Muut suojaushälytykset
Yleensä kyberhyökkäykset käynnistetään mitä tahansa helppokäyttöistä entiteettiä, kuten matalalla etuoikeutettua käyttäjää, vastaan ja siirtyvät sitten nopeasti sivuttain, kunnes hyökkääjä pääsee käsiksi arvokkaisiin resursseihin. Arvokkaat resurssit voivat olla arkaluonteisia tilejä, toimialueen järjestelmänvalvojia tai erittäin arkaluontoisia tietoja. Microsoft Defender for Identity tunnistaa nämä kehittyneet uhat lähteessä koko hyökkäyksen tappoketjun ajan ja luokittelee ne seuraaviin vaiheisiin:
- Tiedustelu- ja etsintäilmoitukset
- Pysyvyyden ja oikeuksien eskaloinnin ilmoitukset
- Tunnistetietojen käyttöilmoitukset
- Sivusuuntaiset liikehälytykset
- Muut
Lisätietoja siitä, miten voit ymmärtää kaikkien Defender for Identity -suojaushälytysten rakennetta ja yleisiä osia, on artikkelissa Suojaushälytysten ymmärtäminen. Lisätietoja True-positiivisista (TP),Hyvänlaatuisista tosi-positiivisista (B-TP) ja False-positiivisista (FP) on kohdassa Suojaushälytysten luokitukset.
Seuraavien suojausilmoitusten avulla voit tunnistaa ja korjata muita epäilyttäviä toimia, joita Defender for Identity on havainnut verkossasi.
Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen ylentäminen) (ulkoinen tunnus 2028)
Edellinen nimi: Epäilyttävä toimialueen ohjauskoneen ylentäminen (mahdollinen DCShadow-hyökkäys)
Vakavuusaste: Suuri
Kuvaus:
Toimialueen ohjauskoneen varjohyökkäys (DCShadow) on hyökkäys, joka on suunniteltu muuttamaan hakemisto-objekteja haitallisen replikoinnin avulla. Tämä hyökkäys voidaan suorittaa missä tahansa tietokoneessa luomalla toimialueen ohjauskone replikointiprosessin avulla.
DCShadow-hyökkäyksessä RPC:tä ja LDAP:tä käytetään
- Rekisteröi tietokonetili toimialueen ohjauskoneeseen (toimialueen järjestelmänvalvojan oikeuksilla).
- Suorita replikointi (käyttäen myönnettyjä replikointioikeuksia) DRSUAPI:ssa ja lähetä muutokset hakemisto-objekteihin.
Tässä Käyttäjätietojen tunnistamisen Defenderissä suojaushälytys käynnistyy, kun verkossa oleva kone yrittää rekisteröityä toimialueen ohjauskoneeseen.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
---|---|
MITRE-hyökkäystekniikka | Rogue Domain Controller (T1207) |
MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
Vahvista seuraavat käyttöoikeudet:
- Replikoi hakemistomuutokset.
- Replikoi hakemiston muutokset kaikki.
- Lisätietoja on artikkelissa Profiilin synkronoinnin Active Directory -toimialueen palvelut käyttöoikeuksien myöntäminen SharePoint Server 2013:ssa. Voit käyttää AD ACL -skanneria tai luoda Windows PowerShell-komentosarjan määrittääksesi, keillä on nämä oikeudet toimialueella.
Huomautus
Defender tukee epäilyttäviä toimialueen ohjauskoneen ylentämisilmoituksia (mahdollinen DCShadow-hyökkäys) vain käyttäjätietotunnistimia varten.
Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen replikointipyyntö) (ulkoinen tunnus 2029)
Edellinen nimi: Epäilyttävä replikointipyyntö (mahdollinen DCShadow-hyökkäys)
Vakavuusaste: Suuri
Kuvaus:
Active Directory -replikointi on prosessi, jolla yhteen toimialueen ohjauskoneeseen tehdyt muutokset synkronoidaan muiden toimialueen ohjauskoneiden kanssa. Tarvittaessa hyökkääjät voivat myöntää tietokonetililleen oikeuksia, jolloin he voivat tekeytyä toimialueen ohjauskoneeksi. Hyökkääjät pyrkivät aloittamaan haitallisen replikointipyynnön, jonka avulla he voivat muuttaa Active Directory -objekteja aidolla toimialueen ohjauskoneella, mikä voi antaa hyökkääjille pysyvyyden toimialueella. Tässä tunnistamisessa ilmoitus käynnistyy, kun epäilyttävä replikointipyyntö luodaan aitoa toimialueen ohjauskonetta vastaan, joka on suojattu Defender for Identity -parametrilla. Käyttäytyminen on osoitus tekniikoista, joita käytetään toimialueen ohjauskoneen varjohyökkäyksissä.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
---|---|
MITRE-hyökkäystekniikka | Rogue Domain Controller (T1207) |
MITRE-hyökkäyksen alitekniikka | N/A |
Ehdotetut korjaukset ja estovaiheet:
Vahvista seuraavat käyttöoikeudet:
- Replikoi hakemistomuutokset.
