.003 ラテラル・ムーブメント アプリケーションに通常関連付けられていないDLLやその他のモジュールをロードしているCOMオブジェクトを監視する。(引用:Enigma Outlook DCOM Lateral Movement 2017年11月) [Query Registry](https://attack.mitre.org/techniques/T1012)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)を介したCOMオブジェクトの列挙も、悪意のある使用を進める可能性がある。(引用:Fireeye Hunting COM 2019年6月)(引用:Enigma MMC20 COM 2017年1月) COMオブジェクトに関連するプロセス、特に現在ログオンしているユーザーとは異なるユーザーによって起動されたプロセスの生成を監視する。

分散コンピューティング環境/リモートプロシージャコール(DCE/RPC)トラフィックの流入や異常な増加を監視する。
Windows モジュールモジュールロード、ネットワークトラフィックネットワークトラフィック:ネットワーク接続の作成、プロセス:プロセスの作成プロセス作成 414
T1021.001 ラテラル・ムーブメント RDPの使用は、ネットワーク環境や使用方法によっては正当なものである可能性があります。また、アクセスパターンやリモートログイン後に発生するアクティビティなど、その他の要素がRDPの不審な動作や悪意のある動作を示している場合もあります。通常はアクセスしないシステムにログインしたユーザアカウントや、比較的短期間に複数のシステムにアクセスするパターンを監視する。 Windows ログオンセッションログオンセッションの作成、ネットワークトラフィック。ネットワーク接続の作成、ネットワークトラフィック。ネットワークトラフィックの流れ、プロセス。プロセス作成 415
T1021.002 ラテラル・ムーブメント システムへのログインに使用されるアカウントの適切なログがオンになっており、一元的に収集されていることを確認する。Windowsのログは、横移動に使用される可能性のあるアカウントの成功/失敗を収集することができ、Windowsイベントフォワーディングなどのツールを使用して収集することができます。(Citation: Lateral Movement Payne)(Citation: Windows Event Forwarding Payne) ファイル転送やリモートプロセスの実行のために、リモートログインイベントと関連するSMBアクティビティを監視する。管理共有に接続するリモートユーザーの行動を監視する。コマンドラインインターフェイス上で[Net](https://attack.mitre.org/software/S0039)などのリモート共有に接続するためのツールやコマンドが使用されていないか監視する。また、リモートアクセス可能なシステムを見つけるために使用される可能性のあるDiscovery技術を監視する。(引用:Medium Detecting WMI Persistence) Windows コマンド。Command: コマンド実行、Logon Session:Logon Session: Logon Session Creation, Network Share:Network Share: ネットワーク共有アクセス、Network Traffic:ネットワーク接続の作成, ネットワークトラフィック:ネットワークトラフィックフロー 416
T1021.004 ラテラル・ムーブメント SSHの使用は、環境や使用方法によっては正当なものかもしれません。また、アクセスパターンやリモートログイン後のアクティビティなど、その他の要因によって、SSHを利用した疑わしい行為や悪意のある行為が示されることもあります。通常はアクセスしないシステムにログインしているユーザアカウントや、比較的短期間に複数のシステムへのアクセスパターンを監視する。 Linux、macOS ログオンセッションログオンセッションの作成、ネットワークトラフィック。ネットワーク接続の作成、プロセス。プロセスの作成 417
T1021.005 ラテラル・ムーブメント VNCの使用は、環境や使用方法によっては合法的な場合もあります。また、アクセスパターンやリモートログイン後のアクティビティなど、その他の要素がVNCの不審な動作や悪意のある動作を示している場合もあります。 Linux、Windows、macOS ログオンセッションログオンセッションの作成、ネットワークトラフィック。ネットワーク接続の作成、プロセス。プロセスの作成 418
T1021.006 ラテラル・ムーブメント サービスの実行を追跡することで、環境内でのWinRMの使用を監視します。WinRMが通常使用されていなかったり、無効になっていたりする場合は、不審な行動の指標となる可能性があります。WinRMプロセスまたはWinRMが起動したスクリプトによって作成されたプロセスや実行されたアクションを監視して、他の関連イベントと関連付ける。(引用:Medium Detecting Lateral Movement Windows コマンド。Command: コマンド実行、Logon Session:Logon Session: ログオンセッションの作成、Network Traffic: ネットワークトラフィックの作成ネットワークトラフィック:ネットワーク接続の作成、プロセス:プロセスの作成プロセスの作成 419
T1018 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習する際に作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性がある行動の連鎖の一部として見るべきです。

正当なリモートシステムディスカバリーに関連する正常で良性のシステムやネットワークイベントは、環境やその使用方法によっては珍しいものになるかもしれません。プロセスやコマンドラインの引数を監視して、システムやネットワークの情報を収集するために実行される可能性のあるアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもあります。

<code>ping.exe</code>や<code>tracert.exe</code>など、リモートシステムを発見するために使われる可能性のあるプロセスを、特に連続して実行された場合は監視してください。(引用:Elastic - Koadiac Detection with EQL)
Linux、Windows、macOS コマンドのことです。Command: コマンド実行、File: ファイルアクセス、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、プロセス:プロセスの作成プロセスの作成 420
T1091 イニシャルアクセス、ラテラルムーブメント リムーバブルメディアのファイルアクセスを監視します。リムーバブルメディアがマウントされた後、またはユーザによって開始されたときに、リムーバブルメディアから実行されるプロセスを検出します。このようにリモートアクセスツールが横移動に使用された場合、実行後にCommand and Controlやシステムおよびネットワーク情報の発見のためにネットワーク接続を開くなど、追加のアクションが発生する可能性があります。 Windows ドライブドライブ:ドライブ作成、ファイル:ファイルアクセス、ファイル:ファイル作成、プロセス:プロセス作成。プロセス作成 421
T1496 インパクト CPU、メモリ、グラフィック処理リソースなどのコンピュータリソースの悪意あるハイジャックに関連する異常な活動を判断するために、プロセスリソースの使用状況を監視することを検討する。暗号通貨マイニングソフトウェアに関連するネットワークリソースの不審な使用を監視する。ローカルシステム上の一般的な暗号化ソフトウェアのプロセス名やファイルを監視し、不正行為やリソースの使用状況を示す可能性がある。 コンテナ、IaaS、Linux、Windows、macOS コマンドを実行します。Command: コマンド実行、File: ファイル作成、Network Traffic:ネットワーク接続の作成、ネットワークトラフィック。ネットワークトラフィック:ネットワークトラフィックフロー、Process:プロセス作成、センサーヘルスホストの状態 422
T1207 防衛回避 DC間およびDC以外のホストとの間のデータレプリケーション(DrsAddEntry、DrsReplicaAdd、および特にGetNCChangesの呼び出しなど)に関連するネットワークトラフィックを監視および分析します。(引用:GitHub DCSYNCMonitor) (引用:DCShadow Blog) DCのレプリケーションは当然15分ごとに行われますが、攻撃者や正当な緊急の変更(例:パスワード)によってトリガーされることがあります。また、ADオブジェクトのレプリケーションを監視し、アラートを出すことも検討してください(Audit Detailed Directory Service Replication Events 4928 and 4929)。(引用:DCShadow Blog)

ADディレクトリ同期(DirSync)を活用して、ADレプリケーション・クッキーを使用したディレクトリ状態の変更を監視します。(引用:Microsoft DirSync) (引用:ADDSecurity DCShadow Feb 2018)

ADスキーマのConfigurationパーティションをベースラインとし、定期的に分析し、nTDSDSAオブジェクトの作成を警告する。(引用:DCShadow Blog)

Kerberosサービスプリンシパル名(SPN)、特にDC組織単位(OU)に存在しないコンピュータによるサービス(「GC/」で始まる)に関連するSPNの使用を調査します。ディレクトリ・レプリケーション・サービス(DRS)のリモート・プロトコル・インターフェイスに関連付けられたSPN(GUID E3514235?4B06?11D1-AB04?00C04FC2DCD2)は、ログを取らずに設定することができます。(引用:ADDSecurity DCShadow 2018年2月)不正なDCがレプリケーション処理を正常に完了させるためには、これら2つのSPNを使用してサービスとして認証する必要があります。
Windows Active Directory:Active Directory オブジェクトの作成、Active Directory:Active Directory: Active Directory オブジェクトの修正, Network Traffic:Network Traffic: Network Traffic Content, User Account:ユーザーアカウント認証 423
T1014 防衛回避 ルートキットの保護機能は、アンチウイルスソフトウェアやオペレーティング・システム・ソフトウェアに組み込まれている場合があります。また、特定のタイプのルートキットの動作を検出する専用のルートキット検出ツールもあります。認識されていないDLL、デバイス、サービスの存在、MBRの変更を監視する。(引用:Wikipedia ルートキット) Linux、Windows、macOS ドライブドライブの変更、ファームウェアの変更ファームウェアの変更 424
T1053 実行、永続性、特権のエスカレーション 一般的なユーティリティーからのスケジュールされたタスクの作成を、コマンドラインからの呼び出しで監視します。合法的なスケジュールタスクは、新しいソフトウェアのインストール時やシステム管理機能によって作成されることがあります。既知のソフトウェアやパッチサイクルなどと相関性のないタスクの変更を探します。

スケジュールタスクによる疑わしいプログラムの実行は、過去のデータと比較したときに、これまでに見られなかった異常なプロセスとして表示されることがあります。データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見る必要があります。
コンテナ、Linux、Windows、macOS コマンドCommand: コマンド実行、Container:コンテナ:コンテナの作成、File:ファイルの作成、File:ファイルの変更、Process:プロセス: プロセスの作成, スケジュールされたジョブ:スケジュールされたジョブの作成 425
T1053.001 実行、永続性、特権のエスカレーション コマンドライン呼び出しを使用して、スケジュールされたタスクの作成を監視します。合法的なスケジュールタスクは、新しいソフトウェアのインストール時やシステム管理機能によって作成されることがあります。既知のソフトウェアやパッチサイクルなどと相関のないタスクの変更を探します。

スケジュールされたタスクによる疑わしいプログラムの実行は、過去のデータと比較すると、これまでに見られなかった異常なプロセスとして表示されることがあります。データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見る必要があります。
Linux コマンドコマンド実行、プロセス。プロセスの作成、スケジュールされたジョブの作成スケジュールされたジョブの作成 426
T1053.002 実行、永続性、特権のエスカレーション Windows 10ではsvchost.exe、古いバージョンのWindowsではWindowsタスクスケジューラのtaskeng.exeからプロセスの実行を監視します。(引用:Twitter Leoloobeek Scheduled Task) スケジュールされたタスクが永続性のために使用されていない場合、敵対者はアクションが完了したときにタスクを削除する可能性が高くなります。Windows Task Scheduler store in %systemroot %system32\Tasks を監視して、既知のソフトウェアやパッチサイクルなどと相関のないスケジュールされたタスクに関連する変更エントリを探します。

イベントロギングサービス内の「Microsoft-Windows-TaskScheduler/Operational」設定を有効にして、スケジュールされたタスクの作成と変更のイベントロギングを構成します。(引用:TechNet Forum Scheduled Task Operational Setting) すると、スケジュールされたタスクのアクティビティについて、以下のようないくつかのイベントが記録されます。(引用元:TechNet Scheduled Task Events)(引用元:Microsoft Scheduled Task Events Win10)Microsoft Scheduled Task Events Win10)

