Jaa


Muut suojaushälytykset

Yleensä kyberhyökkäykset käynnistetään mitä tahansa helppokäyttöistä entiteettiä, kuten matalalla etuoikeutettua käyttäjää, vastaan ja siirtyvät sitten nopeasti sivuttain, kunnes hyökkääjä pääsee käsiksi arvokkaisiin resursseihin. Arvokkaat resurssit voivat olla arkaluonteisia tilejä, toimialueen järjestelmänvalvojia tai erittäin arkaluontoisia tietoja. Microsoft Defender for Identity tunnistaa nämä kehittyneet uhat lähteessä koko hyökkäyksen tappoketjun ajan ja luokittelee ne seuraaviin vaiheisiin:

  1. Tiedustelu- ja etsintäilmoitukset
  2. Pysyvyyden ja oikeuksien eskaloinnin ilmoitukset
  3. Tunnistetietojen käyttöilmoitukset
  4. Sivusuuntaiset liikehälytykset
  5. Muut

Lisätietoja siitä, miten voit ymmärtää kaikkien Defender for Identity -suojaushälytysten rakennetta ja yleisiä osia, on artikkelissa Suojaushälytysten ymmärtäminen. Lisätietoja True-positiivisista (TP),Hyvänlaatuisista tosi-positiivisista (B-TP) ja False-positiivisista (FP) on kohdassa Suojaushälytysten luokitukset.

Seuraavien suojausilmoitusten avulla voit tunnistaa ja korjata muita epäilyttäviä toimia, joita Defender for Identity on havainnut verkossasi.

Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen ylentäminen) (ulkoinen tunnus 2028)

Edellinen nimi: Epäilyttävä toimialueen ohjauskoneen ylentäminen (mahdollinen DCShadow-hyökkäys)

Vakavuusaste: Suuri

Kuvaus:

Toimialueen ohjauskoneen varjohyökkäys (DCShadow) on hyökkäys, joka on suunniteltu muuttamaan hakemisto-objekteja haitallisen replikoinnin avulla. Tämä hyökkäys voidaan suorittaa missä tahansa tietokoneessa luomalla toimialueen ohjauskone replikointiprosessin avulla.

DCShadow-hyökkäyksessä RPC:tä ja LDAP:tä käytetään

  1. Rekisteröi tietokonetili toimialueen ohjauskoneeseen (toimialueen järjestelmänvalvojan oikeuksilla).
  2. Suorita replikointi (käyttäen myönnettyjä replikointioikeuksia) DRSUAPI:ssa ja lähetä muutokset hakemisto-objekteihin.

Tässä Käyttäjätietojen tunnistamisen Defenderissä suojaushälytys käynnistyy, kun verkossa oleva kone yrittää rekisteröityä toimialueen ohjauskoneeseen.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Puolustuksen välttely (TA0005)
MITRE-hyökkäystekniikka Rogue Domain Controller (T1207)
MITRE-hyökkäyksen alitekniikka N/A

Ennalta ehkäisemistä koskevat ehdotetut vaiheet:

Vahvista seuraavat käyttöoikeudet:

  1. Replikoi hakemistomuutokset.
  2. Replikoi hakemiston muutokset kaikki.
  3. Lisätietoja on artikkelissa Profiilin synkronoinnin Active Directory -toimialueen palvelut käyttöoikeuksien myöntäminen SharePoint Server 2013:ssa. Voit käyttää AD ACL -skanneria tai luoda Windows PowerShell-komentosarjan määrittääksesi, keillä on nämä oikeudet toimialueella.

Huomautus

Defender tukee epäilyttäviä toimialueen ohjauskoneen ylentämisilmoituksia (mahdollinen DCShadow-hyökkäys) vain käyttäjätietotunnistimia varten.

Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen replikointipyyntö) (ulkoinen tunnus 2029)

Edellinen nimi: Epäilyttävä replikointipyyntö (mahdollinen DCShadow-hyökkäys)

Vakavuusaste: Suuri

Kuvaus:

