その他のセキュリティ アラート
通常、サイバー攻撃は、アクセス可能なエンティティ (低特権ユーザーなど) に対して起動され、攻撃者が貴重な資産にアクセスできるようになるまで迅速に横方向に移動します。 重要な資産には、機密性の高いアカウント、ドメイン管理者、または機密性の高いデータなどがあります。 Microsoft Defender for Identityは、攻撃キル チェーン全体を通じてソースでこれらの高度な脅威を特定し、それらを次のフェーズに分類します。
すべての Defender for Identity セキュリティ アラートの構造と一般的なコンポーネントを理解する方法の詳細については、「 セキュリティ アラートについて」を参照してください。 真陽性 (TP)、良性真陽性 (B-TP)、偽陽性 (FP) の詳細については、「セキュリティ アラートの分類」を参照してください。
次のセキュリティ アラートは、ネットワーク内の Defender for Identity によって検出された その他 のフェーズの疑わしいアクティビティを特定して修復するのに役立ちます。
DCShadow 攻撃の疑い (ドメイン コントローラーの昇格) (外部 ID 2028)
前の名前: 疑わしいドメイン コントローラーの昇格 (DCShadow 攻撃の可能性)
重大度: 高
説明:
ドメイン コントローラー シャドウ (DCShadow) 攻撃は、悪意のあるレプリケーションを使用してディレクトリ オブジェクトを変更するように設計された攻撃です。 この攻撃は、複製処理を使用して不正なドメイン コントローラを作成することで、任意のコンピューターから実行することができます。
DCShadow 攻撃では、RPC と LDAP は次の用途に使用されます。
- マシン アカウントをドメイン コントローラーとして登録します (ドメイン管理者権限を使用)。
- DRSUAPI 経由で (付与されたレプリケーション権限を使用して) レプリケーションを実行し、ディレクトリ オブジェクトに変更を送信します。
この Defender for Identity 検出では、ネットワーク内のマシンが不正なドメイン コントローラーとして登録しようとすると、セキュリティ アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| MITRE 攻撃手法 | 不正ドメイン コントローラー (T1207) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
次のアクセス許可を検証します。
- ディレクトリの変更をレプリケートします。
- ディレクトリの変更をすべてレプリケートします。
- 詳細については、「SharePoint Server 2013 でプロファイル同期にActive Directory Domain Servicesアクセス許可を付与する」を参照してください。 AD ACL スキャナーを使用するか、Windows PowerShell スクリプトを作成して、ドメインでこれらのアクセス許可を持つユーザーを決定できます。
注:
疑わしいドメイン コントローラーの昇格 (DCShadow 攻撃の可能性) アラートは、Defender for Identity センサーでのみサポートされます。
DCShadow 攻撃の疑い (ドメイン コントローラーレプリケーション要求) (外部 ID 2029)
前の名前: 疑わしいレプリケーション要求 (DCShadow 攻撃の可能性)
重大度: 高
説明:
Active Directory レプリケーションは、1 つのドメイン コントローラーで行われた変更が他のドメイン コントローラーと同期されるプロセスです。 必要なアクセス許可が与えられると、攻撃者はコンピューター アカウントの権限を付与して、ドメイン コントローラーを偽装できます。 攻撃者は、悪意のあるレプリケーション要求を開始するよう努め、正規のドメイン コントローラー上の Active Directory オブジェクトを変更できるようにしています。これにより、攻撃者はドメイン内で永続化する可能性があります。 この検出では、Defender for Identity によって保護された正規のドメイン コントローラーに対して疑わしいレプリケーション要求が生成されると、アラートがトリガーされます。 この動作は、ドメイン コントローラーのシャドウ攻撃で使用される手法を示しています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| MITRE 攻撃手法 | 不正ドメイン コントローラー (T1207) |
| MITRE 攻撃サブテクニック | 該当なし |
推奨される修復と防止の手順:
次のアクセス許可を検証します。
- ディレクトリの変更をレプリケートします。
- ディレクトリの変更をすべてレプリケートします。
- 詳細については、「SharePoint Server 2013 でプロファイル同期にActive Directory Domain Servicesアクセス許可を付与する」を参照してください。 AD ACL スキャナーを使用するか、Windows PowerShell スクリプトを作成して、ドメイン内のユーザーがこれらのアクセス許可を持っているかを判断できます。
注:
疑わしいレプリケーション要求 (DCShadow 攻撃の可能性) アラートは、Defender for Identity センサーでのみサポートされます。
