Upozornění na rekognoskaci a zjišťování
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je uživatel s nízkými oprávněními, a pak rychle probíhají laterálně, dokud útočník nezíská přístup k cenným prostředkům. Cennými prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby u zdroje v celém řetězci útoků a klasifikuje je do následujících fází:
- Rekognoskace a objevy
- Upozornění na trvalost a eskalace oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Upozornění na laterální pohyb
- Další výstrahy
Další informace o tom, jak porozumět struktuře a společným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Principy výstrah zabezpečení. Informace o pravdivě pozitivních (TP),neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v tématu Klasifikace výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a napravit podezřelé aktivity fáze rekognoskace a zjišťování zjištěné službou Defender for Identity ve vaší síti.
Průzkum a zjišťování se skládají z technik, které může nežádoucí osoba použít k získání znalostí o systému a interní síti. Tyto techniky pomáhají nežádoucím osobami sledovat prostředí a orientovat se, než se rozhodnou, jak jednat. Umožňují také nežádoucím uživatelům prozkoumat, co mohou řídit a co je v okolí vstupního bodu, a zjistit, jak by to mohlo prospět jejich aktuálnímu cíli. K tomuto cíli shromažďování informací po ohrožení zabezpečení se často používají nativní nástroje operačního systému. V Microsoft Defender for Identity tato upozornění obvykle zahrnují interní výčet účtů s různými technikami.
Rekognoskace výčtu účtů (externí ID 2003)
Předchozí název: Rekognoskace pomocí výčtu účtů
Závažnost: Střední
Popis:
Při rekognoskaci výčtu účtů používá útočník slovník s tisíci uživatelských jmen nebo nástroje, jako je KrbGuess, ve snaze uhodnout uživatelská jména v doméně.
Kerberos: Útočník provádí požadavky protokolu Kerberos s použitím těchto názvů, aby se pokusil najít platné uživatelské jméno v doméně. Když odhad úspěšně určí uživatelské jméno, útočníkovi se místo neznámé chyby Kerberos objektu zabezpečení zobrazí požadované předběžné ověření.
NTLM: Útočník provádí žádosti o ověření protokolem NTLM pomocí slovníku názvů, aby se pokusil najít platné uživatelské jméno v doméně. Pokud odhad úspěšně určí uživatelské jméno, útočníkovi se místo chyby NtLM NoSuchUser (0xc0000064) zobrazí chyba WrongPassword (0xc000006a).
V této detekci výstrah Defender for Identity zjistí, odkud útok s výčtem účtu pochází, celkový počet pokusů o odhad a počet nalezených pokusů. Pokud existuje příliš mnoho neznámých uživatelů, Defender for Identity to zjistí jako podezřelou aktivitu. Výstraha je založená na událostech ověřování ze senzorů spuštěných na řadiči domény a serverech AD FS/AD CS.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtu (T1087) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002) |
Navrhované kroky pro prevenci:
- Vynucujte v organizaci složitá a dlouhá hesla . Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou. Útoky hrubou silou jsou obvykle dalším krokem v řetězci kyberútoků po výčtu.
Rekognoskace výčtu účtů (LDAP) (externí ID 2437) (Preview)
Závažnost: Střední
Popis:
Při rekognoskaci výčtu účtů používá útočník slovník s tisíci uživatelských jmen nebo nástroje, jako je Ldapnomnom, ve snaze uhodnout uživatelská jména v doméně.
LDAP: Útočník provádí požadavky protokolu LDAP Ping (cLDAP) pomocí těchto názvů, aby se pokusil najít platné uživatelské jméno v doméně. Pokud odhad úspěšně určí uživatelské jméno, může útočník obdržet odpověď s informací, že uživatel v doméně existuje.
V této detekci výstrah Defender for Identity zjistí, odkud útok s výčtem účtu pochází, celkový počet pokusů o odhad a počet nalezených pokusů. Pokud existuje příliš mnoho neznámých uživatelů, Defender for Identity to zjistí jako podezřelou aktivitu. Výstraha je založená na aktivitách vyhledávání protokolu LDAP ze senzorů spuštěných na serverech řadičů domény.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtu (T1087) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002) |
Rekognoskace mapování sítě (DNS) (externí ID 2007)
Předchozí název: Rekognoskace pomocí DNS
Závažnost: Střední
Popis:
Váš server DNS obsahuje mapu všech počítačů, IP adres a služeb ve vaší síti. Tyto informace útočníci používají k mapování struktury sítě a k cílení na zajímavé počítače pro pozdější kroky jejich útoku.
Protokol DNS obsahuje několik typů dotazů. Tato výstraha zabezpečení Defenderu for Identity detekuje podezřelé požadavky, buď požadavky využívající AXFR (přenos), které pocházejí ze serverů bez DNS, nebo ty, které používají nadměrný počet požadavků.
Období výuky:
Tato výstraha má dobu učení osm dní od zahájení monitorování řadiče domény.
