%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
Sentinel Queries
このプロジェクトは、Azure ADテナント内でBloodHound BARKツールキットに関連する悪用行為を検出するための一連のKQLクエリを提供します。これらのクエリは、BARKが模倣する行動を特定することを目的としており、ツール自体の使用ではなく行動を対象としています。内容には、さまざまなBARK機能に対する検出クエリ、制御の提案、および関連するリソースへのリンクが含まれています。
スコア : 2ポイント
ダウンロード数 : 14
BARK検出とは?
これらの検出クエリは、BARKツールキットが実行できるような特権昇格の試みを示す可能性のあるAzure AD内の疑わしい活動を特定するのに役立ちます。パスワードのリセット、資格情報の追加、ロールの割り当てなどの敏感な操作を監視します。これらの検出をどのように使用するか?
クエリは、Microsoft SentinelまたはLog AnalyticsでAzure ADログに対して実行する必要があります。精度を調整するために、最初に環境でテストすることをお勧めします。これらの検出をいつ使用するか?
これらのクエリは、Azure AD環境の継続的な監視に使用してください。特に、特権ユーザーやサービスプリンシパルがいる場合、または潜在的な侵害を検出したい場合に有効です。主要な検出機能
パスワードリセット検出PowerShellを介して実行されたパスワードリセット操作を特定し、侵害の可能性を示すことができます。
アプリケーションシークレットの作成アプリケーションオブジェクトに新しい資格情報が追加されたときを検出します。
ロール割り当ての監視ユーザーまたはサービスプリンシパルが特権ロールに追加されたときを追跡します。
所有者の変更アプリケーションとサービスプリンシパルの所有者の変更を監視します。
強みと制限
強み
潜在的な特権昇格の経路を可視化します
ユーザーとサービスプリンシパルの両方の活動をカバーします
追加のインストルメンテーションを必要とせず、Azure ADのネイティブログを使用します
正当なツールと権限の悪用を検出するのに役立ちます
制限
正当な自動化が行われている環境では誤検知が発生する可能性があります
特定の環境に合わせて調整する必要があります
アクションが発生した後にのみ検出します(予防的ではありません)
一部の正当な管理者の活動が悪意のある活動と似ている場合があります
実装ガイド
ログ記録を設定する
Azure ADログがLog Analyticsワークスペースに収集されていることを確認してください。
%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%230080ff;%20}%20%3c/style%3e%3c/defs%3e%3cpath%20class='st0'%20d='M16.2,11.1c.4.5.4,1.2,0,1.8l-4.7,7.1h-3.8l5.3-8L7.6,4h3.8l4.7,7.1Z'/%3e%3c/svg%3e)
クエリをテストする
環境に対して検出クエリを実行し、ベースラインを確立します。
アラートを作成する
Microsoft Sentinelで疑わしい活動に対するアラートを構成します。
コントロールを実装する
ドキュメントから推奨される予防コントロールを適用します。
検出シナリオ
アプリケーションシークレットの作成を検出するアプリケーションに新しい資格情報が追加されたときを監視します。これにより、攻撃者が環境に定着する可能性があります。
疑わしいロール割り当てを特定するサービスプリンシパルが特権ロールに追加されたときを検出します。これは、特権昇格を示す可能性があります。
よくある質問
これらのクエリはBARKツールキットに固有のものですか?
これらの検出クエリをどのくらいの頻度で実行すべきですか?
これらの検出を使用するために必要な権限は何ですか?
誤検知を減らすにはどうすればいいですか?
追加リソース
BloodHound BARK GitHub
公式のBARKツールキットリポジトリ
Azure AD特権昇格の検出
Azure ADの特権昇格を検出するブログ記事
Microsoft Azure ADドキュメント
Azure Active Directoryの公式Microsoftドキュメント
厳選MCPサービス
Edgeone Pages MCP Server
EdgeOne Pages MCPは、MCPプロトコルを通じてHTMLコンテンツをEdgeOne Pagesに迅速にデプロイし、公開URLを取得するサービスです。
TypeScript
246
4.8ポイント
Gmail MCP Server
Claude Desktop用に設計されたGmail自動認証MCPサーバーで、自然言語でのやり取りによるGmailの管理をサポートし、メール送信、ラベル管理、一括操作などの完全な機能を備えています。
TypeScript
268
4.5ポイント
Context7
Context7 MCPは、AIプログラミングアシスタントにリアルタイムのバージョン固有のドキュメントとコード例を提供するサービスで、Model Context Protocolを通じてプロンプトに直接統合され、LLMが古い情報を使用する問題を解決します。
TypeScript
5.2K
4.7ポイント
Baidu Map
認証済み
百度マップMCPサーバーは国内初のMCPプロトコルに対応した地図サービスで、地理コーディング、ルート計画など10個の標準化されたAPIインターフェースを提供し、PythonとTypescriptでの迅速な接続をサポートし、エージェントに地図関連の機能を実現させます。
Python
698
4.5ポイント
Gitlab MCP Server
認証済み
GitLab MCPサーバーは、Model Context Protocolに基づくプロジェクトで、GitLabアカウントとのやり取りに必要な包括的なツールセットを提供します。コードレビュー、マージリクエスト管理、CI/CD設定などの機能が含まれます。
TypeScript
61
4.3ポイント
Unity
認証済み
UnityMCPはUnityエディターのプラグインで、モデルコンテキストプロトコル (MCP) を実装し、UnityとAIアシスタントのシームレスな統合を提供します。リアルタイムの状態監視、リモートコマンドの実行、ログ機能が含まれます。
C#
531
5ポイント
Magic MCP
Magic Component Platform (MCP) はAI駆動のUIコンポーネント生成ツールで、自然言語での記述を通じて、開発者が迅速に現代的なUIコンポーネントを作成するのを支援し、複数のIDEとの統合をサポートします。
JavaScript
1.7K
5ポイント
Sequential Thinking MCP Server
MCPプロトコルに基づく構造化思考サーバーで、思考段階を定義することで複雑な問題を分解し要約を生成するのに役立ちます。
Python
243
4.5ポイント