Andre sikkerhedsbeskeder
Cyberangreb startes typisk mod enhver tilgængelig enhed, f.eks. en bruger med få rettigheder, og flyttes derefter hurtigt lateralt, indtil angriberen får adgang til værdifulde aktiver. Værdifulde aktiver kan være følsomme konti, domæneadministratorer eller meget følsomme data. Microsoft Defender for Identity identificerer disse avancerede trusler ved kilden gennem hele kæden for angrebsdræb og klassificerer dem i følgende faser:
- Beskeder om rekognoscering og registrering
- Beskeder om vedholdenhed og rettighedseskalering
- Beskeder om adgang til legitimationsoplysninger
- Beskeder om tværgående flytning
- Andet
Hvis du vil vide mere om, hvordan du forstår strukturen og almindelige komponenter i alle Defender for Identity-sikkerhedsbeskeder, skal du se Om sikkerhedsbeskeder. Du kan få oplysninger om True positive (TP), Benign true positive (B-TP) og False positive (FP) under klassificeringer af sikkerhedsadvarsler.
Følgende sikkerhedsbeskeder hjælper dig med at identificere og afhjælpe andre faset mistænkelige aktiviteter, der registreres af Defender for Identity i dit netværk.
Mistanke om DCShadow-angreb (hævning af domænecontroller) (eksternt id 2028)
Forrige navn: Hævning af mistænkelig domænecontroller (potentielt DCShadow-angreb)
Alvorsgrad: Høj
Beskrivelse:
Et DCShadow-angreb (domænecontrollerskygge) er et angreb, der er designet til at ændre katalogobjekter ved hjælp af skadelig replikering. Dette angreb kan udføres fra enhver maskine ved at oprette en rogue domænecontroller ved hjælp af en replikeringsproces.
I et DCShadow-angreb bruges RPC og LDAP til at:
- Registrer computerkontoen som en domænecontroller (ved hjælp af rettigheder som domæneadministrator).
- Udfør replikering (ved hjælp af de tildelte replikeringsrettigheder) over DRSUAPI, og send ændringer til katalogobjekter.
I denne Defender for Identity Detection udløses en sikkerhedsadvarsel, når en computer i netværket forsøger at registrere sig som en rogue-domænecontroller.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| MITRE-angrebsteknik | Rogue-domænecontroller (T1207) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
Valider følgende tilladelser:
- Repliker mappeændringer.
- Repliker mappeændringer alle.
- Du kan finde flere oplysninger under Tildel Active Directory-domæneservices tilladelser til profilsynkronisering i SharePoint Server 2013. Du kan bruge AD ACL Scanner eller oprette et Windows PowerShell script til at bestemme, hvem der har disse tilladelser i domænet.
Bemærk!
Mistænkelig hævning af domænecontrollere (potentielle DCShadow-angreb) beskeder understøttes kun af Defender for Identity-sensorer.
Mistanke om DCShadow-angreb (anmodning om replikering af domænecontroller) (eksternt id 2029)
Forrige navn: Mistænkelig replikeringsanmodning (potentielt DCShadow-angreb)
Alvorsgrad: Høj
Beskrivelse:
Active Directory-replikering er den proces, hvorved ændringer, der foretages på én domænecontroller, synkroniseres med andre domænecontrollere. Med de nødvendige tilladelser kan personer med ondsindede hensigter tildele rettigheder til deres computerkonto, så de kan repræsentere en domænecontroller. Angribere bestræber sig på at starte en anmodning om skadelig replikering, så de kan ændre Active Directory-objekter på en ægte domænecontroller, hvilket kan give angriberne vedholdenhed i domænet. I denne registrering udløses en besked, når der genereres en mistænkelig replikeringsanmodning mod en ægte domænecontroller, der er beskyttet af Defender for Identity. Funktionsmåden er tegn på teknikker, der bruges i skyggeangreb på domænecontrollere.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| MITRE-angrebsteknik | Rogue-domænecontroller (T1207) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslået afhjælpning og trin til forebyggelse:
Valider følgende tilladelser:
- Repliker mappeændringer.
- Repliker mappeændringer alle.
- Du kan finde flere oplysninger under Tildel Active Directory-domæneservices tilladelser til profilsynkronisering i SharePoint Server 2013. Du kan bruge AD ACL Scanner eller oprette et Windows PowerShell script til at bestemme, hvem i domænet der har disse tilladelser.
Bemærk!
Mistænkelig replikeringsanmodning (potentielle DCShadow-angreb) beskeder understøttes kun af Defender for Identity-sensorer.
Mistænkelig VPN-forbindelse (eksternt id 2025)
Forrige navn: Mistænkelig VPN-forbindelse
Alvorsgrad: mellem
Beskrivelse:
Defender for Identity lærer funktionsmåden for brugernes VPN-forbindelser over en glidende periode på én måned.
