Alertas de reconocimiento y detección
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con privilegios bajos, y luego se mueven rápidamente lateralmente hasta que el atacante obtiene acceso a recursos valiosos. Los recursos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación de ataques y las clasifica en las fases siguientes:
- Reconocimiento y detección
- Alertas de persistencia y escalado de privilegios
- Alertas de acceso a credenciales
- Alertas de movimiento lateral
- Otras alertas
Para más información sobre cómo comprender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de las alertas de seguridad. Para obtener información sobre True positive (TP), Benign true positive (B-TP) y False positive (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad le ayudan a identificar y corregir las actividades sospechosas de la fase de reconocimiento y detección detectadas por Defender for Identity en la red.
El reconocimiento y la detección constan de técnicas que un adversario puede usar para obtener conocimientos sobre el sistema y la red interna. Estas técnicas ayudan a los adversarios a observar el entorno y orientarse antes de decidir cómo actuar. También permiten a los adversarios explorar lo que pueden controlar y lo que hay alrededor de su punto de entrada para descubrir cómo podría beneficiar su objetivo actual. Las herramientas nativas del sistema operativo se usan a menudo para este objetivo de recopilación de información posterior al compromiso. En Microsoft Defender for Identity, estas alertas suelen implicar la enumeración de cuentas internas con diferentes técnicas.
Reconocimiento de enumeración de cuentas (id. externo 2003)
Nombre anterior: Reconocimiento mediante la enumeración de cuentas
Gravedad: media
Descripción:
En el reconocimiento de enumeración de cuentas, un atacante usa un diccionario con miles de nombres de usuario o herramientas como KrbGuess para intentar adivinar nombres de usuario en el dominio.
Kerberos: el atacante realiza solicitudes Kerberos con estos nombres para intentar encontrar un nombre de usuario válido en el dominio. Cuando una estimación determina correctamente un nombre de usuario, el atacante obtiene la autenticación previa requerida en lugar del error kerberos desconocido de la entidad de seguridad .
NTLM: el atacante realiza solicitudes de autenticación NTLM mediante el diccionario de nombres para intentar encontrar un nombre de usuario válido en el dominio. Si una estimación determina correctamente un nombre de usuario, el atacante obtiene el error NTLM WrongPassword (0xc000006a) en lugar de NoSuchUser (0xc0000064).
En esta detección de alertas, Defender for Identity detecta de dónde procede el ataque de enumeración de la cuenta, el número total de intentos de estimación y cuántos intentos se han coincidente. Si hay demasiados usuarios desconocidos, Defender for Identity lo detecta como una actividad sospechosa. La alerta se basa en eventos de autenticación de sensores que se ejecutan en el controlador de dominio y en servidores de AD FS o AD CS.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002) |
Pasos sugeridos para la prevención:
- Aplicar contraseñas complejas y largas en la organización. Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario contra ataques por fuerza bruta. Los ataques por fuerza bruta suelen ser el siguiente paso en la cadena de eliminación de ataques cibernéticos después de la enumeración.
Reconocimiento de la enumeración de cuentas (LDAP) (id. externo 2437) (versión preliminar)
Gravedad: media
Descripción:
En el reconocimiento de enumeración de cuentas, un atacante usa un diccionario con miles de nombres de usuario o herramientas como Ldapnomnom para intentar adivinar nombres de usuario en el dominio.
LDAP: el atacante realiza solicitudes de ping LDAP (cLDAP) con estos nombres para intentar encontrar un nombre de usuario válido en el dominio. Si una estimación determina correctamente un nombre de usuario, el atacante puede recibir una respuesta que indique que el usuario existe en el dominio.
En esta detección de alertas, Defender for Identity detecta de dónde procede el ataque de enumeración de la cuenta, el número total de intentos de estimación y cuántos intentos se han coincidente. Si hay demasiados usuarios desconocidos, Defender for Identity lo detecta como una actividad sospechosa. La alerta se basa en actividades de búsqueda LDAP de sensores que se ejecutan en servidores de controlador de dominio.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002) |
Reconocimiento de asignación de red (DNS) (id. externo 2007)
Nombre anterior: Reconocimiento mediante DNS
Gravedad: media
Descripción:
El servidor DNS contiene un mapa de todos los equipos, direcciones IP y servicios de la red. Los atacantes usan esta información para asignar la estructura de red y dirigirse a equipos interesantes para los pasos posteriores de su ataque.
Hay varios tipos de consulta en el protocolo DNS. Esta alerta de seguridad de Defender for Identity detecta solicitudes sospechosas, ya sea solicitudes que usan un AXFR (transferencia) que se origina desde servidores que no son DNS o que usan un número excesivo de solicitudes.
Período de aprendizaje:
Esta alerta tiene un período de aprendizaje de ocho días desde el inicio de la supervisión del controlador de dominio.
