Advanced Threat Analytics の不審なアクティビティ ガイド

適用対象: Advanced Threat Analytics バージョン 1.9

適切な調査の後、疑わしいアクティビティは次のように分類できます。

• 真陽性: ATA によって検出された悪意のあるアクション。

• 良性の真陽性: 侵入テストなど、実際のが悪意のない ATA によって検出されたアクション。

• 誤検知: 誤報。アクティビティが発生しなかったことを意味します。

ATA アラートを操作する方法の詳細については、「 不審なアクティビティの操作」を参照してください。

質問やフィードバックについては、 ATAEval@microsoft.comの ATA チームにお問い合わせください。

機密グループの異常な変更

説明

攻撃者は、高い特権を持つグループにユーザーを追加します。 そのため、より多くのリソースにアクセスし、永続化を得ることができます。 検出は、ユーザー グループの変更アクティビティのプロファイリングと、機密性の高いグループへの異常な追加が見られた場合のアラートに依存します。 プロファイリングは ATA によって継続的に実行されます。 アラートをトリガーするまでの最小期間は、ドメイン コントローラーごとに 1 か月です。

ATA での機密性の高いグループの定義については、「 ATA コンソールの操作」を参照してください。

この検出は、 ドメイン コントローラーで監査されたイベントに依存します。 ドメイン コントローラーが必要なイベントを監査することを確認するには、 このツールを使用します。

調査

1. グループの変更は正当ですか?
   まれに発生し、"正常" として学習されなかった正当なグループの変更は、アラートを引き起こす可能性があります。これは、良性の真陽性と見なされます。

2. 追加されたオブジェクトがユーザー アカウントの場合は、ユーザー アカウントが管理者グループに追加された後に実行したアクションをチェックします。 ATA のユーザーのページに移動して、より多くのコンテキストを取得します。 追加が行われる前または後に、アカウントに関連する不審なアクティビティが他にありましたか? 機密グループの変更レポートをダウンロードして、他の変更が行われた内容と、同じ期間中のユーザーを確認します。

修復

機密性の高いグループを変更する権限を持つユーザーの数を最小限に抑えます。

Active Directory の Privileged Access Management (該当する場合) を設定します。

コンピューターとドメイン間の信頼の破損

注:

コンピューターとドメインの間の信頼の破損アラートは非推奨となり、1.9 より前の ATA バージョンでのみ表示されます。

説明

信頼が失われるとは、Active Directory のセキュリティ要件がこれらのコンピューターに対して有効ではない可能性があることを意味します。 これは、ベースラインのセキュリティとコンプライアンスの失敗と見なされ、攻撃者のソフト ターゲットと見なされます。 この検出では、24 時間以内にコンピューター アカウントから 5 つ以上の Kerberos 認証エラーが発生した場合にアラートがトリガーされます。

調査

調査中のコンピューターでドメイン ユーザーのサインインが許可されていますか?

• はいの場合は、修復手順でこのコンピューターを無視できます。

修復

必要に応じてマシンをドメインに再参加するか、コンピューターのパスワードをリセットします。

LDAP 単純バインドを使用したブルート フォース攻撃

説明

注:

不審な認証エラーとこの検出のメイン違いは、この検出では、ATA が異なるパスワードが使用されているかどうかを判断できることです。

ブルートフォース攻撃では、攻撃者は、少なくとも 1 つのアカウントに対して正しいパスワードが見つかるまで、さまざまなアカウントの多くの異なるパスワードで認証を試みます。 検出されると、攻撃者はそのアカウントを使用してサインインできます。

この検出では、ATA が多数の単純なバインド認証を検出するとアラートがトリガーされます。 これは、多くのユーザー間でパスワードの小さなセットを 使用して水平方向に 行うことができます。数人のユーザー に 対して大規模なパスワードセットを使用します。またはこれら 2 つのオプションの任意の組み合わせ。

調査

1. 多数のアカウントが関係している場合は、[ 詳細のダウンロード ] を選択して、Excel スプレッドシートの一覧を表示します。

2. アラートを選択して、その専用ページに移動します。 ログイン試行が成功した認証で終了したかどうかを確認します。 この試行は、インフォグラフィックの右側に Guessed アカウント として表示されます。 はいの場合、ソース コンピューターから 通常使用される Guessed アカウント はありますか? [はい] の場合は、疑わしいアクティビティを 抑制 します。

3. 推測されたアカウントがない場合、攻撃されたアカウントはソース コンピューターから通常使用されますか? [はい] の場合は、疑わしいアクティビティを 抑制 します。