* Event ID 106 on Windows 7, Server 2008 R2 - Scheduled task registered
* Event ID 140 on Windows 7, Server 2008 R2 / 4702 on Windows 10, Server 2016 - Scheduled task updated
* Event ID 141 on Windows 7, Server 2008 R2 / 4699 on Windows 10, Server 2016 - Scheduled task deleted
* Event ID 4698 on Windows 10,Server 2016 - Scheduled task created
* Event ID 4700 on Windows 10, Server 2016 - Scheduled task enabled
* Event ID 4701 on Windows 10, Server 2016 - Scheduled task disabled

Sysinternals Autoruns などのツールを使用して、現在のスケジュールされたタスクの一覧表示など、永続化の試みである可能性のあるシステムの変更を検出することもできます。(引用:TechNet Autoruns)

機能が組み込まれたリモートアクセスツールは、Windows APIと直接対話して、典型的なシステムユーティリティの外でこれらの機能を実行することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使ってタスクが作成されることもあるため、適切なデータを収集するために追加のロギングを設定する必要があるかもしれません。
Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成プロセス:プロセスの作成、スケジュールされたジョブ。スケジュールされたジョブの作成 427
T1053.007 実行、永続性、特権のエスカレーション コンテナオーケストレーション環境において、スケジュールされたジョブの異常な作成を監視します。Kubernetesノードのロギングエージェントを使用し、アプリケーションポッドやリソースポッドのサイドカープロキシからログを取得して、悪意のあるコンテナオーケストレーションジョブのデプロイメントを監視します。 コンテナ コンテナです。コンテナ:コンテナの作成、ファイル:ファイルの作成、スケジュールされたジョブ。スケジュールされたジョブの作成 428
T1053.003 実行、永続性、特権のエスカレーション 一般的なユーティリティーからのスケジュールされたタスクの作成を、コマンドラインからの呼び出しで監視します。合法的なスケジュールタスクは、新しいソフトウェアのインストール時やシステム管理機能によって作成されることがあります。既知のソフトウェアやパッチサイクルなどと相関性のないタスクの変更を探します。

スケジュールタスクによる疑わしいプログラムの実行は、過去のデータと比較したときに、これまでに見られなかった異常なプロセスとして表示されることがあります。データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見るべきです。
Linux、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成プロセス:プロセスの作成、スケジュールされたジョブ。スケジュールされたジョブの作成 429
T1053.004 実行、永続性、特権のエスカレーション 一般的なユーティリティーからのスケジュールされたタスクの作成を、コマンドラインからの呼び出しで監視します。合法的なスケジュールタスクは、新しいソフトウェアのインストール時やシステム管理機能を通じて作成されることがあります。既知のソフトウェアやパッチサイクルなどと相関性のないタスクの変更を探します。

スケジュールタスクによる疑わしいプログラムの実行は、過去のデータと比較したときに、これまでに見られなかった異常なプロセスとして表示されることがあります。データやイベントは単独で見るのではなく、コマンド&コントロールのために行われるネットワーク接続、ディスカバリーによる環境の詳細情報の取得、ラテラル・ムーブメントなど、他の活動につながる可能性のある行動の連鎖の一部として見る必要があります。
macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成プロセス:プロセスの作成、スケジュールされたジョブ。スケジュールされたジョブの作成 430
T1053.005 実行、永続性、特権のエスカレーション Windows 10では<code>svchost.exe</code>、それ以前のバージョンのWindowsではWindowsタスクスケジューラー<code>taskeng.exe</code>からプロセスの実行を監視します。(引用:Twitter Leoloobeek Scheduled Task) スケジュールされたタスクが永続的に使用されない場合、敵対者はアクションが完了したときにタスクを削除する可能性が高いです。Windows Task Scheduler store in %systemroot %system32\Tasks を監視して、既知のソフトウェアやパッチサイクルなどと相関のないスケジュールされたタスクに関連する変更エントリを探します。

イベントロギングサービス内の「Microsoft-Windows-TaskScheduler/Operational」設定を有効にして、スケジュールされたタスクの作成と変更のイベントロギングを構成します。(引用:TechNet Forum Scheduled Task Operational Setting) すると、スケジュールされたタスクのアクティビティについて、以下のようないくつかのイベントが記録されます。(引用元:TechNet Scheduled Task Events)(引用元:Microsoft Scheduled Task Events Win10)Microsoft Scheduled Task Events Win10)

* Event ID 106 on Windows 7, Server 2008 R2 - Scheduled task registered
* Event ID 140 on Windows 7, Server 2008 R2 / 4702 on Windows 10, Server 2016 - Scheduled task updated
* Event ID 141 on Windows 7, Server 2008 R2 / 4699 on Windows 10, Server 2016 - Scheduled task deleted
* Event ID 4698 on Windows 10,Server 2016 - Scheduled task created
* Event ID 4700 on Windows 10, Server 2016 - Scheduled task enabled
* Event ID 4701 on Windows 10, Server 2016 - Scheduled task disabled

Sysinternals Autoruns などのツールを使用して、現在のスケジュールされたタスクの一覧表示など、永続化の試みである可能性のあるシステムの変更を検出することもできます。(引用:TechNet Autoruns)

機能が組み込まれたリモートアクセスツールは、Windows APIと直接対話して、典型的なシステムユーティリティの外でこれらの機能を実行することがあります。また、Windows Management InstrumentationやPowerShellなどのWindowsシステム管理ツールを使ってタスクが作成されることもあるため、適切なデータを収集するために追加のロギングを設定する必要があるかもしれません。
Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成プロセス:プロセスの作成、スケジュールされたジョブ。スケジュールされたジョブの作成 431
T1053.006 実行、永続性、特権のエスカレーション Systemdタイマーユニットファイルは、<code>/etc/systemd/system</code>、<code>/usr/lib/systemd/system/</code>、<code>~/.config/systemd/user/</code>ディレクトリ内のファイル作成や変更イベント、および関連するシンボリックリンクを監査することで検出できます。このようにして生成された疑わしいプロセスやスクリプトは、親プロセスが「systemd」、親プロセスIDが「1」で、通常は「root」ユーザーとして実行されます。

疑わしいsystemdのタイマーは、信頼できるシステムのベースラインと結果を比較することでも特定できます。悪質な systemd のタイマーは、システム全体のタイマーを調べるために systemctl ユーティリティーを使って検出することができます: <code>systemctl list-timers ?all</code>。<code>.service</code>ファイルの内容を分析し、それらが正当で期待される実行ファイルを参照していることを確認してください。

タイマーの作成に使用される可能性のある「systemd-run」ユーティリティの実行とコマンドライン引数を監査してください。
Linux コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成プロセス:プロセスの作成、スケジュールされたジョブ。スケジュールされたジョブの作成 432
T1029 Exfiltration プロセスのファイルアクセスパターンとネットワークの動作を監視する。ファイルシステムを通過してネットワークトラフィックを送信しているように見える認識できないプロセスやスクリプトは、疑わしい可能性があります。同一の宛先へのネットワーク接続が、同じ時間帯に複数日にわたって行われている場合は、疑わしいと考えられます。 Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 433
T1113 コレクション 画面キャプチャの動作を監視するには、オペレーティングシステムからデータを取得し、出力ファイルを書き込むために使用される方法に依存します。検出方法としては、画像データの取得に使用されるAPIコールを用いて異常なプロセスから情報を収集したり、ディスクに書き込まれた画像ファイルを監視したりすることが考えられます。また、悪意のある行為を特定するためには、センサーデータを他のイベントと相関させる必要があるかもしれませんが、これは、特定のネットワーク環境におけるこの動作の正当性によります。 Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行 434
T1597 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 435
T1597.002 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 436
T1597.001 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 437
T1596 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 438
T1596.004 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 439
T1596.001 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 440
T1596.003 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 441
T1596.005 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 442
T1596.002 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 443
T1593 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 444
T1593.002 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 445
T1593.001 偵察 このような活動の多くは、発生率とそれに伴う偽陽性率が非常に高く、また標的組織の視界の外で行われている可能性があるため、防御側での検知が困難になっています。

検知の取り組みは、初回アクセス時など、敵のライフサイクルの関連する段階に焦点を当てることができます。
PRE 446
T1594 偵察 敵の偵察を示すような不審なネットワークトラフィックを監視する。例えば、ウェブのクローリングを示す急激な連続したリクエストや、単一のソースから発信される大量のリクエスト(特にそのソースが敵と関連していることが分かっている場合)などが挙げられる。また、ウェブのメタデータを解析すると、リファラーやユーザーエージェント文字列のHTTP/Sフィールドなど、悪意のある活動に起因する可能性のあるアーティファクトが見つかることがあります。 PRE アプリケーションログです。アプリケーションログの内容 447
T1505 永続性 アプリケーションソフトウェアコンポーネントの不審なインストールを示すような異常な動作がないか、アプリケーションログを監視することを検討してください。

プロセス監視は、cmd.exe の実行やファイルへのアクセスなど、不審な動作を行うサーバーコンポーネントを検出するために使用できます。サーバへの認証の試みや、サーバと内部ネットワークの間の異常なトラフィックパターンを記録する。(引用:US-CERTアラートTA15-314A Web Shells)
Linux、Windows、macOS アプリケーションログ。Application Log: Application Log Content, File: File Creation, File: File Modification, Network Traffic:ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れ、Process:プロセス作成 448
T1505.001 永続性 MSSQLサーバでは、xp_cmdshellの使用状況を監視することを検討してください。(引用:NetSPI Startup Stored Procedures) 悪意のある起動動作を記録できる監査機能を有効にすることを検討してください。 Linux, Windows アプリケーションログです。アプリケーションログの内容 449
T1505.002 永続性 アプリケーションソフトウェアコンポーネントの不審なインストールを示すような異常な動作がないか、アプリケーションログを監視することを検討してください。新しいアプリケーションソフトウェアコンポーネントのインストールに関連するファイルの場所を監視することを検討してください。例えば、アプリケーションが通常そのような拡張可能なコンポーネントをロードするパスなどです。 Linux, Windows アプリケーションログ。Application Log: アプリケーションログの内容、File: ファイルの作成 450
T1505.003 永続性 Web シェルは検出が難しい場合があります。他の永続的なリモートアクセスの形態とは異なり、接続を開始しません。サーバー上にあるWebシェルの部分は、小さくて無害に見えるかもしれません。例えば、China Chopper WebシェルのPHPバージョンは、以下のような短いペイロードです。(Citation: Lee 2013)

<code>&lt;?php @eval($_POST['password']);&gt;</code>

とはいえ、検知の仕組みは存在します。プロセスの監視は、cmd.exeの実行やWebディレクトリにないファイルへのアクセスなど、疑わしい動作を行うWebサーバの検出に利用できます。ファイル監視では、Webサーバのコンテンツの更新と一致しない、WebサーバのWebディレクトリ内のファイルの変更を検出することができ、Webシェルスクリプトの埋め込みを示す可能性があります。サーバーへの認証の試みや、サーバーと内部ネットワークとの間の異常なトラフィックパターンを記録する。(引用:US-CERTアラートTA15-314A Web Shells)
Linux、Windows、macOS アプリケーションログ。Application Log: Application Log Content, File: File Creation, File: File Modification, Network Traffic:ネットワークトラフィック:ネットワークトラフィックコンテンツ、ネットワークトラフィック:ネットワークトラフィックフローネットワークトラフィック:ネットワークトラフィックの内容、ネットワークトラフィック:ネットワークトラフィックの流れ、Process:プロセス作成 451
T1489 インパクト プロセスやコマンドライン引数を監視して、重要なプロセスが終了したり、実行が停止したりしていないかを確認します。

重要度の高いサービスに対応するサービスやスタートアッププログラムの編集内容を監視します。既知のソフトウェアやパッチサイクルなどと相関性のないサービスの変更を探します。Windowsのサービス情報は、レジストリの<code>HKLM\SYSTEM\CurrentControlSet\Services</code>に格納されています。Systemdサービスユニットファイルは、/etc/systemd/system、/usr/lib/systemd/system/、/home/.config/systemd/user/ディレクトリ内に格納されており、関連するシンボリックリンクも含まれています。

