- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-18T12:32:18+09:00","","")
#author("2019-11-20T14:20:36+09:00","","")
[[IPAセキュリティPT評価版]]
* [#qd4dca2f]
**戦術 [#ne7a9a3d]
情報の探索
**対象OS [#nba45b06]
-Linux
-Windows
-macOS
**必要なアクセス許可 [#y93bf1ec]
-User
-Administrator
-SYSTEM
**概説 [#f01be767]
攻撃者はファイルやディレクトリ、ネットワーク共有を探索し、特定の情報を検索する場合があります。ターゲットとなる端末やサーバーに感染するか、他の行動を試みる場合があります。
**緩和の方針 [#f3ebab46]
この手法は、システムの標準機能を悪用しているため、予防的防御が困難です。ログの監査によって検出を検討しますが、端末の台数が多い場合は検出コストが高くなるため受容を検討します。
**運用やNetworkが変更された場合の影響の有無 [#dfa27bc6]
該当なし。
**優先すべき措置 [#pb4a7e02]
ログの監査で検出を検討します。
**ユーザー運用管理責任 [#nbab198d]
***リスクの受容 [#d4a44aec]
この手法は予防的制御が困難なため受容します。
***啓発・教育 [#g98a0818]
該当なし。
***利用規定 [#r3f7a6ac]
(ログ監査を行う場合)コマンドラインインターフェースの監査規定。
**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#p85eb837]
***ポリシー [#lb3b6caa]
-[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[システム]>[プロセス作成の監査]>[プロセス作成イベントにコマンドラインを含める] を [有効] に設定します。
-本設定はイベントID 4688 監査プロセス作成の監査が有効になっている必要があります。
-コマンド ライン プロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing
[[・コマンドラインインターフェースの監査]]
***NWデザイン [#i0dcfdfe]
該当なし。
***アクセスコントロール [#i6394e1b]
該当なし。
***フィルタリング [#h1d4d8b3]
該当なし。
***ロール運用 [#t87935ec]
該当なし。
***仮想端末運用 [#wcc0ae5b]
該当なし。
***エンドポイント対策 [#t00f4ae9]
**受託開発ベンダー管理責任 [#d19717ce]
***セキュアコーディング [#n6fea11b]
該当なし。
***開発環境管理 [#td7aba53]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#fddebbd1]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
&br;
&br;
----
#article
