Tiedustelu- ja etsintäilmoitukset
Yleensä kyberhyökkäykset käynnistetään mitä tahansa helppokäyttöistä entiteettiä, kuten matalalla etuoikeutettua käyttäjää, vastaan ja siirtyvät sitten nopeasti sivuttain, kunnes hyökkääjä pääsee käsiksi arvokkaisiin resursseihin. Arvokkaat resurssit voivat olla arkaluonteisia tilejä, toimialueen järjestelmänvalvojia tai erittäin arkaluontoisia tietoja. Microsoft Defender for Identity tunnistaa nämä kehittyneet uhat lähteessä koko hyökkäyksen tappoketjun ajan ja luokittelee ne seuraaviin vaiheisiin:
- Tiedustelu ja etsintä
- Pysyvyyden ja oikeuksien eskaloinnin ilmoitukset
- Tunnistetietojen käyttöilmoitukset
- Sivusuuntaiset liikehälytykset
- Muut ilmoitukset
Lisätietoja siitä, miten voit ymmärtää kaikkien Defender for Identity -suojaushälytysten rakennetta ja yleisiä osia, on artikkelissa Suojaushälytysten ymmärtäminen. Lisätietoja True-positiivisista (TP),Hyvänlaatuisista tosi-positiivisista (B-TP) ja False-positiivisista (FP) on kohdassa Suojaushälytysten luokitukset.
Seuraavien suojausilmoitusten avulla voit tunnistaa ja korjata reconnaissance- ja discovery-vaiheen epäilyttäviä toimia, jotka Defender on havainnut käyttäjätietojen osalta verkossasi.
Tiedustelu ja etsiminen koostuvat tekniikoista, joita vastustaja voi käyttää saadakseen tietoa järjestelmästä ja sisäisestä verkosta. Näiden tekniikoiden avulla vastustajat voivat tarkkailla ympäristöä ja suunnata itsensä ennen kuin päättävät, miten toimia. Niiden avulla vastustajat voivat myös tutkia, mitä he voivat hallita ja mitä heidän aloituspisteensä ympärillä on, jotta he voivat selvittää, miten se voisi hyödyttää heidän nykyistä tavoitettaan. Alkuperäisiä käyttöjärjestelmätyökaluja käytetään usein tähän kompromissien jälkeiseen tiedonkeräystavoitteeseen. Microsoft Defender for Identity nämä hälytykset sisältävät yleensä sisäisen tilin luetteloinnin eri tekniikoilla.
Tilin luettelointitieto (ulkoinen tunnus 2003)
Edellinen nimi: Reconnaissance tilien luetteloinnin avulla
Vakavuus: Keskikoko
Kuvaus:
Tilin luetteloinnin tiedustelussa hyökkääjä käyttää sanastoa, jossa on tuhansia käyttäjänimiä, tai työkaluja, kuten KrbGuess, yrittäessään arvata toimialueen käyttäjänimiä.
Kerberos: Hyökkääjä tekee näitä nimiä käyttäviä Kerberos-pyyntöjä löytääkseen toimialueelta kelvollisen käyttäjänimen. Kun arvaus määrittää käyttäjänimen onnistuneesti, hyökkääjä saa pakollisen esitodennuksentuntemattoman Kerberos-virheen sijaan.
NTLM: Hyökkääjä tekee NTLM-todennuspyyntöjä käyttämällä nimisanastoa löytääkseen kelvollisen käyttäjänimen toimialueelta. Jos arvaus määrittää käyttäjänimen onnistuneesti, hyökkääjä saa WrongPassword-virheen (0xc000006a)NoSuchUser (0xc0000064) NTLM -virheen sijaan.
Tässä ilmoituksen tunnistamisessa Defender for Identity tunnistaa, mistä tilin luettelointihyökkäys tuli, arvausyritysten kokonaismäärän ja kuinka monta yritystä täsmättiin. Jos käyttäjiä on liian monta, Defender for Identity havaitsee sen epäilyttäväksi toiminnaksi. Ilmoitus perustuu toimialueen ohjauskoneessa ja AD FS/ AD CS -palvelimilla suoritettavien tunnistimien todentamistapahtumiin.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Tilin etsiminen (T1087) |
| MITRE-hyökkäyksen alitekniikka | Toimialuetili (T1087.002) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Pakota monimutkaiset ja pitkät salasanat käyttöön organisaatiossa. Monimutkaiset ja pitkät salasanat tarjoavat tarvittavan ensimmäisen suojaustason raakavoimia vastaan. Raakat voimahyökkäykset ovat tyypillisesti seuraava askel kyberhyökkäysten tappoketjussa luetteloinnin jälkeen.