サービスのバイナリパスが変更されていたり、サービスの起動タイプがdisabledに変更されていたりする場合は、疑わしい可能性があります。

機能が組み込まれたリモートアクセスツールは、Windows APIと直接対話することで、一般的なシステムユーティリティの外でこれらの機能を実行することができます。例えば、<code>ChangeServiceConfigW</code>は、サービスが起動しないようにするために敵対者が使用する可能性があります(引用:Talos Olympic Destroyer 2018)
Linux、Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの実行。OS APIの実行、Process:プロセスの作成、プロセスの終了プロセスの終了、サービス。サービス: サービスのメタデータ、Windows レジストリ:Windows レジストリキーの変更 452
T1129 実行 DLLモジュールのロードを監視すると、膨大な量のデータが生成される可能性があり、特定の状況下で収集しない限り、防御に直接役立たない可能性があります。これは、Windowsモジュールのロード機能の良識的な使用は一般的であり、悪意のある動作との区別が困難な場合があるためです。正規のソフトウェアは、通常のDLLモジュールやWindowsシステムのDLLをロードする必要があるだけなので、既知のモジュールロードからの逸脱が疑われる可能性があります。DLLモジュールのロードを<code>%SystemRoot%</code>および<code>%ProgramFiles%</code>ディレクトリに制限することで、安全ではないパスからのモジュールロードから保護することができます。

APIモニタリングやディスクに書き込まれた疑わしいDLLを使用して、モジュールロードにまつわる動作と他のイベントを相関させることで、イベントに追加のコンテキストを提供し、悪意のある動作によるものかどうかを判断するのに役立つ可能性があります。
Windows モジュールモジュールのロード、プロセスOSのAPI実行 453
T1218 防衛回避 悪意のあるファイルのプロキシ実行に使用される可能性のある署名入りバイナリについて、プロセスやコマンドラインパラメータを監視する。実行を代理するために使用される可能性のある署名入りバイナリの最近の呼び出しを、既知の正常な引数やロードされたファイルの過去の履歴と比較して、異常で敵対的な活動の可能性を判断します。msiexec.exeがインターネットからMSIファイルをダウンロードするなど、正規のプログラムが疑わしい方法で使用されている場合は、侵入の可能性があります。

ファイルのアクティビティ(作成、ダウンロード、変更など)を監視します。特に、環境内で典型的ではなく、敵対的なアクティビティを示す可能性のあるファイルタイプを監視します。
Windows コマンドCommand: コマンド実行、File: ファイル作成、Module:Module: モジュールのロード, Network Traffic: ネットワークトラフィック:ネットワークトラフィック: ネットワーク接続の作成, Process:OS APIの実行、Process:プロセス: プロセスの作成, Windows レジストリ:Windows レジストリキーの変更 454
T1218.003 防衛回避 プロセス監視を使用して、CMSTP.exeの実行と引数を検出および分析します。CMSTP.exeの最近の起動を、既知の正常な引数やロードされたファイルの過去の履歴と比較して、異常で潜在的な敵対行為を判断します。

Sysmonイベントは、CMSTP.exeの潜在的な悪用を特定するためにも使用できます。検出戦略は特定の敵対者の手順に依存する可能性がありますが、潜在的なルールは以下の通りです。(引用:Endurant CMSTP 2018年7月号)

* ローカル/リモートのペイロードの読み込みと実行を検出するには - ParentImageにCMSTP.exeが含まれるイベント1(プロセスの作成)、および/またはImageにCMSTP.exeが含まれ、DestinationIPが外部にあるイベント3(ネットワーク接続)が必要です。
* 自動昇格されたCOMインターフェイスを介して[Bypass User Account Control](https://attack.mitre.org/techniques/T1548/002)を検出するには - CallTraceにCMLUA.dllが含まれているイベント10(ProcessAccess)、および/またはTargetObjectにCMMGR32.exeが含まれているイベント12または13(RegistryEvent)を監視します。また、CMSTPLUA(3E5FC7F9-9A51-4367-9063-A120244FBEC7)やCMLUAUTIL(3E000D72-A845-4CD9-BD83-80C07C3B881F)などの自動昇格されたCMSTP COMインターフェースを介したプロセスの作成(Sysmon Event 1)などのイベントを監視します。
Windows コマンドについてコマンド実行、ネットワークトラフィック。ネットワーク接続の作成、プロセス。プロセスの作成 455
T1218.001 防衛回避 hh.exeの実行と引数を監視、分析する。(引用:MsitPros CHM Aug 2017)hh.exeの最近の起動を、既知の良好な引数の過去の履歴と比較して、異常で潜在的に敵対的な活動(例:難読化されたコマンドおよび/または悪意のあるコマンド)を判断します。また、非標準的なプロセス実行ツリーは、hh.exeが不審なプロセスの親プロセスである場合や、他の敵対的手法に関連する活動など、疑わしいまたは悪意のある動作を示す可能性があります。

特に環境内で通常使用されていない場合に、CHMファイルの存在と使用を監視します。
Windows コマンドコマンド:コマンドの実行、ファイル:ファイルの作成、プロセス:プロセスの作成。プロセスの作成 456
T1218.002 防衛回避 control.exeやshell32.dllの<code>Control_RunDLL</code>および<code>ControlRunDLLAsUser</code>のAPI関数など、CPLファイルに関連するアイテムに関連するアクティビティを監視および分析します。コマンドラインやクリックで実行された場合、control.exeはCPLファイルを実行してから(例:<code>control.exe file.cpl</code>)、[Rundll32](https://attack.mitre.org/techniques/T1218/011)を使用してCPLのAPI関数を呼び出します(例:<code>rundll32.exe shell32.dll,Control_RunDLL file.cpl</code>)。CPLファイルは、後者の[Rundll32](https://attack.mitre.org/techniques/T1218/011)コマンドだけで、CPLのAPI関数を介して直接実行することができ、control.exeの検出および/または実行フィルタを回避することができます。(引用:TrendMicro CPL Malware Jan 2014)

コントロールパネルの項目をインベントリ化することで、システム上に存在する未登録のファイルや悪意のある可能性のあるファイルを見つけることができます。

* 実行可能な形式で登録されたコントロールパネルアイテムは、グローバルに一意な識別子(GUID)を持ち、<code>HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Explorer\ControlPanel\NameSpace</code>および<code>HKEY_CLASSES_ROOT\CLSID\{GUID}</code>に登録レジストリエントリを持ちます。これらのエントリには、コントロールパネルのアイテムの表示名、ローカルファイルへのパス、コントロールパネルで開いたときに実行されたコマンドなどの情報が含まれていることがあります。(引用:Microsoft Implementing CPL)
* System32ディレクトリに格納されているCPL形式で登録されたコントロールパネルアイテムは、自動的にコントロールパネルに表示されます。その他のコントロールパネルアイテムは、<code>HKEY_LOCAL_MACHINEまたは<code>HKEY_CURRENT_USERSoftware_Microsoft_Windows\CurrentVersion\Control Panel</code>のレジストリキーの<code>CPLs</code>および<code>Extended Properties</code>に登録エントリがあります。これらのエントリには、GUID、ローカルファイルへのパス、プログラムでファイルを起動するために使用される正式名称などの情報が含まれます(<code> WinExec("c:windows\system32\control.exe {Canonical_Name}", SW_NORMAL);</code>)、またはコマンドラインからの起動(<code>control.exe /name {Canonical_Name}</code>)。(Citation: Microsoft Implementing CPL)
* 一部のコントロール パネル アイテムは、<code>HKEY_LOCAL_MACHINESoftware\MicrosoftWindows\CurrentVersion\Controls Folder\{name}\Shellex®PropertySheetHandlers</code> ({name}はシステム アイテムの定義済みの名前) に登録されたシェル エクステンションを介して拡張可能です。(Citation: Microsoft Implementing CPL)

新しいコントロール パネル アイテムとディスク上に存在するアイテムを分析し、悪意のあるコンテンツを探します。実行形式とCPL形式の両方とも、準拠したPortable Executable(PE)イメージであり、リバースエンジニアリング対策技術を保留した従来のツールと方法で検査することができます。(引用:TrendMicro CPL Malware Jan 2014)
Windows コマンドCommand: コマンド実行、File: ファイル作成、Module:Module: モジュールのロード, Process:OS APIの実行、Process:プロセスの作成, Windows レジストリ:Windows レジストリキーの変更 457
T1218.004 防衛回避 プロセスモニタリングを使用して、InstallUtil.exe の実行と引数を監視します。InstallUtil.exe の最近の起動を、既知の正常な引数や実行されたバイナリの履歴と比較して、異常で敵対的な活動の可能性があるかどうかを判断します。また、InstallUtil.exe の起動前後に使用されたコマンド引数は、実行されるバイナリの出所や目的を判断するのに役立つ場合があります。 Windows コマンドコマンドの実行、プロセス。プロセス作成 458
T1218.005 防衛回避 プロセス監視を使用して、mshta.exeの実行と引数を監視します。mshta.exeがコマンドライン内で生のスクリプトまたは難読化されたスクリプトを実行しているかどうかを確認します。mshta.exeの最近の起動を、既知の適切な引数や実行された.htaファイルの履歴と比較し、異常で敵対的な活動の可能性があるかどうかを判断します。mshta.exeの起動の前後に使用されたコマンド引数は、実行される.htaファイルの出所と目的を判断するのにも役立ちます。

