探索(MITRE 戦術)
探索(MITRE 戦術) とは何ですか?
探索(MITRE 戦術)アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。
探索(MITRE ATT&CK 戦術 TA0007)は、攻撃者が足場を確保した後に行う内部偵察活動を指します。アカウント列挙、システムやネットワーク構成の調査、ドメイン信頼関係の列挙、ファイル・ディレクトリの一覧取得、ブラウザのブックマークやパスワードストアの参照、クラウドサービスの発見、セキュリティ製品の特定、Active Directory の権限経路を可視化する BloodHound などのツール利用が含まれます。多くが読み取り中心の活動であるため直接ブロックしづらい一方、特徴的なコマンドライン・API パターンを残します。防御側は EDR、コマンドライン監査、デセプション(ハニーアカウント・ファイル)、BloodHound・AdFind・net.exe スイープ向けの検知ルールを活用し、初期アクセスと横展開の間で攻撃者を捉えます。
● 例
- 01
BloodHound の SharpHound コレクタを実行し、Domain Admin への権限経路をマッピングする。
- 02
net group "Domain Admins" /domain を実行して特権アカウントを列挙する。
● よくある質問
探索(MITRE 戦術) とは何ですか?
アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
探索(MITRE 戦術) とはどういう意味ですか?
アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。
探索(MITRE 戦術) はどのように機能しますか?
探索(MITRE ATT&CK 戦術 TA0007)は、攻撃者が足場を確保した後に行う内部偵察活動を指します。アカウント列挙、システムやネットワーク構成の調査、ドメイン信頼関係の列挙、ファイル・ディレクトリの一覧取得、ブラウザのブックマークやパスワードストアの参照、クラウドサービスの発見、セキュリティ製品の特定、Active Directory の権限経路を可視化する BloodHound などのツール利用が含まれます。多くが読み取り中心の活動であるため直接ブロックしづらい一方、特徴的なコマンドライン・API パターンを残します。防御側は EDR、コマンドライン監査、デセプション(ハニーアカウント・ファイル)、BloodHound・AdFind・net.exe スイープ向けの検知ルールを活用し、初期アクセスと横展開の間で攻撃者を捉えます。
探索(MITRE 戦術) からどのように防御しますか?
探索(MITRE 戦術) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
探索(MITRE 戦術) の別名は何ですか?
一般的な別名: 内部偵察, TA0007。
● 関連用語
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 107
BloodHound
グラフ理論を用いて Active Directory と Azure AD 上の Domain Admin など高価値ターゲットへの攻撃経路を可視化・分析するオープンソース ツール。
- defense-ops№ 905
偵察(リコネサンス)
攻撃の最初のフェーズで、攻撃者が侵入を試みる前に標的の人員・技術・露出に関する情報を収集する活動。
- defense-ops№ 606
横展開(Lateral Movement)
侵害したホストから環境内の他システムへと攻撃者が横移動するための手法をまとめた MITRE ATT&CK 戦術(TA0008)。
- identity-access№ 013
Active Directory
マイクロソフトが提供する Windows ネットワーク向けの企業ディレクトリサービスで、ユーザー・コンピュータ・リソースに対する認証、認可、ポリシー管理を一元化する。
- defense-ops№ 265
サイバーキルチェーン
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。