Altri avvisi di sicurezza
In genere, gli attacchi informatici vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi si spostano rapidamente lateralmente fino a quando l'utente malintenzionato non ottiene l'accesso a asset preziosi. Gli asset preziosi possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Avvisi di ricognizione e individuazione
- Avvisi di persistenza e escalation dei privilegi
- Avvisi di accesso alle credenziali
- Avvisi di spostamento laterale
- Altro
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su True positive (TP), Benign true positive (B-TP)e False positive (FP), vedere Classificazioni degli avvisi di sicurezza.
Gli avvisi di sicurezza seguenti consentono di identificare e correggere altre attività sospette di fase rilevate da Defender per identità nella rete.
Sospetto attacco DCShadow (promozione controller di dominio) (ID esterno 2028)
Nome precedente: Promozione di controller di dominio sospetto (potenziale attacco DCShadow)
Gravità: Alta
Descrizione:
Un attacco d'ombra del controller di dominio (DCShadow) è un attacco progettato per modificare gli oggetti directory usando la replica dannosa. Questo attacco può essere eseguito da qualsiasi macchina creando un controller di dominio fraudolento utilizzando un processo di replicazione.
In un attacco DCShadow, RPC e LDAP vengono usati per:
- Registrare l'account computer come controller di dominio (usando i diritti di amministratore di dominio).
- Eseguire la replica (usando i diritti di replica concessi) tramite DRSUAPI e inviare modifiche agli oggetti directory.
In questo rilevamento di Defender per identità viene attivato un avviso di sicurezza quando un computer nella rete tenta di registrarsi come controller di dominio non autorizzato.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tecnica di attacco MITRE | Controller di dominio non autorizzato (T1207) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Convalidare le autorizzazioni seguenti:
- Replicare le modifiche alla directory.
- Replicare tutte le modifiche apportate alla directory.
- Per altre informazioni, vedere Concedere autorizzazioni Active Directory Domain Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile usare Lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi dispone di queste autorizzazioni nel dominio.
Nota
Gli avvisi di promozione del controller di dominio sospetto (potenziale attacco DCShadow) sono supportati solo dai sensori defender per identità.
Sospetto attacco DCShadow (richiesta di replica del controller di dominio) (ID esterno 2029)
Nome precedente: Richiesta di replica sospetta (potenziale attacco DCShadow)
Gravità: Alta
Descrizione:
La replica di Active Directory è il processo tramite il quale le modifiche apportate in un controller di dominio vengono sincronizzate con altri controller di dominio. In base alle autorizzazioni necessarie, gli utenti malintenzionati possono concedere diritti per il proprio account computer, consentendo loro di rappresentare un controller di dominio. Gli utenti malintenzionati si sforzano di avviare una richiesta di replica dannosa, consentendo loro di modificare gli oggetti di Active Directory in un controller di dominio originale, che può dare agli utenti malintenzionati la persistenza nel dominio. In questo rilevamento viene attivato un avviso quando viene generata una richiesta di replica sospetta su un controller di dominio originale protetto da Defender per identità. Il comportamento è indicativo delle tecniche usate negli attacchi shadow del controller di dominio.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tecnica di attacco MITRE | Controller di dominio non autorizzato (T1207) |
| Sotto-tecnica di attacco MITRE | N/D |
Correzione suggerita e passaggi per la prevenzione:
Convalidare le autorizzazioni seguenti:
- Replicare le modifiche alla directory.
- Replicare tutte le modifiche apportate alla directory.
- Per altre informazioni, vedere Concedere autorizzazioni Active Directory Domain Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile usare Lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi nel dominio dispone di queste autorizzazioni.
Nota
Gli avvisi di richiesta di replica sospetta (potenziale attacco DCShadow) sono supportati solo dai sensori defender per identità.
Connessione VPN sospetta (ID esterno 2025)
Nome precedente: Connessione VPN sospetta
Gravità: media
Descrizione:
Defender per identità apprende il comportamento delle entità per le connessioni VPN degli utenti in un periodo temporale di un mese.
Il modello di comportamento VPN si basa sui computer a cui gli utenti accedono e sulle posizioni da cui si connettono gli utenti.
Viene aperto un avviso quando si verifica una deviazione dal comportamento dell'utente in base a un algoritmo di Machine Learning.
Periodo di apprendimento:
30 giorni dalla prima connessione VPN e almeno 5 connessioni VPN negli ultimi 30 giorni, per utente.
