Reconnaissance- und Ermittlungswarnungen
In der Regel werden Cyberangriffe gegen jede zugängliche Entität wie z. B. einen Benutzer mit geringen Berechtigungen gestartet und werden dann schnell seitlich verschoben, bis der Angreifer Zugriff auf wertvolle Ressourcen erhält. Wertvolle Ressourcen können vertrauliche Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese erweiterten Bedrohungen an der Quelle während der gesamten Kill Chain des Angriffs und klassifiziert sie in die folgenden Phasen:
- Reconnaissance und Entdeckung
- Persistenz- und Berechtigungsausweitungswarnungen
- Zugriffswarnungen für Anmeldeinformationen
- Lateral Movement-Warnungen
- Andere Warnungen
Weitere Informationen zum Verständnis der Struktur und der allgemeinen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu True Positive (TP),Benign true positive (B-TP) und False positive (FP) finden Sie unter Klassifizierungen von Sicherheitswarnungen.
Die folgenden Sicherheitswarnungen helfen Ihnen, verdächtige Aktivitäten zu identifizieren und zu beheben, die von Defender for Identity in Ihrem Netzwerk erkannt wurden.
Reconnaissance und Entdeckung bestehen aus Techniken, die ein Angreifer verwenden kann, um Wissen über das System und das interne Netzwerk zu erlangen. Diese Techniken helfen Angreifern, die Umgebung zu beobachten und sich zu orientieren, bevor sie entscheiden, wie sie handeln. Sie ermöglichen es Angreifern auch zu erkunden, was sie steuern können und was sich um ihren Einstiegspunkt herum befindet, um herauszufinden, wie dies ihrem aktuellen Ziel zugute kommen könnte. Native Betriebssystemtools werden häufig für dieses Ziel der Informationssammlung nach der Kompromittierung verwendet. In Microsoft Defender for Identity umfassen diese Warnungen in der Regel die interne Kontoaufzählung mit unterschiedlichen Techniken.
Reconnaissance der Kontoenumeration (externe ID 2003)
Vorheriger Name: Reconnaissance mit Kontoenumeration
Schweregrad: Mittel
Beschreibung:
Bei der Reconnaissance der Kontoenumeration verwendet ein Angreifer ein Wörterbuch mit Tausenden von Benutzernamen oder Tools wie KrbGuess, um Benutzernamen in der Domäne zu erraten.
Kerberos: Der Angreifer sendet Kerberos-Anforderungen mit diesen Namen, um zu versuchen, einen gültigen Benutzernamen in der Domäne zu finden. Wenn eine Vermutung erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer den Fehler Vorauthentifizierung erforderlich anstelle des unbekannten Kerberos-Fehlers Sicherheitsprinzipal unbekannt .
NTLM: Angreifer führt NTLM-Authentifizierungsanforderungen mithilfe des Namensverzeichnisses aus, um zu versuchen, einen gültigen Benutzernamen in der Domäne zu finden. Wenn eine Vermutung erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer den NTLM-Fehler WrongPassword (0xc000006a) anstelle von NoSuchUser (0xc0000064).
Bei dieser Warnungserkennung erkennt Defender for Identity, woher der Angriff auf die Kontoaufzählung stammt, die Gesamtzahl der Schätzversuche und wie viele Versuche abgeglichen wurden. Wenn zu viele unbekannte Benutzer vorhanden sind, erkennt Defender for Identity dies als verdächtige Aktivität. Die Warnung basiert auf Authentifizierungsereignissen von Sensoren, die auf Domänencontrollern und AD FS-/AD CS-Servern ausgeführt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Empfohlene Schritte zur Prävention:
- Erzwingen Sie komplexe und lange Kennwörter im organization. Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen. Brute-Force-Angriffe sind in der Regel der nächste Schritt in der Kill Chain für Cyberangriffe nach der Enumeration.
