・システムのネットワーク設定の探索
Last-modified: 2020-11-07 (土) 15:35:06
Top/・システムのネットワーク設定の探索
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:情報の探索 †
- MITRE ATT&CK
概説 †
攻撃者は、OSの標準コマンドを使用して、システムやリモートシステムのネットワーク構成と設定に関する詳細な情報を探索する可能性があります。これらの情報を利用して、ターゲットに感染するか、他のアクションを起こす場合があります。使用されるコマンドは、Arp、ipconfig、nbtstat、route、nslookup などが考えられます。
緩和の方針 †
この手法はシステムの標準機能を悪用するため予防的設定が困難です。ログ分析による検出を検討します。
運用やNetworkが変更された場合の影響の有無 †
該当しません。
優先すべき措置 †
コマンド実行のログ分析による検出を検討します。
ユーザー運用管理責任 †
リスクの受容 †
ログの保存、分析にコストがかかる場合は、この攻撃は受容し、情報資産の暗号化、アクセス制御等の設定を検討します。
啓発・教育 †
該当しません。
管理規程 †
該当しません。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
・コマンドラインインターフェースの悪用、・PowerShellの悪用を参考にしてコマンド、スクリプト実行のログ取得を設定します。
モニタリング †
以下の監査の実施を検討します。
- コマンドラインインターフェースの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なArp、ipconfig、nbtstat、route、nslookup等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
- PowerShellスクリプトの監査
- [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。
ネットワークデザイン、アクセスコントロール 、フィルタリング †
該当しません。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
エンドポイント対策 †
該当しません。
受託開発ベンダー管理責任 †
セキュアコーディング †
- 該当しません。
開発環境管理 †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。