detecting-t1003-credential-dumping-with-edr

detecting-t1003-credential-dumping-with-edr skill の概要

この skill でできること

detecting-t1003-credential-dumping-with-edr skill は、EDR テレメトリ、Sysmon のプロセスアクセス、Windows セキュリティイベントを相関させて、T1003 の credential dumping を検知するのに役立ちます。単にアラートが1件鳴ったかどうかではなく、LSASS、SAM、NTDS.dit、LSA secrets、キャッシュされた資格情報のどれが狙われたのかを見極めたいアナリスト向けに作られています。

どんな人に向いているか

すでに EDR、Sysmon、または Windows の監査データがあり、疑いの段階から検証済みのハント結果までを素早く進めたいなら、detecting-t1003-credential-dumping-with-edr skill を使うとよいです。インシデント対応担当者、検知エンジニア、detecting-t1003-credential-dumping-with-edr for Threat Hunting のように、スコープ確認・裏取り・コントロール検証を目的とする用途に適しています。

なぜ有用なのか

この skill の主な価値は、実務で使える相関にあります。怪しい LSASS アクセス、既知のダンピングツール、レジストリやファイルの操作を、ひとつのハント課題として扱えるためです。単なる汎用プロンプトより有用なのは、具体的な作業手順、イベント ID、アクセスマスク、そして起こりやすい偽陽性の絞り込み方まで、最初から手がかりを与えてくれるからです。

detecting-t1003-credential-dumping-with-edr skill の使い方

インストールして、正しいファイルを開く

detecting-t1003-credential-dumping-with-edr install を行うときは、まず repo から skill を追加し、最初に SKILL.md を読みます。補助ファイルは飾りではなく、根拠として使ってください。特に役立つのは、レポート構成を確認する assets/template.md、ハントの段階をまとめた references/workflows.md、イベントやクエリの詳細がある references/api-reference.md、アクセスマスクやコントロールの文脈を確認する references/standards.md です。

skill に具体的なハント質問を与える

detecting-t1003-credential-dumping-with-edr usage は、対象、データソース、ホスト範囲が明確なときに最もよく機能します。たとえば、「直近24時間の Windows エンドポイントで、Sysmon Event 10 と Defender for Endpoint のアラートを使って LSASS ダンピングをハントし、管理者端末を優先して、怪しい送信元プロセス、コマンドライン、アクセスマスクを返してほしい」といった入力が強い例です。逆に「マルウェアを探して」は、推測だらけになり、EDR 向けのロジックが活かせません。

設計された順番どおりにワークフローを使う

まず LSASS のプロセスアクセスを確認し、次に既知の credential dumping コマンドラインを照合し、その後で NTDS.dit やレジストリハイブの抽出を確認し、最後に lateral movement へ広げます。この順番が重要なのは、資格情報への直接アクセスの証拠と、その後に起きる影響を分けられるからです。ノイズを減らし、インシデント対応へエスカレーションすべきか判断しやすくなります。

プロンプトだけでなく、クエリの入力条件も調整する

テレメトリがノイジーなら、イベントソースと実際に持っているフィールドを明示してください。たとえば、Sysmon の Event ID 10、Windows の 4688、または EDR の process-lineage フィールドを、ハント用テンプレートにどう対応づけるかを skill に依頼します。ソースが1つしかないなら最初にそう伝え、複数あるなら相関ルールも求めてください。そうしないと、出力が1種類のログに寄りすぎてしまいます。

detecting-t1003-credential-dumping-with-edr skill の FAQ

これは LSASS ダンピング専用ですか？

いいえ。detecting-t1003-credential-dumping-with-edr guide は、SAM、NTDS.dit、LSA secrets、キャッシュされたドメイン資格情報、DCSync の兆候もカバーしています。LSASS アクセスは最も早いシグナルですが、実際の攻撃者はメモリアクセスに加えて、レジストリやディレクトリ複製の悪用を組み合わせることが多いため、skill はそれより広い範囲を対象にしています。

通常のプロンプトと何が違いますか？

通常のプロンプトでも T1003 の概念は見つけられるかもしれませんが、この skill は再現性のあるハント構造、具体的なイベント参照、そして結果報告用のテンプレートを提供します。detecting-t1003-credential-dumping-with-edr usage で、ありきたりな要約ではなく、実際に使える出力が必要なときの大きな利点です。

特定の EDR が必要ですか？

特定の EDR は必須ではありませんが、プロセスアクセス、コマンドライン、アラート証跡の各フィールドが取れる環境で最も力を発揮します。一般的な EDR スタックに加えて Sysmon と Windows auditing とうまく合います。もし LSASS の可視性や process creation logging がない環境なら、結果は弱くなります。

どんなときに使わないほうがいいですか？

Windows の credential-access テレメトリがなく、広い範囲のマルウェアトリアージだけが必要な場合や、正当な管理ツールとダンピング活動を見分けるだけのホストコンテキストを集められない場合は、これに頼らないでください。そのようなケースでは、より狭いプロンプトか別の detection skill のほうが速いです。

detecting-t1003-credential-dumping-with-edr skill の改善方法

より良い証拠を与える

最良の出力は、hostnames、time window、親プロセス、コマンドライン、ユーザーコンテキスト、アクセスマスク、アラートソースといった正確な入力から得られます。可能であれば、mimikatz sekurlsa::logonpasswords、procdump -ma lsass.exe、reg save hklm\sam のような怪しい例を1つか2つ含めてください。既知のパターンにハントを固定でき、skill が勝手に作り話をする必要がなくなります。

偽陽性は早めに減らす

環境内で想定されるプロセス、特に LSASS に触れる可能性のある正規のセキュリティツール、管理用ユーティリティ、サポートエージェントを skill に伝えてください。detecting-t1003-credential-dumping-with-edr は、通常の管理操作と、怪しいアクセスマスクや不自然な親子関係を分けられるときに最も強く機能するからです。

検知からスコープ確認へ反復する

最初のパスのあとで、次に必要な判断を依頼してください。侵害の確認、関連ホストの特定、レポート化できるタイムラインの抽出などです。よい追い質問の例は、「同じテレメトリを使って、侵害の可能性が高いシステム、それぞれの証拠、そしてシグナルが T1003.001、T1003.002、T1003.003 のどれを示すかを要約して」といったものです。こうすると、この skill は検索補助から調査ワークフローへと変わります。

テンプレートを使って出力を標準化する

assets/template.md に findings を落とし込み、各ハントで hypothesis、LSASS access、tool detections、impact、response の欄をそろえてください。標準化すると、detecting-t1003-credential-dumping-with-edr skill はさらに使いやすくなります。何が、どうやって、どのホストでアクセスされたのか、次に何を reset すべきか／contain すべきか、という運用上の問いに答える出力を強制できるからです。