Avvisi di ricognizione e individuazione
In genere, gli attacchi informatici vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi si spostano rapidamente lateralmente fino a quando l'utente malintenzionato non ottiene l'accesso a asset preziosi. Gli asset preziosi possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Ricognizione e individuazione
- Avvisi di persistenza e escalation dei privilegi
- Avvisi di accesso alle credenziali
- Avvisi di spostamento laterale
- Altri avvisi
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su True positive (TP), Benign true positive (B-TP)e False positive (FP), vedere Classificazioni degli avvisi di sicurezza.
Gli avvisi di sicurezza seguenti consentono di identificare e correggere le attività sospette della fase di esplorazione e individuazione rilevate da Defender per identità nella rete.
La ricognizione e la scoperta sono costituite da tecniche che un antagonista può usare per acquisire informazioni sul sistema e sulla rete interna. Queste tecniche consentono agli avversari di osservare l'ambiente e orientarsi prima di decidere come agire. Consentono anche agli avversari di esplorare ciò che possono controllare e cosa c'è intorno al loro punto di ingresso per scoprire come potrebbe trarre vantaggio dal loro obiettivo attuale. Gli strumenti del sistema operativo nativo vengono spesso usati per questo obiettivo di raccolta di informazioni post-compromissione. In Microsoft Defender per identità, questi avvisi comportano in genere l'enumerazione dell'account interno con tecniche diverse.
Ricognizione dell'enumerazione dell'account (ID esterno 2003)
Nome precedente: Ricognizione tramite l'enumerazione dell'account
Gravità: media
Descrizione:
Nella ricognizione dell'enumerazione degli account, un utente malintenzionato usa un dizionario con migliaia di nomi utente o strumenti come KrbGuess nel tentativo di indovinare i nomi utente nel dominio.
Kerberos: l'utente malintenzionato effettua richieste Kerberos usando questi nomi per cercare un nome utente valido nel dominio. Quando un'ipotesi determina correttamente un nome utente, l'utente malintenzionato ottiene la preautenticazione richiesta anziché l'errore Kerberos sconosciuto dell'entità di sicurezza .
NTLM: l'utente malintenzionato effettua richieste di autenticazione NTLM usando il dizionario dei nomi per cercare un nome utente valido nel dominio. Se un'ipotesi determina correttamente un nome utente, l'utente malintenzionato ottiene l'errore NTLM WrongPassword (0xc000006a) anziché NoSuchUser (0xc0000064).
In questo rilevamento degli avvisi Defender per identità rileva da dove proviene l'attacco di enumerazione dell'account, il numero totale di tentativi di indovinare e il numero di tentativi corrispondenti. Se sono presenti troppi utenti sconosciuti, Defender per identità lo rileva come attività sospetta. L'avviso si basa sugli eventi di autenticazione dei sensori in esecuzione nel controller di dominio e nei server AD FS/AD CS.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002) |
Passaggi suggeriti per la prevenzione:
- Applicare password complesse e lunghe nell'organizzazione. Le password complesse e lunghe offrono il primo livello di sicurezza necessario contro gli attacchi di forza bruta. Gli attacchi di forza bruta sono in genere il passaggio successivo nella kill chain degli attacchi informatici dopo l'enumerazione.
Ricognizione dell'enumerazione account (LDAP) (ID esterno 2437) (anteprima)
Gravità: media
Descrizione:
Nella ricognizione dell'enumerazione degli account, un utente malintenzionato usa un dizionario con migliaia di nomi utente o strumenti come Ldapnomnom nel tentativo di indovinare i nomi utente nel dominio.
LDAP: l'utente malintenzionato effettua richieste ping LDAP (cLDAP) usando questi nomi per cercare un nome utente valido nel dominio. Se un'ipotesi determina correttamente un nome utente, l'utente malintenzionato potrebbe ricevere una risposta che indica che l'utente esiste nel dominio.
In questo rilevamento degli avvisi Defender per identità rileva da dove proviene l'attacco di enumerazione dell'account, il numero totale di tentativi di indovinare e il numero di tentativi corrispondenti. Se sono presenti troppi utenti sconosciuti, Defender per identità lo rileva come attività sospetta. L'avviso si basa sulle attività di ricerca LDAP dei sensori in esecuzione nei server controller di dominio.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002) |
Network-mapping reconnaissance (DNS) (ID esterno 2007)
Nome precedente: Ricognizione tramite DNS
Gravità: media
Descrizione:
Il server DNS contiene una mappa di tutti i computer, gli indirizzi IP e i servizi nella rete. Queste informazioni vengono usate dagli utenti malintenzionati per eseguire il mapping della struttura di rete e indirizzare i computer interessanti per i passaggi successivi del loro attacco.
Esistono diversi tipi di query nel protocollo DNS. Questo avviso di sicurezza di Defender per identità rileva richieste sospette, ovvero richieste che usano un AXFR (trasferimento) provenienti da server non DNS o che usano un numero eccessivo di richieste.
Periodo di apprendimento:
Questo avviso ha un periodo di apprendimento di otto giorni dall'inizio del monitoraggio del controller di dominio.
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087), analisi del servizio di rete (T1046), individuazione remota del sistema (T1018) |
| Sotto-tecnica di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
È importante impedire attacchi futuri tramite query AXFR proteggendo il server DNS interno.
- Proteggere il server DNS interno per impedire la ricognizione tramite DNS disabilitando i trasferimenti di zona o limitando i trasferimenti di zona solo agli indirizzi IP specificati. La modifica dei trasferimenti di zona è un'attività tra un elenco di controllo che deve essere risolto per proteggere i server DNS da attacchi interni ed esterni.
Ricognizione di utenti e indirizzi IP (SMB) (ID esterno 2012)
Nome precedente: Ricognizione con l'enumerazione della sessione SMB
Gravità: media
Descrizione:
L'enumerazione tramite il protocollo SMB (Server Message Block) consente agli utenti malintenzionati di ottenere informazioni sulla posizione in cui gli utenti hanno effettuato l'accesso di recente. Una volta che gli utenti malintenzionati hanno queste informazioni, possono spostarsi lateralmente nella rete per accedere a un account sensibile specifico.
In questo rilevamento viene attivato un avviso quando viene eseguita un'enumerazione di sessione SMB su un controller di dominio.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087), Individuazione Connections rete di sistema (T1049) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002) |
Ricognizione dell'appartenenza a utenti e gruppi (SAMR) (ID esterno 2021)
Nome precedente: Ricognizione tramite query dei servizi directory
Gravità: media
Descrizione:
La ricognizione dell'appartenenza a utenti e gruppi viene usata dagli utenti malintenzionati per eseguire il mapping della struttura di directory e degli account con privilegi di destinazione per i passaggi successivi del loro attacco. Il protocollo SAM-R (Security Account Manager Remote) è uno dei metodi usati per eseguire query sulla directory per eseguire questo tipo di mapping. In questo rilevamento non vengono attivati avvisi nel primo mese dopo la distribuzione di Defender per identità (periodo di apprendimento). Durante il periodo di apprendimento, Defender per identità profili da cui vengono eseguite query SAM-R da cui vengono eseguiti i computer, sia l'enumerazione che le singole query di account sensibili.
Periodo di apprendimento:
Quattro settimane per controller di dominio a partire dalla prima attività di rete di SAMR rispetto al controller di dominio specifico.
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087),Autorizzazione Gruppi Individuazione (T1069) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002), gruppo di dominio (T1069.002) |
Passaggi suggeriti per la prevenzione:
- Applicare l'accesso alla rete e limitare i client autorizzati a effettuare chiamate remote ai criteri di gruppo SAM.
Ricognizione degli attributi di Active Directory (LDAP) (ID esterno 2210)
Gravità: media
Descrizione:
La ricognizione LDAP di Active Directory viene usata dagli utenti malintenzionati per ottenere informazioni critiche sull'ambiente di dominio. Queste informazioni consentono agli utenti malintenzionati di eseguire il mapping della struttura del dominio, nonché di identificare gli account con privilegi da usare nei passaggi successivi della kill chain degli attacchi. Lightweight Directory Access Protocol (LDAP) è uno dei metodi più diffusi usati sia per scopi legittimi che dannosi per eseguire query su Active Directory.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087), esecuzione indiretta dei comandi (T1202), autorizzazione Gruppi individuazione (T1069) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002),Domain Gruppi (T1069.002) |
Honeytoken è stato sottoposto a query tramite SAM-R (ID esterno 2439)
Gravità: bassa
Descrizione:
La ricognizione utente viene usata dagli utenti malintenzionati per eseguire il mapping della struttura di directory e degli account con privilegi di destinazione per i passaggi successivi dell'attacco. Il protocollo SAM-R (Security Account Manager Remote) è uno dei metodi usati per eseguire query sulla directory per eseguire questo tipo di mapping. In questo rilevamento, Microsoft Defender per identità attiverà questo avviso per eventuali attività di ricognizione su un utente honeytoken pre-configurato
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002) |
Honeytoken è stato sottoposto a query tramite LDAP (ID esterno 2429)
Gravità: bassa
Descrizione:
La ricognizione utente viene usata dagli utenti malintenzionati per eseguire il mapping della struttura di directory e degli account con privilegi di destinazione per i passaggi successivi dell'attacco. Lightweight Directory Access Protocol (LDAP) è uno dei metodi più diffusi usati sia per scopi legittimi che dannosi per eseguire query su Active Directory.
In questo rilevamento, Microsoft Defender per identità attiverà questo avviso per eventuali attività di ricognizione su un utente honeytoken pre-configurato.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Sotto-tecnica di attacco MITRE | Account di dominio (T1087.002) |
Enumerazione dell'account Okta sospetta
Gravità: Alta
Descrizione:
Nell'enumerazione degli account, gli utenti malintenzionati proveranno a indovinare i nomi degli utenti eseguendo gli accessi in Okta con utenti che non appartengono all'organizzazione. È consigliabile analizzare l'indirizzo IP di origine eseguendo i tentativi non riusciti e determinare se sono legittimi o meno.
Periodo di apprendimento:
Nessuno
MITRE:
| Tattica MITRE primaria | Accesso iniziale (TA0001), Evasione della difesa (TA0005), Persistenza (TA0003), Privilege Escalation (TA0004) |
|---|---|
| Tecnica di attacco MITRE | Account validi (T1078) |
| Sotto-tecnica di attacco MITRE | Account cloud (T1078.004) |