HTAファイルの使用を監視します。HTAファイルが環境内で通常使用されていない場合、その実行は疑わしいかもしれません。
Windows コマンドを実行します。Command: コマンド実行、File: ファイル作成、Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、プロセス:プロセスの作成プロセスの作成 459
T1218.007 防衛回避 プロセス監視を使用して、msiexec.exeの実行と引数を監視します。最近のmsiexec.exeの起動を、既知の正常な引数や実行されたMSIファイルまたはDLLの履歴と比較して、異常な活動や潜在的な敵対行為を判断します。msiexec.exeの起動前後に使用されたコマンド引数は、実行されるMSIファイルやDLLの出所や目的を判断するのにも役立ちます。 Windows コマンドコマンド実行、モジュール。Module: Module Load, Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、プロセス:プロセスの作成プロセス作成 460
T1218.008 防衛回避 プロセス監視を使用して、odbcconf.exeの実行と引数を監視します。odbcconf.exeの最近の呼び出しを、既知の正常な引数やロードされたDLLの履歴と比較して、異常な活動や潜在的な敵対行為を判断します。odbcconf.exeの起動前後に使用されたコマンド引数は、ロードされるDLLの出所や目的を判断するのに役立つ場合もあります。 Windows コマンドコマンド実行, モジュール:Module: モジュールのロード、Process:プロセス作成 461
T1218.009 防衛回避 プロセスモニタリングを使用して、Regsvcs.exeおよびRegasm.exeの実行と引数を監視します。Regsvcs.exeおよびRegasm.exeの最近の呼び出しを、既知の良好な引数および実行されたバイナリの過去の履歴と比較し、異常で潜在的に敵対的な活動を判断します。Regsvcs.exeまたはRegasm.exeの起動の前後に使用されたコマンド引数も、実行されるバイナリの出所や目的を判断するのに役立つ場合があります。 Windows コマンドコマンドの実行、プロセス。プロセス作成 462
T1218.010 防衛回避 プロセス モニタリングを使用して、regsvr32.exe の実行と引数を監視します。最近のregsvr32.exeの起動を、既知の引数や読み込まれたファイルの履歴と比較して、異常な活動や潜在的な敵対行為を判断します。また、regsvr32.exeの起動前後に使用されたコマンド引数は、読み込まれたスクリプトやDLLの出所や目的を特定するのに役立つ場合があります。(引用:Carbon Black Squiblydoo 2016年4月) Windows コマンドコマンド実行、モジュール。Module: Module Load, Network Traffic:ネットワークトラフィック:ネットワーク接続の作成、プロセス:プロセスの作成プロセス作成 463
T1218.011 防衛回避 プロセス モニタリングを使用して、rundll32.exe の実行と引数を監視します。最近のrundll32.exeの起動を、既知の正常な引数やロードされたDLLの履歴と比較して、異常な活動や潜在的な敵対行為を判断します。また、rundll32.exeの起動時に使用されるコマンド引数は、ロードされるDLLの出所や目的を判断するのに役立つ場合があります。 Windows コマンドコマンド実行, モジュール:Module: モジュールのロード、Process:プロセス作成 464
T1218.012 防衛回避 プロセス監視を使用して、verclsid.exeの実行と引数を監視します。最近のverclsid.exeの起動を、既知の有効な引数や読み込まれたファイルの履歴と比較して、異常で敵対的な活動の可能性があるかどうかを判断します。また、verclsid.exeの起動前後に使用されたコマンド引数は、実行されるペイロードの起源や目的を判断するのに役立つ場合があります。環境にもよりますが、verclsid.exeの親プロセスがMicrosoft Office製品であることは珍しいかもしれません。また、verclsid.exeが子プロセスを持つことや、ネットワーク接続やファイル変更を行うことも珍しいことです。 Windows コマンドコマンドの実行、プロセス。プロセス作成 465
T1216 防衛回避 悪質なファイルのプロキシ実行に使用される可能性のあるPubPrn.vbsなどのスクリプトについて、`cscript`などのスクリプトプロセスやコマンドラインパラメータを監視します。 Windows コマンドコマンドの実行、プロセス。プロセス作成、スクリプトスクリプトの実行 466
T1216.001 防衛回避 悪質なファイルのプロキシ実行に使用される可能性のあるPubPrn.vbsなどのスクリプトについて、`cscript`などのスクリプトプロセスやコマンドラインパラメータを監視します。 Windows コマンドコマンドの実行、プロセス。プロセス作成、スクリプトスクリプトの実行 467
T1072 エグゼキューション、ラテラル・ムーブメント 検知方法は、サードパーティ製ソフトウェアやシステムの種類、およびその一般的な使用方法によって異なります。

ここでは、他の潜在的な悪意のある活動と同様の調査プロセスを適用することができます。これは、最初は配布ベクトルが不明であるものの、結果として生じる活動が識別可能なパターンに従っている場合です。プロセスの実行ツリー、サードパーティ製アプリケーションの過去のアクティビティ(通常どのような種類のファイルがプッシュされるかなど)、システムにプッシュされたファイル/バイナリ/スクリプトの結果としてのアクティビティやイベントを分析します。

多くの場合、これらのサードパーティ製アプリケーションは、収集して環境からの他のデータと相関させることができる独自のログを持っています。サードパーティ製アプリケーションのログが企業のログシステムに組み込まれ、そのログが定期的にレビューされていることを確認する。ソフトウェアのデプロイメントログを監査し、不審な活動や不正な活動を確認する。ソフトウェアをクライアントにプッシュするために通常使用されないシステムが、既知の管理機能以外で突然そのようなタスクに使用された場合、疑わしい可能性があります。

アプリケーションの展開を定期的に行い、不規則な展開が目立たないようにする。既知の正常なソフトウェアとの相関がないプロセス活動を監視する。デプロイメントシステム上のアカウントログインアクティビティを監視する。
Linux、Windows、macOS アプリケーションログについてアプリケーションログ:アプリケーションログの内容、プロセスプロセス作成 468
T1518 ディスカバリー システムやネットワークの発見技術は、敵対者が環境を学習する際に、通常、作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS コマンドコマンド実行、Firewall。Firewall: Firewall Enumeration, Firewall:Firewall: Firewall Metadata, Process:OS API の実行、プロセス。プロセス作成 469
T1518.001 ディスカバリー システムやネットワークの発見技術は、敵対者が環境を学習する際に、通常、作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールからも情報を取得することができます。

クラウド環境では、環境内のセキュリティソフトウェアの設定に関する情報を収集するために使用される可能性のあるAPIの使用に関するログを追加で監視します。
Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS コマンドコマンド実行、Firewall。Firewall: Firewall Enumeration, Firewall:Firewall: Firewall Metadata, Process:OS API の実行、プロセス。プロセス作成 470
T1608 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難である。検知作業は、初期アクセスや侵害後の行動など、敵のライフサイクルの関連する段階に焦点を当てることができます。 PRE 471
T1608.004 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の努力は、「ドライブ・バイ・コンプロマイズ」(https://attack.mitre.org/techniques/T1189)や「クライアント実行のためのエクスプロイト」(https://attack.mitre.org/techniques/T1203)など、敵のライフサイクルの他のフェーズに集中することができます。 PRE 472
T1608.003 リソース開発 インターネット上のサイトで使用されている証明書の追跡を支援する可能性のあるサービスの利用を検討する。場合によっては、既知の証明書情報を軸にして、他の敵対者のインフラを明らかにすることができるかもしれません。(引用:Splunk Kovar Certificates 2017)

検知の取り組みは、[Webプロトコル](https://attack.mitre.org/techniques/T1071/001)や[非対称暗号](https://attack.mitre.org/techniques/T1573/002)など、関連する動作に集中しているかもしれません。
PRE 473
T1608.005 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。スピアフィッシング・リンク](https://attack.mitre.org/techniques/T1598/003)、[スピアフィッシング・リンク](https://attack.mitre.org/techniques/T1566/002)、[悪意のあるリンク](https://attack.mitre.org/techniques/T1204/001)など、敵対者のライフサイクルの他の段階に検知の努力を集中させることができます。 PRE 474
T1608.001 リソース開発 このような活動の多くは、標的組織の目に見えないところで行われるため、このような行動の検知は困難です。検知作業は、「ユーザーの実行」(https://attack.mitre.org/techniques/T1204)や「侵入ツールの転送」(https://attack.mitre.org/techniques/T1105)など、敵対者のライフサイクルのコンプロマイズ後のフェーズに集中することができます。 PRE 475
T1608.002 リソース開発 このような活動の多くは、標的となる組織の目に見えないところで行われるため、このような行動の検知は困難です。検知の努力は、敵のライフサイクルのうち、「Ingress Tool Transfer」(https://attack.mitre.org/techniques/T1105)など、危殆化後のフェーズに集中することができます。 PRE 476
T1528 クレデンシャルアクセス 管理者は、ポリシーの基準が満たされたときに自動的にアラートが発生するようにモニタリングを設定する必要があります。例えば、CASB(Cloud Access Security Broker)を使用して、管理者は「重大度の高いアプリの許可」ポリシーを作成し、アプリが重大度の高い許可を要求した場合や、あまりにも多くのユーザに対して許可要求を送信した場合にアラートを発生させることができます。

セキュリティアナリストは、CASB、IDプロバイダ、リソースプロバイダ(プラットフォームによって異なる)で利用可能なツールを使用して、悪意のあるアプリを探すことができます。例えば、少数のユーザによって許可されたアプリ、高リスクのパーミッションを要求するアプリ、アプリの目的にそぐわないパーミッション、古い「Last authorized」フィールドを持つアプリなどをフィルタリングすることができます。特定のアプリは、アプリが実行したアクティビティを表示するアクティビティログを使用して調査することができますが、一部のアクティビティはユーザが実行したものとして誤ってログに記録される可能性があります。

管理者は、さまざまなログを設定し、監査ツールを活用して、OAuth 2.0 アクセスの結果として実行されるアクションを監視することができます。例えば、監査レポートにより、管理者は、最初のアクセスの後に実行される可能性のある、ロールの作成やポリシーの変更などの特権昇格アクションを特定することができます。
Azure AD, Google Workspace, Office 365, SaaS ユーザーアカウントユーザーアカウントの変更 477
T1539 クレデンシャルアクセス ブラウザのセッションクッキーを保存するために使用されるローカルシステム上のファイルやリポジトリにアクセスしようとする行為を監視する。プログラムがブラウザのプロセスメモリに侵入したり、ダンプしたりしようとしていないか監視する。 Google Workspace, Linux, Office 365, SaaS, Windows, macOS ファイル:ファイルアクセス、プロセスプロセスアクセス 478
T1558 クレデンシャルアクセス Windowsログオン/ログオフイベント(イベントID 4624、4672、4634)における不正なまたは空白のフィールド、チケット付与チケット(TGT)内のRC4暗号化、および先行するTGT要求のないチケット付与サービス(TGS)要求などの異常なKerberosアクティビティを監視する。(引用:ADSecurity Detecting Forged Tickets)(引用:Stealthbits Detect PtT 2019)(引用:CERT-EU Golden Ticket Protection)

TGTチケットの寿命を監視して、デフォルトのドメイン持続時間と異なる値がないかを確認する。(引用:Microsoft Kerberos Golden Ticket)

[Pass the Ticket](https://attack.mitre.org/techniques/T1550/003)が横移動に使用されている兆候を監視する。

Audit Kerberos Service Ticket Operationsを有効にして、Kerberos TGSサービスチケット要求を記録する。特に、不規則な活動パターンを調査します(例:アカウントがわずかな時間内に多数の要求(イベントID 4769)を行い、特にRC4暗号化[タイプ0x17]も要求している場合)。(引用:Microsoft Detecting Kerberoasting Feb 2018) (引用:AdSecurity Cracking Kerberos Dec 2015)

lsass.exeと相互作用する予期せぬプロセスを監視します。exe.(引用:Medium Detecting Attempt to Steal Passwords from Memory) [Mimikatz](https://attack.mitre.org/software/S0002)のような一般的なクレデンシャルダンパは、LSAサブシステムサービス(LSASS)プロセスを開いてアクセスし、LSAシークレットキーを探し出し、Kerberosチケットを含むクレデンシャルの詳細が格納されているメモリ内のセクションを復号します。
Windows Active Directoryです。Active Directory Credential Request, Logon Session:ログオン・セッション・メタデータ 479
T1558.004 クレデンシャルアクセス Audit Kerberos Service Ticket Operationsを有効にして、Kerberos TGSサービスチケット要求を記録します。特に、不規則な活動パターンを調査します(例:イベントID 4768および4769の要求を、わずかな時間内に多数行っているアカウント、特にRC4暗号化[Type 0x17]、事前認証不要[Type: 0x0]も要求している場合)。(引用:AdSecurity Cracking Kerberos Dec 2015)(引用:Microsoft Detecting Kerberoasting Feb 2018)(引用:Microsoft 4768 TGT 2017) Windows Active Directoryです。Active Directory クレデンシャルリクエスト 480
T1558.001 クレデンシャルアクセス Windowsのログオン/ログオフイベント(イベントID 4624, 4672, 4634)における不正なまたは空白のフィールド、TGT内のRC4暗号化、およびTGTリクエストに先行しないTGSリクエストなど、異常なKerberosアクティビティを監視する。(引用:ADSecurity Kerberos and KRBTGT)(引用:CERT-EU Golden Ticket Protection)(引用:Stealthbits Detect PtT 2019)

TGTチケットの寿命を監視して、デフォルトのドメイン持続時間と異なる値がないかを確認する。(引用:Microsoft Kerberos Golden Ticket)