疑わしい VPN 接続 (外部 ID 2025)
前の名前: 疑わしい VPN 接続
重要度: 中
説明:
Defender for Identity は、1 か月間のスライディング期間におけるユーザー VPN 接続のエンティティ動作を学習します。
VPN 動作モデルは、ユーザーがログインするマシンと、ユーザーが接続する場所に基づいています。
機械学習アルゴリズムに基づいてユーザーの動作から逸脱した場合にアラートが開きます。
学習期間:
ユーザーごとに、最初の VPN 接続から 30 日、過去 30 日間に少なくとも 5 つの VPN 接続。
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| セカンダリ MITRE の戦術 | 永続化 (TA0003) |
| MITRE 攻撃手法 | 外部リモート サービス (T1133) |
| MITRE 攻撃サブテクニック | 該当なし |
リモート コード実行の試行 (外部 ID 2019)
前の名前: リモート コード実行の試行
重要度: 中
説明:
管理者の資格情報を侵害したり、ゼロデイエクスプロイトを使用したりする攻撃者は、ドメイン コントローラーまたは AD FS/AD CS サーバーでリモート コマンドを実行できます。 これは、永続化、情報の収集、サービス拒否 (DOS) 攻撃またはその他の理由で使用できます。 Defender for Identity は、PSexec、リモート WMI、PowerShell 接続を検出します。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 実行 (TA0002) |
|---|---|
| セカンダリ MITRE の戦術 | 横移動 (TA0008) |
| MITRE 攻撃手法 | コマンドおよびスクリプト インタープリター (T1059)、リモート サービス (T1021) |
| MITRE 攻撃サブテクニック | PowerShell (T1059.001)、 Windows リモート管理 (T1021.006) |
予防のための推奨される手順:
- 階層 0 以外のマシンからドメイン コントローラーへのリモート アクセスを制限します。
- 特権アクセスを実装し、強化されたマシンのみが管理者のドメイン コントローラーに接続できるようにします。
- 特定のユーザーがサービスを作成する権利を許可するように、ドメイン マシンに特権の低いアクセス権を実装します。
注:
Powershell コマンドの使用試行に関するリモート コード実行試行アラートは、Defender for Identity センサーでのみサポートされます。
疑わしいサービスの作成 (外部 ID 2026)
前の名前: 疑わしいサービスの作成
重要度: 中
説明:
疑わしいサービスが、organizationのドメイン コントローラーまたは AD FS/AD CS サーバーに作成されました。 このアラートは、イベント 7045 に依存して、この疑わしいアクティビティを識別します。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 実行 (TA0002) |
|---|---|
| セカンダリ MITRE の戦術 | 永続化 (TA0003)、 特権エスカレーション (TA0004)、 防御回避 (TA0005)、 横移動 (TA0008) |
| MITRE 攻撃手法 | リモート サービス (T1021)、 コマンドおよびスクリプト インタープリター (T1059)、 System Services (T1569)、 システム プロセスの作成または変更 (T1543) |
| MITRE 攻撃サブテクニック | サービスの実行 (T1569.002)、 Windows サービス (T1543.003) |
予防のための推奨される手順:
- 階層 0 以外のマシンからドメイン コントローラーへのリモート アクセスを制限します。
- 管理者のドメイン コントローラーへの接続をセキュリティで強化されたマシンのみに許可する 特権アクセス を実装します。
- ドメイン マシンに特権の低いアクセス権を実装して、特定のユーザーにのみサービスを作成する権限を付与します。
DNS 経由の疑わしい通信 (外部 ID 2031)
前の名前: DNS 経由の疑わしい通信
重要度: 中
説明:
ほとんどの組織の DNS プロトコルは通常、監視されず、悪意のあるアクティビティに対してブロックされることはほとんどありません。 侵害されたマシンで攻撃者が DNS プロトコルを悪用できるようにする。 DNS 経由の悪意のある通信は、データ流出、コマンド、制御、および企業ネットワークの制限を回避するために使用できます。
学習期間:
なし
MITRE:
SMB 上のデータ流出 (外部 ID 2030)
重大度: 高
説明:
ドメイン コントローラーは、最も機密性の高い組織データを保持します。 ほとんどの攻撃者にとって、最優先事項の 1 つは、最も機密性の高いデータを盗むために、ドメイン コントローラーへのアクセスを取得することです。 たとえば、DC に格納されている Ntds.dit ファイルを流出すると、攻撃者は任意のリソースに承認を提供するチケット (TGT) を付与する Kerberos チケットを偽造できます。 偽造された Kerberos TGT を使用すると、攻撃者はチケットの有効期限を任意の時刻に設定できます。 監視対象のドメイン コントローラーからデータの疑わしい転送が観察されると、DEFENDER for Identity Data exfiltration over SMB アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 流出 (TA0010) |
