探索(MITRE 戦術)
探索(MITRE 戦術) とは何ですか?
探索(MITRE 戦術)アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。
探索(MITRE ATT&CK 戦術 TA0007)は、攻撃者が足場を確保した後に行う内部偵察活動を指します。アカウント列挙、システムやネットワーク構成の調査、ドメイン信頼関係の列挙、ファイル・ディレクトリの一覧取得、ブラウザのブックマークやパスワードストアの参照、クラウドサービスの発見、セキュリティ製品の特定、Active Directory の権限経路を可視化する BloodHound などのツール利用が含まれます。多くが読み取り中心の活動であるため直接ブロックしづらい一方、特徴的なコマンドライン・API パターンを残します。防御側は EDR、コマンドライン監査、デセプション(ハニーアカウント・ファイル)、BloodHound・AdFind・net.exe スイープ向けの検知ルールを活用し、初期アクセスと横展開の間で攻撃者を捉えます。
● 例
- 01
BloodHound の SharpHound コレクタを実行し、Domain Admin への権限経路をマッピングする。
- 02
net group "Domain Admins" /domain を実行して特権アカウントを列挙する。
● よくある質問
探索(MITRE 戦術) とは何ですか?
アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
探索(MITRE 戦術) とはどういう意味ですか?
アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。
探索(MITRE 戦術) からどのように防御しますか?
探索(MITRE 戦術) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
探索(MITRE 戦術) の別名は何ですか?
一般的な別名: 内部偵察, TA0007。