・システムのネットワーク設定の探索 のバックアップの現在との差分(No.6)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• ・システムのネットワーク設定の探索 へ行く。
  • 1 (2019-11-14 (木) 12:50:05)
  • 2 (2019-11-14 (木) 12:54:00)
  • 3 (2019-11-15 (金) 09:58:49)
  • 4 (2020-02-09 (日) 16:44:56)
  • 5 (2020-03-19 (木) 14:55:00)
  • 6 (2020-03-26 (木) 14:30:24)
  • 7 (2020-07-25 (土) 16:32:04)
  • 8 (2020-08-12 (水) 14:32:12)
  • 9 (2020-10-27 (火) 16:22:56)
  • 10 (2020-10-28 (水) 10:51:32)
  • 11 (2020-10-28 (水) 15:08:05)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-03-26T14:30:24+09:00","default:hagiken","hagiken")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）]]~
[[MITRE ATT&CKによる設定対策（絞り込み済み）>情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）#s054f661]]
*・システムのネットワーク設定の探索 [#reaa4921]
#freeze
#author("2020-11-07T15:35:06+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT＆CKに基づく詳細設定対策]]

**戦術 [#c331ae16]
情報の探索

**対象OS [#k8614317]
-Linux
-Windows
-macOS
*戦術：情報の探索[#c331ae16]
-MITRE ATT&CK
--[[T1016 System Network Configuration Discovery>https://attack.mitre.org/techniques/T1016/]]

**必要なアクセス許可 [#f47452c6]
-User
*概説 [#b71f75c6]
攻撃者は、OSの標準コマンドを使用して、システムやリモートシステムのネットワーク構成と設定に関する詳細な情報を探索する可能性があります。これらの情報を利用して、ターゲットに感染するか、他のアクションを起こす場合があります。使用されるコマンドは、Arp、ipconfig、nbtstat、route、nslookup などが考えられます。

**概説 [#b71f75c6]
攻撃者は、システムやリモートシステムのネットワーク構成と設定に関する詳細な情報を探索する可能性があります。これらの情報を利用して、ターゲットに感染するか、他のアクションを起こす場合があります。
*緩和の方針 [#jd70a40b]
この手法はシステムの標準機能を悪用するため予防的設定が困難です。ログ分析による検出を検討します。

**緩和の方針 [#jd70a40b]
-この手法はシステムの標準機能を悪用するため予防的設定が困難です。
-ログ分析による検出を検討します。
*運用やNetworkが変更された場合の影響の有無 [#ndf70ef0]
該当しません。

**運用やNetworkが変更された場合の影響の有無 [#ndf70ef0]
該当なし。
*優先すべき措置 [#v2ecc3e6]
コマンド実行のログ分析による検出を検討します。

**優先すべき措置 [#v2ecc3e6]
-ログ分析による検出を検討します。
*ユーザー運用管理責任 [#ff05f7fd]
**リスクの受容 [#c34a6b9d]
ログの保存、分析にコストがかかる場合は、この攻撃は受容し、情報資産の暗号化、アクセス制御等の設定を検討します。

**ユーザー運用管理責任 [#ff05f7fd]
***リスクの受容 [#c34a6b9d]
-ログの保存、分析にコストがかかる場合は、この攻撃は受容し、情報資産の暗号化、アクセス制御等の設定を検討します。。
**啓発・教育 [#r94c9d52]
該当しません。

***啓発・教育 [#r94c9d52]
-該当なし。
**管理規程 [#q32a627a]
該当しません。

***利用規定 [#q32a627a]
-該当なし。
*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#z1938e53]
**ポリシー [#bdc526e4]
[[・コマンドラインインターフェースの悪用]]、[[・PowerShellの悪用]]を参考にしてコマンド、スクリプト実行のログ取得を設定します。

**情報システム設計開発部門・運用部門（ベンダー代行を含む) [#z1938e53]
***ポリシー [#bdc526e4]
-該当なし。
**モニタリング [#s9010926]
以下の監査の実施を検討します。
-コマンドラインインターフェースの監査
--前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なArp、ipconfig、nbtstat、route、nslookup等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
-PowerShellスクリプトの監査
--[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。

***NWデザイン [#va552242]
-該当なし。

***アクセスコントロール [#le3332ae]
-該当なし。
**ネットワークデザイン、アクセスコントロール 、フィルタリング [#va552242]
該当しません。

***フィルタリング [#qf22500a]
-該当なし。
**仮想端末運用 [#j7e2414d]
これは将来のためのプレースフォルダーです。

***ロール運用 [#k1cce92f]
-該当なし。
**エンドポイント対策 [#nc3d03bc]
該当しません。

***仮想端末運用 [#j7e2414d]
-該当なし。

***エンドポイント対策 [#nc3d03bc]
-該当なし。

**受託開発ベンダー管理責任 [#i5ca4ba9]
***セキュアコーディング [#i9fbafa6]
-該当なし。


***開発環境管理 [#ie79e779]
*受託開発ベンダー管理責任 [#i5ca4ba9]
**セキュアコーディング [#i9fbafa6]
-該当しません。
**開発環境管理 [#ie79e779]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#l9e989c0]
**サプライチェーン正常性維持" [#l9e989c0]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。