Alertes de reconnaissance et de découverte
En règle générale, les cyberattaques sont lancées contre toute entité accessible, telle qu’un utilisateur à faibles privilèges, puis se déplacent rapidement latéralement jusqu’à ce que l’attaquant accède à des ressources précieuses. Les ressources précieuses peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne de destruction de l’attaque et les classifie dans les phases suivantes :
- Reconnaissance et découverte
- Alertes de persistance et d’escalade de privilèges
- Alertes d’accès aux informations d’identification
- Alertes de mouvement latéral
- Autres alertes
Pour en savoir plus sur la façon de comprendre la structure et les composants courants de toutes les alertes de sécurité Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP),le vrai positif sans gravité (B-TP) et le faux positif (FP), consultez Classifications des alertes de sécurité.
Les alertes de sécurité suivantes vous aident à identifier et à corriger les activités suspectes de phase de reconnaissance et de découverte détectées par Defender pour Identity dans votre réseau.
La reconnaissance et la découverte sont constituées de techniques qu’un adversaire peut utiliser pour acquérir des connaissances sur le système et le réseau interne. Ces techniques aident les adversaires à observer l’environnement et à s’orienter avant de décider comment agir. Ils permettent également aux adversaires d’explorer ce qu’ils peuvent contrôler et ce qui se trouve autour de leur point d’entrée pour découvrir comment cela pourrait bénéficier à leur objectif actuel. Les outils de système d’exploitation natifs sont souvent utilisés pour cet objectif de collecte d’informations post-compromission. Dans Microsoft Defender pour Identity, ces alertes impliquent généralement l’énumération de compte interne avec différentes techniques.
Reconnaissance de l’énumération de compte (ID externe 2003)
Nom précédent : Reconnaissance à l’aide de l’énumération de compte
Gravité : moyen
Description :
Dans la reconnaissance d’énumération de compte, un attaquant utilise un dictionnaire contenant des milliers de noms d’utilisateur ou des outils tels que KrbGuess pour tenter de deviner les noms d’utilisateur dans le domaine.
Kerberos : l’attaquant effectue des requêtes Kerberos à l’aide de ces noms pour essayer de trouver un nom d’utilisateur valide dans le domaine. Lorsqu’une estimation détermine correctement un nom d’utilisateur, l’attaquant obtient la pré-authentification requise au lieu de l’erreur Kerberos inconnue du principal de sécurité .
NTLM : l’attaquant effectue des demandes d’authentification NTLM à l’aide du dictionnaire de noms pour essayer de trouver un nom d’utilisateur valide dans le domaine. Si une estimation détermine correctement un nom d’utilisateur, l’attaquant obtient l’erreur NTLM WrongPassword (0xc000006a) au lieu de NoSuchUser (0xc0000064).
Dans cette détection d’alerte, Defender pour Identity détecte l’origine de l’attaque d’énumération de compte, le nombre total de tentatives d’estimation et le nombre de tentatives correspondantes. S’il y a trop d’utilisateurs inconnus, Defender pour Identity le détecte comme une activité suspecte. L’alerte est basée sur les événements d’authentification des capteurs s’exécutant sur le contrôleur de domaine et les serveurs AD FS/AD CS.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002) |
Étapes suggérées pour la prévention :
- Appliquez des mots de passe complexes et longs dans le organization. Les mots de passe complexes et longs fournissent le premier niveau de sécurité nécessaire contre les attaques par force brute. Les attaques par force brute sont généralement l’étape suivante de l’énumération suivante de la chaîne de destruction de cyberattaque.
Reconnaissance d’énumération de compte (LDAP) (ID externe 2437) (préversion)
Gravité : moyen
Description :
Dans la reconnaissance d’énumération de compte, un attaquant utilise un dictionnaire contenant des milliers de noms d’utilisateur ou des outils tels que Ldapnom pour tenter de deviner les noms d’utilisateur dans le domaine.
LDAP : l’attaquant effectue des requêtes ping LDAP (cLDAP) à l’aide de ces noms pour essayer de trouver un nom d’utilisateur valide dans le domaine. Si une estimation détermine correctement un nom d’utilisateur, l’attaquant peut recevoir une réponse indiquant que l’utilisateur existe dans le domaine.
Dans cette détection d’alerte, Defender pour Identity détecte l’origine de l’attaque d’énumération de compte, le nombre total de tentatives d’estimation et le nombre de tentatives correspondantes. S’il y a trop d’utilisateurs inconnus, Defender pour Identity le détecte comme une activité suspecte. L’alerte est basée sur les activités de recherche LDAP des capteurs s’exécutant sur des serveurs de contrôleur de domaine.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002) |
Reconnaissance de mappage réseau (DNS) (ID externe 2007)
Nom précédent : Reconnaissance à l’aide de DNS
Gravité : moyen
Description :
Votre serveur DNS contient une carte de tous les ordinateurs, adresses IP et services de votre réseau. Ces informations sont utilisées par les attaquants pour mapper votre structure réseau et cibler des ordinateurs intéressants pour les étapes ultérieures de leur attaque.
Il existe plusieurs types de requête dans le protocole DNS. Cette alerte de sécurité Defender pour Identity détecte les requêtes suspectes, soit celles utilisant un AXFR (transfert) provenant de serveurs non DNS, soit celles utilisant un nombre excessif de requêtes.
Période d’apprentissage :
Cette alerte a une période d’apprentissage de huit jours à compter du début de la surveillance du contrôleur de domaine.
