トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

ローカルシステムからのデータ収集 の変更点

Top/ローカルシステムからのデータ収集

#author("2019-10-27T15:42:01+09:00","","")
[[設定対策]]
#author("2020-08-12T16:47:16+09:00","","")

*ローカルシステムからのデータ収集 [#s50fefd1]
**戦術 [#m2e5967e]
情報の収集

**対象OS [#we075399]
-Linux
-Windows
-macOS
-AWS
-Azure

**システム要件 [#t41edb03]
特定のファイルおよびディレクトリにアクセスするための特権

**概説 [#g110d074]
機密データはローカルシステムから収集できます。攻撃者は侵入したコンピュータ上のファイルシステムを検索し、目的の情報を見つけます。コマンドラインインターフェースや、自動収集プログラムを使用することがあります。


**攻撃評価 [#s5670bd2]


|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい 

**MITRE 緩和策 [#k22275b0]
このタイプの攻撃手法は、システム機能の悪用に基づいているため、予防制御で簡単に軽減することはできません。

**Windows 10 STIG [#qd53bca7]
[[V-68817:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68817]] コマンドラインデータは、プロセス作成イベントに含める必要があります。~
[[V-68819:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68819]] PowerShellスクリプトブロックのログを有効にする必要があります。

**Windows Server 2016 STIG [#h6de3a8d]
[[V-73511:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/MAC-1_Sensitive/]] コマンドラインデータは、プロセス作成イベントに含める必要があります。~
[[V-73591:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73591]] PowerShellスクリプトブロックのログを有効にする必要があります。

**Others [#b7d62926]
[[Windows監査(イベントログ)設定]]


#br
#br
----
#article