・重要な特権の使用の監査

Last-modified: 2019-12-10 (火) 10:22:00

・L1 監査ポリシーの詳細な構成

攻撃者はデバッグツールを使用して、悪意あるプログラムの実行を試みます。
この場合、デバッグツールを端末にInstallしないか、もしくは、デバッグツールを使用したことが検出できれば、攻撃を察知できます。

次の特権のいずれかの呼び出しでイベントが書き込まれます。

• オペレーティング システムの一部として機能
• ファイルとディレクトリのバックアップ
• トークン オブジェクトの作成
• プログラムのデバッグ
• コンピューターとユーザー アカウントに委任時の信頼を付与
• セキュリティ監査の生成
• 認証後にクライアントを偽装
• デバイス ドライバーのロードとアンロード
• 監査とセキュリティ ログの管理
• ファームウェアの環境値の修正
• プロセス レベル トークンの置き換え
• ファイルとディレクトリの復元
• ファイルとその他のオブジェクトの所有権の取得

攻撃ベクトルの研究
OWASP ASVS 4.0
最低限検討すべきデフォルト緩和策 端末編
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
詳細設定対策に必要な措置
MITRE ATT＆CKに基づく詳細設定対策