Microsoft Defernder for Endpoint(MDE)のAdvanced HuntingにてGithubのCLIコマンドを検出する

CLIコマンドを発行した際のログをMicrosoft Defernder for Endpoint（MDE）のAdvanced Huntingにて検出する方法を紹介します。 ## 対応方法概要 - Microsoft Defernder for Endpoint（MDE）がオンボードされている端末ではデバイスのプロセスのイベントが収集されています。 - 収集したデバイスのプロセスのイベントをMicrosoft Defernder for Endpoint（MDE）のAdvanced Huntingのカスタムアラートを使って検知することを試みます。 - Githubをサンプルに手順を紹介しますが、GitlabやBitbacketなど他のプラットフォームでもデバイスのプロセスのイベントに情報が残っている限り検知可能です。 ## 設定方法 1. MDEの [追求] >[高度な追求]にて新しいクエリを作成し、下記クエリの内容を入力する。 <pre class="prettyprint"> DeviceProcessEvents | where Timestamp > ago(12h) | where ProcessCommandLine contains "github.com" | project DeviceId, Timestamp,InitiatingProcessAccountUpn, ProcessCommandLine, ReportId </pre> 2. 同画面、[検出ルールを作成]にてコマンドを検出するカスタムアラートを作成する。 3. カスタムアラート設定のための項目は以下の通り。（指定のない項目は任意の値を入力ください。） - 「検出名」は「Githabのコマンドが発行されました」など、分かりやすいタイトルを定義いただくと良いと思います。 - 「頻度」は「3時間ごと」を設定ください。 - 「カテゴリ」は「疑わしいアクティビティ」を設定ください。 - 「影響を受けるエンティティ」は「DeviceID」を指定ください。 - 「アクション」は特に指定の必要はございません。 - 「範囲」に関しては任意の範囲を指定してください。 ## 動作確認 - MDEの [追求] >[検出規則]に、作成したカスタム検出が登録されていることを確認します。 <div class="separator" style="clear: both;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjf7rlnMB0VEQMw5Tr2rCiFuiYAf4ia8ktVfKphasI8id6LJjdY0rQOR7FjY2siJz5f7Atf7TgKE80X9vijXf7OI6pG-9qFJaKy2KwHy3IzhYBn2z2Oe3b4HQBZfNxyguQUp0sk41TNnfp89xLDoonc9KxtUPv80xZ1N_U8cc8StCxJoBxW4HpUrRWFWA/s1600/%E5%9B%B31.png" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" data-original-height="678" data-original-width="1228" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjf7rlnMB0VEQMw5Tr2rCiFuiYAf4ia8ktVfKphasI8id6LJjdY0rQOR7FjY2siJz5f7Atf7TgKE80X9vijXf7OI6pG-9qFJaKy2KwHy3IzhYBn2z2Oe3b4HQBZfNxyguQUp0sk41TNnfp89xLDoonc9KxtUPv80xZ1N_U8cc8StCxJoBxW4HpUrRWFWA/s1600/%E5%9B%B31.png"/></a></div> - Githubにコマンドを打ち、動作確認を行います。 - アラートはMDEの [インシデントとアラート] >[インシデント]にて確認できます。