[Pass the Ticket](https://attack.mitre.org/techniques/T1550/003)が横方向に移動するために使用されている兆候を監視する。
Windows Active Directoryです。Active Directory Credential Request, Logon Session:ログオン・セッション・メタデータ 481
T1558.003 クレデンシャルアクセス Audit Kerberos Service Ticket Operationsを有効にして、Kerberos TGSサービスチケット要求を記録します。特に、不規則な活動パターンを調査します(例:小さな時間枠の中でイベントID 4769の要求を多数行うアカウント、特にRC4暗号化[タイプ0x17]も要求している場合)。(引用:Microsoft Detecting Kerberoasting Feb 2018)(引用:AdSecurity Cracking Kerberos Dec 2015) Windows Active Directoryです。Active Directory クレデンシャルリクエスト 482
T1558.002 クレデンシャルアクセス Windows のログオン/ログオフイベント(イベント ID 4624、4634、4672)における不正なフィールドや空白のフィールドなど、異常な Kerberos の活動を監視します。(引用:ADSecurity Detecting Forged Tickets)

lsass.exe と相互作用する予期しないプロセスを監視します。(引用:Medium Detecting Attempt to Steal Passwords from Memory) Mimikatzのような一般的なクレデンシャルダンパは、LSAサブシステムサービス(LSASS)プロセスを開き、LSA秘密鍵を見つけ、Kerberosチケットを含むクレデンシャルの詳細が格納されているメモリ内のセクションを復号することでアクセスします。
Windows ログオン・セッションログオンセッションのメタデータ 483
T1553 防衛回避 環境内で実行されるソフトウェアの署名証明書のメタデータを収集・分析し、通常とは異なる証明書の特徴や異常値を探す。登録されたSIPとトラストプロバイダ(レジストリエントリとディスク上のファイル)を定期的にベースライン化し、特に新規、変更、またはマイクロソフト以外のエントリを探す。(引用:SpectorOps Subverting Trust 2017年9月) システムのルート証明書が頻繁に変更されることはないと思われる。悪意のある活動に起因する可能性があるシステムにインストールされた新しい証明書を監視します。(引用:SpectorOps Code Signing Dec 2017)

Autorunsのデータを分析して、奇妙さや異常性、特に自動起動場所内に隠れて永続的な実行を試みる悪意のあるファイルを探します。AutorunsはデフォルトでMicrosoftまたはWindowsによって署名されたエントリーを隠すので、「Hide Microsoft Entries」と「Hide Windows Entries」の両方が選択解除されていることを確認してください。(引用:SpectorOps Subverting Trust 2017年9月)

<code>xattr</code>などのユーティリティで拡張ファイル属性を変更しようとする試みを監視し、調査します。システムに内蔵されているユーティリティは、高い誤検出アラートを生成する可能性があるため、システムが通常どのように使用されているかについてのベースラインの知識と比較し、可能であれば修正イベントを他の悪意のある活動の兆候と相関させます。
Linux、Windows、macOS コマンドCommand: コマンド実行、File: ファイルのメタデータ、File: ファイルの変更、Module:モジュール: モジュールのロード, Process:プロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリ: Windows レジストリキーの作成, Windows レジストリ: Windows レジストリキーの変更 484
T1553.002 防衛回避 環境内で実行されるソフトウェアの署名証明書のメタデータを収集・分析し、異常な証明書の特徴や異常値を探す。 Windows、macOS ファイル:ファイルのメタデータ 485
T1553.006 防衛回避 <code>bcdedit.exe -set TESTSIGNING ON</code>のような、システムのコード署名ポリシーを変更するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します(引用:Microsoft TESTSIGNING Feb 2021)。 <code>HKCU˶Software_Policies\MicrosoftWindows NT˶Driver Signing</code>のような、コード署名ポリシーに関連するレジストリキーに加えられる変更の監視を検討します。システムのコード・サイニング・ポリシーを変更することは稀であると思われます。 Windows、macOS コマンドコマンドの実行、プロセス。プロセスの作成、Windowsレジストリ。Windows レジストリキーの変更 486
T1553.001 防衛回避 オペレーティング・システムの代わりにユーザーが<code>com.apple.quarantine</code>フラグを削除することを監視することは、疑わしい行為であり、さらに調査する必要があります。<code>xattr</code>のようなユーティリティで拡張ファイル属性を変更しようとする行為を監視し、調査します。内蔵のシステム・ユーティリティーは、高い誤検出アラートを生成する可能性があるため、システムがどのように一般的に使用されているかについてのベースラインの知識と比較し、可能であれば修正イベントを他の悪意のある活動の兆候と相関させてください。 macOS コマンドコマンド:コマンドの実行、ファイル:ファイルのメタデータ、ファイル:ファイルの変更、プロセス。プロセス作成 487
T1553.004 防衛回避 システムのルート証明書が頻繁に変更されることはほとんどありません。悪意のある活動に起因する可能性のあるシステムにインストールされた新しい証明書を監視します。(引用:SpectorOps Code Signing Dec 2017)新しいシステムにプレインストールされた証明書を確認し、不要な証明書や疑わしい証明書が存在しないことを確認します。マイクロソフトは、信頼できるルート証明書のリストをオンラインおよびauthroot.stlを通じて提供しています。(引用:SpectorOps Code Signing Dec 2017) また、Sysinternals Sigcheckユーティリティを使用して(<code>sigcheck[64].exe -tuv</code>)、証明書ストアの内容をダンプし、Microsoft Certificate Trust Listにルートされていない有効な証明書をリストアップすることもできます。(引用:Microsoft Sigcheck May 2017)

インストールされているルート証明書は、レジストリの<code>HklmoterSoftWareMicrostersCertificates\Root\Certificates\</code>と<code>[HKLM or HKCU]Software[˶‾᷄ -̫ ‾᷅]MicrostersCertificates★Root★Certificates★</code>にあります。Windowsシステム全体で一貫しているルート証明書のサブセットがあり、比較のために使用することができます。(引用元:Tripwire AppUNBlocker)Tripwire AppUNBlocker)

* 18F7C1FCC3090203FD5BAA2F861A754976C8DD25
* 245C97DF7514E7CF2DF8BE72AE957B9E04741E85
* 3B1EFD3A66EA28B16697394703A72CA340A05BD5
* 7F88CD7223F3C813818C994614A89C99FA3B5247
* 8f43288ad272f3103b6fb1428485ea3014c0bcfe
* a43489159a520f0d93d032ccaf37e7fe20a8b419
* be36a4562fb2ee05dbb3d32323adf445084ed656
* cdd4eeae6000ac7f40c3802c171e30148030c072
Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセスの作成, Windows レジストリ:Windows レジストリキーの作成, Windows レジストリ:Windows レジストリキーの変更 488
T1553.005 防衛回避 インターネットからダウンロードした圧縮ファイル、アーカイブファイル、画像ファイルには、MOTWのタグが付けられていない可能性があるため、監視してください。データやイベントを単独で見るのではなく、他の活動につながる可能性のある行動の連鎖の一部として見ること。 Windows ファイル:ファイルの作成、ファイル:ファイルのメタデータ 489
T1553.003 防衛回避 定期的に登録されたSIPおよびトラスト・プロバイダー(レジストリ・エントリおよびディスク上のファイル)をベースライン化し、特に新規、変更、または非マイクロソフト・エントリを探す。(引用:SpectorOps Subverting Trust 2017 年 9 月)

CryptoAPI v2(CAPI)イベント・ロギングを有効にして(引用:Entrust Enable CAPI2 2017 年 8 月)、失敗した信頼検証(イベント ID 81、ただしこのイベントはハイジャックされた信頼プロバイダ・コンポーネントによって覆される可能性がある)に関連するエラー・イベントと、その他の提供される情報イベント(例:検証の成功)を監視および分析する。コードインテグリティのイベントログは、悪意を持って作成された信頼検証コンポーネントをロードしようとする保護されたプロセスが失敗する可能性が高いため、悪意のあるSIPまたは信頼プロバイダのロードの貴重な指標を提供することもできる(イベントID 3033)。(引用:SpectorOps Subverting Trust 2017年9月)

Sysmon検出ルールを利用し、および/またはAdvanced Security AuditポリシーのRegistry (Global Object Access Auditing) (引用:Microsoft Registry Auditing 2016年8月)設定を有効にして、SIPおよびトラストプロバイダに関連するレジストリ値(サブ)キーの変更に対してグローバルシステムアクセス制御リスト(SACL)およびイベント監査を適用します。(引用:Microsoft Audit Registry July 2012)

* HKLM\SOFTWARE\MicrosoftCryptography\OID
* HKLM\SOFTWAREWOW6432Node\MicrosoftCryptography\OID
* HKLM\SOFTWARE\MicrosoftCryptography\Providers\Trust
* HKLM\SOFTWARE\WOW6432Node\MicrosoftCryptography\Providers\Trust

**注意事項 **この手法は、SIPやトラストプロバイダーに関連するレジストリ値(サブ)の変更に対して、グローバルなシステムアクセスコントロールリスト(SACL)とイベント監査を適用するものです。このテクニックの一環として、敵対者はこれらのレジストリキーを手動で編集しようとしたり(例:Regedit)、[Regsvr32]を使って正規の登録プロセスを利用しようとするかもしれません(https://attack.mitre.org/techniques/T1218/010)。)(引用:SpectorOps Subverting Trust Sept 2017)

Autorunsのデータを分析して、奇妙な点や異常な点、特に自動起動の場所に隠れて永続的な実行を試みる悪意のあるファイルを探します。AutorunsはデフォルトでMicrosoftまたはWindowsによって署名されたエントリーを隠すので、「Hide Microsoft Entries」と「Hide Windows Entries」の両方が選択解除されていることを確認してください。(引用:SpectorOps Subverting Trust 2017年9月号)
Windows ファイル:ファイル修正、モジュール。モジュールのロード、Windowsレジストリ。Windows レジストリキーの変更 490
T1195 初期アクセス 配布されたバイナリをハッシュチェックやその他の整合性チェック機構で検証すること。ダウンロードしたファイルに悪意のあるシグネチャが含まれていないかスキャンし、ソフトウェアやアップデートを展開する前にテストし、不審な動きがないか注意する。ハードウェアの物理的な検査を行い、改ざんの可能性がないか確認する。 Linux、Windows、macOS 491
T1195.003 初期アクセス ハードウェアの物理的な検査を行い、不正操作の可能性を探す。悪意ある目的のために操作される可能性のあるpre-OSブートメカニズムの完全性チェックを行う。 Linux、Windows、macOS 492
T1195.001 初期アクセス 配布されたバイナリをハッシュチェックやその他の整合性チェック機構で検証すること。ダウンロードしたものに悪意のあるシグネチャがないかスキャンし、ソフトウェアやアップデートを展開する前にテストを行い、疑わしい活動の可能性に注意する。 Linux、Windows、macOS 493
T1195.002 初期アクセス 配布されたバイナリをハッシュチェックやその他の整合性チェック機構で検証すること。ダウンロードしたものに悪意のあるシグネチャがないかスキャンし、ソフトウェアやアップデートを展開する前にテストを行い、疑わしい活動の可能性に注意する。 Linux、Windows、macOS 494
T1082 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習していく中で、作戦中に発生します。

プロセスやコマンドラインの引数を監視し、システムやネットワークの情報を収集するためのアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを通じて情報を取得することもできます。

クラウドベースのシステムでは、ネイティブロギングを使用して、システム情報を含む可能性のある特定のAPIやダッシュボードへのアクセスを特定することができます。環境の使われ方によっては、通常運用時の良識ある使用により、そのデータだけでは役に立たない場合もあります。
IaaS、Linux、Windows、macOS コマンドコマンド実行, Instance:Instance: Instance Metadata, Process:OS APIの実行、Process:プロセス作成 495
T1614 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習していく中で、作戦中に発生します。

