TokyoBlackHatNews

meterpreter.org 6分で読了

ALFA: Google Workspaceの自動監査ログフォレンジック分析

著者:


·
公開日:
· 更新日:

Image

ALFA – Google Workspaceの自動監査ログフォレンジック分析

このツールを使用して、Google Workspaceのすべての監査ログを取得し、統計情報とMITRE ATT&CKクラウドフレームワークを使用して監査ログに対して自動フォレンジック分析を実行できます。

ALFAには以下で説明する3つのオプションがあります:

1. ALFA Acquire

Google Workspace監査ログをすべて取得する

  1. 「project_x」(または以前に選択した名前)内からalfa acquireを実行します
  2. ALFAはすべてのユーザーのすべてのログタイプをグラブし、「data」フォルダ内のサブディレクトリに保存します。ログタイプごとに1つの.jsonファイルが生成されます
  3. その他のオプションを確認するには、alfa acquire -hと入力します

ALFAを使用した高度な取得

取得するデータを制限するためにあらゆる種類のフィルターを使用できます。以下にいくつかの例を示します:

  • 「admin」ログタイプのみをグラブする alfa acquire --logtype=admin
  • 出力を特定のフォルダに保存する alfa acquire -d /tmp/project_secret
  • 特定のユーザーのログのみをグラブする alfa acquire --user=insert_username
  • 定義された期間内のログをグラブする alfa acquire --start-time=2022-07-10T10:00:00Z --end-time=2022-07-11T14:26:01Z 時間形式は(RFC3339)です

これで、ALFAの力を引き出すためのデータの取得方法がわかりました。

2. ALFA Analyze

分析機能は、指定されたGoogle Workspaceのすべての監査ログデータを自動的に分析して、疑わしいアクティビティを識別します。

動作方法

  1. 分類 各個別イベントは、alfa/config/event_to_mitre.ymlで作成されたマッピングに基づいて分類されます。イベントがそのリストと一致する場合、MITRE ATT&CKクラウドフレームワークの一部である技術にマップされます(https://attack.mitre.org/matrices/enterprise/cloud/)。

  2. スコアリング 次に、ALFAはマップされたすべてのイベントを時系列順に分析して、キルチェーンまたは論理的な攻撃パスを識別しようとします。例: 永続化段階にマップされたイベントの後に認証情報アクセス段階にマップされたイベントが続く場合、より高いスコアになります。

  3. 結果 最終的に、ALFAはアナリストに、さらに分析できる識別された「サブチェーン」のリストを提供します。

ALFA分析の使用方法は?

  1. まずalfa analyzeを実行します。これは自動的に識別します(見つからない場合は除く)。また、フォローアップアクティビティを実行できるシェルに入ります。
  2. 特定のサブチェーンの詳細情報を取得するには、A.subchains()を実行してチェーンを表示します。形式は(チェーン内の最初のイベント番号、チェーン内の最後のイベント番号、killchain_score)です。スコア1は完璧なチェーンが識別されたことを意味し、0に近づくほどチェーンは弱くなります。
  3. このチェーンの原因となった疑わしいイベントにアクセスするには、A.aoi(export='activities.json')を使用して、識別されたすべてのサブチェーンをファイルにエクスポートします。その後、さらに分析するためにそれを使用できます。

3. ALFA Load

ローカルストレージからデータを読み込む

ローカルストレージから

A = Alfa.load([logname])を使用してローカルストレージからログをロードして分析します。A = Alfa.load('all')を使用してすべてのログをロードします。Alfaはデフォルトでは良性のアクティビティをフィルターで除外します。すべてのアクティビティとイベントをロードしてフィルターを行わないようにするには、Alfa.load([logname], filter=False)を使用します。

変更を加える

新しいイベントマッピングの追加。

config/event_to_mitre.ymlファイルを直接編集することは可能ですが、推奨されません。このファイルのレイアウトは直感的ではありません。代わりに、utils/mappings.ymlに修正を加えることを検討してください。その後、utils/event_mitre_remap.pyを実行してconfig/event_to_mitre.ymlを再入力します

キルチェーン発見方法の修正

キルチェーン発見機能はハードコードされた定数を使用します。これらはconfig/config.ymlにあります。フォレンジックアナリストはこれらの値を確認し、必要に応じてワークスペースの修正を加えることをお勧めします。これらの定数は、キルチェーン統計(kcs)とキルチェーン発見(サブチェーン)の両方に責任があります。

インストール

著作権 (c) 2022 Invictus Incident Response

脅威インテリジェンスのサポート

当社の技術レポートとサイバーセキュリティニュースが役立つと思われる場合は、当社の活動をサポートすることを検討してください。


Buy Me a Coffee Logo
Buy Me a Coffee


PayPal

Image

USDT (TRC20):

TN8BdV8cp4T1Cd28gK9qTAnZknzzuwyUtm

USDT (ERC20):

0x3725e1a7d3bc5765499fa6aaafe307fabcd75bce

翻訳元: https://meterpreter.org/alfa-automated-audit-log-forensic-analysis-for-google-workspace/

ソース: meterpreter.org
#Google Workspace #MITRE ATT&CK #インシデント対応 #キルチェーン分析 #クラウドセキュリティ #セキュリティ分析 #フォレンジック分析 #ログ解析 #監査ログ #脅威検出

関連記事

自動破壊:Windows Updateを通じてプッシュされた欠陥のあるHP BIOSアップデートがエリートラップトップをフリーズさせる

1兆パラメータ・エンジニア:MuskがCursor Coding Dataを搭載したGrok V9-Mediumを発表

APIの幽霊:攻撃者がAIで発見されたSQL脆弱性を利用して700以上のGhost CMSサイトを乗っ取り