Další výstrahy zabezpečení
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je uživatel s nízkými oprávněními, a pak rychle probíhají laterálně, dokud útočník nezíská přístup k cenným prostředkům. Cennými prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby u zdroje v celém řetězci útoků a klasifikuje je do následujících fází:
- Upozornění na rekognoskaci a zjišťování
- Upozornění na trvalost a eskalace oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Upozornění na laterální pohyb
- Další
Další informace o tom, jak porozumět struktuře a společným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Principy výstrah zabezpečení. Informace o pravdivě pozitivních (TP),neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v tématu Klasifikace výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a napravit podezřelé aktivity jiné fáze zjištěné službou Defender for Identity ve vaší síti.
Podezřelý útok DCShadow (povýšení řadiče domény) (externí ID 2028)
Předchozí název: Podezřelé povýšení řadiče domény (potenciální útok DCShadow)
Závažnost: Vysoká
Popis:
Stínový útok řadiče domény (DCShadow) je útok určený ke změně objektů adresáře pomocí škodlivé replikace. Tento útok lze provést z libovolného počítače vytvořením podvodného řadiče domény pomocí procesu replikace.
Při útoku DCShadow se rpc a LDAP používají k:
- Zaregistrujte účet počítače jako řadič domény (pomocí práv správce domény).
- Proveďte replikaci (s využitím udělených práv replikace) přes DRSUAPI a odesílejte změny do objektů adresáře.
V této detekci Defenderu pro identitu se aktivuje výstraha zabezpečení, když se počítač v síti pokusí zaregistrovat jako podvodný řadič domény.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Technika útoku MITRE | Podvodný řadič domény (T1207) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
Ověřte následující oprávnění:
- Replikujte změny adresáře.
- Replikovat všechny změny adresáře
- Další informace najdete v tématu Udělení oprávnění Active Directory Domain Services pro synchronizaci profilů v SharePoint Serveru 2013. Pomocí nástroje AD ACL Scanner nebo můžete vytvořit skript Windows PowerShell, který určí, kdo má tato oprávnění v doméně.
Poznámka
Upozornění na podezřelé zvýšení úrovně řadiče domény (potenciální útok DCShadow) podporují pouze senzory Defenderu for Identity.
Podezřelý útok DCShadow (žádost o replikaci řadiče domény) (externí ID 2029)
Předchozí název: Podezřelý požadavek na replikaci (potenciální útok DCShadow)
Závažnost: Vysoká
Popis:
Replikace služby Active Directory je proces, při kterém se změny provedené na jednom řadiči domény synchronizují s jinými řadiči domény. Vzhledem k potřebným oprávněním můžou útočníci udělit oprávnění ke svému účtu počítače, což jim umožní zosobnit řadič domény. Útočníci se snaží zahájit škodlivý požadavek na replikaci, což jim umožní změnit objekty služby Active Directory na originálním řadiči domény, což může útočníkům poskytnout trvalost v doméně. Při této detekci se aktivuje upozornění, když se vygeneruje podezřelý požadavek na replikaci pro originální řadič domény chráněný službou Defender for Identity. Chování značí techniky používané při stínových útocích řadiče domény.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Technika útoku MITRE | Podvodný řadič domény (T1207) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhovaná náprava a kroky pro prevenci:
Ověřte následující oprávnění:
- Replikujte změny adresáře.
- Replikovat všechny změny adresáře
- Další informace najdete v tématu Udělení oprávnění Active Directory Domain Services pro synchronizaci profilů v SharePoint Serveru 2013. Můžete použít nástroj AD ACL Scanner nebo vytvořit Windows PowerShell skript k určení, kdo v doméně má tato oprávnění.
Poznámka
Upozornění na podezřelé žádosti o replikaci (potenciální útok DCShadow) podporují pouze senzory Defenderu for Identity.
Podezřelé připojení VPN (externí ID 2025)
Předchozí název: Podezřelé připojení VPN
Závažnost: Střední
Popis:
Defender for Identity se učí chování entit u připojení VPN uživatelů za klouzavé období jednoho měsíce.
Model chování sítě VPN je založený na počítačích, ke kterému se uživatelé přihlašují, a na umístěních, ze kterých se připojují.
Upozornění se otevře, když dojde k odchylce od chování uživatele na základě algoritmu strojového učení.