Active Directory -replikointi on prosessi, jolla yhteen toimialueen ohjauskoneeseen tehdyt muutokset synkronoidaan muiden toimialueen ohjauskoneiden kanssa. Tarvittaessa hyökkääjät voivat myöntää tietokonetililleen oikeuksia, jolloin he voivat tekeytyä toimialueen ohjauskoneeksi. Hyökkääjät pyrkivät aloittamaan haitallisen replikointipyynnön, jonka avulla he voivat muuttaa Active Directory -objekteja aidolla toimialueen ohjauskoneella, mikä voi antaa hyökkääjille pysyvyyden toimialueella. Tässä tunnistamisessa ilmoitus käynnistyy, kun epäilyttävä replikointipyyntö luodaan aitoa toimialueen ohjauskonetta vastaan, joka on suojattu Defender for Identity -parametrilla. Käyttäytyminen on osoitus tekniikoista, joita käytetään toimialueen ohjauskoneen varjohyökkäyksissä.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Puolustuksen välttely (TA0005)
MITRE-hyökkäystekniikka Rogue Domain Controller (T1207)
MITRE-hyökkäyksen alitekniikka N/A

Ehdotetut korjaukset ja estovaiheet:

Vahvista seuraavat käyttöoikeudet:

  1. Replikoi hakemistomuutokset.
  2. Replikoi hakemiston muutokset kaikki.
  3. Lisätietoja on artikkelissa Profiilin synkronoinnin Active Directory -toimialueen palvelut käyttöoikeuksien myöntäminen SharePoint Server 2013:ssa. Voit käyttää AD ACL -skanneria tai luoda Windows PowerShell-komentosarjan määrittääksesi, kellä toimialueella on nämä oikeudet.

Huomautus

Defender tukee epäilyttäviä replikointipyyntöjä (mahdollinen DCShadow-hyökkäys) vain käyttäjätietotunnistimia varten.

Epäilyttävä VPN-yhteys (ulkoinen tunnus 2025)

Edellinen nimi: Epäilyttävä VPN-yhteys

Vakavuus: Keskikoko

Kuvaus:

Defender for Identity oppii käyttäjien VPN-yhteyksien entiteetin toiminnan yhden kuukauden liukuvan ajanjakson aikana.

VPN-toimintamalli perustuu koneisiin, joihin käyttäjät kirjautuvat, ja sijainteihin, joihin käyttäjät muodostavat yhteyden.

Ilmoitus avautuu, kun käyttäjän toiminnasta poikkeaa koneoppimisalgoritmin perusteella.

Oppimisjakso:

30 päivän kuluttua ensimmäisestä VPN-yhteydestä ja vähintään 5 VPN-yhteyttä viimeisten 30 päivän aikana käyttäjää kohden.

MITRE:

Ensisijainen MITRE-taktiikka Puolustuksen välttely (TA0005)
Toissijainen MITRE-taktiikka Pysyvyys (TA0003)
MITRE-hyökkäystekniikka Ulkoiset etäpalvelut (T1133)
MITRE-hyökkäyksen alitekniikka N/A

Etäkoodin suoritusyritys (ulkoinen tunnus 2019)

Edellinen nimi: Etäkoodin suoritusyritys

Vakavuus: Keskikoko

Kuvaus:

Hyökkääjät, jotka vaarantavat järjestelmänvalvojan tunnistetiedot tai käyttävät nollapäiväistä hyödynnystä, voivat suorittaa etäkomentoja toimialueen ohjauskoneessa tai AD FS / AD CS -palvelimessa. Tätä voidaan käyttää pysyvyyden lisäämiseen, tietojen keräämiseen, palvelunestohyökkäyksiin (DOS) tai muihin syihin. Defender for Identity tunnistaa PSexec-, Remote WMI- ja PowerShell-yhteydet.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Suoritus (TA0002)
Toissijainen MITRE-taktiikka Sivusuuntainen liike (TA0008)
MITRE-hyökkäystekniikka Komento- ja komentosarjatulkki (T1059),Etäpalvelut (T1021)
MITRE-hyökkäyksen alitekniikka PowerShell (T1059.001), Windows remote Management (T1021.006)

Ennalta ehkäisemistä koskevat ehdotetut vaiheet:

  1. Rajoita etäkäyttö toimialueen ohjauskoneisiin muissa kuin tason 0 koneissa.
  2. Ota käyttöön etuoikeutetut käyttöoikeudet siten, että vain koneet voivat muodostaa yhteyden toimialueen ohjauskoneisiin järjestelmänvalvojia varten.
  3. Ota käyttöön vähemmän etuoikeutetut käyttöoikeudet toimialuekoneissa, jotta tietyillä käyttäjillä on oikeus luoda palveluita.

Huomautus

Vain Defender tukee Powershell-komentojen käyttöyrityksen etäkoodin suoritusyritysten ilmoituksia käyttäjätietotunnistimia varten.