修復

複雑で長いパスワード は、ブルートフォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

暗号化のダウングレード アクティビティ

説明

暗号化のダウングレードは、通常、最高レベルの暗号化を使用して暗号化されるプロトコルのさまざまなフィールドの暗号化レベルをダウングレードすることで、Kerberos を弱める方法です。 暗号化が弱いフィールドは、オフラインブルート フォース試行のターゲットとして簡単にできます。 さまざまな攻撃方法では、脆弱な Kerberos 暗号化サイファーを利用します。 この検出では、ATA はコンピューターとユーザーによって使用される Kerberos 暗号化の種類を学習し、(1) ソース コンピューターやユーザーに対して通常とは異なる弱いサイファーが使用されている場合に警告します。(2) 既知の攻撃手法と一致します。

次の 3 つの検出の種類があります。

1. スケルトン キー – ドメイン コントローラー上で実行され、パスワードを知らずに任意のアカウントでドメインへの認証を許可するマルウェアです。 このマルウェアは、多くの場合、弱い暗号化アルゴリズムを使用して、ドメイン コントローラーでユーザーのパスワードをハッシュします。 この検出では、ドメイン コントローラーからアカウントにチケットを要求するKRB_ERR メッセージの暗号化方法が、以前に学習した動作と比較してダウングレードされました。

2. ゴールデン チケット – ゴールデン チケット アラートでは、ソース コンピューターからのTGS_REQ (サービス要求) メッセージの TGT フィールドの暗号化方法が、以前に学習した動作と比較してダウングレードされました。 これは、(他のゴールデン チケット検出と同様に) 時間の異常に基づいていません。 さらに、ATA によって検出された以前のサービス要求に関連付けられた Kerberos 認証要求はありませんでした。

3. Overpass-the-Hash – 攻撃者は、Kerberos AS 要求を使用して強力なチケットを作成するために、脆弱な盗まれたハッシュを使用できます。 この検出では、ソース コンピューターからのAS_REQ メッセージ暗号化の種類は、以前に学習した動作 (つまり、コンピューターが AES を使用していた) と比較してダウングレードされました。

調査

まず、アラートの説明をチェックして、処理している上記の 3 つの検出の種類のうちどれを確認します。 詳細については、Excel スプレッドシートをダウンロードしてください。

1. スケルトン キー - スケルトン キーがドメイン コントローラーに影響を与えたかどうかを確認します。
2. ゴールデン チケット – Excel スプレッドシートで、[ ネットワーク アクティビティ ] タブに移動します。関連するダウングレードされたフィールドが [チケット暗号化の種類の要求] で、 ソース コンピューターでサポートされている暗号化の種類 により強力な暗号化方法が一覧表示されます。 1.ソース コンピューターとアカウントを確認するか、複数のソース コンピューターとアカウントが共通している場合にチェックします (たとえば、すべてのマーケティング担当者が、アラートがトリガーされる可能性がある特定のアプリを使用します)。 使用頻度の低いカスタム アプリケーションが、より低い暗号化暗号を使用して認証する場合があります。 ソース コンピューターにこのようなカスタム アプリがあるかどうかを確認します。 もしそうなら、それはおそらく良性の真陽性であり、それを 抑制 することができます。1.これらのチケットによってアクセスされるリソースを確認します。 アクセスしているリソースが 1 つある場合は、そのリソースを検証し、アクセスする必要がある有効なリソースであることを確認します。 また、ターゲット リソースが強力な暗号化方法をサポートしているかどうかを確認します。 これを Active Directory でチェックするには、リソース サービス アカウントの属性msDS-SupportedEncryptionTypesを確認します。
3. Overpass-the-Hash – Excel スプレッドシートで、[ ネットワーク アクティビティ ] タブに移動します。関連するダウングレードされたフィールドが [暗号化されたタイムスタンプ暗号化の種類 ] で、[ ソース コンピューターでサポートされる暗号化の種類 ] に、より強力な暗号化方法が含まれていることがわかります。 1.スマートカードの構成が最近変更された場合、ユーザーがスマートカードを使用してサインインすると、このアラートがトリガーされる場合があります。 関連するアカウントに対してこのような変更があったかどうかを確認します。 もしそうなら、これはおそらく良性の真陽性であり、それを 抑制 することができます。1.これらのチケットによってアクセスされるリソースを確認します。 アクセスしているリソースが 1 つある場合は、そのリソースを検証し、アクセスする必要がある有効なリソースであることを確認します。 また、ターゲット リソースが強力な暗号化方法をサポートしているかどうかを確認します。 これを Active Directory でチェックするには、リソース サービス アカウントの属性msDS-SupportedEncryptionTypesを確認します。

修復

1. スケルトン キー – マルウェアを削除します。 詳細については、「 スケルトン キーマルウェア分析」を参照してください。

2. ゴールデンチケット - ゴールデンチケット 疑わしいアクティビティの指示に従ってください。 また、ゴールデン チケットを作成するにはドメイン管理者権限が必要であるため、 ハッシュの推奨事項を渡すを実装します。