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087),Analyse des services réseau (T1046),Découverte du système distant (T1018) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Il est important de prévenir les attaques futures à l’aide de requêtes AXFR en sécurisant votre serveur DNS interne.
- Sécurisez votre serveur DNS interne pour empêcher la reconnaissance à l’aide de DNS en désactivant les transferts de zone ou en limitant les transferts de zone uniquement aux adresses IP spécifiées. La modification des transferts de zone est une tâche parmi une liste de contrôle qui doit être traitée pour sécuriser vos serveurs DNS contre les attaques internes et externes.
Reconnaissance des utilisateurs et des adresses IP (SMB) (ID externe 2012)
Nom précédent : Reconnaissance à l’aide de l’énumération de session SMB
Gravité : moyen
Description :
L’énumération à l’aide du protocole SMB (Server Message Block) permet aux attaquants d’obtenir des informations sur l’endroit où les utilisateurs se sont récemment connectés. Une fois que les attaquants disposent de ces informations, ils peuvent se déplacer latéralement dans le réseau pour accéder à un compte sensible spécifique.
Dans cette détection, une alerte est déclenchée lorsqu’une énumération de session SMB est effectuée sur un contrôleur de domaine.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087),découverte du réseau système Connections (T1049) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002) |
Reconnaissance de l’appartenance des utilisateurs et des groupes (SAMR) (ID externe 2021)
Nom précédent : Reconnaissance à l’aide de requêtes de services d’annuaire
Gravité : moyen
Description :
La reconnaissance de l’appartenance des utilisateurs et des groupes est utilisée par les attaquants pour mapper la structure de répertoires et cibler les comptes privilégiés en vue des étapes ultérieures de leur attaque. Le protocole SAM-R (Security Account Manager Remote) est l’une des méthodes utilisées pour interroger le répertoire afin d’effectuer ce type de mappage. Dans cette détection, aucune alerte n’est déclenchée le premier mois suivant le déploiement de Defender pour Identity (période d’apprentissage). Pendant la période d’apprentissage, Defender pour Identity identifie les requêtes SAM-R effectuées à partir des ordinateurs, à la fois l’énumération et les requêtes individuelles des comptes sensibles.
Période d’apprentissage :
Quatre semaines par contrôleur de domaine à partir de la première activité réseau de SAMR sur le contrôleur de domaine spécifique.
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087),autorisation Groupes découverte (T1069) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002), groupe de domaines (T1069.002) |
Étapes suggérées pour la prévention :
- Appliquez l’accès réseau et limitez les clients autorisés à effectuer des appels distants à la stratégie de groupe SAM.
Reconnaissance des attributs Active Directory (LDAP) (ID externe 2210)
Gravité : moyen
Description :
La reconnaissance LDAP Active Directory est utilisée par les attaquants pour obtenir des informations critiques sur l’environnement de domaine. Ces informations peuvent aider les attaquants à mapper la structure du domaine, ainsi qu’à identifier les comptes privilégiés à utiliser dans les étapes ultérieures de leur chaîne de destruction d’attaque. Le protocole LDAP (Lightweight Directory Access Protocol) est l’une des méthodes les plus populaires utilisées à des fins légitimes et malveillantes pour interroger Active Directory.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087),exécution de commandes indirectes (T1202),découverte d’autorisations Groupes (T1069) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002),Groupes de domaine (T1069.002) |
Honeytoken a été interrogé via SAM-R (ID externe 2439)
Sévérité: faible
Description :
La reconnaissance des utilisateurs est utilisée par les attaquants pour mapper la structure de répertoires et cibler les comptes privilégiés en vue des étapes ultérieures de leur attaque. Le protocole SAM-R (Security Account Manager Remote) est l’une des méthodes utilisées pour interroger le répertoire afin d’effectuer ce type de mappage. Dans cette détection, Microsoft Defender pour Identity déclenchera cette alerte pour toutes les activités de reconnaissance sur un utilisateur honeytoken préconfiguré
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002) |
Honeytoken a été interrogé via LDAP (ID externe 2429)
Sévérité: faible
Description :
La reconnaissance des utilisateurs est utilisée par les attaquants pour mapper la structure de répertoires et cibler les comptes privilégiés en vue des étapes ultérieures de leur attaque. Le protocole LDAP (Lightweight Directory Access Protocol) est l’une des méthodes les plus populaires utilisées à des fins légitimes et malveillantes pour interroger Active Directory.
Dans cette détection, Microsoft Defender pour Identity déclenchera cette alerte pour toutes les activités de reconnaissance sur un utilisateur honeytoken préconfiguré.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Découverte (TA0007) |
|---|---|
| Technique d’attaque MITRE | Découverte de compte (T1087) |
| Sous-technique d’attaque MITRE | Compte de domaine (T1087.002) |
Énumération de comptes Okta suspects
Gravité : élevée
Description :
Dans l’énumération de compte, les attaquants essaient de deviner les noms d’utilisateur en effectuant des connexions à Okta avec des utilisateurs qui n’appartiennent pas au organization. Nous vous recommandons d’examiner l’adresse IP source qui effectue les tentatives ayant échoué et de déterminer si elles sont légitimes ou non.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Accès initial (TA0001),Évasion de défense (TA0005),Persistance (TA0003), Élévation des privilèges (TA0004) |
|---|---|
| Technique d’attaque MITRE | Comptes valides (T1078) |
| Sous-technique d’attaque MITRE | Comptes cloud (T1078.004) |