Epäilyttävä palvelun luominen (ulkoinen tunnus 2026)

Edellinen nimi: Epäilyttävä palvelun luominen

Vakavuus: Keskikoko

Kuvaus:

Epäilyttävä palvelu on luotu toimialueen ohjauskoneeseen tai organisaatiosi AD FS / AD CS -palvelimeen. Tämä ilmoitus perustuu tapahtumaan 7045 tämän epäilyttävän toiminnan tunnistamiseksi.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Suoritus (TA0002)
Toissijainen MITRE-taktiikka Pysyvyys (TA0003), oikeuksien eskalointi (TA0004), puolustuksen veronkierto (TA0005), sivuttaisliike (TA0008)
MITRE-hyökkäystekniikka Remote Services (T1021), Command and Scripting Interpreter (T1059), System Services (T1569), Create or Modify System Process (T1543)
MITRE-hyökkäyksen alitekniikka Palvelun suorittaminen (T1569.002), Windows-palvelu (T1543.003)

Ennalta ehkäisemistä koskevat ehdotetut vaiheet:

  1. Rajoita etäkäyttö toimialueen ohjauskoneisiin muissa kuin tason 0 koneissa.
  2. Ota käyttöön etuoikeutetut käyttöoikeudet niin, että vain kovetetut koneet voivat muodostaa yhteyden toimialueen ohjauskoneisiin järjestelmänvalvojia varten.
  3. Jos otat käyttöön vähemmän etuoikeutettuja käyttöoikeuksia toimialuekoneissa, vain tietyille käyttäjille annetaan oikeus luoda palveluita.

Epäilyttävä viestintä DNS:n avulla (ulkoinen tunnus 2031)

Edellinen nimi: Epäilyttävä viestintä DNS:n avulla

Vakavuus: Keskikoko

Kuvaus:

Useimmissa organisaatioissa DNS-protokollaa ei yleensä valvota, ja sitä estetään harvoin pahantahtoisen toiminnan varalta. Vaarantuneessa koneessa olevan hyökkääjän käyttöönotto DNS-protokollan väärinkäyttöä vastaan. DNS:ään välitettävää haitallista viestintää voidaan käyttää tietojen suodatusta, komentoa ja hallintaa varten ja/tai yrityksen verkkorajoitusten välttämiseksi.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Suodatus (TA0010)
MITRE-hyökkäystekniikka Exfiltration Over Alternative Protocol (T1048), Exfiltration Over C2 Channel (T1041), Scheduled Transfer (T1029), Automated Exfiltration (T1020), Application Layer Protocol (T1071)
MITRE-hyökkäyksen alitekniikka DNS (T1071.004), exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003)

Tietojen suodatus yli SMB :n (ulkoinen tunnus 2030)

Vakavuusaste: Suuri

Kuvaus:

Toimialueen ohjauskoneissa on kaikkein arkaluonteisimmat organisaatiotiedot. Useimmille hyökkääjille yksi tärkeimmistä prioriteeteista on saada toimialueen ohjauskoneen käyttöoikeus ja varastaa kaikkein arkaluontoisimmat tiedot. Esimerkiksi dc:hen tallennetun Ntds.dit-tiedoston suodatus antaa hyökkääjälle mahdollisuuden luoda Kerberos-lipun myöntämispalvelupyyntöjä (TGT), jotka antavat valtuutuksen mille tahansa resurssille. Taotut Kerberos-TGT:t mahdollistavat sen, että hyökkääjä voi asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Defender for Identity Datan exfiltration over SMB alert käynnistyy, kun valvotuilta toimialueen ohjauskoneilta havaitaan epäilyttäviä tietojen siirtoja.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Suodatus (TA0010)
Toissijainen MITRE-taktiikka Sivusuuntainen liike (TA0008),Komento ja hallinta (TA0011)
MITRE-hyökkäystekniikka Exfiltration Over Alternative Protocol (T1048), Lateral Tool Transfer (T1570)
MITRE-hyökkäyksen alitekniikka Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003)

Varmennetietokantamerkintöjen epäilyttävä poistaminen (ulkoinen tunnus 2433)

Vakavuus: Keskikoko

Kuvaus:

Varmennetietokantamerkintöjen poistaminen on punainen merkintä, joka ilmaisee mahdollisen haitallisen toiminnan. Tämä hyökkäys voi häiritä PKI(Public Key Infrastructure) -järjestelmien toimintaa ja vaikuttaa todentamiseen ja tietojen eheyteen.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Puolustuksen välttely (TA0005)
MITRE-hyökkäystekniikka Ilmaisimen poistaminen (T1070)
MITRE-hyökkäyksen alitekniikka N/A

Huomautus

Defender tukee vain AD CS:n käyttäjätietotunnistimien epäilyttävää poistamista.