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087),Examen de servicios de red (T1046), Detección remota de sistemas (T1018) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
Es importante evitar ataques futuros mediante consultas AXFR mediante la protección del servidor DNS interno.
- Proteja el servidor DNS interno para evitar el reconocimiento mediante DNS deshabilitando las transferencias de zona o restringiendo las transferencias de zona solo a las direcciones IP especificadas. Modificar las transferencias de zona es una tarea entre una lista de comprobación que se debe abordar para proteger los servidores DNS de ataques internos y externos.
Reconocimiento de direcciones IP y de usuario (SMB) (id. externo 2012)
Nombre anterior: Reconocimiento mediante la enumeración de sesión SMB
Gravedad: media
Descripción:
La enumeración mediante el protocolo bloque de mensajes de servidor (SMB) permite a los atacantes obtener información sobre dónde han iniciado sesión recientemente los usuarios. Una vez que los atacantes tienen esta información, pueden moverse lateralmente en la red para llegar a una cuenta confidencial específica.
En esta detección, se desencadena una alerta cuando se realiza una enumeración de sesión SMB en un controlador de dominio.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087),System Network Connections Discovery (T1049) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002) |
Reconocimiento de pertenencia a usuarios y grupos (SAMR) (id. externo 2021)
Nombre anterior: Reconocimiento mediante consultas de servicios de directorio
Gravedad: media
Descripción:
Los atacantes usan el reconocimiento de pertenencia a usuarios y grupos para asignar la estructura de directorios y dirigirse a cuentas con privilegios para los pasos posteriores de su ataque. El protocolo de administrador de cuentas de seguridad remoto (SAM-R) es uno de los métodos utilizados para consultar el directorio para realizar este tipo de asignación. En esta detección, no se desencadena ninguna alerta en el primer mes después de implementar Defender for Identity (período de aprendizaje). Durante el período de aprendizaje, Defender for Identity genera perfiles desde los que se realizan consultas SAM-R desde qué equipos, tanto la enumeración como las consultas individuales de cuentas confidenciales.
Período de aprendizaje:
Cuatro semanas por controlador de dominio a partir de la primera actividad de red de SAMR en el controlador de dominio específico.
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087),permiso Grupos detección (T1069) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002), Grupo de dominios (T1069.002) |
Pasos sugeridos para la prevención:
- Aplique el acceso a la red y restrinja los clientes que pueden realizar llamadas remotas a la directiva de grupo SAM.
Reconocimiento de atributos de Active Directory (LDAP) (id. externo 2210)
Gravedad: media
Descripción:
Los atacantes usan el reconocimiento LDAP de Active Directory para obtener información crítica sobre el entorno de dominio. Esta información puede ayudar a los atacantes a asignar la estructura de dominio, así como a identificar cuentas con privilegios para su uso en pasos posteriores en su cadena de eliminación de ataques. El protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares que se usan con fines legítimos y malintencionados para consultar Active Directory.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087),ejecución de comandos indirectos (T1202),permiso Grupos detección (T1069) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002), Grupos de dominio (T1069.002) |
Honeytoken se consultó a través de SAM-R (id. externo 2439)
Gravedad: baja
Descripción:
Los atacantes usan el reconocimiento de usuarios para asignar la estructura de directorios y las cuentas con privilegios de destino para los pasos posteriores de su ataque. El protocolo de administrador de cuentas de seguridad remoto (SAM-R) es uno de los métodos utilizados para consultar el directorio para realizar este tipo de asignación. En esta detección, Microsoft Defender for Identity desencadenará esta alerta para cualquier actividad de reconocimiento contra un usuario honeytoken preconfigurado.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002) |
Honeytoken se consultó a través de LDAP (id. externo 2429)
Gravedad: baja
Descripción:
Los atacantes usan el reconocimiento de usuarios para asignar la estructura de directorios y las cuentas con privilegios de destino para los pasos posteriores de su ataque. El protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares que se usan con fines legítimos y malintencionados para consultar Active Directory.
En esta detección, Microsoft Defender for Identity desencadenará esta alerta para cualquier actividad de reconocimiento contra un usuario honeytoken preconfigurado.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque de MITRE | Detección de cuentas (T1087) |
| Sub técnica de ataque de MITRE | Cuenta de dominio (T1087.002) |
Enumeración de cuenta de Okta sospechosa
Gravedad: Alta
Descripción:
En la enumeración de cuentas, los atacantes intentarán adivinar nombres de usuario realizando inicios de sesión en Okta con usuarios que no pertenecen a la organización. Se recomienda investigar para que la dirección IP de origen realice los intentos fallidos y determinar si son legítimos o no.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Acceso inicial (TA0001),Evasión de defensa (TA0005),Persistencia (TA0003), Escalación de privilegios (TA0004) |
|---|---|
| Técnica de ataque de MITRE | Cuentas válidas (T1078) |
| Sub técnica de ataque de MITRE | Cuentas en la nube (T1078.004) |