Andere Sicherheitswarnungen
In der Regel werden Cyberangriffe gegen jede zugängliche Entität wie z. B. einen Benutzer mit geringen Berechtigungen gestartet und werden dann schnell seitlich verschoben, bis der Angreifer Zugriff auf wertvolle Ressourcen erhält. Wertvolle Ressourcen können vertrauliche Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese erweiterten Bedrohungen an der Quelle während der gesamten Kill Chain des Angriffs und klassifiziert sie in die folgenden Phasen:
- Reconnaissance- und Ermittlungswarnungen
- Persistenz- und Berechtigungsausweitungswarnungen
- Zugriffswarnungen für Anmeldeinformationen
- Lateral Movement-Warnungen
- Other
Weitere Informationen zum Verständnis der Struktur und der allgemeinen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu True Positive (TP),Benign true positive (B-TP) und False positive (FP) finden Sie unter Klassifizierungen von Sicherheitswarnungen.
Die folgenden Sicherheitswarnungen helfen Ihnen, andere verdächtige Aktivitäten zu identifizieren und zu beheben, die von Defender for Identity in Ihrem Netzwerk erkannt wurden.
Vermuteter DCShadow-Angriff (Domänencontroller-Heraufstufung) (externe ID 2028)
Vorheriger Name: Verdächtige Domänencontroller-Heraufstufung (potenzieller DCShadow-Angriff)
Schweregrad: Hoch
Beschreibung:
Ein Domänencontrollerschattenangriff (DCShadow) ist ein Angriff, der zum Ändern von Verzeichnisobjekten mithilfe einer böswilligen Replikation entwickelt wurde. Dieser Angriff kann von jedem beliebigen Computer durchgeführt werden, indem ein bösartiger Domänencontroller mithilfe eines Replikationsprozesses erstellt wird.
Bei einem DCShadow-Angriff werden RPC und LDAP für Folgendes verwendet:
- Registrieren Sie das Computerkonto als Domänencontroller (mit Domänenadministratorrechten).
- Führen Sie die Replikation (mit den gewährten Replikationsrechten) über DRSUAPI aus, und senden Sie Änderungen an Verzeichnisobjekte.
In dieser Defender for Identity-Erkennung wird eine Sicherheitswarnung ausgelöst, wenn ein Computer im Netzwerk versucht, sich als nicht autorisierter Domänencontroller zu registrieren.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| MITRE-Angriffstechnik | Nicht autorisierter Domänencontroller (T1207) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
Überprüfen Sie die folgenden Berechtigungen:
- Replizieren sie Verzeichnisänderungen.
- Alle Verzeichnisänderungen replizieren.
- Weitere Informationen finden Sie unter Gewähren Active Directory Domain Services Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können ad ACL Scanner verwenden oder ein Windows PowerShell-Skript erstellen, um zu bestimmen, wer über diese Berechtigungen in der Domäne verfügt.
Hinweis
Verdächtige Domänencontroller-Heraufstufungswarnungen (potenzieller DCShadow-Angriff) werden nur von Defender for Identity-Sensoren unterstützt.
Vermuteter DCShadow-Angriff (Domänencontrollerreplikationsanforderung) (externe ID 2029)
Vorheriger Name: Verdächtige Replikationsanforderung (potenzieller DCShadow-Angriff)
Schweregrad: Hoch
Beschreibung:
Die Active Directory-Replikation ist der Prozess, bei dem Änderungen, die auf einem Domänencontroller vorgenommen werden, mit anderen Domänencontrollern synchronisiert werden. Mit den erforderlichen Berechtigungen können Angreifer Rechte für ihr Computerkonto gewähren, sodass sie die Identität eines Domänencontrollers annehmen können. Angreifer versuchen, eine böswillige Replikationsanforderung zu initiieren, sodass sie Active Directory-Objekte auf einem echten Domänencontroller ändern können, wodurch die Angreifer in der Domäne dauerhaft bleiben können. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine verdächtige Replikationsanforderung für einen durch Defender for Identity geschützten Echten Domänencontroller generiert wird. Das Verhalten ist ein Hinweis auf Techniken, die bei Schattenangriffen von Domänencontrollern verwendet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| MITRE-Angriffstechnik | Nicht autorisierter Domänencontroller (T1207) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Abhilfemaßnahmen und Schritte zur Prävention:
Überprüfen Sie die folgenden Berechtigungen:
- Replizieren sie Verzeichnisänderungen.