Epäilyttävä AD CS :n valvontasuodattimien poistaminen käytöstä (ulkoinen tunnus 2434)

Vakavuus: Keskikoko

Kuvaus:

Valvontasuodattimien poistaminen käytöstä AD CS:ssä voi sallia hyökkääjien toiminnan ilman, että niitä havaitaan. Hyökkäyksen tarkoituksena on välttää suojauksen valvonta poistamalla käytöstä suodattimet, jotka muussa tapauksessa ilmoittaisivat epäilyttävästä toiminnasta.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Puolustuksen välttely (TA0005)
MITRE-hyökkäystekniikka Impair Defenses (T1562)
MITRE-hyökkäyksen alitekniikka Windowsin tapahtumien kirjaamisen poistaminen käytöstä (T1562.002)

Hakemistopalvelujen palautustilan salasanan vaihtaminen (ulkoinen tunnus 2438)

Vakavuus: Keskikoko

Kuvaus:

Hakemistopalvelujen palautustila (DSRM) on Microsoft Windows Server käyttöjärjestelmissä erityinen käynnistystila, jonka avulla järjestelmänvalvoja voi korjata tai palauttaa Active Directory -tietokannan. Tätä tilaa käytetään yleensä, kun Active Directoryssa on ongelmia eikä normaali käynnistys ole mahdollista. DSRM-salasana määritetään palvelimen ylentämisen aikana toimialueen ohjauskoneeseen. Tässä tunnistamisessa ilmoitus käynnistyy, kun Defender for Identity havaitsee DSRM-salasanan muuttuessa. Suosittelemme tutkimaan lähdetietokonetta ja käyttäjää, jotka tekivät pyynnön, jotta voidaan selvittää, onko DSRM-salasanan vaihto aloitettu laillisesta hallinnollisesta toiminnosta vai aiheuttaako se huolta luvattomasta käytöstä tai mahdollisista tietoturvauhkista.

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Pysyvyys (TA0003)
MITRE-hyökkäystekniikka Tilin käsittely (T1098)
MITRE-hyökkäyksen alitekniikka N/A

Mahdollinen Okta-istunnon varkaus

Vakavuusaste: Suuri

Kuvaus:

Istunnon varkaudessa hyökkääjät varastavat laillisen käyttäjän evästeet ja käyttävät niitä muista paikoista. Suosittelemme tutkimaan toimintojen suorittavan ip-lähdeosoitteen sen määrittämiseksi, ovatko nämä toiminnot laillisia vai eivät ja että käyttäjä käyttää IP-osoitetta.

Oppimisjakso:

2 viikkoa

MITRE:

Ensisijainen MITRE-taktiikka Kokoelma (TA0009)
MITRE-hyökkäystekniikka Selainistunnon kaappaus (T1185)
MITRE-hyökkäyksen alitekniikka N/A

ryhmäkäytäntö Peukalointi (ulkoinen tunnus 2440) (esikatselu)

Vakavuus: Keskikoko

Kuvaus:

ryhmäkäytäntö havaittiin epäilyttävä muutos, jonka seurauksena Windows Defenderin virustentorjunta on poistettu käytöstä. Tämä toiminta voi olla merkki suojausmurrosta hyökkääjältä, jolla on laajennetut oikeudet ja joka voi määrittää kiristyshaittaohjelman jakelun vaiheen. 

Ehdotetut vaiheet tutkimusta varten:

  1. Ymmärrä, onko ryhmäkäytäntöobjektin muutos oikeutettu

  2. Jos näin ei ollut, palauta muutos

  3. Ymmärrät, miten ryhmäkäytäntö on linkitetty, jotta voit arvioida sen vaikutusaluetta

Oppimisjakso:

Ei mitään

MITRE:

Ensisijainen MITRE-taktiikka Puolustuksen välttely (TA0005)
MITRE-hyökkäystekniikka Kumoa luottamusohjausobjektit (T1553)
MITRE-hyökkäystekniikka Kumoa luottamusohjausobjektit (T1553)
MITRE-hyökkäyksen alitekniikka N/A

Tutustu myös seuraaviin ohjeartikkeleihin: