Freigeben über


OT-Sicherheitswarnungen

In der Regel werden Cyberangriffe gegen eine beliebige zugängliche Einheit, z. B. einen wenig privilegierten Benutzer, gestartet und wandern dann schnell weiter, bis der Angreifer Zugang zu wertvollen Ressourcen erhält. Wertvolle Werte können sensible Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese komplexen Bedrohungen an der Quelle über die gesamte Kill Chain des Angriffs hinweg und ordnet sie in die folgenden Phasen ein:

  1. Aufklärungs- und Ermittlungswarnungen
  2. Persistenz- und Berechtigungseskalationswarnungen
  3. Benachrichtigungen zum Zugriff auf Anmeldeinformationen
  4. Meldungen über laterale Verschiebungen
  5. Andere

Weitere Informationen zum Verständnis der Struktur und zu gängigen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu den "True Positive" (TP), "Benign True Positive" (B-TP) und "False Positive" (FP) finden Sie unter Klassifizierung von Sicherheitswarnungen.

Die folgenden Sicherheitswarnungen unterstützen Sie dabei, verdächtige Aktivitäten zu identifizieren und zu unterbinden, die von Defender for Identity in Ihrem Netzwerk erkannt werden und auf Exfiltration hindeuten.

Verdächtiger DCShadow-Angriff (do Standard Controllerheraufstufung) (externe ID 2028)

Vorheriger Name: Verdächtige Do Standard Controllerheraufstufung (potenzielleR DCShadow-Angriff)

Schweregrad: hoch

Beschreibung:

Ein Domänencontroller-Schattenangriff (DCShadow) ist ein Angriff, der darauf abzielt, Verzeichnisobjekte durch böswillige Replikation zu verändern. Dieser Angriff kann von jedem Rechner aus durchgeführt werden, indem ein betrügerischer Domänencontroller mithilfe eines Replikationsprozesses erstellt wird.

In einem DCShadow-Angriff werden RPC und LDAP verwendet, um:

  1. Registrieren Sie das Maschinenkonto als Domänencontroller (mit Domänenadministratorrechten).
  2. Durchführen der Replikation (mithilfe der gewährten Replikationsrechte) über DRSUAPI und Senden von Änderungen an Verzeichnisobjekte.

Bei dieser Erkennung durch Defender for Identity wird eine Sicherheitswarnung ausgelöst, wenn ein Rechner im Netzwerk versucht, sich als bösartiger Domänencontroller zu registrieren.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
MITRE-Angriffstechnik Abtrünniger Domänencontroller (T1207)
MITRE-Angriffsuntertechnik N/V

Vorgeschlagene Schritte zur Verhinderung:

Folgende Berechtigungen sind erforderlich:

  1. Replizieren von Verzeichnisänderungen.
  2. Replizieren von allen Verzeichnisänderungen.
  3. Weitere Informationen finden Sie unter Erteilen von Active Directory-Domänendienste-Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können ad ACL Scanner verwenden oder ein Windows PowerShell-Skript erstellen, um zu bestimmen, wer über diese Berechtigungen verfügt Standard.

Hinweis

Warnungen vor verdächtigen Höherstufungen von Domänencontrollern (potenzieller DCShadow-Angriff) werden nur von Defender for Identity-Sensoren unterstützt.

Verdächtiger DCShadow-Angriff (Domänencontroller-Replikationsanfrage) (externe ID 2029)

Vorheriger Name: Verdächtige Replikationsanforderung (potenzieller DCShadow-Angriff)

Schweregrad: hoch

Beschreibung:

Bei der Active Directory-Replikation handelt es sich um den Prozess, mit dem Änderungen, die auf einem Vorgang vorgenommen werden Standard Controller mit anderen Do Standard controllern synchronisiert werden. Angesichts der erforderlichen Berechtigungen können Angreifern Berechtigungen für ihr Computerkonto gewähren, sodass sie die Identität eines Do Standard Controllers imitieren können. Angreifer bemühen sich, eine böswillige Replikationsanforderung zu initiieren, sodass sie Active Directory-Objekte in einer echten Do Standard Controller ändern können, was den Angreifern die Persistenz in der Do Standard geben kann. Bei dieser Erkennungsfunktion wird eine Warnung ausgelöst, wenn eine verdächtige Replikationsanforderung für einen echten Domänencontroller generiert wird, der durch Defender for Identity geschützt ist. Das Verhalten ist ein Hinweis auf Techniken, die in do Standard Controller-Schattenangriffen verwendet werden.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
MITRE-Angriffstechnik Abtrünniger Domänencontroller (T1207)
MITRE-Angriffsuntertechnik N/V