Account Enumeration Reconnaissance (LDAP) (externe ID 2437) (Vorschau)
Schweregrad: Mittel
Beschreibung:
Bei der Reconnaissance der Kontoenumeration verwendet ein Angreifer ein Wörterbuch mit Tausenden von Benutzernamen oder Tools wie Ldapnomnom, um Benutzernamen in der Domäne zu erraten.
LDAP: Angreifer führt LDAP-Ping-Anforderungen (cLDAP) mit diesen Namen aus, um zu versuchen, einen gültigen Benutzernamen in der Domäne zu finden. Wenn eine Vermutung erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer möglicherweise eine Antwort, die angibt, dass der Benutzer in der Domäne vorhanden ist.
Bei dieser Warnungserkennung erkennt Defender for Identity, woher der Angriff auf die Kontoaufzählung stammt, die Gesamtzahl der Schätzversuche und wie viele Versuche abgeglichen wurden. Wenn zu viele unbekannte Benutzer vorhanden sind, erkennt Defender for Identity dies als verdächtige Aktivität. Die Warnung basiert auf LDAP-Suchaktivitäten von Sensoren, die auf Domänencontrollerservern ausgeführt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Netzwerkzuordnungs-Reconnaissance (DNS) (externe ID 2007)
Vorheriger Name: Reconnaissance mit DNS
Schweregrad: Mittel
Beschreibung:
Ihr DNS-Server enthält eine Zuordnung aller Computer, IP-Adressen und Dienste in Ihrem Netzwerk. Diese Informationen werden von Angreifern verwendet, um Ihre Netzwerkstruktur zuzuordnen und interessante Computer für spätere Angriffsschritte zu verwenden.
Es gibt mehrere Abfragetypen im DNS-Protokoll. Diese Defender for Identity-Sicherheitswarnung erkennt verdächtige Anforderungen, entweder Anforderungen, die eine AXFR (Übertragung) von Nicht-DNS-Servern verwenden, oder solche, die eine übermäßige Anzahl von Anforderungen verwenden.
Lernzeitraum:
Diese Warnung hat einen Lernzeitraum von acht Tagen ab dem Start der Domänencontrollerüberwachung.
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087),Netzwerkdienstüberprüfung (T1046),Remotesystemermittlung (T1018) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
Es ist wichtig, zukünftige Angriffe mithilfe von AXFR-Abfragen zu verhindern, indem Sie Ihren internen DNS-Server schützen.
- Schützen Sie Ihren internen DNS-Server, um die Reconnaissance mithilfe von DNS zu verhindern, indem Sie Zonenübertragungen deaktivieren oder Zonenübertragungen nur auf angegebene IP-Adressen beschränken. Das Ändern von Zonenübertragungen ist eine Aufgabe in einer Prüfliste, die zum Schutz Ihrer DNS-Server vor internen und externen Angriffen behandelt werden sollte.
Reconnaissance für Benutzer und IP-Adressen (SMB) (externe ID 2012)
Vorheriger Name: Reconnaissance mit SMB-Sitzungsenumeration
Schweregrad: Mittel
Beschreibung:
Die Enumeration mithilfe des SMB-Protokolls (Server Message Block) ermöglicht es Angreifern, Informationen darüber zu erhalten, wo sich Benutzer kürzlich angemeldet haben. Sobald Angreifer über diese Informationen verfügen, können sie sich seitlich im Netzwerk bewegen, um zu einem bestimmten sensiblen Konto zu gelangen.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine SMB-Sitzungsenumeration für einen Domänencontroller ausgeführt wird.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087),System network Connections Discovery (T1049) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Reconnaissance für Benutzer- und Gruppenmitgliedschaft (SAMR) (externe ID 2021)
Vorheriger Name: Reconnaissance mithilfe von Verzeichnisdienstabfragen
Schweregrad: Mittel
Beschreibung:
Benutzer- und Gruppenmitgliedschafts-Reconnaissance werden von Angreifern verwendet, um die Verzeichnisstruktur und privilegierten Konten für spätere Schritte in ihrem Angriff zuzuordnen. Das Sam-R-Protokoll (Security Account Manager Remote) ist eine der Methoden, die zum Abfragen des Verzeichnisses verwendet werden, um diese Art von Zuordnung durchzuführen. Bei dieser Erkennung werden im ersten Monat nach der Bereitstellung von Defender for Identity (Lernzeitraum) keine Warnungen ausgelöst. Während des Lernzeitraums profilieren Defender for Identity, welche SAM-R-Abfragen von welchen Computern durchgeführt werden, sowohl Enumeration als auch einzelne Abfragen vertraulicher Konten.