Tilin luettelointitietotieto (LDAP) (ulkoinen tunnus 2437) (esikatselu)
Vakavuus: Keskikoko
Kuvaus:
Tilin luetteloinnin tiedustelussa hyökkääjä käyttää sanastoa, jossa on tuhansia käyttäjänimiä, tai työkaluja, kuten Ldapnomnom, yrittäessään arvata toimialueen käyttäjänimiä.
LDAP: Hyökkääjä tekee LDAP-ping-pyyntöjä (cLDAP) näiden nimien avulla ja yrittää löytää toimialueelta kelvollisen käyttäjänimen. Jos arvaus määrittää käyttäjänimen onnistuneesti, hyökkääjä voi saada vastauksen, joka ilmaisee, että käyttäjä on toimialueella.
Tässä ilmoituksen tunnistamisessa Defender for Identity tunnistaa, mistä tilin luettelointihyökkäys tuli, arvausyritysten kokonaismäärän ja kuinka monta yritystä täsmättiin. Jos käyttäjiä on liian monta, Defender for Identity havaitsee sen epäilyttäväksi toiminnaksi. Ilmoitus perustuu toimialueen ohjauspalvelimien tunnistimien LDAP-hakutoimintoihin.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Tilin etsiminen (T1087) |
| MITRE-hyökkäyksen alitekniikka | Toimialuetili (T1087.002) |
Verkkoyhteenvedon tiedustelu (DNS) (ulkoinen tunnus 2007)
Edellinen nimi: Tiedustelu DNS:n avulla
Vakavuus: Keskikoko
Kuvaus:
DNS-palvelimesi sisältää kartan kaikista verkon tietokoneista, IP-osoitteista ja palveluista. Hyökkääjät käyttävät näitä tietoja verkkorakenteen määrittämiseen ja mielenkiintoisten tietokoneiden kohdentamiseen heidän hyökkäyksensä myöhempää vaihetta varten.
DNS-protokollassa on useita kyselytyyppejä. Tämä Defender for Identity -suojaushälytys havaitsee epäilyttäviä pyyntöjä, joko pyyntöjä, jotka ovat peräisin muulta kuin DNS-palvelimelta tai jotka käyttävät liikaa pyyntöjä.
Oppimisjakso:
Tämän ilmoituksen oppimisaika on kahdeksan päivää toimialueen ohjauskoneen valvonnan alusta.
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Account Discovery (T1087), Verkkopalvelun skannaus (T1046), Etäjärjestelmän etsintä (T1018) |
| MITRE-hyökkäyksen alitekniikka | N/A |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
On tärkeää estää tulevat hyökkäykset AXFR-kyselyiden avulla suojaamalla sisäinen DNS-palvelin.
- Suojaa sisäinen DNS-palvelin, jotta voit estää uudelleensyntymisen DNS:n avulla poistamalla vyöhykesiirrot käytöstä tai rajoittamalla vyöhykesiirtoja vain määritettyihin IP-osoitteisiin. Vyöhykesiirtojen muokkaaminen on yksi tehtävä tarkistusluettelossa, joka tulisi korjata DNS-palvelinten suojaamiseksi sekä sisäisiltä että ulkoisilta hyökkäyksiltä.
Käyttäjän ja IP-osoitteen tiedustelu (SMB) (ulkoinen tunnus 2012)
Edellinen nimi: Reconnaissance SMB-istunnon luetteloinnin avulla
Vakavuus: Keskikoko
Kuvaus:
Luetteloinnin SMB (Server Message Block) -protokollan avulla hyökkääjät voivat saada tietoja siitä, mihin käyttäjät ovat äskettäin kirjautuneet. Kun hyökkääjät ovat saaneet nämä tiedot, he voivat siirtyä verkossa sivuttain tietyn arkaluontoisen tilin saamiseksi.
Tässä tunnistamisessa ilmoitus käynnistyy, kun SMB-istunnon luettelointi suoritetaan toimialueen ohjauskonetta vastaan.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Account Discovery (T1087), System Network Connections Discovery (T1049) |
| MITRE-hyökkäyksen alitekniikka | Toimialuetili (T1087.002) |
Käyttäjien ja ryhmien jäsenyyden tiedustelu (SAMR) (ulkoinen tunnus 2021)
Edellinen nimi: Tiedustelu hakemistopalveluiden kyselyiden avulla
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät käyttävät käyttäjä- ja ryhmäjäsenyyksien tiedustelua hakemistorakenteen ja etuoikeutettujen tilien yhdistämiseen hyökkäyksen myöhempää vaihetta varten. Suojaustilien hallinnan etäprotokolla (SAM-R) on yksi menetelmistä, joilla hakemistosta tehdään kysely tämäntyyppisen yhdistämisen suorittamista varten. Tässä tunnistamisessa ilmoituksia ei käynnistetä ensimmäisen kuukauden aikana Defender for Identityn käyttöönoton (oppimisjakso) jälkeen. Oppimisjaksolla Defender for Identity Profiles, josta SAM-R tekee kyselyjä mistäkin tietokoneesta, sekä luettelointi että yksittäiset kyselyt luottamuksellisille tileille.
