CloudGuardを使ってMITRE ATT&CK Techiniquesの検出を検索 (2022/08/30)

CloudGuardを使ってMITRE ATT&CK Techiniquesの検出を検索 (2022/08/30)

https://learnoci.cloud/use-cloudguard-to-search-for-mitre-att-ck-techiniques-detections-722cd36ea6b5

投稿者:Birzu Alexandru-Adrian


前回のブログでは、OCI Logging ServiceでAuditDデータを活用する方法を紹介しました。今回は、OCI Logging Serviceの検索オプションを使用して、Cloud Guard Insightルールで使用するMITRE ATT&CK検索を作成します。


このルールマッピングと攻撃ルールから、私が必要とする検索を作成することができます。


https://github.com/izysec/linux-audit/blob/main/DS-to-audit.MD


https://github.com/bfuzzy1/auditd-attack/blob/master/auditd-attack/auditd-attack.rules


この図のように、手動でマッピングを行うことができます。




auditdのカスタムルールの中で、このルールだけを有効にしています。

T1107_File_Deletion T1070_Indicator_Removal_on_Host T1055_Process_Injection T1072_third_party_software T1219_Remote_Access_Tools T1005_Data_from_Local_System T1057_Process_Discovery T1081_Credentials_In_Files T1049_System_Network_Connections_discovery T1082_System_Information_Discovery T1082_System_Information_Discovery T1016_System_Network_Configuration_Discovery T1082_System_Information_Discovery T1033_System_Owner_User_Discovery T1087_Account_Discovery T1068_Exploitation_for_Privilege_Escalation T1166_Seuid_and_Setgid T1169_Sudo T1043_Commonly_Used_Port T1021_Remote_Services T1201_Password_Policy_Discovery T1071_Standard_Application_Layer_Protocol T1021_Remote_Services T1108_Redundant_Access T1052_Exfiltration_Over_Physical_Medium T1078_Valid_Accounts T1168_Local_Job_Scheduling T1079_Multilayer_Encryption T1099_Timestomp T1215_Kernel_Modules_and_Extensions locklvm


このルールはキーとしてマッピングされているので、OCI Logging Search で使用することにします。


OCI Loggingに移動して、Auditdが生成したログを見ると、Filter matchingをクリックして、より具体的な検索にドリルダウンすることができます。



Show Advanced Modeを選択すると、同様のクエリが表示され、そこでは選択したクエリが何も返さないことがわかります。







さて、アドバンスドモードでは、形式を



に変更します。


data. "body.key"=' "T1043_Commonly_Used_Port"' に変更します。



適切なログフィールドはキーではなく「body.key」なので、これを実行する必要があります。


このフォーマットで、適切なログを見ることができ、検索を保存することができるようになります。





search “ocid1.compartment.oc1..aaaaaaaayouzltprojlao2a2f7xlg5kzhtpcs64ncnpvlwqgsl4aoaw57yta” “ocid1.compartment.oc1..aaaaaaaarsk54oz6cd4kd5pgnrgqcxiyd2ldo2n5zx6psna2hyln6vtzkgka/ocid1.loggroup.oc1.eu-frankfurt-1.amaaaaaagysxq7aaz52drpqvc45q6aukcg6pxgldm4r52pzbs25uja3i374a” | data.”body.key”=’”T1078_Valid_Accounts”’ | sort by datetime desc


このクエリでは、VCN Flow Logsの除外を削除しました。これは、検索を作成する際に、特定のログのみをフィルタリングするために使用したからです。


この検索を使い、filedの値を変更することで、MITRE ATT&CK Techiquesに基づいた複数の検索を作成しました。



次のステップでは、このシリーズの最初のブログエントリで説明したように、Cloud GuardがInsightロギングを使用するように設定し、保存した検索を検出に使用する予定です。


https://learnoci.cloud/use-cloud-guard-insight-recipes-to-monitor-windows-instances-against-interesting-windows-event-ids-7ef796174d37


Data Sourrcesに移動し、新しいQueryを作成します。



クエリに適切な名前を付けて、「保存された検索クエリのインポート」を押します。





Saved Searchを選択し、Importを押します。



インポート後、body.jeyフィールドをCloud Guardのキーにマッピングします。



search “ocid1.compartment.oc1..aaaaaaaayouzltprojlao2a2f7xlg5kzhtpcs64ncnpvlwqgsl4aoaw57yta” “ocid1.compartment.oc1..aaaaaaaarsk54oz6cd4kd5pgnrgqcxiyd2ldo2n5zx6psna2hyln6vtzkgka/ocid1.loggroup.oc1.eu-frankfurt-1.amaaaaaagysxq7aaz52drpqvc45q6aukcg6pxgldm4r52pzbs25uja3i374a” | data.”body.key”=’”T1215_Kernel_Modules_and_Extensions”’ | select data.”body.key” as cgkey01


クリックし、トリガータイムを選択します。



検出されるイベントの数を減らしたい場合は、Oracle-cloud-agent の body.euid を削除するように、OCI Logging 検索で追加のフィールドを削除することが可能です。



search “ocid1.compartment.oc1..aaaaaaaayouzltprojlao2a2f7xlg5kzhtpcs64ncnpvlwqgsl4aoaw57yta” “ocid1.compartment.oc1..aaaaaaaarsk54oz6cd4kd5pgnrgqcxiyd2ldo2n5zx6psna2hyln6vtzkgka/ocid1.loggroup.oc1.eu-frankfurt-1.amaaaaaagysxq7aaz52drpqvc45q6aukcg6pxgldm4r52pzbs25uja3i374a” | data.”body.key”=’”T1166_Seuid_and_Setgid”’ and data.”body.EUID”!= ‘“oracle-cloud-agent”’ | sort by datetime desc


クエリ作成後、新しいDetectorに添付するか、既存のDetectorに添付する必要があります。





[ルールの作成]を押して、作成したテクニックを選択します。






なお、一部のテクニックは番号が変更されているため、ナビゲーター https://attack.mitre.org/techniques/enterprise/ を使用したほうがよいでしょう。



最後のステップは、新しいターゲットを作成し、検出器のレシピを添付し、クエリーを有効にすることです。また、既存のものを再利用することもできます。



いずれかのクエリーを選択し、すべてのステップで緑のチェックがついたら、Cloud Guardの検出の設定は完了です。




コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む