・システムユーザーの探索 のバックアップの現在との差分(No.6)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• ・システムユーザーの探索 へ行く。
  • 1 (2019-11-14 (木) 13:01:00)
  • 2 (2019-11-15 (金) 09:59:28)
  • 3 (2020-02-09 (日) 17:00:26)
  • 4 (2020-03-19 (木) 14:56:00)
  • 5 (2020-03-26 (木) 14:29:15)
  • 6 (2020-07-25 (土) 16:32:55)
  • 7 (2020-08-12 (水) 14:38:14)
  • 8 (2020-10-28 (水) 15:39:24)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-07-25T16:32:55+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）]]~
[[MITRE に基づく詳細設定対策]]
*・システムユーザーの探索 [#i4189c87]
#freeze
#author("2020-11-07T15:24:07+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT＆CKに基づく詳細設定対策]]

**戦術 [#f20ab2a8]
情報の探索
*戦術：情報の探索[#f20ab2a8]
-MITRE ATT&CK
--[[T1033 System Owner/User Discovery>https://attack.mitre.org/techniques/T1033/]]

**対象OS [#e831568e]
-Linux
-Windows
-macOS

**必要なアクセス許可 [#d2d81ac5]
-User
-Administrator
*概説 [#a67f2c9b]
攻撃者は、現在ログインしているユーザーやシステムを使用するユーザーを識別する場合があります。net userコマンドなどでログインしているユーザーのIDを取得したり、資格情報をダンプを試みます。実行中のプロセスの所有権やファイル/ディレクトリの所有権、セッション情報、ログなどを様々な方法で収集します。取集した情報によっては、システムに感染するか、他のアクションを起こす場合があります。

**概説 [#a67f2c9b]
攻撃者は、現在ログインしているユーザーやシステムを使用するユーザーを識別する場合があります。ログインしているユーザーのIDを取得したり、資格情報をダンプします。実行中のプロセスの所有権やファイル/ディレクトリの所有権、セッション情報、ログなどを様々な方法で収集します。取集した情報によっては、システムに感染するか、他のアクションを起こす場合があります。
*緩和の方針 [#gc9d4dbf]
この手法はシステムの標準機能を悪用するため予防的設定が困難です。一般業務端末においては、ローカル Administrators にドメインユーザーを所属させないことでnet userコマンド等を使った情報収集を阻止できます。~
[[・アカウントの探索]]の[[ポリシー>・アカウントの探索#f6add26c]] の設定を参考にします。

**緩和の方針 [#gc9d4dbf]
-この手法はシステムの標準機能を悪用するため予防的設定が困難です。
-一般業務端末においては、ローカル Administrators にドメインユーザーを所属させないことで悪意あるプログラムの情報収集を緩和できます。
-[[・アカウントの探索]]の[[ポリシー>・アカウントの探索#f6add26c]] の設定を参考にします。
*運用やNetworkが変更された場合の影響の有無 [#c3ca9889]
該当しません。

**運用やNetworkが変更された場合の影響の有無 [#c3ca9889]
-該当なし。
*優先すべき措置 [#b7586845]
コマンド、スクリプトの監査を行い検出に努めます。

**優先すべき措置 [#b7586845]
-該当なし。
*ユーザー運用管理責任 [#eea513df]
**リスクの受容 [#sf414e11]
この手法はシステムの標準機能を悪用するため、ポリシー設定、監査ができない場合は受容します。

**ユーザー運用管理責任 [#eea513df]
***リスクの受容 [#sf414e11]
-この手法はシステムの標準機能を悪用するため、ポリシー設定ができない場合は受容し、他の緩和策の設定を検討します。
**啓発・教育 [#i61b1c8c]
該当しません。

***啓発・教育 [#i61b1c8c]
-該当なし。
**管理規定 [#afc26827]
該当しません。

***利用規定 [#afc26827]
-該当なし。

**情報システム設計開発部門・運用部門（ベンダー代行を含む) [#me47238b]
***ポリシー [#c507405c]
*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#me47238b]
**ポリシー [#c507405c]
-[[・アカウントの探索]]の[[ポリシー>・アカウントの探索#f6add26c]] の設定を参考にします。
[[・コマンドラインインターフェースの悪用]]、[[・PowerShellの悪用]] を参考にしてコマンド、スクリプト実行のログを取得します。

***NWデザイン [#pf225a7c]
-該当なし。
**モニタリング [#g6ed8c73]
-コマンドラインインターフェースの監査
--前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なnet user、net localgroup、net group等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
-PowerShellスクリプトの監査
--[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。

***アクセスコントロール [#r050401d]
ｰ該当なし。

***フィルタリング [#d838abc8]
-該当なし。
**ネットワークデザイン、アクセスコントロール 、フィルタリング [#pf225a7c]
該当しません。

***ロール運用 [#g9c26a16]
-該当なし。
**仮想端末運用 [#g1e4e370]
これは将来のためのプレースフォルダーです。

***仮想端末運用 [#g1e4e370]
-該当なし。
**ゲートウェイ及びエンドポイント対策 [#s85c7e18]
該当しません。

***エンドポイント対策 [#s85c7e18]
-該当なし。
*受託開発ベンダー管理責任 [#n8096d2d]
**セキュアコーディング [#sa192f25]
該当しません。
**開発環境管理 [#i8b233e6]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
**サプライチェーン正常性維持" [#if46bda9]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

**受託開発ベンダー管理責任 [#n8096d2d]
***セキュアコーディング [#sa192f25]
-該当なし。


***開発環境管理 [#i8b233e6]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#if46bda9]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。