Vorgeschlagene Korrektur und Schritte zur Verhinderung:

Folgende Berechtigungen sind erforderlich:

  1. Replizieren von Verzeichnisänderungen.
  2. Replizieren von allen Verzeichnisänderungen.
  3. Weitere Informationen finden Sie unter Erteilen von Active Directory-Domänendienste-Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können den AD-ACL-Scanner verwenden oder ein Windows PowerShell-Skript erstellen, um zu bestimmen, wer in der Do Standard über diese Berechtigungen verfügt.

Hinweis

Warnungen vor verdächtigen Replikationsanforderungen (potenzieller DCShadow-Angriff) werden nur von Defender for Identity-Sensoren unterstützt.

Verdächtige VPN-Verbindung (externe ID 2025)

Vorheriger Name: Verdächtige VPN-Verbindung

Schweregrad: Mittel

Beschreibung:

Defender for Identity speichert Informationen zum Entitätsverhalten für VPN-Verbindungen von Benutzern für einen gleitenden Zeitraum von einem Monat.

Das VPN-Verhaltensmodell basiert auf den Computern, an den sich Benutzer anmelden, und den Speicherorten, von dem die Benutzer eine Verbindung herstellen.

Wenn ein ungewöhnliches Benutzerverhalten festgestellt wird, wird basierend auf Algorithmen für maschinelles Lernen eine Warnung gesendet.

Lernzeitraum:

30 Tage ab der ersten VPN-Verbindung und mindestens 5 VPN-Verbindungen in den letzten 30 Tagen pro Benutzer.

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
Sekundäre MITRE-Taktik Persistenz (TA0003)
MITRE-Angriffstechnik Externe Remotedienste (T1133)
MITRE-Angriffsuntertechnik N/V

Versuch der Ausführung von entferntem Code (externe ID 2019)

Vorheriger Name: Remotecodeausführungsversuch

Schweregrad: Mittel

Beschreibung:

Angreifer, die administrative Anmeldeinformationen kompromittieren oder einen Zero-Day-Exploit verwenden, können Remotebefehle auf Ihrem Do Standard Controller oder AD FS/AD CS-Server ausführen. Dies kann verwendet werden, um Persistenz zu gewinnen, Informationen zu sammeln, DoS-Angriffe (Denial of Service) oder einen anderen Grund zu erhalten. Defender for Identity erkennt PSexec-, Remote WMI- und PowerShell-Verbindungen.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Ausführung (TA0002)
Sekundäre MITRE-Taktik Laterale Verschiebung (TA0008)
MITRE-Angriffstechnik Command and Scripting Interpreter (T1059),Remote Services (T1021)
MITRE-Angriffsuntertechnik PowerShell (T1059.001), Windows-Remoteverwaltung (T1021.006)

Vorgeschlagene Schritte zur Verhinderung:

  1. Einschränken des Remotezugriffs auf Standard Controller von Computern ohne Ebene 0.
  2. Implementieren Sie privilegierten Zugriff, sodass nur gehärtete Computer eine Verbindung mit diesen herstellen können Standard Controller für Administratoren.
  3. Implementieren Sie weniger privilegierten Zugriff auf Domänen-Computern, damit bestimmte Benutzer das Recht haben, Dienste zu erstellen.

Hinweis

Warnungen zur versuchten Remotecodeausführung durch Powershell-Befehle werden nur von Defender for Identity-Sensoren unterstützt.

