MITRE ATT&CKで検知マップ作成(Execution/C2に厚め)
-
優先テクニック(例):
-
T1059 Command & Scripting Interpreter(PowerShell/WSH/ bash)
-
T1071 Application Layer Protocol(HTTP(S)/DNS/メール等でのC2)
-
T1078 Valid Accounts(正当アカウント悪用)
まずはこの3本柱を“必須検知”として赤塗り→データソース紐付け(EDR/NDR/AD/メール/プロキシ/Firewallログ)。 MITRE ATT&CK+2MITRE ATT&CK+2
-
-
最低限のイベント指標
-
EDR:Office系→powershell/wscript/spawn、暗号化/エンコード引数、LOLBin(rundll32/regsvr32/mshta等)
-
NDR:低スループット周期ビーコン、JA3/JA4異常、DNS/DoHトンネル徴候、長寿命TLS、SNI不整合
-
NGFW/Proxy:新規/低評点FQDN、国際移動直後のVPN、未分類アプリ通信
実際に2023年の大規模ネット観測でもC2と実行アクティビティが突出しており、優先領域として妥当です。 ホワイトペーパー ダウンロードセンター NDR⇄EDR⇄NGFW 連携運用の整備
-
相互トリガー(Playbook例)
-
NDR高確度C2検知 → EDR APIで端末隔離 → NGFWへ宛先FQDN/IPを動的アドレスグループに投入して遮断
-
EDR実行系高リスク(T1059) → NDRへ当該端点のフロー抽出要求 → NGFWへ“ユーザ/端点タグ”で送信遮断
-
NGFW脅威ログ(新規C2カテゴリ)→ EDRにコンテキスト送付しプロセスツリー自動調査
-
-
役割分担:NDR=横展開/ネット痕跡、EDR=端点の真偽判定と隔離、NGFW=即時封じ込めの境界実施。EDRとNDRは補完関係で“両輪運用”が推奨。 ITmedia
-
回避技術への備え:近年は“EDR回避”手口が台頭→ネット側(NDR/NGFW)からも押さえる二重化が有効。 ITmedia
-
正当アカウント悪用の監査強化(T1078)
-
クラウド/SSO:異常サインイン(Impossible Travel/新端末/高リスクIP)、新規OAuth同意、MFA再登録、特権ロール付与を日次レビュー
-
オンプレ/AD:イベントID 4624/4625(ログオン/失敗)、4768/4769(Kerberos)、4728/4729(特権グループ変更)を相関
-
ポリシー:全アカウントにMFA、休眠/共有/デフォルト口座の廃止、緊急用Break-glassの保護。T1078の一次対策はMFA徹底です。 MITRE ATT&CKCenter for Threat-Informed Defense
XDR/自動化:SOARまたはXDRで上記プレイブックを標準化(隔離・ブロック・証跡保全を“ワンクリック/自動”)。MITRE CoAの参照プレイブック(T1059/T1071/T1078)を雛形に。 Cortex XSOAR+2Cortex XSOAR+2
-
検証計画:T1059/T1071/T1078のレッドテスト(安全なシミュレーション)→検知率とMTTD/MTTRを測定し閾値調整。
-
ダッシュボード:C2疑いの新規FQDN件数、周期ビーコン件数、実行系高リスク検知、正当アカウント異常の週次トレンドを可視化。
網羅化:横展開用にLateral Movement(T1021/SMB/RDP・Pass-the-Hash 等)とPersistence(T1053 タスク登録等)を追加。
-
サプライチェーン/メール:T1566(フィッシング)→メール/代理送信・DMARC失敗の相関をNDR・EDRと接続。
-
運用標準:RACI(SOC/ネット/端末/ID管理)、保全・復旧・再発防止の3文書テンプレを完成。
参考(一次情報)
-
11兆超イベント分析とC2/実行の多発(ITmedia/TechTarget)—今回の優先度設定の根拠。 ホワイトペーパー ダウンロードセンター
-
EDR×NDRの補完関係(ITmedia News)。 ITmedia
-
EDR回避トレンド(ITmedia エンタープライズ)。 ITmedia
-
MITRE ATT&CK:T1059 / T1071 / T1078 定義と対策の整理。 MITRE ATT&CK+2MITRE ATT&CK+2