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tattica MITRE secondaria | Persistenza (TA0003) |
| Tecnica di attacco MITRE | Servizi remoti esterni (T1133) |
| Sotto-tecnica di attacco MITRE | N/D |
Tentativo di esecuzione del codice remoto (ID esterno 2019)
Nome precedente: Tentativo di esecuzione remota del codice
Gravità: media
Descrizione:
Gli utenti malintenzionati che compromettono le credenziali amministrative o usano un exploit zero-day possono eseguire comandi remoti nel controller di dominio o nel server AD FS/AD CS. Questo può essere usato per ottenere la persistenza, raccogliere informazioni, attacchi Denial of Service (DOS) o qualsiasi altro motivo. Defender per identità rileva connessioni PSexec, WMI remote e PowerShell.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Esecuzione (TA0002) |
|---|---|
| Tattica MITRE secondaria | Movimento laterale (TA0008) |
| Tecnica di attacco MITRE | Interprete di comandi e script (T1059),Servizi remoti (T1021) |
| Sotto-tecnica di attacco MITRE | PowerShell (T1059.001), Gestione remota Windows (T1021.006) |
Passaggi suggeriti per la prevenzione:
- Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.
- Implementare l'accesso con privilegi, consentendo solo ai computer con protezione avanzata di connettersi ai controller di dominio per gli amministratori.
- Implementare l'accesso con privilegi inferiori nei computer di dominio per consentire a utenti specifici il diritto di creare servizi.
Nota
Gli avvisi di tentativo di esecuzione del codice remoto in caso di tentativo di uso dei comandi di PowerShell sono supportati solo dai sensori defender per identità.
Creazione di servizi sospetti (ID esterno 2026)
Nome precedente: Creazione di un servizio sospetto
Gravità: media
Descrizione:
È stato creato un servizio sospetto in un controller di dominio o in un server AD FS/AD CS nell'organizzazione. Questo avviso si basa sull'evento 7045 per identificare questa attività sospetta.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Esecuzione (TA0002) |
|---|---|
| Tattica MITRE secondaria | Persistenza (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Spostamento laterale (TA0008) |
| Tecnica di attacco MITRE | Servizi remoti (T1021), Interprete di comandi e script (T1059), Servizi di sistema (T1569),Creazione o modifica del processo di sistema (T1543) |
| Sotto-tecnica di attacco MITRE | Esecuzione del servizio (T1569.002), Servizio Windows (T1543.003) |
Passaggi suggeriti per la prevenzione:
- Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.
- Implementare l'accesso con privilegi per consentire solo ai computer con protezione avanzata di connettersi ai controller di dominio per gli amministratori.
- Implementare l'accesso con privilegi inferiori nei computer di dominio per concedere solo a utenti specifici il diritto di creare servizi.
Comunicazione sospetta tramite DNS (ID esterno 2031)
Nome precedente: Comunicazione sospetta tramite DNS
Gravità: media
Descrizione:
Il protocollo DNS nella maggior parte delle organizzazioni in genere non viene monitorato e raramente bloccato per attività dannose. Abilitazione di un utente malintenzionato in un computer compromesso per abusare del protocollo DNS. Le comunicazioni dannose tramite DNS possono essere usate per l'esfiltrazione, il comando e il controllo dei dati e/o per evitare restrizioni di rete aziendali.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Esfiltrazione (TA0010) |
|---|---|
| Tecnica di attacco MITRE | Esfiltrazione su protocollo alternativo (T1048),esfiltrazione su canale C2 (T1041), trasferimento pianificato (T1029), esfiltrazione automatica (T1020), protocollo del livello applicazione (T1071) |
| Sotto-tecnica di attacco MITRE | DNS (T1071.004), esfiltrazione su protocollo non crittografato/offuscato non C2 (T1048.003) |
Esfiltrazione dei dati su SMB (ID esterno 2030)
Gravità: Alta
Descrizione:
I controller di dominio contengono i dati aziendali più sensibili. Per la maggior parte degli utenti malintenzionati, una delle priorità principali è ottenere l'accesso al controller di dominio, per rubare i dati più sensibili. Ad esempio, l'esfiltrazione del file Ntds.dit, archiviato nel controller di dominio, consente a un utente malintenzionato di creare ticket di concessione di ticket Kerberos (TGT) che forniscono l'autorizzazione a qualsiasi risorsa. I TCT Kerberos contraffatti consentono all'utente malintenzionato di impostare la scadenza del ticket su qualsiasi tempo arbitrario. Viene attivato un avviso di esfiltrazione dei dati di Defender per identità tramite SMB quando vengono osservati trasferimenti sospetti di dati dai controller di dominio monitorati.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Esfiltrazione (TA0010) |
|---|---|
| Tattica MITRE secondaria | Spostamento laterale (TA0008),Comando e controllo (TA0011) |
| Tecnica di attacco MITRE | Esfiltrazione tramite protocollo alternativo (T1048), trasferimento laterale degli strumenti (T1570) |
| Sotto-tecnica di attacco MITRE | Esfiltrazione su protocollo non crittografato/offuscato non C2 (T1048.003) |
Eliminazione sospetta delle voci del database del certificato (ID esterno 2433)
Gravità: media
Descrizione:
L'eliminazione delle voci del database di certificati è un flag rosso, che indica potenziali attività dannose. Questo attacco potrebbe compromettere il funzionamento dei sistemi PKI (Public Key Infrastructure), influendo sull'autenticazione e sull'integrità dei dati.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tecnica di attacco MITRE | Rimozione dell'indicatore (T1070) |
| Sotto-tecnica di attacco MITRE | N/D |
Nota
Gli avvisi di eliminazione sospetta delle voci del database del certificato sono supportati solo dai sensori defender per identità in Servizi certificati Active Directory.