プロセスやコマンドラインの引数を監視して、システムの位置情報を収集するためのアクションを確認します。内蔵機能を持つリモートアクセスツールは、<code> GetLocaleInfoW</code>を呼び出して情報を収集するなど、Windows APIと直接やりとりすることがあります。(Citation: FBI Ragnar Locker 2020)

ip-apiやipinfoなどのジオロケーションサービスプロバイダのサイトへのトラフィックフローを監視します。
IaaS、Linux、Windows、macOS コマンドコマンド実行, Instance:Instance: Instance Metadata, Process:OS APIの実行、Process:プロセス作成 496
T1016 ディスカバリー システムやネットワークの発見技術は、敵が環境を知るために、通常、作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を持つリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Linux、Windows、macOS コマンドコマンド実行、プロセスOSのAPI実行、プロセス。プロセス作成、スクリプトスクリプトの実行 497
T1016.001 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を知るために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて指揮統制などの他の活動につながる一連の行動の一部として見るべきです。

インターネットの接続性をチェックするために実行できるアクションについて、プロセスやコマンドライン引数を監視します。
Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 498
T1049 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習するために作戦中に発生します。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある一連の行動の一部として見る必要があります。

システムやネットワークの情報を収集するために実行される可能性のあるアクションについて、プロセスやコマンドライン引数を監視します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
IaaS、Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 499
T1033 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習していく中で、作戦中に発生します。

プロセスやコマンドラインの引数を監視し、システムやネットワークの情報を収集するためのアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やりとりして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Linux、Windows、macOS コマンドコマンドの実行、プロセス。プロセス作成 500
T1007 ディスカバリー システムやネットワークの発見技術は、通常、敵が環境を学習するために作戦中に発生します。

プロセスやコマンドライン引数を監視し、サービスに関連するシステム情報を収集するためのアクションを確認します。内蔵機能を備えたリモートアクセスツールは、Windows APIと直接やり取りして情報を収集することがあります。また、[Windows Management Instrumentation](https://attack.mitre.org/techniques/T1047)や[PowerShell](https://attack.mitre.org/techniques/T1059/001)などのWindowsシステム管理ツールを使って情報を取得することもできます。
Windows コマンドコマンドの実行、プロセス。プロセス作成 501
T1569 実行 通常の使用パターンや既知のソフトウェア、パッチサイクルなどに対応していない、サービスを変更できるツールのコマンドラインからの呼び出しを監視する。また、サービスに関連する実行ファイルやその他のファイルの変更を監視します。Windowsサービスへの変更は、レジストリにも反映されることがあります。 Windows、macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成Process: プロセスの作成、Service: サービスの作成サービスの作成、Windowsレジストリ。Windows レジストリキーの変更 502
T1569.001 実行 KnockKnockは、ローンチエージェントやローンチデーモンとしてlaunchctlでインストールされたような永続的なプログラムの検出に使用できます。さらに、すべてのローンチエージェントやローンチデーモンは、それに対応するplistファイルをディスク上に持っていなければならず、それを監視することができます。launchctl/launchdからのプロセス実行を監視し、異常なプロセスや未知のプロセスを検出します。 macOS コマンドコマンド:コマンドの実行、ファイル:ファイルの変更、プロセス:プロセスの作成Process: プロセスの作成、Service: サービスの作成サービスの作成 503
T1569.002 実行 サービスのレジストリエントリの変更や、サービスを変更できるツールのコマンドラインからの起動が、既知のソフトウェアやパッチサイクルなどと相関していない場合は、疑わしい可能性があります。サービスがバイナリやスクリプトを実行するためだけに使用され、永続化されない場合は、一般的な管理者ツール[PsExec](https://attack.mitre.org/software/S0029)のように、サービスが壊れたままにならないように、サービスが再起動された直後に元の形に変更される可能性が高いです。 Windows コマンドコマンドの実行、プロセス。Process: プロセスの作成、Service: サービスの作成サービスの作成、Windowsレジストリ。Windows レジストリキーの変更 504
T1529 インパクト プロセスモニタリングを使用して、システムのシャットダウンやリブートに関わるバイナリの実行やコマンドラインパラメータを監視します。Windowsのイベントログには、シャットダウンや再起動に関連するアクティビティが記録されていることがあります。 Linux、Windows、macOS コマンドコマンド実行、プロセス。Process: プロセスの作成、Sensor Health:ホストの状態 505
T1124 ディスカバリー コマンドライン・インターフェースの監視は、net.exeやその他のコマンドライン・ユーティリティがシステム時間やタイムゾーンの収集に使用されているケースを検出するのに役立つかもしれません。この情報を収集するためのAPIの使用を検出する方法は、正規のソフトウェアで使用される頻度が高いため、あまり有用ではありません。 Windows コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 506
T1080 ラテラル・ムーブメント ネットワーク共有ディレクトリに多くのファイルを書き込んだり、上書きしたりするプロセスは疑わしい可能性があります。リムーバブルメディアから実行されるプロセスを監視して、コマンド&コントロールやネットワークディスカバリー技術の可能性によるネットワーク接続など、悪意のあるまたは異常なアクティビティがないかどうかを確認します。

ネットワーク共有ディレクトリを頻繁にスキャンして、悪意のあるファイル、隠しファイル、.LNKファイルなど、特定の種類のコンテンツを共有するために使用されるディレクトリに通常存在しない可能性のあるファイルタイプを探します。
Windows ファイル:ファイル作成、ファイル:ファイル修正、ネットワーク共有。ネットワーク・シェア・アクセス、プロセス。プロセス作成 507
T1221 防衛回避 プロセスの動作を分析して、Officeアプリケーションが、ネットワーク接続の開始、ファイルの読み取り、異常な子プロセスの生成(例:[PowerShell](https://attack.mitre.org/techniques/T1059/001))などのアクションを実行しているかどうか、または危殆化後の動作に関連する可能性のあるその他の疑わしいアクションを判断します。 Windows ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィック。ネットワークトラフィックの内容、プロセス。プロセス作成 508
T1205 Command And Control, Defense Evasion, Persistence

Wake-on-LANのマジックパケットは、6バイトの<code>FF</code>に続き、ターゲットシステムのIEEEアドレスを16回繰り返したもので構成されています。パケットのペイロードのどこかにこの文字列があると、Wake-on-LANが試みられていることを示している可能性があります(引用:GitLab WakeOnLAN
Linux、ネットワーク、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 509
T1205.001 Command And Control, Defense Evasion, Persistence システムとの間で送受信されるネットワークパケットを記録し、確立されたフローに属さない外来のパケットを探す。 Linux、ネットワーク、Windows、macOS ネットワークトラフィックネットワーク接続の作成、ネットワークトラフィックネットワークトラフィックの流れ 510
T1537 Exfiltration アカウントのアクティビティを監視して、同じクラウドサービスプロバイダ上の信頼できないアカウントや通常とは異なるアカウントとデータ、スナップショット、バックアップを共有しようとしているかどうかを確認します。アカウント間や信頼できないVPCへの異常なファイル転送活動を監視します。 IaaS クラウドストレージ。クラウドストレージの作成、クラウドストレージ。クラウドストレージの変更、スナップショット。スナップショットの作成、スナップショットのスナップショットの変更 511
T1127 防衛回避

プロセスモニタリングを使用して、悪用される可能性のある開発者用ユーティリティの実行と引数を監視します。これらのバイナリの最近の呼び出しを、既知の良好な引数や実行されたバイナリの過去の履歴と比較して、異常で潜在的な敵対行為を判断します。これらのユーティリティは、ソフトウェア開発者やその他のソフトウェア開発に関連するタスクで使用される可能性が高いため、そのようなコンテキスト以外で使用された場合、そのイベントは疑わしいものとなるでしょう。また、ユーティリティーの起動前後に使用されるコマンド引数は、実行されるバイナリの出所や目的を判断するのに役立つ場合があります。
Windows コマンドコマンドの実行、プロセス。プロセス作成 512
T1127.001 防衛回避 プロセスモニタリングを使用して、MSBuild.exeの実行と引数を監視します。最近のバイナリの呼び出しを、既知の正常な引数や実行されたバイナリの履歴と比較して、異常な活動や潜在的な敵対行為を判断します。また、ユーティリティーの起動前後に使用されたコマンド引数は、実行されるバイナリの出所や目的を判断するのに役立つ場合があります。 Windows コマンドコマンドの実行、プロセス。プロセス作成 513
T1199 初期アクセス ネットワークへのアクセス手段として利用される可能性のある、セカンドパーティおよびサードパーティのプロバイダやその他の信頼できるエンティティが行う活動の監視を確立する。特に信頼関係がITサービスに基づいている場合、関係の種類によっては、敵対者は作戦を実行する前にターゲットに関する大量の情報にアクセスできる可能性があります。敵対者は目的に向かって素早く行動することができるため、侵入を検知するためには、クレデンシャル・アクセス、横移動、収集に関する行動を適切に監視することが重要になります。 IaaS、Linux、SaaS、Windows、macOS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ログオンセッション:ログオンセッションの作成Logon Session: ログオンセッションの作成、Logon Session:ログオンセッションのメタデータ 514
T1111 クレデンシャルアクセス

[Input Capture](https://attack.mitre.org/techniques/T1056)と同様に、キーロギング行為には様々な形態がありますが、キーストロークを傍受するためのドライバのインストール、フックの設定、ポーリングに関連する特定のAPIコールの使用などによって検出されることがあります。
Linux、Windows、macOS ドライバ。ドライバのロード、プロセスOS APIの実行、Windowsレジストリ。Windows レジストリキーの変更 515
T1552 クレデンシャルアクセス 資格情報にアクセスする敵対者を検知することは、環境に存在することを知らなければ難しいかもしれませんが、敵対者が取得した資格情報を使用していることを検知できる可能性があります。実行中のプロセスのコマンドライン引数を監視して、パスワードを検索していることを示すような疑わしい単語や正規表現を探す(例:password、pwd、login、secure、credentials)。詳細については、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を参照してください。

不審なファイル・アクセス・アクティビティを監視する。特に、プロセスが短時間に複数のファイルを読み込んでいることや、資格情報の検索を示すコマンドライン引数を使用していることを示す(例:regexパターン)。

ユーザの<code>.bash_history</code>がいつ読まれるかを監視することは、疑わしい活動の警告に役立ちます。ユーザは通常、コマンドの履歴に依存していますが、<code>cat ~/.bash_history</code>のようなコマンドではなく、「history」のような他のユーティリティを通じてこの履歴にアクセスすることがよくあります。

さらに、[Reg](https://attack.mitre.org/software/S0075)のようなレジストリのクエリに使用できるアプリケーションのプロセスを監視し、クレデンシャルが検索されていることを示す可能性のあるコマンド・パラメータを収集します。誤検知を減らすために、活動を、積極的な侵入を示す関連する不審な行動と関連付ける。
Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS コマンドCommand: コマンド実行、File: ファイルアクセス、Process:Process: プロセスの作成、User Account:ユーザーアカウント認証、Windows レジストリ。Windows レジストリキーへのアクセス 516
T1552.003 クレデンシャルアクセス ユーザーの <code>.bash_history</code> がいつ読まれたかを監視することで、疑わしい活動を警告することができます。ユーザーは通常、コマンドの履歴に依存していますが、<code>cat ~/.bash_history</code>のようなコマンドではなく、「history」のような他のユーティリティーを通じて履歴にアクセスすることがよくあります。 Linux、macOS コマンドコマンド実行、ファイル:ファイルアクセス 517
T1552.005 クレデンシャルアクセス Instance Metadata APIへのアクセスを監視し、異常なクエリを探します。