Verdächtige Diensterstellung (externe ID 2026)

Vorheriger Name: Verdächtige Diensterstellung

Schweregrad: Mittel

Beschreibung:

Auf einem Do Standard Controller oder AD FS/AD CS-Server in Ihrer Organisation wurde ein verdächtiger Dienst erstellt. Diese Warnung basiert auf Ereignis 7045, um diese verdächtige Aktivität zu identifizieren.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Ausführung (TA0002)
Sekundäre MITRE-Taktik Persistenz (TA0003), Privilegieneskalation (TA0004), Verteidigungsausweichung (TA0005), Laterale Verschiebung (TA0008)
MITRE-Angriffstechnik Remote services (T1021), Command and Scripting Interpreter (T1059), System Services (T1569), Create or Modify System Process (T1543)
MITRE-Angriffsuntertechnik Dienstausführung (T1569.002),Windows-Dienst (T1543.003)

Vorgeschlagene Schritte zur Verhinderung:

  1. Einschränken des Remotezugriffs auf Standard Controller von Computern ohne Ebene 0.
  2. Implementieren Sie privilegierten Zugriff, um nur gehärteten Computern die Verbindung mit den Domänencontrollern für Administratoren zu ermöglichen.
  3. Implementieren Sie einen weniger privilegierten Zugriff auf Domänen-Computer, um nur bestimmten Benutzern das Recht zu geben, Dienste zu erstellen.

Verdächtige Kommunikation über DNS (externe ID 2031)

Vorheriger Name: Verdächtige Kommunikation über DNS

Schweregrad: Mittel

Beschreibung:

Das DNS-Protokoll in den meisten Organisationen wird in der Regel nicht überwacht und selten für böswillige Aktivitäten blockiert. Aktivieren eines Angreifers auf einem kompromittierten Computer, um das DNS-Protokoll zu missbrauchen. Böswillige Kommunikation über DNS kann für Datenexfiltration, Befehl und Kontrolle und/oder Ausweichen von Unternehmensnetzwerkeinschränkungen verwendet werden.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Exfiltration (TA0010)
MITRE-Angriffstechnik Exfiltration over Alternative Protocol (T1048), Exfiltration over C2 Channel (T1041), Scheduled Transfer (T1029), Automated Exfiltration (T1020), Application Layer Protocol (T1071)
MITRE-Angriffsuntertechnik DNS (T1071.004),Exfiltration über unverschlüsseltes/verschleiertes Non-C2-Protokoll (T1048.003)

Datenexfiltration über SMB (externe ID 2030)

Schweregrad: hoch

Beschreibung:

Do Standard-Controller halten die vertraulichsten Organisationsdaten. Für die meisten Angreifer besteht eine ihrer wichtigsten Prioritäten darin Standard Controllerzugriff zu erlangen, um Ihre vertraulichsten Daten zu stehlen. Beispielsweise ermöglicht die Exfiltration der Datei "Ntds.dit", die auf dem DC gespeichert ist, einem Angreifer das Schmieden von Kerberos-Tickets, die Tickets (TGT) zur Autorisierung für jede Ressource bereitstellen. Geschmiedete Kerberos-TGTs ermöglichen es dem Angreifer, den Ticketablauf beliebig festzulegen. Die Defender for Identity-Warnung Datenexfiltration über SMB wird ausgelöst, wenn verdächtige Datenübertragungen von Ihren überwachten Domänencontrollern festgestellt werden.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Exfiltration (TA0010)
Sekundäre MITRE-Taktik Lateral Movement (TA0008),Command-and-Control (TA0011)
MITRE-Angriffstechnik Exfiltration über alternatives Protokoll (T1048), Lateral Tool Transfer (T1570)
MITRE-Angriffsuntertechnik Exfiltration über unverschlüsselt/verschleiertes Non-C2-Protokoll (T1048.003)

Verdächtiges Löschen der Zertifikatdatenbankeinträge (externe ID 2433)

Schweregrad: Mittel

Beschreibung:

Das Löschen von Zertifikatdatenbankeinträgen ist eine rote Kennzeichnung, das potenzielle böswillige Aktivitäten angibt. Dieser Angriff könnte das Funktionieren von PKI-Systemen (Public Key Infrastructure) stören, was sich auf die Authentifizierung und die Datenintegrität auswirkt.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
MITRE-Angriffstechnik Indikatorentfernung (T1070)
MITRE-Angriffsuntertechnik N/V

Hinweis

Verdächtige Löschung der Warnungen zu Zertifikatdatenbankeinträgen werden nur von Defender for Identity-Sensoren in AD CS unterstützt.