Disabilitazione sospetta dei filtri di controllo di Servizi certificati Active Directory (ID esterno 2434)
Gravità: media
Descrizione:
La disabilitazione dei filtri di controllo in Servizi certificati Active Directory può consentire agli utenti malintenzionati di operare senza essere rilevati. Questo attacco mira a eludere il monitoraggio della sicurezza disabilitando i filtri che altrimenti contrassegnerebbero le attività sospette.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tecnica di attacco MITRE | Difesa impair (T1562) |
| Sotto-tecnica di attacco MITRE | Disabilitare la registrazione eventi di Windows (T1562.002) |
Modifica della password in modalità ripristino servizi directory (ID esterno 2438)
Gravità: media
Descrizione:
La modalità di ripristino di Servizi directory (DSRM) è una modalità di avvio speciale nei sistemi operativi Microsoft Windows Server che consente a un amministratore di ripristinare o ripristinare il database di Active Directory. Questa modalità viene in genere usata quando si verificano problemi con Active Directory e il normale avvio non è possibile. La password DSRM viene impostata durante l'innalzamento di livello di un server a un controller di dominio. In questo rilevamento viene attivato un avviso quando Defender per identità rileva la modifica di una password DSRM. È consigliabile analizzare il computer di origine e l'utente che ha effettuato la richiesta per capire se la modifica della password DSRM è stata avviata da un'azione amministrativa legittima o se genera problemi relativi a accessi non autorizzati o potenziali minacce alla sicurezza.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Persistenza (TA0003) |
|---|---|
| Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
| Sotto-tecnica di attacco MITRE | N/D |
Possibile furto di sessione di Okta
Gravità: Alta
Descrizione:
Nel furto di sessione, gli utenti malintenzionati rubano i cookie dell'utente legittimo e lo usano da altre posizioni. È consigliabile analizzare l'IP di origine che esegue le operazioni per determinare se tali operazioni sono legittime o meno e che l'indirizzo IP viene usato dall'utente.
Periodo di apprendimento:
2 settimane
MITRE:
| Tattica MITRE primaria | Raccolta (TA0009) |
|---|---|
| Tecnica di attacco MITRE | Dirottamento della sessione del browser (T1185) |
| Sotto-tecnica di attacco MITRE | N/D |
Criteri di gruppo manomissione (ID esterno 2440) (anteprima)
Gravità: media
Descrizione:
È stata rilevata una modifica sospetta in Criteri di gruppo, con conseguente disattivazione di Windows Antivirus Defender. Questa attività può indicare una violazione della sicurezza da parte di un utente malintenzionato con privilegi elevati che potrebbero impostare la fase per la distribuzione di ransomware.
Passaggi suggeriti per l'analisi:
Comprendere se la modifica dell'oggetto Criteri di gruppo è legittima
In caso contrario, ripristinare la modifica
Comprendere il modo in cui i criteri di gruppo sono collegati per stimarne l'ambito di impatto
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Evasione della difesa (TA0005) |
|---|---|
| Tecnica di attacco MITRE | Sovverti controlli attendibili (T1553) |
| Tecnica di attacco MITRE | Sovverti controlli attendibili (T1553) |
| Sotto-tecnica di attacco MITRE | N/D |