- Replikoi hakemiston muutokset kaikki.
- Lisätietoja on artikkelissa Profiilin synkronoinnin Active Directory -toimialueen palvelut käyttöoikeuksien myöntäminen SharePoint Server 2013:ssa. Voit käyttää AD ACL -skanneria tai luoda Windows PowerShell-komentosarjan määrittääksesi, kellä toimialueella on nämä oikeudet.
Huomautus
Defender tukee epäilyttäviä replikointipyyntöjä (mahdollinen DCShadow-hyökkäys) vain käyttäjätietotunnistimia varten.
Epäilyttävä VPN-yhteys (ulkoinen tunnus 2025)
Edellinen nimi: Epäilyttävä VPN-yhteys
Vakavuus: Keskikoko
Kuvaus:
Defender for Identity oppii käyttäjien VPN-yhteyksien entiteetin toiminnan yhden kuukauden liukuvan ajanjakson aikana.
VPN-toimintamalli perustuu koneisiin, joihin käyttäjät kirjautuvat, ja sijainteihin, joihin käyttäjät muodostavat yhteyden.
Ilmoitus avautuu, kun käyttäjän toiminnasta poikkeaa koneoppimisalgoritmin perusteella.
Oppimisjakso:
30 päivän kuluttua ensimmäisestä VPN-yhteydestä ja vähintään 5 VPN-yhteyttä viimeisten 30 päivän aikana käyttäjää kohden.
MITRE:
Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
---|---|
Toissijainen MITRE-taktiikka | Pysyvyys (TA0003) |
MITRE-hyökkäystekniikka | Ulkoiset etäpalvelut (T1133) |
MITRE-hyökkäyksen alitekniikka | N/A |
Etäkoodin suoritusyritys (ulkoinen tunnus 2019)
Edellinen nimi: Etäkoodin suoritusyritys
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät, jotka vaarantavat järjestelmänvalvojan tunnistetiedot tai käyttävät nollapäiväistä hyödynnystä, voivat suorittaa etäkomentoja toimialueen ohjauskoneessa tai AD FS / AD CS -palvelimessa. Tätä voidaan käyttää pysyvyyden lisäämiseen, tietojen keräämiseen, palvelunestohyökkäyksiin (DOS) tai muihin syihin. Defender for Identity tunnistaa PSexec-, Remote WMI- ja PowerShell-yhteydet.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Suoritus (TA0002) |
---|---|
Toissijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008) |
MITRE-hyökkäystekniikka | Komento- ja komentosarjatulkki (T1059),Etäpalvelut (T1021) |
MITRE-hyökkäyksen alitekniikka | PowerShell (T1059.001), Windows remote Management (T1021.006) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Rajoita etäkäyttö toimialueen ohjauskoneisiin muissa kuin tason 0 koneissa.
- Ota käyttöön etuoikeutetut käyttöoikeudet siten, että vain koneet voivat muodostaa yhteyden toimialueen ohjauskoneisiin järjestelmänvalvojia varten.
- Ota käyttöön vähemmän etuoikeutetut käyttöoikeudet toimialuekoneissa, jotta tietyillä käyttäjillä on oikeus luoda palveluita.
Huomautus
Vain Defender tukee Powershell-komentojen käyttöyrityksen etäkoodin suoritusyritysten ilmoituksia käyttäjätietotunnistimia varten.