- Alle Verzeichnisänderungen replizieren.
- Weitere Informationen finden Sie unter Gewähren Active Directory Domain Services Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013. Sie können ad ACL Scanner verwenden oder ein Windows PowerShell Skript erstellen, um zu bestimmen, wer in der Domäne über diese Berechtigungen verfügt.
Hinweis
Warnungen zu verdächtigen Replikationsanforderungen (potenzieller DCShadow-Angriff) werden nur von Defender for Identity-Sensoren unterstützt.
Verdächtige VPN-Verbindung (externe ID 2025)
Vorheriger Name: Verdächtige VPN-Verbindung
Schweregrad: Mittel
Beschreibung:
Defender for Identity lernt das Entitätsverhalten für BENUTZER-VPN-Verbindungen über einen gleitenden Zeitraum von einem Monat kennen.
Das VPN-Verhaltensmodell basiert auf den Computern, an den sich Benutzer anmelden, und auf den Speicherorten, von dem aus die Benutzer eine Verbindung herstellen.
Eine Warnung wird geöffnet, wenn eine Abweichung vom Benutzerverhalten basierend auf einem Machine Learning-Algorithmus vorliegt.
Lernzeitraum:
30 Tage ab der ersten VPN-Verbindung und mindestens 5 VPN-Verbindungen in den letzten 30 Tagen pro Benutzer.
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| Sekundäre MITRE-Taktik | Persistenz (TA0003) |
| MITRE-Angriffstechnik | Externe Remotedienste (T1133) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Remotecodeausführungsversuch (externe ID 2019)
Vorheriger Name: Remotecodeausführungsversuch
Schweregrad: Mittel
Beschreibung:
Angreifer, die Administratoranmeldeinformationen kompromittieren oder einen Zero-Day-Exploit verwenden, können Remotebefehle auf Ihrem Domänencontroller oder AD FS/AD CS-Server ausführen. Dies kann verwendet werden, um Persistenz zu erlangen, Informationen zu sammeln, Dos-Angriffe (Denial-of-Service) oder andere Gründe zu erhalten. Defender for Identity erkennt PSexec-, Remote-WMI- und PowerShell-Verbindungen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ausführung (TA0002) |
|---|---|
| Sekundäre MITRE-Taktik | Lateral Movement (TA0008) |
| MITRE-Angriffstechnik | Befehls- und Skriptinterpreter (T1059),Remotedienste (T1021) |
| MITRE-Angriffsuntertechnik | PowerShell (T1059.001), Windows-Remoteverwaltung (T1021.006) |
Empfohlene Schritte zur Prävention:
- Schränken Sie den Remotezugriff auf Domänencontroller von Computern ein, die keine Ebene 0 sind.
- Implementieren Sie privilegierten Zugriff, sodass nur gehärtete Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.
- Implementieren Sie zugriff mit weniger Berechtigungen auf Domänencomputern, um bestimmten Benutzern das Recht zum Erstellen von Diensten zu gewähren.
Hinweis
Warnungen zum Remotecodeausführungsversuch bei versuchter Verwendung von PowerShell-Befehlen werden nur von Defender for Identity-Sensoren unterstützt.