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087),kontrola síťových služeb (T1046), vzdálené zjišťování systému (T1018) |
| Dílčí technika útoku MITRE | Není k dispozici. |
Navrhované kroky pro prevenci:
Je důležité zabránit budoucím útokům pomocí dotazů AXFR zabezpečením interního serveru DNS.
- Zabezpečte interní server DNS, abyste zabránili rekognoskaci pomocí DNS, zakázáním přenosů zón nebo omezením přenosů zón pouze na zadané IP adresy. Úprava přenosů zón je jedním z úkolů z kontrolního seznamu, který by měl být vyřešen pro zabezpečení serverů DNS před interními i externími útoky.
Průzkum uživatelů a IP adres (SMB) (externí ID 2012)
Předchozí název: Rekognoskace pomocí výčtu relací SMB
Závažnost: Střední
Popis:
Výčet pomocí protokolu SMB (Server Message Block) umožňuje útočníkům získat informace o tom, kde se uživatelé nedávno přihlásili. Jakmile budou mít útočníci tyto informace, můžou se laterálně přesunout do sítě a dostat se na konkrétní citlivý účet.
Při této detekci se při provedení výčtu relace SMB na řadiči domény aktivuje výstraha.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087), zjišťování Connections systémových sítí (T1049) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002) |
Průzkum členství uživatelů a skupin (SAMR) (externí ID 2021)
Předchozí název: Rekognoskace pomocí dotazů adresářových služeb
Závažnost: Střední
Popis:
Průzkum členství uživatelů a skupin používají útočníci k mapování adresářové struktury a cílení na privilegované účty pro pozdější kroky svého útoku. Protokol SAM-R (Security Account Manager Remote) je jednou z metod používaných k dotazování adresáře za účelem provedení tohoto typu mapování. Při této detekci se v prvním měsíci po nasazení Defenderu for Identity (výukové období) neaktivují žádné výstrahy. Během studijního období se v Programu Defender for Identity profilují dotazy SAM-R, ze kterých počítačů, výčtu i jednotlivých dotazů citlivých účtů.
Období výuky:
Čtyři týdny na řadič domény od první síťové aktivity SAMR vůči konkrétnímu řadiči domény.
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087), oprávnění Skupiny zjišťování (T1069) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002), skupina domén (T1069.002) |
Navrhované kroky pro prevenci:
- Použijte přístup k síti a omezte klienty, kteří můžou vzdáleně volat zásady skupiny SAM.
Rekognoskace atributů služby Active Directory (LDAP) (externí ID 2210)
Závažnost: Střední
Popis:
Rekognoskace protokolu LDAP služby Active Directory je používána útočníky k získání důležitých informací o prostředí domény. Tyto informace můžou útočníkům pomoct mapovat strukturu domény a identifikovat privilegované účty, které se mají použít v pozdějších krocích v řetězu útoků. Protokol LDAP (Lightweight Directory Access Protocol) je jednou z nejoblíbenějších metod používaných pro legitimní i škodlivé účely k dotazování služby Active Directory.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087),nepřímé spuštění příkazů (T1202), oprávnění Skupiny zjišťování (T1069) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002), Skupiny domény (T1069.002) |
Honeytoken byl dotazován přes SAM-R (externí ID 2439).
Závažnost: Nízká
Popis:
Útočníci používají rekognoskaci uživatelů k mapování adresářové struktury a cílení na privilegované účty pro pozdější kroky v útoku. Protokol SAM-R (Security Account Manager Remote) je jednou z metod používaných k dotazování adresáře za účelem provedení tohoto typu mapování. Při této detekci Microsoft Defender for Identity aktivuje toto upozornění pro všechny aktivity rekognoskace vůči předem nakonfigurovaným uživatelům honeytokenu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtu (T1087) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002) |
Honeytoken byl dotazován prostřednictvím protokolu LDAP (externí ID 2429).
Závažnost: Nízká
Popis:
Útočníci používají rekognoskaci uživatelů k mapování adresářové struktury a cílení na privilegované účty pro pozdější kroky v útoku. Protokol LDAP (Lightweight Directory Access Protocol) je jednou z nejoblíbenějších metod používaných pro legitimní i škodlivé účely k dotazování služby Active Directory.
Při této detekci Microsoft Defender for Identity aktivuje toto upozornění pro všechny aktivity rekognoskace vůči předem nakonfigurovaným uživatelům honeytokenu.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtu (T1087) |
| Dílčí technika útoku MITRE | Účet domény (T1087.002) |
Podezřelý výčet účtu Okta
Závažnost: Vysoká
Popis:
Ve výčtu účtů se útočníci pokusí uhodnout uživatelská jména tím, že se k Oktě přihlásí s uživateli, kteří nepatří do organizace. Doporučujeme prošetřit zdrojové IP adresy, které provádějí neúspěšné pokusy, a zjistit, jestli jsou legitimní nebo ne.
Období výuky:
Žádné
MITRE:
| Primární taktika MITRE | Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004) |
|---|---|
| Technika útoku MITRE | Platné účty (T1078) |
| Dílčí technika útoku MITRE | Cloudové účty (T1078.004) |