3. Overpass-the-Hash – 関係するアカウントが機密でない場合は、そのアカウントのパスワードをリセットします。 これにより、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなりますが、既存のチケットは有効期限が切れるまで引き続き使用できます。 機密性の高いアカウントの場合は、ゴールデン チケットの不審なアクティビティの 2 回 KRBTGT アカウントをリセットすることを検討する必要があります。 KRBTGT を 2 回リセットすると、このドメイン内のすべての Kerberos チケットが無効になるため、その前に計画を立てます。 KRBTGT アカウントに関する記事のガイダンスを参照してください。 これは横移動手法であるため、「 ハッシュの推奨事項を渡す」のベスト プラクティスに従ってください。

Honeytoken アクティビティ

説明

Honeytoken アカウントは、これらのアカウントを含む悪意のあるアクティビティを特定して追跡するために設定された、おとりアカウントです。 Honeytoken アカウントは使用したままにする必要があり、攻撃者を誘い込むには魅力的な名前を付ける必要があります (たとえば、SQL-管理)。 それらからのアクティビティは、悪意のある動作を示している可能性があります。

ハニー トークン アカウントの詳細については、「 ATA のインストール - 手順 7」を参照してください。

調査

1. ソース コンピューターの所有者が、疑わしいアクティビティ ページ (Kerberos、LDAP、NTLM など) で説明されている方法を使用して、Honeytoken アカウントを認証に使用したかどうかを確認します。

2. ソース コンピューターのプロファイル ページを参照し、そこから認証された他のアカウントをチェックします。 Honeytoken アカウントを使用した場合は、それらのアカウントの所有者に確認してください。

3. これは非対話型ログインである可能性があるため、ソース コンピューターで実行されているアプリケーションまたはスクリプトをチェックしてください。

手順 1 から 3 を実行した後に、問題のない使用の証拠がない場合は、これが悪意があると仮定します。

修復

Honeytoken アカウントが意図した目的にのみ使用されていることを確認します。そうしないと、多くのアラートが生成される可能性があります。

Pass-the-Hash 攻撃を使用した ID の盗難

説明

Pass-the-Hash は、攻撃者が 1 台のコンピューターからユーザーの NTLM ハッシュを盗み、それを使用して別のコンピューターにアクセスする横移動手法です。

調査

対象ユーザーが所有または定期的に使用するコンピューターからハッシュを使用しましたか? はいの場合、アラートは誤検知であり、そうでない場合は、おそらく真陽性です。

修復

1. 関係するアカウントが機密でない場合は、そのアカウントのパスワードをリセットします。 パスワードをリセットすると、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなります。 既存のチケットは有効期限が切れるまで引き続き使用できます。

2. 関連するアカウントが機密性の高い場合は、ゴールデン チケットの不審なアクティビティと同様に、KRBTGT アカウントを 2 回リセットすることを検討してください。 KRBTGT を 2 回リセットすると、すべてのドメイン Kerberos チケットが無効になるため、その前に影響を回避する計画を立てます。 KRBTGT アカウントに関する記事のガイダンスを参照してください。 これは通常、横移動手法であるため、「 ハッシュの推奨事項を渡す」のベスト プラクティスに従ってください。

Pass-the-Ticket 攻撃を使用した ID の盗難

説明

Pass-the-Ticket は、攻撃者が 1 台のコンピューターから Kerberos チケットを盗み、盗まれたチケットを再利用して別のコンピューターにアクセスするために使用する横移動手法です。 この検出では、2 つ (またはそれ以上) の異なるコンピューターで Kerberos チケットが使用されていることが確認されます。

調査

1. [ 詳細のダウンロード ] ボタンを選択して、関連する IP アドレスの完全な一覧を表示します。 サブネットの一方または両方のコンピューターの IP アドレスは、VPN や WiFi など、不足している DHCP プールから割り当てられていますか? IP アドレスは共有されますか? たとえば、NAT デバイスでは、 これらの質問のいずれかに対する回答が [はい] の場合、アラートは誤検知です。

2. ユーザーの代わりにチケットを転送するカスタム アプリケーションはありますか? もしそうなら、それは良性の真陽性です。

修復

1. 関係するアカウントが機密でない場合は、そのアカウントのパスワードをリセットします。 パスワード リセットにより、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなります。 既存のチケットは有効期限が切れるまで使用できます。

2. 機密性の高いアカウントの場合は、ゴールデン チケットの不審なアクティビティの 2 回 KRBTGT アカウントをリセットすることを検討する必要があります。 KRBTGT を 2 回リセットすると、このドメイン内のすべての Kerberos チケットが無効になるため、その前に計画を立てます。 KRBTGT アカウントに関する記事のガイダンスを参照してください。 これは横移動手法であるため、「 ハッシュの推奨事項を渡す」のベスト プラクティスに従ってください。