Erstellen eines verdächtigen Diensts (externe ID 2026)
Vorheriger Name: Erstellen eines verdächtigen Diensts
Schweregrad: Mittel
Beschreibung:
Ein verdächtiger Dienst wurde auf einem Domänencontroller oder AD FS/AD CS-Server in Ihrem organization erstellt. Diese Warnung basiert auf dem Ereignis 7045, um diese verdächtige Aktivität zu identifizieren.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Ausführung (TA0002) |
|---|---|
| Sekundäre MITRE-Taktik | Persistenz (TA0003),Rechteausweitung (TA0004), Verteidigungsumgehung (TA0005), Lateral Movement (TA0008) |
| MITRE-Angriffstechnik | Remotedienste (T1021),Befehls- und Skriptinterpreter (T1059),Systemdienste (T1569), Systemprozess erstellen oder ändern (T1543) |
| MITRE-Angriffsuntertechnik | Dienstausführung (T1569.002),Windows-Dienst (T1543.003) |
Empfohlene Schritte zur Prävention:
- Schränken Sie den Remotezugriff auf Domänencontroller von Computern ein, die keine Ebene 0 sind.
- Implementieren Sie privilegierten Zugriff , damit nur gehärtete Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.
- Implementieren Sie zugriff mit weniger Berechtigungen auf Domänencomputern, um nur bestimmten Benutzern das Recht zum Erstellen von Diensten zu gewähren.
Verdächtige Kommunikation über DNS (externe ID 2031)
Vorheriger Name: Verdächtige Kommunikation über DNS
Schweregrad: Mittel
Beschreibung:
Das DNS-Protokoll wird in den meisten Organisationen in der Regel nicht überwacht und selten für schädliche Aktivitäten blockiert. Aktivieren eines Angreifers auf einem kompromittierten Computer, um das DNS-Protokoll zu missbrauchen. Böswillige Kommunikation über DNS kann für Datenexfiltration, Befehle und Kontrolle und/oder das Umgehen von Einschränkungen des Unternehmensnetzwerks verwendet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Exfiltration (TA0010) |
|---|---|
| MITRE-Angriffstechnik | Exfiltration über alternatives Protokoll (T1048),Exfiltration über C2-Kanal (T1041),Geplante Übertragung (T1029), Automatisierte Exfiltration (T1020), Application Layer Protocol (T1071) |
| MITRE-Angriffsuntertechnik | DNS (T1071.004), Exfiltration über unverschlüsseltes/verschleiertes Non-C2-Protokoll (T1048.003) |
Datenexfiltration über SMB (externe ID 2030)
Schweregrad: Hoch
Beschreibung:
Domänencontroller enthalten die vertraulichsten Organisationsdaten. Für die meisten Angreifer besteht eine ihrer wichtigsten Prioritäten darin, Zugriff auf Domänencontroller zu erhalten, um Ihre vertraulichsten Daten zu stehlen. Beispielsweise ermöglicht die Exfiltration der Datei Ntds.dit, die auf dem DC gespeichert ist, einem Angreifer, Kerberos Ticket Granting Tickets (TGT) zu schmieden, um eine Autorisierung für jede Ressource bereitzustellen. Gefälschte Kerberos-TGTs ermöglichen es dem Angreifer, den Ticketablauf auf einen beliebigen Zeitpunkt festzulegen. Eine Defender for Identity-Datenexfiltration über SMB wird ausgelöst, wenn verdächtige Datenübertragungen von Ihren überwachten Domänencontrollern beobachtet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Exfiltration (TA0010) |
|---|---|
| Sekundäre MITRE-Taktik | Lateral Movement (TA0008),Command and Control (TA0011) |
| MITRE-Angriffstechnik | Exfiltration über alternatives Protokoll (T1048),Lateral Tool Transfer (T1570) |
| MITRE-Angriffsuntertechnik | Exfiltration über unverschlüsseltes/verschleiertes Non-C2-Protokoll (T1048.003) |
Verdächtiges Löschen der Zertifikatdatenbankeinträge (externe ID 2433)
Schweregrad: Mittel
Beschreibung:
Das Löschen von Zertifikatdatenbankeinträgen ist eine rote Kennzeichnung, die auf potenzielle schädliche Aktivitäten hinweist. Dieser Angriff könnte die Funktionsfähigkeit von PKI-Systemen (Public Key Infrastructure) beeinträchtigen und die Authentifizierung und Datenintegrität beeinträchtigen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| MITRE-Angriffstechnik | Indikatorentfernung (T1070) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Hinweis
Warnungen zu verdächtigen Löschungen der Zertifikatdatenbankeinträge werden nur von Defender for Identity-Sensoren in AD CS unterstützt.