Modellen med VPN-funktionsmåde er baseret på de maskiner, brugerne logger på, og de placeringer, som brugerne opretter forbindelse fra.
Der åbnes en besked, når der er en afvigelse fra brugerens funktionsmåde baseret på en algoritme til maskinel indlæring.
Læringsperiode:
30 dage fra den første VPN-forbindelse og mindst 5 VPN-forbindelser inden for de sidste 30 dage pr. bruger.
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| Sekundær MITRE-taktik | Vedholdenhed (TA0003) |
| MITRE-angrebsteknik | Eksterne fjerntjenester (T1133) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Forsøg på fjernkørsel af kode (eksternt id 2019)
Forrige navn: Forsøg på fjernkørsel af kode
Alvorsgrad: mellem
Beskrivelse:
Angribere, der kompromitterer administrative legitimationsoplysninger eller bruger en nuldagsudnyttelse, kan udføre fjernkommandoer på din domænecontroller eller AD FS/AD CS-server. Dette kan bruges til at opnå vedholdenhed, indsamle oplysninger, DENS-angreb (Denial of Service) eller andre årsager. Defender for Identity registrerer PSexec-, Remote WMI- og PowerShell-forbindelser.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Udførelse (TA0002) |
|---|---|
| Sekundær MITRE-taktik | Tværgående bevægelse (TA0008) |
| MITRE-angrebsteknik | Kommando- og scriptfortolker (T1059),Fjerntjenester (T1021) |
| UNDERteknik til MITRE-angreb | PowerShell (T1059.001), Windows Remote Management (T1021.006) |
Foreslåede trin til forebyggelse:
- Begræns fjernadgang til domænecontrollere fra computere, der ikke er niveau 0.
- Implementer privilegeret adgang, så det kun er hærdede computere, der kan oprette forbindelse til domænecontrollere for administratorer.
- Implementer mindre privilegeret adgang på domænecomputere for at give bestemte brugere ret til at oprette tjenester.
Bemærk!
Beskeder om forsøg på fjernkørsel af kode ved forsøgte brug af Powershell-kommandoer understøttes kun af Defender for Identity-sensorer.
Oprettelse af mistænkelig tjeneste (eksternt id 2026)
Forrige navn: Mistænkelig oprettelse af tjeneste
Alvorsgrad: mellem
Beskrivelse:
Der er oprettet en mistænkelig tjeneste på en domænecontroller eller AD FS/AD CS-server i din organisation. Denne besked er afhængig af hændelsen 7045 for at identificere denne mistænkelige aktivitet.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Udførelse (TA0002) |
|---|---|
| Sekundær MITRE-taktik | Persistens (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
| MITRE-angrebsteknik | Fjerntjenester (T1021),kommando- og scriptfortolker (T1059), System Services (T1569), Opret eller rediger systemproces (T1543) |
| UNDERteknik til MITRE-angreb | Kørsel af tjeneste (T1569.002), Windows-tjeneste (T1543.003) |
Foreslåede trin til forebyggelse:
- Begræns fjernadgang til domænecontrollere fra computere, der ikke er niveau 0.
- Implementer privilegeret adgang , så det kun er hærdede maskiner, der kan oprette forbindelse til domænecontrollere for administratorer.
- Implementer mindre privilegeret adgang på domænecomputere for kun at give bestemte brugere ret til at oprette tjenester.