Kerberos ゴールデン チケット アクティビティ

説明

ドメイン管理者権限を持つ攻撃者は 、KRBTGT アカウントを侵害する可能性があります。 攻撃者は KRBTGT アカウントを使用して、任意のリソースに承認を提供する Kerberos チケット許可チケット (TGT) を作成できます。 チケットの有効期限は任意の時刻に設定できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者はネットワークで永続化を実現し、維持できます。

この検出では、Kerberos チケット許可チケット (TGT) が、ユーザー チケット セキュリティ ポリシーの 最大有効期間 で指定されている許可時間を超えたときにアラートがトリガーされます。

調査

1. グループ ポリシーの [ユーザー チケットの有効期間の上限 ] 設定に最近 (過去数時間以内に) 変更があったか。 はいの場合は、アラートを 閉じます (誤検知でした)。

2. このアラートに ATA ゲートウェイが関与するのは仮想マシンですか? はいの場合、最近保存された状態から再開されましたか? はいの場合は、このアラートを 閉じます 。

3. 上記の質問に対する回答がいいえの場合は、これが悪意があると仮定します。

修復

KRBTGT アカウントに関する記事のガイダンスに従って、Kerberos チケット許可チケット (KRBTGT) パスワードを 2 回変更します。 KRBTGT を 2 回リセットすると、このドメイン内のすべての Kerberos チケットが無効になるため、その前に計画を立てます。 また、ゴールデン チケットを作成するにはドメイン管理者権限が必要であるため、 ハッシュの推奨事項を渡すを実装します。

悪意のあるデータ保護の個人情報要求

説明

Data Protection API (DPAPI) は、ブラウザー、暗号化されたファイル、およびその他の機密データによって保存されたパスワードを安全に保護するために Windows によって使用されます。 ドメイン コントローラーには、ドメインに参加している Windows マシンで DPAPI で暗号化されたすべてのシークレットの暗号化を解除するために使用できるバックアップ マスター キーが保持されています。 攻撃者は、そのマスター キーを使用して、ドメインに参加しているすべてのマシンで DPAPI によって保護されたシークレットを復号化できます。 この検出では、DPAPI を使用してバックアップ マスター キーを取得するときにアラートがトリガーされます。

調査

1. ソース コンピューターは、Active Directory に対してorganization承認された高度なセキュリティ スキャナーを実行していますか?

2. はい、常にそうする必要がある場合は、疑わしいアクティビティを 閉じて除外 します。

3. はい、これを実行しない場合は、疑わしいアクティビティを 閉じます 。

修復

DPAPI を使用するには、攻撃者にドメイン管理者権限が必要です。 [ Pass the hash recommendations]\(ハッシュの推奨事項を渡す\) を実装します。

Directory Services の悪意のあるレプリケーション

説明

Active Directory レプリケーションは、1 つのドメイン コントローラーで行われた変更が他のすべてのドメイン コントローラーと同期されるプロセスです。 必要なアクセス許可が与えられると、攻撃者はレプリケーション要求を開始し、パスワード ハッシュを含む Active Directory に格納されているデータを取得できます。

この検出では、ドメイン コントローラーではないコンピューターからレプリケーション要求が開始されると、アラートがトリガーされます。

調査

1. 問題のコンピューターはドメイン コントローラーですか? たとえば、レプリケーションの問題が発生した新しく昇格されたドメイン コントローラーなどです。 はいの場合は、疑わしいアクティビティを 閉じます 。
2. 問題のコンピューターは Active Directory からデータをレプリケートしているはずですか? たとえば、接続Microsoft Entra。 [はい] の場合は、疑わしいアクティビティを 閉じて除外 します。
3. ソース コンピューターまたはアカウントを選択して、そのプロファイル ページに移動します。 レプリケーションの時間の前後に何が起こったかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。

修復

次のアクセス許可を検証します。

• ディレクトリの変更をレプリケートする

• ディレクトリの変更をすべてレプリケートする

詳細については、「SharePoint Server 2013 でプロファイル同期にActive Directory Domain Servicesアクセス許可を付与する」を参照してください。 AD ACL スキャナーを利用するか、Windows PowerShell スクリプトを作成して、ドメイン内のユーザーがこれらのアクセス許可を持っているかを判断できます。

大規模なオブジェクトの削除

説明

一部のシナリオでは、攻撃者は情報のみを盗むのではなく、サービス拒否 (DoS) 攻撃を実行します。 多数のアカウントを削除することは、DoS 攻撃を試みる方法の 1 つです。

この検出では、すべてのアカウントの 5% を超えるアカウントが削除されるたびにアラートがトリガーされます。 検出には、削除されたオブジェクト コンテナーへの読み取りアクセスが必要です。 削除されたオブジェクト コンテナーに対する読み取り専用アクセス許可の構成については、「ディレクトリ オブジェクトのアクセス許可の表示または設定」の「削除されたオブジェクト コンテナーに対するアクセス許可の変更」を参照してください。