Epäilyttävä palvelun luominen (ulkoinen tunnus 2026)
Edellinen nimi: Epäilyttävä palvelun luominen
Vakavuus: Keskikoko
Kuvaus:
Epäilyttävä palvelu on luotu toimialueen ohjauskoneeseen tai organisaatiosi AD FS / AD CS -palvelimeen. Tämä ilmoitus perustuu tapahtumaan 7045 tämän epäilyttävän toiminnan tunnistamiseksi.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Suoritus (TA0002) |
---|---|
Toissijainen MITRE-taktiikka | Pysyvyys (TA0003), oikeuksien eskalointi (TA0004), puolustuksen veronkierto (TA0005), sivuttaisliike (TA0008) |
MITRE-hyökkäystekniikka | Remote Services (T1021), Command and Scripting Interpreter (T1059), System Services (T1569), Create or Modify System Process (T1543) |
MITRE-hyökkäyksen alitekniikka | Palvelun suorittaminen (T1569.002), Windows-palvelu (T1543.003) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Rajoita etäkäyttö toimialueen ohjauskoneisiin muissa kuin tason 0 koneissa.
- Ota käyttöön etuoikeutetut käyttöoikeudet niin, että vain kovetetut koneet voivat muodostaa yhteyden toimialueen ohjauskoneisiin järjestelmänvalvojia varten.
- Jos otat käyttöön vähemmän etuoikeutettuja käyttöoikeuksia toimialuekoneissa, vain tietyille käyttäjille annetaan oikeus luoda palveluita.
Epäilyttävä viestintä DNS:n avulla (ulkoinen tunnus 2031)
Edellinen nimi: Epäilyttävä viestintä DNS:n avulla
Vakavuus: Keskikoko
Kuvaus:
Useimmissa organisaatioissa DNS-protokollaa ei yleensä valvota, ja sitä estetään harvoin pahantahtoisen toiminnan varalta. Vaarantuneessa koneessa olevan hyökkääjän käyttöönotto DNS-protokollan väärinkäyttöä vastaan. DNS:ään välitettävää haitallista viestintää voidaan käyttää tietojen suodatusta, komentoa ja hallintaa varten ja/tai yrityksen verkkorajoitusten välttämiseksi.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Suodatus (TA0010) |
---|---|
MITRE-hyökkäystekniikka | Exfiltration Over Alternative Protocol (T1048), Exfiltration Over C2 Channel (T1041), Scheduled Transfer (T1029), Automated Exfiltration (T1020), Application Layer Protocol (T1071) |
MITRE-hyökkäyksen alitekniikka | DNS (T1071.004), exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Tietojen suodatus yli SMB :n (ulkoinen tunnus 2030)
Vakavuusaste: Suuri
Kuvaus:
Toimialueen ohjauskoneissa on kaikkein arkaluonteisimmat organisaatiotiedot. Useimmille hyökkääjille yksi tärkeimmistä prioriteeteista on saada toimialueen ohjauskoneen käyttöoikeus ja varastaa kaikkein arkaluontoisimmat tiedot. Esimerkiksi dc:hen tallennetun Ntds.dit-tiedoston suodatus antaa hyökkääjälle mahdollisuuden luoda Kerberos-lipun myöntämispalvelupyyntöjä (TGT), jotka antavat valtuutuksen mille tahansa resurssille. Taotut Kerberos-TGT:t mahdollistavat sen, että hyökkääjä voi asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Defender for Identity Datan exfiltration over SMB alert käynnistyy, kun valvotuilta toimialueen ohjauskoneilta havaitaan epäilyttäviä tietojen siirtoja.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Suodatus (TA0010) |
---|---|
Toissijainen MITRE-taktiikka | Sivusuuntainen liike (TA0008),Komento ja hallinta (TA0011) |
MITRE-hyökkäystekniikka | Exfiltration Over Alternative Protocol (T1048), Lateral Tool Transfer (T1570) |
MITRE-hyökkäyksen alitekniikka | Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Varmennetietokantamerkintöjen epäilyttävä poistaminen (ulkoinen tunnus 2433)
Vakavuus: Keskikoko
Kuvaus:
Varmennetietokantamerkintöjen poistaminen on punainen merkintä, joka ilmaisee mahdollisen haitallisen toiminnan. Tämä hyökkäys voi häiritä PKI(Public Key Infrastructure) -järjestelmien toimintaa ja vaikuttaa todentamiseen ja tietojen eheyteen.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
---|---|
MITRE-hyökkäystekniikka | Ilmaisimen poistaminen (T1070) |
MITRE-hyökkäyksen alitekniikka | N/A |
Huomautus
Defender tukee vain AD CS:n käyttäjätietotunnistimien epäilyttävää poistamista.