Verdächtiges Deaktivieren von Überwachungsfiltern von AD CS (externe ID 2433)

Schweregrad: Mittel

Beschreibung:

Durch das Deaktivieren von Überwachungsfiltern in AD CS können Angreifer ohne Erkennung arbeiten. Dieser Angriff zielt darauf ab, die Sicherheitsüberwachung zu umgehen, indem Filter deaktiviert werden, die sonst verdächtige Aktivitäten kennzeichnen würden.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
MITRE-Angriffstechnik Verteidigung beeinträchtigen (T1562)
MITRE-Angriffsuntertechnik Deaktivieren der Windows-Ereignisprotokollierung (T1562.002)

Kennwortänderung im Verzeichnisdienst-Wiederherstellungsmodus (externe ID 2438)

Schweregrad: Mittel

Beschreibung:

Der Verzeichnisdienste-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) ist ein spezieller Startmodus in Microsoft Windows Server-Betriebssystemen, mit dem ein Administrator die Active Directory-Datenbank reparieren oder wiederherstellen kann. Diese Methode wird in der Regel verwendet, wenn Probleme im Zusammenhang mit Active Directory auftreten und ein normaler Start nicht möglich ist. Das DSRM-Kennwort wird während der Heraufstufung eines Servers zu einem Domänencontroller festgelegt. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn Defender for Identity erkennt, dass ein DSRM-Kennwort geändert wird. Es wird empfohlen, Untersuchungen zum Quellcomputer und zu dem Benutzer, der die Anfrage gestellt hat, durchzuführen, um herauszufinden, ob es sich bei der Änderung des DSRM-Kennworts um eine legitime administrative Aktion handelt oder ob Verdacht auf unbefugten Zugriff oder eine potenzielle Sicherheitsbedrohung besteht.

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Persistenz (TA0003)
MITRE-Angriffstechnik Kontomanipulation (T1098)
MITRE-Angriffsuntertechnik N/V

Möglicher Diebstahl während einer Okta-Sitzung

Schweregrad: hoch

Beschreibung:

Bei einem Diebstahl während einer Sitzung stehlen Angreifer die Cookies legitimer Benutzer und verwenden sie von anderen Standorten aus. Es wird empfohlen, die Quell-IP zu untersuchen, die die Vorgänge ausführt, um herauszufinden, ob diese Vorgänge legitim sind oder nicht, und um sich darüber zu vergewissern, dass die IP-Adresse vom Benutzer verwendet wird.

Lernzeitraum:

Zwei Wochen

MITRE:

Primäre MITRE-Taktik Collection (TA0009)
MITRE-Angriffstechnik Browser-Sitzung-Hijacking (T1185)
MITRE-Angriffsuntertechnik N/V

Manipulation der Gruppenrichtlinie (externe ID 2440) (Vorschau)

Schweregrad: Mittel

Beschreibung:

In der Gruppenrichtlinie wurde eine verdächtige Änderung erkannt. Dies hat zur Deaktivierung von Windows Defender Antivirus geführt. Diese Aktivität kann ein Hinweis auf eine Sicherheitsverletzung durch einen Angreifer mit erhöhten Rechten sein, der möglicherweise die Voraussetzungen für die Verteilung von Ransomware festlegt. 

Vorgeschlagene Schritte zur Untersuchung:

  1. Finden Sie heraus, ob die GPO-Änderung legitim ist

  2. Wenn nicht, machen Sie die Änderung rückgängig

  3. Untersuchen Sie, wie die Gruppenrichtlinie verknüpft ist, um den Umfang der Auswirkungen abzuschätzen

Lernzeitraum:

Keine

MITRE:

Primäre MITRE-Taktik Verteidigungshinterziehung (TA0005)
MITRE-Angriffstechnik Vertrauenskontrollen umkehren (T1553)
MITRE-Angriffstechnik Vertrauenskontrollen umkehren (T1553)
MITRE-Angriffsuntertechnik N/V

Siehe auch