調査

削除されたアカウントの一覧を確認し、大規模な削除を正当化するパターンまたはビジネス上の理由があるかどうかを判断します。

修復

Active Directory でアカウントを削除できるユーザーのアクセス許可を削除します。 詳細については、「 ディレクトリ オブジェクトのアクセス許可を表示または設定する」を参照してください。

偽造された承認データを使用した特権エスカレーション

説明

以前のバージョンのWindows Serverの既知の脆弱性により、攻撃者は特権属性証明書 (PAC) を操作できます。 PAC は、ユーザー承認データ (Active Directory ではグループ メンバーシップ) を持ち、攻撃者に追加の特権を付与する Kerberos チケットのフィールドです。

調査

1. アラートを選択して詳細ページにアクセスします。

2. 対象のコンピューター ( ACCESSED 列の下) に MS14-068 (ドメイン コントローラー) または MS11-013 (サーバー) のパッチが適用されていますか? はいの場合は、疑わしいアクティビティを 閉じます (誤検知)。

3. 対象のコンピューターにパッチが適用されていない場合、ソース コンピューターは ( FROM 列の下で) PAC を変更することがわかっている OS/アプリケーションを実行しますか? はいの場合は、疑わしいアクティビティを 抑制 します (問題のない真陽性です)。

4. 前の 2 つの質問に対する回答が [いいえ] であった場合は、このアクティビティが悪意があると仮定します。

修復

オペレーティング システムWindows Server 2012 R2 までのすべてのドメイン コントローラーがKB3011780と共にインストールされ、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーがKB2496930で最新の状態であることを確認します。 詳細については、 Silver PAC と Forged PAC に関するページを参照してください。

アカウント列挙を使用した偵察

説明

アカウント列挙偵察では、攻撃者は何千ものユーザー名を持つ辞書、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測しようとします。 攻撃者は、これらの名前を使用して Kerberos 要求を行い、ドメイン内の有効なユーザー名を検索しようとします。 推測によってユーザー名が正常に決定された場合、攻撃者はセキュリティ プリンシパルが不明ではなく、Kerberos エラーの事前認証が必要になります。

この検出では、ATA は、攻撃の発生元、推測試行の合計数、一致した回数を検出できます。 不明なユーザーが多すぎる場合、ATA は疑わしいアクティビティとして検出します。

調査

1. アラートを選択して詳細ページに移動します。

   1. このホスト マシンは、アカウント (Exchange サーバーなど) が存在するかどうかについてドメイン コントローラーに対してクエリを実行する必要がありますか?

2. この動作を生成できるスクリプトまたはアプリケーションがホスト上で実行されていますか?

   これらの質問のいずれかに対する回答が [はい] の場合は、疑わしいアクティビティを 閉じて (問題のない真陽性です)、そのホストを不審なアクティビティから除外します。

3. Excel スプレッドシートでアラートの詳細をダウンロードすると、アカウントの試行の一覧が、既存のアカウントと既存以外のアカウントに分かれて便利に表示されます。 スプレッドシートの既存以外のアカウント シートを見ると、アカウントが使い慣れているように見える場合は、会社を辞めたアカウントまたは従業員が無効になっている可能性があります。 この場合、辞書から試行が行われる可能性は低いです。 ほとんどの場合、Active Directory にまだ存在するアカウントを確認しているアプリケーションまたはスクリプトです。これは、問題のない真陽性であることを意味します。

4. 名前があまりなじみがない場合、推測の試行のいずれかが Active Directory の既存のアカウント名と一致しましたか? 一致しない場合、試行は無駄でしたが、時間の経過と同時に更新されるかどうかを確認するには、アラートに注意する必要があります。

5. 推測の試行のいずれかが既存のアカウント名と一致する場合、攻撃者は環境内にアカウントが存在することを認識し、ブルート フォースを使用して、検出されたユーザー名を使用してドメインにアクセスしようとします。 推測されたアカウント名で、追加の不審なアクティビティがないか確認します。 一致するアカウントのいずれかが機密性の高いアカウントであるかどうかを確認します。

修復

複雑で長いパスワード は、ブルートフォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

Directory Services クエリを使用した偵察

説明

ディレクトリ サービスの偵察は、攻撃の後の手順でディレクトリ構造とターゲット特権アカウントをマップするために、攻撃者によって使用されます。 Security Account Manager Remote (SAM-R) プロトコルは、ディレクトリのクエリを実行してこのようなマッピングを実行するために使用される方法の 1 つです。

この検出では、ATA がデプロイされた後の最初の月にアラートはトリガーされません。 学習期間中、ATA では、SAM-R クエリが実行されるコンピューター (機密性の高いアカウントの列挙クエリと個々のクエリの両方) がプロファイルされます。

調査

1. アラートを選択して詳細ページに移動します。 実行されたクエリ (エンタープライズ管理者、管理者など) と、クエリが成功したかどうかを確認します。

2. このようなクエリは、問題のソース コンピューターから行う必要がありますか?