[Valid Accounts](https://attack.mitre.org/techniques/T1078)のように、敵が取得した認証情報の使用を検知できる可能性があります。
IaaS ユーザーアカウントユーザーアカウントの認証 518
T1552.007 クレデンシャルアクセス コンテナやKubernetesクラスタのコンポーネントの活動を集中的に記録する。新規または予期しないユーザによるディスカバリーAPIコールの使用や、DockerログにアクセスするAPIなど、コンテナやクラウドインフラストラクチャへの認証情報を収集するために行われる可能性のあるアクションについて、ログを監視する。

[Valid Accounts](https://attack.mitre.org/techniques/T1078)のように、敵が取得した認証情報を使用することを検知できる可能性がある。
コンテナ コマンドCommand: コマンド実行、File: ファイルアクセス、User Account:ユーザーアカウント認証 519
T1552.001 クレデンシャルアクセス 敵対者がこれらのファイルにアクセスしていることを検知することは、そもそもファイルの存在を知らなければ難しいかもしれませんが、敵対者が取得した認証情報を使用していることは検知できる可能性があります。実行中のプロセスのコマンドライン引数を監視して、パスワードを検索していることを示す疑わしい単語や正規表現を検出します(例:password、pwd、login、secure、credentialsなど)。詳細については、[Valid Accounts](https://attack.mitre.org/techniques/T1078)を参照してください。 コンテナ、IaaS、Linux、Windows、macOS コマンドコマンド実行、ファイル:ファイルアクセス 520
T1552.002 クレデンシャルアクセス Reg](https://attack.mitre.org/software/S0075)など、レジストリを照会するために使用されるアプリケーションのプロセスを監視し、認証情報が検索されていることを示す可能性のあるコマンドパラメータを収集します。アクティブな侵入を示す可能性のある関連する不審な動作とアクティビティを相関させ、誤検知を減らす。 Windows コマンドコマンドの実行、プロセス。プロセスの作成、Windowsレジストリ。Windows レジストリキーアクセス 521
T1552.006 クレデンシャルアクセス XMLファイルの検索を伴うSYSVOLへのアクセスの試みを監視します。

権限をEveryone:Denyに設定した新しいXMLファイルを展開し、Access Deniedエラーを監視します。(引用:ADSecurity Finding Passwords in SYSVOL)
Windows コマンドコマンド実行、ファイル:ファイルアクセス 522
T1552.004 クレデンシャルアクセス 収集および流出活動を示す可能性のあるアクセスパターンを潜在的に検出する手段として、 暗号鍵および証明書に関連するファイルおよびディレクトリへのアクセスを監視する。認証ログを収集し、リモート認証のための鍵または証明書の不適切な使用を示す可能性の ある異常な活動を確認する。 Linux、Windows、macOS コマンドコマンド実行、ファイル:ファイルアクセス 523
T1535 防衛回避 システムログを監視し、すべてのクラウド環境とリージョンで発生しているアクティビティを確認する。通常は使用されていないリージョンでのアクティビティや、リージョンでアクティブなインスタンス数が一定の閾値を超えた場合に通知するアラートを設定する(引用:CloudSploit - Unused AWS Regions) IaaS インスタンスインスタンスの作成 524
T1550 防御回避、横方向の動き 企業全体および外部からアクセス可能なサービスに対して、強固で一貫性のあるアカウントアクティビティ監査ポリシーを設定します。(引用:TechNet Audit Policy)ユーザーアカウント、管理者アカウント、サービスアカウントのいずれかのアカウントを共有しているシステム間で、疑わしいアカウントの動作を確認します。例:1つのアカウントで複数のシステムに同時にログインしている、複数のアカウントで同じマシンに同時にログインしている、変な時間帯や営業時間外にアカウントがログインしている。アクティビティは、インタラクティブなログインセッションや、特定のアカウントとしてリモートシステム上でバイナリを実行するために使用されているアカウントからのプロセスオーナーシップの場合があります。他のセキュリティ・システムとログイン情報を相関させる(例:ユーザがアクティブなログイン・セッションを持っているが、建物に入っていない、またはVPNアクセスを持っていない)。 Google Workspace, Office 365, SaaS, Windows Active Directoryです。Active Directory: Active Directory Credential Request, Application Log:アプリケーションログ: アプリケーションログの内容, ログオンセッション:Logon Session: ログオン・セッションの作成、User Account:ユーザアカウント:ユーザアカウント認証、ウェブクレデンシャル:ウェブクレデンシャルの使用状況Web クレデンシャル:Web クレデンシャルの使用状況 525
T1550.001 防御回避、横方向の動き アクセストークンのアクティビティを監視して、異常な使用や、異常または疑わしいアプリケーションやAPIに付与されたパーミッションを確認します。 Google Workspace, Office 365, SaaS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ウェブクレデンシャル:ウェブクレデンシャルの使用状況Webクレデンシャル:Webクレデンシャルの使用状況 526
T1550.002 防御回避、横方向の動き すべてのログオンおよびクレデンシャルの使用イベントを監査し、矛盾がないか確認する。他の不審な活動(バイナリの書き込みや実行など)と相関のある異常なリモートログインは、悪意のある活動を示している可能性があります。ドメインログインに関連付けられておらず、匿名ログインでもないNTLM LogonType 3認証は疑わしいです。

イベントID 4768および4769は、ユーザーが新しいチケット付与チケットまたはサービスチケットを要求したときにもドメインコントローラ上で生成されます。これらのイベントと上記の活動を組み合わせることで、ハッシュのオーバーパスを試みていることが考えられます。(引用:Stealthbits Overpass-the-Hash)
Windows Active Directoryです。Active Directory クレデンシャル要求, Logon Session:Logon Session: Logon Session Creation, User Account:ユーザーアカウント認証 527
T1550.003 防御回避、横方向の動き すべてのKerberos認証およびクレデンシャル使用イベントを監査し、不一致がないか確認します。他の不審な活動(バイナリの書き込みや実行など)と相関する異常なリモート認証イベントは、悪意のある活動を示している可能性があります。

イベントID 4769は、緩和策のセクションで述べたように、KRBTGTパスワードが2回リセットされた後にゴールデンチケットを使用したときに、ドメインコントローラ上で生成されます。ステータスコード0x1Fは、「Integrity check on decrypted field failed」によりアクションが失敗したことを示しており、以前に無効化されたゴールデンチケットによる誤使用を示しています。(引用:CERT-EU Golden Ticket Protection)
Windows Active Directoryです。Active Directory クレデンシャル要求, Logon Session:Logon Session: Logon Session Creation, User Account:ユーザーアカウント認証 528
T1550.004 防御回避、横方向の動き 同一のユーザーが異なる場所で、あるいは異なるシステムで、ウェブサイトやクラウドベースのアプリケーションに、想定した構成とは異なる異常なアクセスがないかを監視します。 Google Workspace, Office 365, SaaS アプリケーションログ。アプリケーションログ:アプリケーションログの内容、ウェブクレデンシャル:ウェブクレデンシャルの使用状況Webクレデンシャル:Webクレデンシャルの使用状況 529
T1204 実行 ユーザーの操作を必要とする初期アクセスを得るために敵対者が使用する可能性のあるアプリケーションの実行およびコマンドライン引数を監視します。これには、ペイロード内の[Deobfuscate/Decode Files or Information](https://attack.mitre.org/techniques/T1140)に使用される可能性のあるZIPファイルなどの圧縮アプリケーションが含まれます。

アンチウィルスは、ユーザーのコンピュータにダウンロードされて実行される悪意のあるドキュメントやファイルを検出できる可能性があります。エンドポイント・センシングやネットワーク・センシングは、ファイルが開かれた時点で悪意のあるイベントを検出できる可能性があります(Microsoft Word文書やPDFがインターネットに接続されたり、powershell.exeが生成されたりするなど)。
コンテナ、IaaS、Linux、Windows、macOS アプリケーションログ。アプリケーション・ログ・コンテンツ、コマンド。Command: コマンドの実行、Container:Container: コンテナの作成, Container:Container: Container Creation, Container: Container Start, File: File Creation, Image:画像:画像の作成,Instance:Instance:インスタンスの作成、Instance:インスタンスの開始インスタンス:インスタンスの作成、インスタンス:インスタンスの開始、ネットワークトラフィック:ネットワーク接続の作成ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックの内容ネットワークトラフィック:ネットワーク接続の作成、ネットワークトラフィック:ネットワークトラフィックの内容、Process:プロセス作成 530
T1204.002 実行 ユーザーの操作を必要とする初期アクセスを得るために敵対者が使用する可能性のあるアプリケーションの実行およびコマンドライン引数を監視します。これには、ペイロード内の[Deobfuscate/Decode Files or Information](https://attack.mitre.org/techniques/T1140)に使用される可能性のあるZIPファイル用などの圧縮アプリケーションが含まれます。

アンチウィルスは、ユーザーのコンピュータにダウンロードされて実行される悪意のあるドキュメントやファイルを検出できる可能性があります。エンドポイント・センシングやネットワーク・センシングは、ファイルが開かれた時点で悪意のあるイベントを検出できる可能性があります(Microsoft Word文書やPDFがインターネットに接続されたり、powershell.exeが生成されたりするなど)。
Linux、Windows、macOS ファイル:ファイル作成、プロセス:プロセス作成プロセス作成 531
T1204.003 実行 ローカルイメージレジストリを監視し、悪意のあるイメージが追加されないようにする。新しいコンテナのデプロイメント、特に新しくビルドされたイメージからのデプロイメントを追跡する。環境内のコンテナの動作を監視し、ユーザが悪意のあるイメージからデプロイした後の異常な動作や悪意のある活動を検出する。 コンテナ、IaaS アプリケーションログの内容アプリケーション・ログ・コンテンツ、コマンド。Command: コマンドの実行、Container:Container: Container Creation, Container:Container Start, Image:Image:画像の作成、Instance:Instance:インスタンスの作成、Instance:インスタンスの開始インスタンスの開始 532
T1204.001 実行 ネットワークトラフィックを検査して、ユーザーが悪意のあるサイトにアクセスした形跡がないかどうかを確認します。例えば、組織を対象としたフィッシングキャンペーンに含まれるリンクなどです。

Anti-virusは、リンクからダウンロードされてユーザーのコンピュータ上で実行される悪意のあるドキュメントやファイルを検出できる可能性があります。
Linux、Windows、macOS ファイル:ファイル作成、ネットワークトラフィック。ネットワーク接続の作成、ネットワークトラフィック。ネットワークトラフィック:ネットワークトラフィックコンテンツ 533
T1078 防御回避、初期アクセス、持続性、特権のエスカレーション 企業全体および外部からアクセス可能なサービスに対して、堅牢で一貫性のあるアカウントアクティビティ監査ポリシーを設定する。(引用:TechNet Audit Policy)ユーザーアカウント、管理者アカウント、サービスアカウントのいずれかのアカウントを共有しているシステム間で、疑わしいアカウントの動作を確認します。例:1つのアカウントで複数のシステムに同時にログインしている、複数のアカウントで同じマシンに同時にログインしている、変な時間帯や営業時間外にアカウントがログインしている。アクティビティは、インタラクティブなログインセッションや、特定のアカウントとしてリモートシステム上でバイナリを実行するために使用されているアカウントからのプロセスオーナーシップの場合があります。他のセキュリティ・システムとログイン情報を相関させる(例:ユーザはアクティブなログイン・セッ ションを持っているが、建物に入っていない、または VPN アクセスを持っていない)。