Epäilyttävä AD CS :n valvontasuodattimien poistaminen käytöstä (ulkoinen tunnus 2434)
Vakavuus: Keskikoko
Kuvaus:
Valvontasuodattimien poistaminen käytöstä AD CS:ssä voi sallia hyökkääjien toiminnan ilman, että niitä havaitaan. Hyökkäyksen tarkoituksena on välttää suojauksen valvonta poistamalla käytöstä suodattimet, jotka muussa tapauksessa ilmoittaisivat epäilyttävästä toiminnasta.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
---|---|
MITRE-hyökkäystekniikka | Impair Defenses (T1562) |
MITRE-hyökkäyksen alitekniikka | Windowsin tapahtumien kirjaamisen poistaminen käytöstä (T1562.002) |
Hakemistopalvelujen palautustilan salasanan vaihtaminen (ulkoinen tunnus 2438)
Vakavuus: Keskikoko
Kuvaus:
Hakemistopalvelujen palautustila (DSRM) on Microsoft Windows Server käyttöjärjestelmissä erityinen käynnistystila, jonka avulla järjestelmänvalvoja voi korjata tai palauttaa Active Directory -tietokannan. Tätä tilaa käytetään yleensä, kun Active Directoryssa on ongelmia eikä normaali käynnistys ole mahdollista. DSRM-salasana määritetään palvelimen ylentämisen aikana toimialueen ohjauskoneeseen. Tässä tunnistamisessa ilmoitus käynnistyy, kun Defender for Identity havaitsee DSRM-salasanan muuttuessa. Suosittelemme tutkimaan lähdetietokonetta ja käyttäjää, jotka tekivät pyynnön, jotta voidaan selvittää, onko DSRM-salasanan vaihto aloitettu laillisesta hallinnollisesta toiminnosta vai aiheuttaako se huolta luvattomasta käytöstä tai mahdollisista tietoturvauhkista.
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Pysyvyys (TA0003) |
---|---|
MITRE-hyökkäystekniikka | Tilin käsittely (T1098) |
MITRE-hyökkäyksen alitekniikka | N/A |
Mahdollinen Okta-istunnon varkaus
Vakavuusaste: Suuri
Kuvaus:
Istunnon varkaudessa hyökkääjät varastavat laillisen käyttäjän evästeet ja käyttävät niitä muista paikoista. Suosittelemme tutkimaan toimintojen suorittavan ip-lähdeosoitteen sen määrittämiseksi, ovatko nämä toiminnot laillisia vai eivät ja että käyttäjä käyttää IP-osoitetta.
Oppimisjakso:
2 viikkoa
MITRE:
Ensisijainen MITRE-taktiikka | Kokoelma (TA0009) |
---|---|
MITRE-hyökkäystekniikka | Selainistunnon kaappaus (T1185) |
MITRE-hyökkäyksen alitekniikka | N/A |
ryhmäkäytäntö Peukalointi (ulkoinen tunnus 2440) (esikatselu)
Vakavuus: Keskikoko
Kuvaus:
ryhmäkäytäntö havaittiin epäilyttävä muutos, jonka seurauksena Windows Defenderin virustentorjunta on poistettu käytöstä. Tämä toiminta voi olla merkki suojausmurrosta hyökkääjältä, jolla on laajennetut oikeudet ja joka voi määrittää kiristyshaittaohjelman jakelun vaiheen.
Ehdotetut vaiheet tutkimusta varten:
Ymmärrä, onko ryhmäkäytäntöobjektin muutos oikeutettu
Jos näin ei ollut, palauta muutos
Ymmärrät, miten ryhmäkäytäntö on linkitetty, jotta voit arvioida sen vaikutusaluetta
Oppimisjakso:
Ei mitään
MITRE:
Ensisijainen MITRE-taktiikka | Puolustuksen välttely (TA0005) |
---|---|
MITRE-hyökkäystekniikka | Kumoa luottamusohjausobjektit (T1553) |
MITRE-hyökkäystekniikka | Kumoa luottamusohjausobjektit (T1553) |
MITRE-hyökkäyksen alitekniikka | N/A |