3. はい、アラートが更新された場合 は 、疑わしいアクティビティを抑制します。

4. はい、もう実行しない場合は、疑わしいアクティビティを 閉じます 。

5. 関連するアカウントに関する情報がある場合:そのようなクエリは、そのアカウントによって行われるか、そのアカウントは通常、ソース コンピューターにサインインしますか?

   • はい、アラートが更新された場合 は 、疑わしいアクティビティを抑制します。

   • はい、もう実行しない場合は、疑わしいアクティビティを 閉じます 。

   • 上記のすべてに対する回答がいいえだった場合は、これが悪意があると仮定します。

6. 関連したアカウントに関する情報がない場合は、エンドポイントに移動し、アラートの時点でログインしたアカウントをチェックできます。

修復

1. コンピューターが脆弱性スキャン ツールを実行していますか?
2. 攻撃でクエリされた特定のユーザーとグループが特権アカウントか高価値アカウントかを調査します (つまり、CEO、CFO、IT 管理など)。 その場合は、エンドポイント上の他のアクティビティも確認し、クエリを実行したアカウントがログインしているコンピューターを監視します。これは、おそらく横移動のターゲットであるためです。

DNS を使用した偵察

説明

DNS サーバーには、ネットワーク内のすべてのコンピューター、IP アドレス、およびサービスのマップが含まれています。 この情報は、攻撃者がネットワーク構造をマップし、攻撃の後の手順で興味深いコンピューターをターゲットにするために使用されます。

DNS プロトコルには、いくつかのクエリの種類があります。 ATA は、DNS 以外のサーバーから発信される AXFR (転送) 要求を検出します。

調査

1. ソース マシン (送信元...) は DNS サーバーですか? はいの場合、これはおそらく誤検知です。 検証するには、アラートを選択して詳細ページに移動します。 テーブルの [クエリ] で、クエリされたドメインをチェックします。 これらは既存のドメインですか? はいの場合は、疑わしいアクティビティを 閉じます (誤検知です)。 また、将来の誤検知を防ぐために、ATA ゲートウェイとソース コンピューターの間で UDP ポート 53 が開いていることを確認します。
2. ソース マシンはセキュリティ スキャナーを実行していますか? [はい] の場合は、ATA 内のエンティティを 直接[閉じて除外] で除外 するか、[ 除外 ] ページ ( [構成 ] の下にある ATA 管理者が使用できます) を使用して除外します。
3. 上記のすべての質問に対する回答が [いいえ] の場合は、ソース コンピューターに焦点を当てて調査を続けます。 ソース コンピューターを選択して、そのプロファイル ページに移動します。 要求の時間の前後に何が起こったかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。

修復

DNS を使用した偵察が発生しないように内部 DNS サーバーをセキュリティで保護するには、ゾーン転送を無効にするか、指定された IP アドレスのみに制限します。 ゾーン転送の制限の詳細については、「ゾーン転送の 制限」を参照してください。 ゾーン転送の変更は、 内部攻撃と外部攻撃の両方から DNS サーバーをセキュリティで保護するために対処する必要があるチェックリストの 1 つのタスクです。

SMB セッション列挙型を使用した偵察

説明

サーバー メッセージ ブロック (SMB) 列挙を使用すると、攻撃者はユーザーが最近ログオンした場所に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を横方向に移動して、特定の機密性の高いアカウントに移動できます。

この検出では、ドメイン コントローラーに対して SMB セッション列挙が実行されると、アラートがトリガーされます。

調査

1. アラートを選択して詳細ページに移動します。 操作を実行したアカウントと、公開されたアカウント (存在する場合) を確認します。

   • ソース コンピューターで何らかの種類のセキュリティ スキャナーが実行されていますか? [はい] の場合は、疑わしいアクティビティを 閉じて除外 します。

2. 操作を実行した関連ユーザーを確認します。 通常、ソース コンピューターにログインしますか、それともそのような操作を実行する必要がある管理者ですか?

3. はい、アラートが更新された場合 は 、疑わしいアクティビティを抑制します。

4. はい、更新されない場合は、疑わしいアクティビティを 閉じます 。

5. 上記のすべてに対する回答がいいえの場合は、アクティビティが悪意があると仮定します。

修復

1. ソース コンピューターを含みます。
2. 攻撃を実行したツールを見つけて削除します。

リモート実行の試行が検出されました

説明

管理者の資格情報を侵害したり、0 日間の悪用を使用したりする攻撃者は、ドメイン コントローラーでリモート コマンドを実行できます。 これは、永続化、情報の収集、サービス拒否 (DOS) 攻撃またはその他の理由で使用できます。 ATA は、PSexec 接続とリモート WMI 接続を検出します。