|---|---|
| セカンダリ MITRE の戦術 | 横移動 (TA0008)、コマンドとコントロール (TA0011) |
| MITRE 攻撃手法 | 代替プロトコル上の流出 (T1048)、 横ツール転送 (T1570) |
| MITRE 攻撃サブテクニック | 暗号化されていない/難読化された非 C2 プロトコル上の流出 (T1048.003) |
証明書データベース エントリの疑わしい削除 (外部 ID 2433)
重要度: 中
説明:
証明書データベース エントリの削除は、悪意のある可能性のあるアクティビティを示す赤いフラグです。 この攻撃により、公開キー 基盤 (PKI) システムの機能が中断され、認証とデータの整合性に影響を与える可能性があります。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| MITRE 攻撃手法 | インジケーターの削除 (T1070) |
| MITRE 攻撃サブテクニック | 該当なし |
注:
証明書データベース エントリ アラートの疑わしい削除は、AD CS 上の Defender for Identity センサーでのみサポートされます。
AD CS の監査フィルターの疑わしい無効化 (外部 ID 2434)
重要度: 中
説明:
AD CS で監査フィルターを無効にすると、攻撃者が検出されずに操作できるようになります。 この攻撃は、疑わしいアクティビティにフラグを設定するフィルターを無効にすることで、セキュリティ監視を回避することを目的としています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| MITRE 攻撃手法 | 防御を損なう (T1562) |
| MITRE 攻撃サブテクニック | Windows イベント ログを無効にする (T1562.002) |
Directory Services 復元モードのパスワード変更 (外部 ID 2438)
重要度: 中
説明:
Directory Services 復元モード (DSRM) は、管理者が Active Directory データベースを修復または復元できるようにする Microsoft Windows Server オペレーティング システムの特別なブート モードです。 このモードは、通常、Active Directory に問題があり、通常の起動が不可能な場合に使用されます。 DSRM パスワードは、サーバーをドメイン コントローラーに昇格する際に設定されます。 この検出では、Defender for Identity が DSRM パスワードが変更されたことを検出すると、アラートがトリガーされます。 ソース コンピューターと、DSRM パスワードの変更が正当な管理アクションから開始されたかどうか、または不正アクセスや潜在的なセキュリティ上の脅威に関する懸念が生じるかどうかを理解する要求を行ったユーザーを調査することをお勧めします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 永続化 (TA0003) |
|---|---|
| MITRE 攻撃手法 | アカウント操作 (T1098) |
| MITRE 攻撃サブテクニック | 該当なし |
Okta セッションの盗難の可能性
重大度: 高
説明:
セッションの盗難では、攻撃者は正当なユーザーの Cookie を盗み、他の場所から使用します。 操作を実行するソース IP を調査して、それらの操作が正当かどうか、および IP アドレスがユーザーによって使用されているかどうかを判断することをお勧めします。
学習期間:
2 週間
MITRE:
| MITRE の主要な戦術 | コレクション (TA0009) |
|---|---|
| MITRE 攻撃手法 | ブラウザー セッション乗っ取り (T1185) |
| MITRE 攻撃サブテクニック | 該当なし |
グループ ポリシー改ざん (外部 ID 2440) (プレビュー)
重要度: 中
説明:
グループ ポリシーで疑わしい変更が検出され、その結果、Windows Defender ウイルス対策が非アクティブ化されます。 このアクティビティは、ランサムウェアを配布するためのステージを設定する可能性がある管理者特権を持つ攻撃者によるセキュリティ違反を示している可能性があります。
調査に推奨される手順:
GPO の変更が正当であるかどうかを理解する
変更されなかった場合は、変更を元に戻します
グループ ポリシーがどのようにリンクされているかを理解し、影響の範囲を見積もる
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 防御回避 (TA0005) |
|---|---|
| MITRE 攻撃手法 | 信頼制御の転覆 (T1553) |
| MITRE 攻撃手法 | 信頼制御の転覆 (T1553) |
| MITRE 攻撃サブテクニック | 該当なし |