Lernzeitraum:
Vier Wochen pro Domänencontroller ab der ersten Netzwerkaktivität von SAMR für den spezifischen Domänencontroller.
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087),Berechtigungsermittlung Gruppen (T1069) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002),Domänengruppe (T1069.002) |
Empfohlene Schritte zur Prävention:
- Wenden Sie den Netzwerkzugriff an, und schränken Sie Clients ein, die Remoteaufrufe an die SAM-Gruppenrichtlinie durchführen dürfen.
Reconnaissance für Active Directory-Attribute (LDAP) (externe ID 2210)
Schweregrad: Mittel
Beschreibung:
Die Active Directory-LDAP-Reconnaissance wird von Angreifern verwendet, um wichtige Informationen über die Domänenumgebung zu erhalten. Diese Informationen können Angreifern helfen, die Domänenstruktur zuzuordnen und privilegierte Konten zu identifizieren, die in späteren Schritten in ihrer Angriffs-Kill Chain verwendet werden können. Lightweight Directory Access Protocol (LDAP) ist eine der beliebtesten Methoden, die sowohl für legitime als auch für böswillige Zwecke zum Abfragen von Active Directory verwendet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087),indirekte Befehlsausführung (T1202),Berechtigung Gruppen sermittlung (T1069) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002),Domänen-Gruppen (T1069.002) |
Honeytoken wurde über SAM-R abgefragt (externe ID 2439)
Schweregrad: Niedrig
Beschreibung:
Benutzer reconnaissance wird von Angreifern verwendet, um die Verzeichnisstruktur zuzuordnen und privilegierte Konten für spätere Schritte in ihrem Angriff zu verwenden. Das Sam-R-Protokoll (Security Account Manager Remote) ist eine der Methoden, die zum Abfragen des Verzeichnisses verwendet werden, um diese Art von Zuordnung durchzuführen. Bei dieser Erkennung löst Microsoft Defender for Identity diese Warnung für alle Reconnaissance-Aktivitäten für einen vorkonfigurierten Honeytoken-Benutzer aus.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Honeytoken wurde über LDAP abgefragt (externe ID 2429)
Schweregrad: Niedrig
Beschreibung:
Benutzer reconnaissance wird von Angreifern verwendet, um die Verzeichnisstruktur zuzuordnen und privilegierte Konten für spätere Schritte in ihrem Angriff zu verwenden. Lightweight Directory Access Protocol (LDAP) ist eine der beliebtesten Methoden, die sowohl für legitime als auch für böswillige Zwecke zum Abfragen von Active Directory verwendet werden.
Bei dieser Erkennung löst Microsoft Defender for Identity diese Warnung für alle Reconnaissance-Aktivitäten für einen vorkonfigurierten Honeytoken-Benutzer aus.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ermittlung (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Verdächtige Okta-Kontoaufzählung
Schweregrad: Hoch
Beschreibung:
Bei der Kontoenumeration versuchen Angreifer, Benutzernamen zu erraten, indem sie sich bei Okta mit Benutzern anmelden, die nicht zum organization gehören. Es wird empfohlen, die Quell-IP-Adresse zu untersuchen, die die fehlgeschlagenen Versuche durchführt, und festzustellen, ob sie legitim sind oder nicht.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Erstzugriff (TA0001),Verteidigungsumgehung (TA0005), Persistenz (TA0003), Rechteausweitung (TA0004) |
|---|---|
| MITRE-Angriffstechnik | Gültige Konten (T1078) |
| MITRE-Angriffsuntertechnik | Cloudkonten (T1078.004) |