調査

1. これは、管理ワークステーションだけでなく、ドメイン コントローラーに対して管理タスクを実行する IT チーム メンバーとサービス アカウントに対しても一般的です。 この場合、同じ管理者またはコンピューターがタスクを実行しているためにアラートが更新される場合は、アラートを 抑制 します。
2. 問題のコンピューターは、ドメイン コントローラーに対してこのリモート実行を実行できますか?
   • 問題のアカウントは、ドメイン コントローラーに対してこのリモート実行を実行できますか?
   • 両方の質問に対する回答が [はい] の場合は、アラートを 閉じます 。
3. いずれかの質問に対する回答が [いいえ] の場合、このアクティビティは真正と見なす必要があります。 コンピューターとアカウントのプロファイルを確認して、試行のソースを見つけてください。 ソース コンピューターまたはアカウントを選択して、そのプロファイル ページに移動します。 これらの試行の前後に何が起こったかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。

修復

1. 階層 0 以外のマシンからドメイン コントローラーへのリモート アクセスを制限します。

2. 管理者のドメイン コントローラーへの接続をセキュリティで強化されたマシンのみに許可する 特権アクセス を実装します。

アカウント資格情報を公開しているサービス & 公開される機密性の高いアカウント資格情報

注:

この疑わしいアクティビティは非推奨となり、1.9 より前の ATA バージョンでのみ表示されます。 ATA 1.9 以降については、「 レポート」を参照してください。

説明

一部のサービスでは、アカウント資格情報がプレーン テキストで送信されます。 これは、機密性の高いアカウントでも発生する可能性があります。 ネットワーク トラフィックを監視する攻撃者は、悪意のある目的でこれらの資格情報をキャッチして再利用できます。 機密アカウントのクリア テキスト パスワードはアラートをトリガーしますが、機密でないアカウントの場合は、5 つ以上の異なるアカウントが同じソース コンピューターからクリア テキスト パスワードを送信するとアラートがトリガーされます。

調査

アラートを選択して詳細ページに移動します。 公開されたアカウントを確認します。 このようなアカウントが多数ある場合は、[ 詳細のダウンロード ] を選択して、Excel スプレッドシートの一覧を表示します。

通常、LDAP 簡易バインドを使用するソース コンピューターには、スクリプトまたはレガシ アプリケーションがあります。

修復

ソース コンピューターの構成を確認し、LDAP 簡易バインドを使用しないことを確認します。 LDAP 単純バインドを使用する代わりに、LDAP SALS または LDAPS を使用できます。

疑わしい認証エラー

説明

ブルートフォース攻撃では、攻撃者は、少なくとも 1 つのアカウントに対して正しいパスワードが見つかるまで、さまざまなアカウントの多くの異なるパスワードで認証を試みます。 検出されると、攻撃者はそのアカウントを使用してサインインできます。

この検出では、Kerberos または NTLM を使用して多数の認証エラーが発生したときにアラートがトリガーされます。これは、多くのユーザー間でパスワードのセットが小さい場合に水平方向に発生する可能性があります。または、少数のユーザーに大きなパスワードセットを使用して垂直方向に。またはこれら 2 つのオプションの任意の組み合わせ。 アラートがトリガーされるまでの最小期間は 1 週間です。

調査

1. [ 詳細のダウンロード ] を選択して、Excel スプレッドシートの完全な情報を表示します。 次の情報を取得できます。
   • 攻撃されたアカウントの一覧
   • ログイン試行が成功した認証で終了した推測アカウントの一覧
   • NTLM を使用して認証試行が実行された場合は、関連するイベント アクティビティが表示されます
   • Kerberos を使用して認証試行が実行された場合は、関連するネットワーク アクティビティが表示されます
2. ソース コンピューターを選択して、そのプロファイル ページに移動します。 これらの試行の前後に何が起こったかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。
3. NTLM を使用して認証が実行され、アラートが何度も発生し、ソース マシンがアクセスしようとしたサーバーに関する十分な情報がない場合は、関連するドメイン コントローラーで NTLM 監査を 有効にする必要があります。 これを行うには、イベント 8004 を有効にします。 これは、ソース コンピューター、ユーザー アカウント、およびソース コンピューターがアクセスしようとした サーバー に関する情報を含む NTLM 認証イベントです。 認証検証を送信したサーバーがわかったら、4624 などのイベントを確認してサーバーを調査し、認証プロセスを理解する必要があります。

修復

複雑で長いパスワード は、ブルートフォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

疑わしいサービスの作成

説明

攻撃者は、ネットワーク上で疑わしいサービスを実行しようとします。 ATA は、疑わしいと思われる新しいサービスがドメイン コントローラーに作成されたときにアラートを生成します。 このアラートはイベント 7045 に依存しており、ATA ゲートウェイまたはライトウェイト ゲートウェイでカバーされている各ドメイン コントローラーから検出されます。

調査

1. 問題のコンピューターが管理ワークステーションである場合、または IT チーム メンバーとサービス アカウントが管理タスクを実行するコンピューターである場合、これは誤検知である可能性があり、アラートを 抑制 し、必要に応じて除外リストに追加する必要があります。

2. サービスは、このコンピューターで認識できるものですか?

