Beskeder om rekognoscering og registrering
Cyberangreb startes typisk mod enhver tilgængelig enhed, f.eks. en bruger med få rettigheder, og flyttes derefter hurtigt lateralt, indtil angriberen får adgang til værdifulde aktiver. Værdifulde aktiver kan være følsomme konti, domæneadministratorer eller meget følsomme data. Microsoft Defender for Identity identificerer disse avancerede trusler ved kilden gennem hele kæden for angrebsdræb og klassificerer dem i følgende faser:
- Rekognoscering og registrering
- Beskeder om vedholdenhed og rettighedseskalering
- Beskeder om adgang til legitimationsoplysninger
- Beskeder om tværgående flytning
- Andre beskeder
Hvis du vil vide mere om, hvordan du forstår strukturen og almindelige komponenter i alle Defender for Identity-sikkerhedsbeskeder, skal du se Om sikkerhedsbeskeder. Du kan få oplysninger om True positive (TP), Benign true positive (B-TP) og False positive (FP) under klassificeringer af sikkerhedsadvarsler.
Følgende sikkerhedsbeskeder hjælper dig med at identificere og afhjælpe rekognoscerings- og registreringsfasen mistænkelige aktiviteter, der registreres af Defender for Identity i dit netværk.
Reconnaissance og opdagelse består af teknikker en modstander kan bruge til at få viden om systemet og internt netværk. Disse teknikker hjælper modstandere observere miljøet og orientere sig, før de beslutter, hvordan de skal handle. De giver også modstandere mulighed for at udforske, hvad de kan styre, og hvad der er omkring deres indgangspunkt for at finde ud af, hvordan det kan drage fordel af deres nuværende mål. Værktøjer i det oprindelige operativsystem bruges ofte i forhold til denne målsætning om indsamling af oplysninger efter kompromis. I Microsoft Defender for Identity omfatter disse beskeder normalt intern kontoopregning med forskellige teknikker.
Optælling af konto (eksternt id 2003)
Forrige navn: Reconnaissance ved hjælp af kontoopregning
Alvorsgrad: mellem
Beskrivelse:
I forbindelse med rekognoscering af konto bruger en hacker en ordbog med tusindvis af brugernavne eller værktøjer som KrbGuess i et forsøg på at gætte brugernavne i domænet.
Kerberos: Hackeren foretager Kerberos-anmodninger ved hjælp af disse navne for at forsøge at finde et gyldigt brugernavn i domænet. Når et gæt bestemmer et brugernavn, får hackeren den påkrævede forhåndsgodkendelse i stedet for sikkerhedsprincipalens ukendte Kerberos-fejl.
NTLM: Hackeren foretager NTLM-godkendelsesanmodninger ved hjælp af ordbogen med navne for at forsøge at finde et gyldigt brugernavn i domænet. Hvis et gæt bestemmer et brugernavn, får hackeren WrongPassword (0xc000006a) i stedet for NTLM-fejlen NoSuchUser (0xc0000064).
I denne registrering af beskeder registrerer Defender for Identity, hvor kontooptællingsangrebet kom fra, det samlede antal gætforsøg, og hvor mange forsøg der blev matchet. Hvis der er for mange ukendte brugere, registrerer Defender for Identity den som en mistænkelig aktivitet. Beskeden er baseret på godkendelseshændelser fra sensorer, der kører på domænecontroller- og AD FS/AD CS-servere.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontosøgning (T1087) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002) |
Foreslåede trin til forebyggelse:
- Gennemtving komplekse og lange adgangskoder i organisationen. Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod brute-force-angreb. Brute force angreb er typisk det næste skridt i cyber-angreb kill chain efter optælling.
LDAP (Account Enumeration Reconnaissance) (eksternt id 2437) (prøveversion)
Alvorsgrad: mellem
Beskrivelse:
I forbindelse med rekognoscering af konto bruger en hacker en ordbog med tusindvis af brugernavne eller værktøjer som f.eks. Ldapnom i et forsøg på at gætte brugernavne i domænet.
LDAP: Hacker foretager LDAP Ping-anmodninger (cLDAP) ved hjælp af disse navne for at forsøge at finde et gyldigt brugernavn i domænet. Hvis et gæt bestemmer et brugernavn, modtager hackeren muligvis et svar, der angiver, at brugeren findes i domænet.
I denne registrering af beskeder registrerer Defender for Identity, hvor kontooptællingsangrebet kom fra, det samlede antal gætforsøg, og hvor mange forsøg der blev matchet. Hvis der er for mange ukendte brugere, registrerer Defender for Identity den som en mistænkelig aktivitet. Beskeden er baseret på LDAP-søgeaktiviteter fra sensorer, der kører på domænecontrollerservere.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontosøgning (T1087) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002) |
DNS (Network-Mapping Reconnaissance) (eksternt id 2007)
Forrige navn: Rekognoscering ved hjælp af DNS
Alvorsgrad: mellem
Beskrivelse:
DNS-serveren indeholder et kort over alle computere, IP-adresser og tjenester på netværket. Disse oplysninger bruges af hackere til at kortlægge din netværksstruktur og målrette interessante computere mod senere trin i deres angreb.
Der er flere forespørgselstyper i DNS-protokollen. Denne sikkerhedsadvarsel til Defender for Identity registrerer mistænkelige anmodninger, enten anmodninger ved hjælp af en AXFR (overførsel), der stammer fra ikke-DNS-servere, eller dem, der bruger et stort antal anmodninger.
Læringsperiode:
Denne besked har en læringsperiode på otte dage fra starten af overvågningen af domænecontrolleren.