Období výuky:
30 dní od prvního připojení VPN a alespoň 5 připojení VPN za posledních 30 dnů na uživatele
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003) |
| Technika útoku MITRE | Externí vzdálené služby (T1133) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Pokus o vzdálené spuštění kódu (externí ID 2019)
Předchozí název: Pokus o vzdálené spuštění kódu
Závažnost: Střední
Popis:
Útočníci, kteří zneužívají přihlašovací údaje správce nebo používají zneužití nultého dne, můžou na vašem řadiči domény nebo serveru AD FS nebo AD CS spouštět vzdálené příkazy. To se dá použít k získání trvalosti, shromažďování informací, útokům dos (DOS) nebo k jakýmkoli jiným důvodům. Defender for Identity rozpozná připojení PSexec, vzdáleného rozhraní WMI a PowerShellu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Provádění (TA0002) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008) |
| Technika útoku MITRE | Interpret příkazů a skriptování (T1059),Vzdálené služby (T1021) |
| Dílčí technika útoku MITRE | PowerShell (T1059.001), Vzdálená správa systému Windows (T1021.006) |
Navrhované kroky pro prevenci:
- Omezte vzdálený přístup k řadičům domény z počítačů mimo vrstvu 0.
- Implementujte privilegovaný přístup, aby se k řadičům domény pro správce mohli připojovat jenom posílené počítače.
- Implementujte na doménových počítačích méně privilegovaný přístup, abyste konkrétním uživatelům umožnili vytvářet služby.
Poznámka
Upozornění na pokus o vzdálené spuštění kódu při pokusu o použití příkazů PowerShellu jsou podporována pouze senzory Defenderu for Identity.
Podezřelé vytvoření služby (externí ID 2026)
Předchozí název: Podezřelé vytvoření služby
Závažnost: Střední
Popis:
Na řadiči domény nebo serveru AD FS/AD CS ve vaší organizaci byla vytvořena podezřelá služba. Tato výstraha se při identifikaci této podezřelé aktivity spoléhá na událost 7045.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Provádění (TA0002) |
|---|---|
| Sekundární taktika MITRE | Trvalost (TA0003), eskalace oprávnění (TA0004), únik v obraně (TA0005), laterální pohyb (TA0008) |
| Technika útoku MITRE | Vzdálené služby (T1021),interpret příkazů a skriptů (T1059), systémové služby (T1569), vytvoření nebo úprava systémového procesu (T1543) |
| Dílčí technika útoku MITRE | Spuštění služby (T1569.002), služba systému Windows (T1543.003) |
Navrhované kroky pro prevenci:
- Omezte vzdálený přístup k řadičům domény z počítačů mimo vrstvu 0.
- Implementujte privilegovaný přístup , aby se k řadičům domény pro správce mohli připojovat pouze posílené počítače.
- Implementujte na doménových počítačích méně privilegovaný přístup, abyste měli právo vytvářet služby jenom konkrétním uživatelům.
Podezřelá komunikace přes DNS (externí ID 2031)
Předchozí název: Podezřelá komunikace přes DNS
Závažnost: Střední
Popis:
Protokol DNS ve většině organizací se obvykle nemonitoruje a zřídka se blokuje kvůli škodlivým aktivitám. Povolení útočníkovi na napadeném počítači zneužít protokol DNS Škodlivá komunikace přes DNS se dá použít pro exfiltraci dat, příkazy a řízení nebo obcházení omezení podnikové sítě.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Exfiltrace (TA0010) |
|---|---|
| Technika útoku MITRE | Exfiltrace přes alternativní protokol (T1048),exfiltrace přes kanál C2 (T1041), plánovaný přenos (T1029), automatizovaná exfiltrace (T1020), protokol aplikační vrstvy (T1071) |
| Dílčí technika útoku MITRE | DNS (T1071.004), exfiltrace přes nešifrovaný/obfuskovaný protokol bez C2 (T1048.003) |
Exfiltrace dat přes protokol SMB (externí ID 2030)
Závažnost: Vysoká
Popis:
Řadiče domény uchovávají nejcitlivější data organizace. Pro většinu útočníků je jednou z jejich hlavních priorit získání přístupu k řadiči domény, aby ukradli vaše nejcitlivější data. Například exfiltrace souboru Ntds.dit, který je uložený v řadiči domény, umožňuje útočníkovi vytvořit lístek protokolu Kerberos pro udělování lístků (TGT) poskytujících autorizaci pro jakýkoli prostředek. Kované protokoly TGT protokolu Kerberos umožňují útočníkovi nastavit vypršení platnosti lístku na libovolný čas. Při sledování podezřelých přenosů dat z monitorovaných řadičů domény se aktivuje upozornění na exfiltraci dat defenderu for Identity přes protokol SMB.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Exfiltrace (TA0010) |
|---|---|
| Sekundární taktika MITRE | Laterální pohyb (TA0008),Příkaz a řízení (TA0011) |
| Technika útoku MITRE | Exfiltrace přes alternativní protokol (T1048) a laterální přenos nástrojů (T1570) |
| Dílčí technika útoku MITRE | Exfiltrace nad nešifrovaným/obfuskovaným protokolem bez C2 (T1048.003) |
Podezřelé odstranění položek databáze certifikátů (externí ID 2433)
Závažnost: Střední
Popis:
Odstranění položek databáze certifikátů je červený příznak, který označuje potenciální škodlivou aktivitu. Tento útok by mohl narušit fungování systémů infrastruktury veřejných klíčů (PKI), což by mělo dopad na ověřování a integritu dat.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Technika útoku MITRE | Odebrání indikátoru (T1070) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Poznámka
Upozornění na podezřelé odstranění položek databáze certifikátů podporují jenom senzory Defenderu for Identity ve službě AD CS.