   • 問題の アカウント は、このサービスのインストールを許可されていますか?

   • 両方の質問に対する回答が [はい] の場合は、アラートを 閉じる か、[除外] リストに追加します。

3. いずれかの質問に対する回答が いいえの場合、これは真正と見なす必要があります。

修復

• ドメイン マシンに対して特権の低いアクセス権を実装して、特定のユーザーのみが新しいサービスを作成する権限を許可します。

異常行動に基づく個人情報盗難の疑い

説明

ATA は、3 週間のスライディング期間におけるユーザー、コンピューター、リソースのエンティティの動作を学習します。 動作モデルは、エンティティがログインしたマシン、エンティティがアクセスを要求したリソース、およびこれらの操作が実行された時間というアクティビティに基づいています。 ATA は、機械学習アルゴリズムに基づいてエンティティの動作から逸脱した場合にアラートを送信します。

調査

1. 問題のユーザーは、これらの操作を実行しているはずですか?

2. 次のケースを誤検知の可能性があるとします。休暇から戻ったユーザー、職務の一部として過剰なアクセスを実行する IT 担当者 (たとえば、特定の日または週のヘルプ デスク サポートの急増)、リモート デスクトップ アプリケーション。+ アラートを 閉じて除外 すると、ユーザーは検出の一部ではなくなります。

修復

この異常な動作が発生した原因に応じて、さまざまなアクションを実行する必要があります。 たとえば、ネットワークがスキャンされた場合は、(承認されていない限り) ソース マシンをネットワークからブロックする必要があります。

通常とは異なるプロトコルの実装

説明

攻撃者は、さまざまなプロトコル (SMB、Kerberos、NTLM) を標準以外の方法で実装するツールを使用します。 この種類のネットワーク トラフィックは警告なしで Windows で受け入れられますが、ATA は潜在的な悪意を認識できます。 この動作は、Over-Pass-the-Hash などの手法と、WannaCry などの高度なランサムウェアによって使用される悪用を示しています。

調査

異常なプロトコルを特定する – 不審なアクティビティのタイム ラインから、疑わしいアクティビティを選択して詳細ページにアクセスします。プロトコルは、Kerberos または NTLM という矢印の上に表示されます。

• Kerberos: 多くの場合、Mimikatz などのハッキング ツールが Overpass-the-Hash 攻撃を使用した可能性がある場合にトリガーされます。 ソース コンピューターが、Kerberos RFC に準拠していない独自の Kerberos スタックを実装するアプリケーションを実行しているかどうかを確認します。 その場合、それは良性の真陽性であり、アラートは Closed にすることができます。 アラートが引き続きトリガーされ、引き続き発生する場合は、アラートを 抑制 できます。

• NTLM: WannaCry または Metasploit、Medusa、イドラなどのツールのいずれかです。

アクティビティが WannaCry 攻撃であるかどうかを判断するには、次の手順を実行します。

1. ソース コンピューターが Metasploit、Medusa、イドラなどの攻撃ツールを実行しているかどうかを確認します。

2. 攻撃ツールが見つからない場合は、ソース コンピューターが独自の NTLM または SMB スタックを実装するアプリケーションを実行しているかどうかをチェックします。

3. そうでない場合は、WannaCry スキャナー スクリプトを実行することによって WannaCry が原因で発生した場合はチェックします。たとえば、不審なアクティビティに関係するソース コンピューターに対してこのスキャナーを実行します。 スキャナーでコンピューターが感染または脆弱であると検出された場合は、コンピューターにパッチを適用し、マルウェアを削除してネットワークからブロックします。

4. スクリプトでコンピューターが感染または脆弱であることが検出されなかった場合でも、感染している可能性がありますが、SMBv1 が無効になっているか、コンピューターにパッチが適用されている可能性があります。これはスキャン ツールに影響します。

修復

すべてのマシンに最新のパッチを適用し、すべてのセキュリティ更新プログラムが適用チェック。

1. SMBv1 を無効にする

2. WannaCry を削除する

3. 一部の身代金ソフトウェアの制御内のデータは、復号化される場合があります。 暗号化解除は、ユーザーがコンピューターを再起動またはオフにしていない場合にのみ可能です。 詳細については、「ランサムウェアを泣かせたい」を参照してください。

注:

疑わしいアクティビティ アラートを無効にするには、サポートにお問い合わせください。

関連項目

• ATA 不審なアクティビティプレイブック
• ATA フォーラムをご覧ください。
• 疑わしいアクティビティの操作