ドメインおよびローカル・システム・アカウントの定期的な監査を行い、敵対者が持続的に作成した可能性のあるア カウントを検出する。これらのアカウントのチェックには、Guestなどのデフォルトアカウントが有効になっているかどうかも含まれる。これらの監査には、アプライアンスやアプリケーションのデフォルトの認証情報や SSH キーのチェックも含まれるべきであり、発見された場合は直ちに更新する必要があります。
Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS ログオンセッション。ログオンセッションの作成、ユーザーアカウント。ユーザーアカウントの認証 534
T1078.004 防御回避、初期アクセス、持続性、特権のエスカレーション クラウドアカウントのアクティビティを監視し、アカウントの通常機能外の情報へのアクセスや、通常とは異なる時間帯でのアカウント使用など、異常または悪意のある行動を検出する。 Azure AD, Google Workspace, IaaS, Office 365, SaaS ログオンセッション。ログオンセッションの作成、ユーザーアカウント。ユーザーアカウントの認証 535
T1078.001 防御回避、初期アクセス、持続性、特権のエスカレーション デフォルトのアカウントが有効化されていないか、ログインされていないかを監視する。これらの監査には、アプライアンスやアプリケーションにデフォルトの認証情報やSSHキーが設定されていないかどうかのチェックも含まれており、発見された場合には直ちに更新する必要があります。 Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS ログオンセッション。ログオンセッションの作成、ユーザーアカウント。ユーザーアカウントの認証 536
T1078.002 防御回避、初期アクセス、持続性、特権のエスカレーション 企業全体および外部からアクセス可能なサービスに対して、強固で一貫性のあるアカウントアクティビティ監査ポリシーを設定します。(引用:TechNet Audit Policy)ユーザーアカウント、管理者アカウント、サービスアカウントのいずれかのアカウントを共有しているシステム間で、疑わしいアカウントの動作を確認します。例:1つのアカウントで複数のシステムに同時にログインしている、複数のアカウントで同じマシンに同時にログインしている、変な時間帯や営業時間外にアカウントがログインしている。アクティビティは、インタラクティブなログインセッションや、特定のアカウントとしてリモートシステム上でバイナリを実行するために使用されているアカウントからのプロセスオーナーシップの場合があります。他のセキュリティシステムとログイン情報を相関させる(例:ユーザはアクティブなログインセッションを持っているが、建物に入っていない、またはVPNアクセスを持っていない)。

ドメインアカウントの定期的な監査を行い、敵対者が永続的に作成した可能性のあるアカウントを検出する。
Linux、Windows、macOS ログオンセッション。ログオンセッションの作成、ユーザーアカウント。ユーザーアカウントの認証 537
T1078.003 防御回避、初期アクセス、持続性、特権のエスカレーション ローカルシステムアカウントの定期的な監査を行い、敵対者が永続的に使用するために作成した可能性のあるアカウントを検出する。奇妙な時間帯や営業時間外にログインしているアカウントなど、疑わしいアカウントの行動を探す。 コンテナ、Linux、Windows、macOS ログオンセッション。ログオンセッションの作成、ユーザーアカウント。ユーザーアカウントの認証 538
T1125 コレクション 様々なAPIが使用されているため、この技術の検出は難しいかもしれません。APIの使用に関する遠隔測定データは、システムの通常の使用方法によっては有用ではないかもしれませんが、システム上で発生している他の潜在的な悪意のある活動の背景を提供する可能性があります。

この技術の使用を示す可能性のある動作としては、ビデオカメラ、録画機器、録画ソフトウェアと相互作用する機器やソフトウェアに関連するAPIにアクセスする未知または異常なプロセスや、ビデオまたはカメラの画像データを含むファイルをディスクに定期的に書き込むプロセスなどがあります。
Windows、macOS コマンドコマンド実行、プロセスOS APIの実行 539
T1497 防衛回避、発見 仮想化、サンドボックス、ユーザの行動、および関連する発見技術は、作戦の最初の段階で発生する可能性が高いですが、敵が環境を学習していく過程でも発生する可能性があります。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある行動の連鎖の一部として見るべきです。仮想化やサンドボックスの識別に関連するアクションの検出は、敵対者の実装や必要なモニタリングによっては困難な場合があります。様々なシステム情報を収集したり、他の形式のディスカバリーを実行したりする不審なプロセスが生成されていないかどうかを、特に短時間で監視することが検出の助けになる場合があります。 Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 540
T1497.001 防衛回避、発見 仮想化/サンドボックス関連のシステムチェックは、作戦の最初の段階で行われることが多いが、敵が環境を学習する過程でずっと行われることもある。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある行動の連鎖の一部として見るべきである。仮想化やサンドボックスの識別に関連するアクションの検出は、敵対者の実装や必要なモニタリングによっては困難な場合があります。様々なシステム情報を収集したり、他の形式のディスカバリーを実行したりする不審なプロセスが生成されていないかどうかを、特に短時間で監視することが検出の助けになる場合があります。 Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 541
T1497.003 防衛回避、発見 時間に基づく回避は、作戦の最初の段階で発生する可能性が高いが、敵が環境を学習していく過程でも発生する可能性がある。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある行動の連鎖の一部として見るべきです。仮想化やサンドボックスの識別に関連するアクションの検出は、敵対者の実装や必要なモニタリングによっては困難な場合があります。様々なシステム情報を収集したり、他の形式のディスカバリーを実行したりする不審なプロセスが生成されていないかどうかを、特に短時間で監視することが検出の助けになる場合があります。 Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 542
T1497.002 防衛回避、発見 ユーザーの活動に基づくチェックは、作戦の最初の段階で行われることが多いが、敵対者が環境を学習していく過程でずっと行われることもある。データやイベントは単独で見るのではなく、得られた情報に基づいて横移動などの他の活動につながる可能性のある行動の連鎖の一部として見るべきです。仮想化やサンドボックスの識別に関連するアクションの検出は、敵対者の実装や必要なモニタリングによっては困難な場合があります。様々なシステム情報を収集したり、他の形式のディスカバリーを実行したりする不審なプロセスが生成されていないかどうかを、特に短時間で監視することが検出の助けになる場合があります。 Linux、Windows、macOS コマンドコマンド実行、プロセスOS APIの実行、プロセス。プロセス作成 543
T1600 防衛回避 防御側が暗号化を弱める動作を直接特定する方法は文書化されていません。検知作業は、[Modify System Image](https://attack.mitre.org/techniques/T1601)のような、密接に関連する敵の動作に焦点を当てることができます。検知方法の中には、調査のためにベンダーのサポートを必要とするものもあります。 ネットワーク ファイル:ファイルの変更 544
T1600.002 防衛回避 防御側が暗号ハードウェアを無効にする動作を直接特定する方法は文書化されていません。検出作業は、[Modify System Image](https://attack.mitre.org/techniques/T1601)や[Network Device CLI](https://attack.mitre.org/techniques/T1059/008)のような、密接に関連する敵の動作に焦点を当てることができます。検出方法の中には、調査を支援するためにベンダーのサポートを必要とするものがあります。 ネットワーク ファイル:ファイルの変更 545
T1600.001 防衛回避 防御側が暗号化キースペースを減らす動作を直接特定する方法は文書化されていません。検出作業は、[Modify System Image](https://attack.mitre.org/techniques/T1601)や[Network Device CLI](https://attack.mitre.org/techniques/T1059/008)など、密接に関連する敵の動作に焦点を当てることができます。検知方法によっては、調査を支援するためにベンダーのサポートを必要とするものもあります。 ネットワーク ファイル:ファイルの変更 546
T1102 コマンド&コントロール ネットワーク接続を利用した未知または不審なプロセス活動を関連付けるホストデータは、マルウェアのコマンド&コントロールのシグネチャやインフラ、強力な暗号化の存在など、既存の侵害の指標を補完するために重要です。パケットキャプチャの解析では、データが暗号化されている場合、SSL/TLSによる検査が必要となります。ネットワークデータを分析し、通常とは異なるデータの流れを確認する(例:クライアントがサーバから受信するデータ量よりも大幅に多いデータを送信する)。ユーザーの行動を監視することで、異常な活動パターンを検出できる可能性があります。(引用:バーミンガム大学 C2) Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 547
T1102.002 コマンド&コントロール ネットワーク接続を利用した未知または不審なプロセス活動を関連付けるホストデータは、マルウェアのコマンド&コントロールのシグネチャやインフラ、強力な暗号化の存在など、既存の侵害の指標を補完するために重要です。パケットキャプチャの解析では、データが暗号化されている場合、SSL/TLSによる検査が必要となります。ネットワークデータを分析し、通常とは異なるデータの流れを確認する(例:クライアントがサーバから受信するデータ量よりも大幅に多いデータを送信する)。ユーザーの行動を監視することで、異常な活動パターンを検出できる可能性があります。(引用:バーミンガム大学 C2) Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 548
T1102.001 コマンド&コントロール ネットワーク接続を利用した未知または不審なプロセス活動に関連するホストデータは、マルウェアのコマンド&コントロールシグネチャやインフラ、強力な暗号化の存在など、既存の侵害の指標を補完するために重要です。パケットキャプチャの解析では、データが暗号化されている場合、SSL/TLSによる検査が必要となります。ユーザーの行動を監視することで、異常な活動パターンを検出できる可能性があります。(引用:バーミンガム大学 C2) Linux、Windows、macOS ネットワークトラフィックネットワークトラフィックのコンテンツ、ネットワークトラフィックネットワークトラフィックの流れ 549
T1102.003 コマンド&コントロール ネットワーク接続を利用した未知または不審なプロセス活動を関連付けるホストデータは、マルウェアのコマンド&コントロールのシグネチャやインフラ、強力な暗号化の存在など、既存の侵害の指標を補完するために重要です。パケットキャプチャの解析では、データが暗号化されている場合、SSL/TLSによる検査が必要となります。ネットワークデータを分析し、通常とは異なるデータフローを確認する。ユーザーの行動を監視することで、異常な活動パターンを検出できる可能性があります(引用:バーミンガム大学 C2)。 Linux、Windows、macOS ネットワークトラフィックネットワーク接続の作成」、「ネットワークトラフィック」。ネットワークトラフィックの内容」、「ネットワークトラフィック」。ネットワークトラフィックの流れ 550
T1047 実行 ネットワークトラフィックを監視してWMI接続を確認する。通常はWMIを使用しない環境でWMIが使用されていると疑わしい場合がある。プロセス監視を行い、「wmic」のコマンドライン引数をキャプチャし、リモート動作に使用されるコマンドを検出する。(引用元:FireEye WMI 2015) Windows コマンドについてコマンド実行、ネットワークトラフィック。ネットワーク接続の作成、プロセス。プロセスの作成 551
T1220 防衛回避 プロセスモニタリングを使用して、msxsl.exeおよびwmic.exeの実行と引数を監視する。これらのユーティリティの最近の呼び出しを、既知の正常な引数や読み込まれたファイルの過去の履歴と比較して、異常で潜在的に敵対的な活動を判断します(例:URLのコマンドライン引数、外部ネットワーク接続の作成、スクリプトに関連するDLLの読み込み)。(引用:LOLBAS Wmic) (引用:Twitter SquiblyTwo Detection APR 2018) スクリプトの起動前後に使用されるコマンド引数も、ロードされるペイロードの出所や目的を判断するのに有用な場合があります。

msxsl.exeや、開発、デバッグ、リバースエンジニアリングに一般的に使用されるプロキシ実行を可能にするその他のユーティリティが、これらの目的に使用されていないシステム上に存在していることは疑わしい場合があります。
Windows モジュールモジュール・ロード、プロセスプロセス作成 552