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontoregistrering (T1087),Netværkstjenestescanning (T1046), Fjernsystemregistrering (T1018) |
| UNDERteknik til MITRE-angreb | NIELSEN |
Foreslåede trin til forebyggelse:
Det er vigtigt at forhindre fremtidige angreb ved hjælp af AXFR-forespørgsler ved at beskytte din interne DNS-server.
- Beskyt din interne DNS-server for at forhindre rekognoscering ved hjælp af DNS ved at deaktivere zoneoverførsler eller ved kun at begrænse zoneoverførsler til angivne IP-adresser. Ændring af zoneoverførsler er én opgave blandt en tjekliste, der skal håndteres for at beskytte dine DNS-servere fra både interne og eksterne angreb.
Rekognoscering af bruger- og IP-adresse (SMB) (eksternt id 2012)
Forrige navn: Rekognoscering ved hjælp af optælling af SMB-session
Alvorsgrad: mellem
Beskrivelse:
Optælling ved hjælp af SMB-protokollen (Server Message Block) gør det muligt for hackere at få oplysninger om, hvor brugere for nylig har logget på. Når personer med ondsindede hensigter har disse oplysninger, kan de flytte side om side i netværket for at få adgang til en bestemt følsom konto.
I denne registrering udløses en besked, når der udføres en optælling af en SMB-session i forhold til en domænecontroller.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontoregistrering (T1087),System Network Connections Discovery (T1049) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002) |
Samr (user and group membership reconnaissance) (external ID 2021)
Forrige navn: Rekognoscering ved hjælp af katalogtjenesteforespørgsler
Alvorsgrad: mellem
Beskrivelse:
Rekognoscering af bruger- og gruppemedlemskab bruges af hackere til at tilknytte mappestrukturen og målrette privilegerede konti til senere trin i deres angreb. SAM-R-protokollen (Security Account Manager Remote) er en af de metoder, der bruges til at forespørge på mappen for at udføre denne type tilknytning. I denne registrering udløses der ingen beskeder i den første måned, efter Defender for Identity er udrullet (læringsperiode). I læringsperioden er Defender for Identity-profiler, som SAM-R-forespørgsler oprettes fra, hvilke computere der er baseret på både optælling og individuelle forespørgsler for følsomme konti.
Læringsperiode:
Fire uger pr. domænecontroller, der starter fra SAMR's første netværksaktivitet i forhold til den specifikke domænecontroller.
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontoregistrering (T1087),Tilladelse Grupper Registrering (T1069) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002), domænegruppe (T1069.002) |
Foreslåede trin til forebyggelse:
- Anvend Netværksadgang, og begræns klienter, der har tilladelse til at foretage fjernopkald til SAM-gruppepolitik.
LDAP (Active Directory-attributter reconnaissance) (eksternt id 2210)
Alvorsgrad: mellem
Beskrivelse:
Active Directory LDAP-rekognoscering bruges af hackere til at få vigtige oplysninger om domænemiljøet. Disse oplysninger kan hjælpe hackere med at kortlægge domænestrukturen samt identificere privilegerede konti til brug i senere trin i deres kæde til angrebsdræb. LDAP (Lightweight Directory Access Protocol) er en af de mest populære metoder, der bruges til både legitime og skadelige formål til at forespørge i Active Directory.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontoregistrering (T1087),Indirekte kommandoudførelse (T1202), Tilladelse Grupper Registrering (T1069) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002), domæne Grupper (T1069.002) |
Honeytoken blev forespurgt via SAM-R (eksternt id 2439)
Alvorsgrad: Lav
Beskrivelse:
Bruger reconnaissance bruges af hackere til at tilknytte mappestrukturen og målrette privilegerede konti til senere trin i deres angreb. SAM-R-protokollen (Security Account Manager Remote) er en af de metoder, der bruges til at forespørge på mappen for at udføre denne type tilknytning. I denne registrering udløser Microsoft Defender for Identity denne besked for alle rekognosceringsaktiviteter mod en forudkonfigureret honeytokenbruger
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontosøgning (T1087) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002) |
Honeytoken blev forespurgt via LDAP (eksternt id 2429)
Alvorsgrad: Lav
Beskrivelse:
Bruger reconnaissance bruges af hackere til at tilknytte mappestrukturen og målrette privilegerede konti til senere trin i deres angreb. LDAP (Lightweight Directory Access Protocol) er en af de mest populære metoder, der bruges til både legitime og skadelige formål til at forespørge i Active Directory.
I denne registrering udløser Microsoft Defender for Identity denne besked for alle rekognosceringsaktiviteter mod en forudkonfigureret honeytokenbruger.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Registrering (TA0007) |
|---|---|
| MITRE-angrebsteknik | Kontosøgning (T1087) |
| UNDERteknik til MITRE-angreb | Domænekonto (T1087.002) |
Mistænkelig optælling af Okta-konto
Alvorsgrad: Høj
Beskrivelse:
I forbindelse med kontooptælling vil angribere forsøge at gætte brugernavne ved at logge på Okta med brugere, der ikke tilhører organisationen. Vi anbefaler, at du undersøger kilde-IP,der udfører de mislykkede forsøg, og fastslår, om de er legitime eller ej.
Læringsperiode:
Ingen
MITRE:
| Primær MITRE-taktik | Indledende adgang (TA0001), forsvarunddragelse (TA0005), persistens (TA0003), rettighedseskalering (TA0004) |
|---|---|
| MITRE-angrebsteknik | Gyldige konti (T1078) |
| UNDERteknik til MITRE-angreb | Cloudkonti (T1078.004) |