Oppimisjakso:
Neljä viikkoa toimialueen ohjauskonetta kohden alkaen SAMR:n ensimmäisestä verkkotoiminnasta tiettyä toimialueen ohjauskonetta vastaan.
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Account Discovery (T1087), Permission Ryhmät Discovery (T1069) |
| MITRE-hyökkäyksen alitekniikka | Domain Account (T1087.002), Domain Group (T1069.002) |
Ennalta ehkäisemistä koskevat ehdotetut vaiheet:
- Käytä verkkoyhteyksiä ja rajoita asiakkaita, jotka voivat tehdä etäkutsuja SAM-ryhmäkäytäntöön.
Active Directory -määritteiden tiedustelu (LDAP) (ulkoinen tunnus 2210)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät käyttävät Active Directoryn LDAP-tiedustelua saadakseen tärkeitä tietoja toimialueympäristöstä. Näiden tietojen avulla hyökkääjät voivat yhdistää toimialueen rakenteen sekä tunnistaa etuoikeutetut tilit, joita he voivat käyttää hyökkäysten tappoketjun myöhemmissä vaiheissa. Lightweight Directory Access Protocol (LDAP) on yksi suosituimmista menetelmistä, joita käytetään sekä laillisiin että haitallisiin tarkoituksiin Active Directoryn kyselemiseen.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Account Discovery (T1087), Indirect Command Execution (T1202), Permission Ryhmät Discovery (T1069) |
| MITRE-hyökkäyksen alitekniikka | Domain Account (T1087.002), Domain Ryhmät (T1069.002) |
Honeytokenille tehtiin kysely SAM-R:n kautta (ulkoinen tunnus 2439)
Vakavuusaste: Pieni
Kuvaus:
Hyökkääjät käyttävät käyttäjän tiedustelua hakemistorakenteen ja etuoikeutettujen tilien yhdistämiseen hyökkäyksen myöhempää vaihetta varten. Suojaustilien hallinnan etäprotokolla (SAM-R) on yksi menetelmistä, joilla hakemistosta tehdään kysely tämäntyyppisen yhdistämisen suorittamista varten. Tässä tunnistamisessa Microsoft Defender for Identity käynnistää tämän ilmoituksen esimääritetylle honeytoken-käyttäjälle kohdistetuille tiedustelutoiminnoille
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Tilin etsiminen (T1087) |
| MITRE-hyökkäyksen alitekniikka | Toimialuetili (T1087.002) |
Honeytokenille tehtiin kysely LDAP:n kautta (ulkoinen tunnus 2429)
Vakavuusaste: Pieni
Kuvaus:
Hyökkääjät käyttävät käyttäjän tiedustelua hakemistorakenteen ja etuoikeutettujen tilien yhdistämiseen hyökkäyksen myöhempää vaihetta varten. Lightweight Directory Access Protocol (LDAP) on yksi suosituimmista menetelmistä, joita käytetään sekä laillisiin että haitallisiin tarkoituksiin Active Directoryn kyselemiseen.
Tässä tunnistamisessa Microsoft Defender for Identity käynnistää tämän ilmoituksen esimääritetylle honeytoken-käyttäjälle kohdistetuille tiedustelutoiminnoille.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Etsintä (TA0007) |
|---|---|
| MITRE-hyökkäystekniikka | Tilin etsiminen (T1087) |
| MITRE-hyökkäyksen alitekniikka | Toimialuetili (T1087.002) |
Epäilyttävä Okta-tilin luettelointi
Vakavuusaste: Suuri
Kuvaus:
Tilien luetteloinnissa hyökkääjät yrittävät arvata käyttäjänimet kirjautumalla Oktaan käyttäjille, jotka eivät kuulu organisaatioon. Suosittelemme tutkimaan ip-lähdekoodin, joka suorittaa epäonnistuneet yritykset, ja määrittämään, ovatko ne laillisia.
Oppimisjakso:
Ei mitään
MITRE:
| Ensisijainen MITRE-taktiikka | Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004) |
|---|---|
| MITRE-hyökkäystekniikka | Kelvolliset tilit (T1078) |
| MITRE-hyökkäyksen alitekniikka | Pilvipalvelut (T1078.004) |