#author("2020-11-05T11:27:22+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:防御の回避[#u8593f5f]
-MITRE ATT&CK
--[[T1070.004 Indicator Removal on Host: File Deletion>https://attack.mitre.org/techniques/T1070/004/]]
*概説 [#l4f8df8e]
攻撃者はダウンロードしたファイルや、自身が作成したファイルを削除し、痕跡を残さないようにするため、ファイル削除ツールやWindowsのコマンド機能を使用します。
*緩和の方針 [#w6f24a1b]
この手法は、OSの標準機能の悪用に基づくものが多く、予防制御では簡単に軽減できません。不審なコマンド実行を監査し、検出に努めます。~
手動での監査が困難な場合は、SIEM(Security Information and Event Management)の導入を検討します。
*運用やNetworkが変更された場合の影響の有無 [#m68b3712]
初期侵入、悪意のあるプログラム実行後のため、該当しません。
*優先すべき措置 [#w497ae72]
コマンドラインインターフェースのログ監査。不正なコマンド、引数の検知。
*ユーザー運用管理責任 [#ef713d3c]
**リスクの受容 [#w91fa17d]
初期侵入、悪意のあるプログラム実行後であり、標準機能を使うことが多く、この手法のリスクは受容せざるを得ません。を得ません。
**啓発・教育 [#ua169139]
該当しません。
**利用規定 [#yfa37cd4]
以下の規程の整備を検討します。~
コマンドラインインターフェースのログ監査規程。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) [#a2f857c6]
**ポリシー [#u17cffe5]
以下のポリシー設定を検討して下さい。~
コマンドラインインターフェースの監査 の適用
[[・コマンドラインインターフェースの監査]] を参照してください。
**モニタリング [#d9e7caae]
前項のポリシーを設定の上、イベントビューワーで Event ID 4688 を検索し、不審なファイル削除がないかを監査します。
**24.7.3 ネットワークデザイン、アクセスコントロール、フィルタリング [#pbb515b7]
該当しません。
**仮想端末運用 [#xee05f0f]
これは将来のためのプレースフォルダーです。
**エンドポイント対策 [#q340da9c]
侵入検知システム、Endpoint Detection and Responseの導入を検討します。
*受託開発ベンダー管理責任 [#d359fe1a]
**セキュアコーディング [#kb19773a]
該当しません。
**開発環境管理 [#ncb4923d]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
**サプライチェーン正常性維持" [#oc8a5fcf]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