Mistænkelig kommunikation via DNS (eksternt id 2031)
Forrige navn: Mistænkelig kommunikation via DNS
Alvorsgrad: mellem
Beskrivelse:
DNS-protokollen i de fleste organisationer overvåges normalt ikke og blokeres sjældent for skadelig aktivitet. Gør det muligt for en hacker på en kompromitteret maskine at misbruge DNS-protokollen. Skadelig kommunikation via DNS kan bruges til dataudfiltrering, kommando og kontrol og/eller til at undgå begrænsninger for virksomhedens netværk.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Eksfiltration (TA0010) |
|---|---|
| MITRE-angrebsteknik | Eksfiltration over alternativ protokol (T1048), eksfiltration over C2-kanal (T1041), planlagt overførsel (T1029), automatiseret exfiltration (T1020), application layer protocol (T1071) |
| UNDERteknik til MITRE-angreb | DNS (T1071.004), Eksfiltration over ukrypteret/obfusceret ikke-C2-protokol (T1048.003) |
Dataudfiltrering over SMB (eksternt id 2030)
Alvorsgrad: Høj
Beskrivelse:
Domænecontrollere indeholder de mest følsomme organisationsdata. For de fleste angribere er en af deres vigtigste prioriteter at få adgang til domænecontrollere for at stjæle dine mest følsomme data. Exfiltration af filen Ntds.dit, der er gemt på DC, gør det f.eks. muligt for en hacker at forfalske Kerberos-billetter, der tildeler billetter (TGT), hvilket giver godkendelse til alle ressourcer. Smedede Kerberos TGTs gør det muligt for hackeren at angive billetudløb til et vilkårligt tidspunkt. En defender for Identity Data-exfiltration via SMB-besked udløses, når mistænkelige overførsler af data observeres fra dine overvågede domænecontrollere.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Eksfiltration (TA0010) |
|---|---|
| Sekundær MITRE-taktik | Tværgående bevægelse (TA0008),Kommando og kontrol (TA0011) |
| MITRE-angrebsteknik | Eksfiltration over alternativ protokol (T1048), tværgående værktøjsoverførsel (T1570) |
| UNDERteknik til MITRE-angreb | Eksfiltration over ukrypteret/obfusceret ikke-C2-protokol (T1048.003) |
Mistænkelig sletning af poster i certifikatdatabasen (eksternt id 2433)
Alvorsgrad: mellem
Beskrivelse:
Sletningen af poster i certifikatdatabasen er et rødt flag, der angiver potentiel skadelig aktivitet. Dette angreb kan forstyrre driften af PKI-systemer (Public Key Infrastructure), som påvirker godkendelse og dataintegritet.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| MITRE-angrebsteknik | Fjernelse af indikator (T1070) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Bemærk!
Mistænkelig sletning af beskeder om poster i certifikatdatabasen understøttes kun af Defender for Identity-sensorer på AD CS.
Mistænkelig deaktivering af overvågningsfiltre for AD CS (eksternt id 2434)
Alvorsgrad: mellem
Beskrivelse:
Deaktivering af overvågningsfiltre i AD CS kan gøre det muligt for hackere at arbejde uden at blive registreret. Dette angreb har til formål at undgå sikkerhedsovervågning ved at deaktivere filtre, der ellers ville markere mistænkelige aktiviteter.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| MITRE-angrebsteknik | Forringet forsvar (T1562) |
| UNDERteknik til MITRE-angreb | Deaktiver Windows-hændelseslogføring (T1562.002) |
Ændring af adgangskode til gendannelsestilstand for Katalogtjenester (eksternt id 2438)
Alvorsgrad: mellem
Beskrivelse:
DSRM (Directory Services Restore Mode) er en særlig starttilstand i Microsoft Windows Server operativsystemer, der gør det muligt for en administrator at reparere eller gendanne Active Directory-databasen. Denne tilstand bruges typisk, når der er problemer med Active Directory, og normal start ikke er mulig. DSRM-adgangskoden angives under hævningen af en server til en domænecontroller. I denne registrering udløses en besked, når Defender for Identity registrerer, at en DSRM-adgangskode ændres. Vi anbefaler, at du undersøger kildecomputeren og den bruger, der har foretaget anmodningen, for at forstå, om ændringen af DSRM-adgangskoden blev startet fra en legitim administrativ handling, eller om den giver anledning til bekymringer om uautoriseret adgang eller potentielle sikkerhedstrusler.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Vedholdenhed (TA0003) |
|---|---|
| MITRE-angrebsteknik | Kontomanipulation (T1098) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Muligt okta-sessionstyveri
Alvorsgrad: Høj
Beskrivelse:
I forbindelse med sessionstyveri stjæler hackere cookies fra legitime brugere og bruger dem fra andre placeringer. Vi anbefaler, at du undersøger kilde-IP,der udfører handlingerne for at afgøre, om disse handlinger er legitime eller ej, og at IP-adressen bruges af brugeren.
Læringsperiode:
2 uger
MITRE:
| Primær MITRE-taktik | Samling (TA0009) |
|---|---|
| MITRE-angrebsteknik | Kapring af browsersession (T1185) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Gruppepolitik-manipulation (eksternt id 2440) (prøveversion)
Alvorsgrad: mellem
Beskrivelse:
Der er registreret en mistænkelig ændring i Gruppepolitik, hvilket resulterer i deaktivering af Windows Defender Antivirus. Denne aktivitet kan indikere et sikkerhedsbrud af en hacker med øgede rettigheder, der kunne sætte fasen for distribution af ransomware.
Foreslåede trin til undersøgelse:
Forstå, om ændringen af gruppepolitikobjektet er legitim
Hvis det ikke var, skal du gendanne ændringen
Forstå, hvordan gruppepolitik sammenkædes, for at vurdere dens indvirkning
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Forsvarsunddragelse (TA0005) |
|---|---|
| MITRE-angrebsteknik | Subverter tillidskontrolelementer (T1553) |
| MITRE-angrebsteknik | Subverter tillidskontrolelementer (T1553) |
| UNDERteknik til MITRE-angreb | NIELSEN |