Podezřelé zakázání filtrů auditu služby AD CS (externí ID 2434)
Závažnost: Střední
Popis:
Zakázání filtrů auditu ve službě AD CS může útočníkům umožnit, aby fungovali bez detekce. Cílem tohoto útoku je vyhnout se monitorování zabezpečení zakázáním filtrů, které by jinak označovaly podezřelé aktivity.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Technika útoku MITRE | Narušení obrany (T1562) |
| Dílčí technika útoku MITRE | Zakázání protokolování událostí systému Windows (T1562.002) |
Změna hesla v režimu obnovení adresářových služeb (externí ID 2438)
Závažnost: Střední
Popis:
Režim obnovení adresářových služeb (DSRM) je speciální režim spouštění v operačních systémech Microsoft Windows Server, který umožňuje správci opravit nebo obnovit databázi služby Active Directory. Tento režim se obvykle používá v případě problémů se službou Active Directory a normální spouštění není možné. Heslo DSRM se nastavuje během povýšení serveru na řadič domény. Při této detekci se aktivuje upozornění, když Defender for Identity zjistí, že se změnilo heslo dsrm. Doporučujeme prošetřit zdrojový počítač a uživatele, který žádost vytvořil, a zjistit, jestli byla změna hesla režimu dsRM iniciována z legitimní akce správy, nebo jestli vyvolává obavy z neoprávněného přístupu nebo potenciálních bezpečnostních hrozeb.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Trvalost (TA0003) |
|---|---|
| Technika útoku MITRE | Manipulace s účtem (T1098) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Možná krádež relace Okta
Závažnost: Vysoká
Popis:
Při krádeži relace útočníci ukradnou soubory cookie legitimního uživatele a použijí je z jiných umístění. Doporučujeme prošetřit zdrojovou IP adresu provádějící operace, abyste zjistili, jestli jsou tyto operace legitimní nebo ne a jestli je IP adresa používána uživatelem.
Období výuky:
2 týdny
MITRE:
| Primární taktika MITRE | Kolekce (TA0009) |
|---|---|
| Technika útoku MITRE | Napadení relace prohlížeče (T1185) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Zásady skupiny manipulace (externí ID 2440) (Preview)
Závažnost: Střední
Popis:
V Zásady skupiny byla zjištěna podezřelá změna, která má za následek deaktivaci windows Antivirová ochrana v programu Defender. Tato aktivita může znamenat narušení zabezpečení útočníkem se zvýšenými oprávněními, který by mohl nastavit fázi distribuce ransomwaru.
Navrhované kroky pro šetření:
Vysvětlení, jestli je změna objektu zásad zásad_legitimní
Pokud tomu tak nebylo, vraťte změnu zpět.
Vysvětlení toho, jak jsou zásady skupiny propojené, a odhad jejich rozsahu dopadu
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Únik v obraně (TA0005) |
|---|---|
| Technika útoku MITRE | Subvertovat ovládací prvky důvěryhodnosti (T1553) |
| Technika útoku MITRE | Subvertovat ovládací prvky důvěryhodnosti (T1553) |
| Dílčí technika útoku MITRE | Není k dispozici. |