Verdächtiges Deaktivieren von Überwachungsfiltern von AD CS (externe ID 2434)
Schweregrad: Mittel
Beschreibung:
Das Deaktivieren von Überwachungsfiltern in AD CS kann es Angreifern ermöglichen, ohne erkannt zu werden. Dieser Angriff zielt darauf ab, die Sicherheitsüberwachung zu umgehen, indem Filter deaktiviert werden, die andernfalls verdächtige Aktivitäten kennzeichnen würden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| MITRE-Angriffstechnik | Beeinträchtigung der Abwehrmaßnahmen (T1562) |
| MITRE-Angriffsuntertechnik | Deaktivieren der Windows-Ereignisprotokollierung (T1562.002) |
Kennwortänderung im Wiederherstellungsmodus für Verzeichnisdienste (externe ID 2438)
Schweregrad: Mittel
Beschreibung:
Der Verzeichnisdienstwiederherstellungsmodus (Directory Services Restore Mode, DSRM) ist ein spezieller Startmodus in Microsoft Windows Server Betriebssystemen, der es einem Administrator ermöglicht, die Active Directory-Datenbank zu reparieren oder wiederherzustellen. Dieser Modus wird in der Regel verwendet, wenn Probleme mit Active Directory auftreten und ein normaler Start nicht möglich ist. Das DSRM-Kennwort wird während der Heraufstufung eines Servers zu einem Domänencontroller festgelegt. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn Defender for Identity erkennt, dass ein DSRM-Kennwort geändert wurde. Es wird empfohlen, den Quellcomputer und den Benutzer zu untersuchen, der die Anforderung gestellt hat, um zu ermitteln, ob die Änderung des DSRM-Kennworts durch eine legitime administrative Aktion initiiert wurde oder ob sie Bedenken hinsichtlich des unbefugten Zugriffs oder potenzieller Sicherheitsbedrohungen auslöst.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| MITRE-Angriffstechnik | Kontobearbeitung (T1098) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Möglicher Okta-Sitzungsdiebstahl
Schweregrad: Hoch
Beschreibung:
Bei Sitzungsdiebstahl stehlen Angreifer die Cookies eines legitimen Benutzers und verwenden sie von anderen Standorten aus. Es wird empfohlen, die Quell-IP zu untersuchen, die die Vorgänge ausführt, um festzustellen, ob diese Vorgänge legitim sind oder nicht, und ob die IP-Adresse vom Benutzer verwendet wird.
Lernzeitraum:
2 Wochen
MITRE:
| Primäre MITRE-Taktik | Sammlung (TA0009) |
|---|---|
| MITRE-Angriffstechnik | Browser Session Hijacking (T1185) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Gruppenrichtlinie Manipulation (externe ID 2440) (Vorschau)
Schweregrad: Mittel
Beschreibung:
In Gruppenrichtlinie wurde eine verdächtige Änderung erkannt, was zur Deaktivierung von Windows Defender Antivirus führt. Diese Aktivität kann auf eine Sicherheitsverletzung durch einen Angreifer mit erhöhten Rechten hinweisen, der die Phase für die Verteilung von Ransomware einstellen könnte.
Empfohlene Schritte für die Untersuchung:
Verstehen, ob die GPO-Änderung legitim ist
Wenn dies nicht der Fall ist, rückgängig machen die Änderung
Verstehen, wie die Gruppenrichtlinie verknüpft ist, um deren Auswirkungsbereich einzuschätzen
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| MITRE-Angriffstechnik | Subvert Trust Controls (T1553) |
| MITRE-Angriffstechnik | Subvert Trust Controls (T1553) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |