偵察と検出アラート
通常、サイバー攻撃は、権限の低いユーザーなど、アクセス可能なエンティティに対して開始され、攻撃者が貴重な資産にアクセスするまで、すばやく水平展開します。 重要なアセットには、機密性の高いアカウント、管理者メイン、機密性の高いデータがあります。 Microsoft Defender for Identity により、攻撃キル チェーン全体のソースでこのような高度な脅威が識別され、次のフェーズに分類されます。
すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントを理解する方法の詳細については、「セキュリティ アラートを理解する」を参照してください。 真陽性 (TP)、無害な真陽性 (B-TP)、および擬陽性 (FP) については、セキュリティ アラートの分類を参照してください。
次のセキュリティ アラートは、Defender for Identity によって検出された、ネットワークにおける偵察と検出フェーズの不審なアクティビティを識別し、修復するのに役立ちます。
偵察と検出は、システムと内部ネットワークに関する知識を取得するために攻撃者が使用する可能性のある手法です。 これらの手法は、どのように行動するか判断する前に環境を観察して状況を確認することで攻撃者にとって有用です。また、これを通して攻撃者は何を制御できるか、エントリ ポイントの周囲に何があるかを調べ、それが現在の目標にどのように役立つかを検出することができるようになります。 この侵害後の情報収集のために、オペレーティング システムのネイティブ ツールがよく使用されます。 Microsoft Defender for Identity では、これらのアラートには通常、さまざまな手法を使用した内部アカウントの列挙が含まれます。
アカウント列挙の偵察 (外部ID 2003)
以前の名前: アカウント列挙を使用した偵察
重大度: 中
説明:
アカウント列挙攻撃偵察では、攻撃者は何千ものユーザー名を持つディクショナリ、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測しようと試みます。
Kerberos: 攻撃者は、これらの名前を使用して Kerberos 要求を行い、ドメインで有効なユーザー名を見つけようとします。 推測によってユーザー名が正しく特定されると、攻撃者は セキュリティのプリンシパル不明 Kerberos エラーではなく、事前認証が必要 を取得します。
NTLM: 攻撃者は、名前のディクショナリを使用して NTLM 認証要求を行い、ドメインで有効なユーザー名を見つけようとします。 推測によってユーザー名が正しく特定された場合、攻撃者は NoSuchUser (0xc0000064) NTLM エラーの代わりに WrongPassword (0xc000006a) を取得します。
このアラート検出では、Defender for Identity によりアカウント列挙攻撃による偵察の出所、推測試行の合計数、合致した試行数が検出されます。 不明なユーザーが多すぎる場合、それは Defender for Identity により不審なアクティビティとして検出されます。 アラートは、ドメイン コントローラーおよび AD FS/AD CS のサーバーで実行されているセンサーからの認証イベントに基づいています。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウントの検出 (T1087) |
| MITRE 攻撃サブ手法 | ドメイン アカウント (T1087.002) |
防止するための推奨手順:
- 組織内では複雑で長いパスワードを徹底します。 複雑で長いパスワードは、ブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。 ブルート フォース攻撃は、通常、列挙に続くサイバー攻撃キル チェーンの次のステップです。
アカウント列挙攻撃の偵察 (LDAP) (外部 ID 2437) (プレビュー)
重大度: 中
説明:
アカウント列挙攻撃偵察では、攻撃者は何千ものユーザー名を持つディクショナリ、または Ldapnomnom などのツールを使用して、ドメイン内のユーザー名を推測しようと試みます。
LDAP: 攻撃者は、これらの名前を使用して LDAP Ping (cLDAP) 要求を行い、ドメインで有効なユーザー名を見つけようとします。 推測によってユーザー名が正しく特定された場合、攻撃者はユーザーがドメインに存在することを示すレスポンスを受け取る可能性があります。
このアラート検出では、Defender for Identity によりアカウント列挙攻撃による偵察の出所、推測試行の合計数、合致した試行数が検出されます。 不明なユーザーが多すぎる場合、それは Defender for Identity により不審なアクティビティとして検出されます。 アラートは、ドメイン コントローラー サーバーで実行されているセンサーからの LDAP 検索アクティビティに基づいています。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウントの検出 (T1087) |
| MITRE 攻撃サブ手法 | ドメイン アカウント (T1087.002) |
ネットワーク-マッピング偵察 (DNS) (外部 ID 2007)
依然の名前: DNS を使用した偵察
重大度: 中
説明:
DNS サーバーには、ネットワーク内のすべてのコンピューター、IP アドレス、およびサービスのマップが含まれています。 この情報は、攻撃者がネットワーク構造をマップし、攻撃の後の手順で目的のコンピューターをターゲットにするために使用されます。
DNS プロトコルには、いくつかのクエリの種類があります。 この Defender for Identity セキュリティ アラートにより、不審な要求が検出されます。DNS ではないサーバーから開始された AXFR (転送) を使用しているか、大量の要求を使用している要求のいずれかです。
ラーニング期間:
このアラートのラーニング期間は、ドメイン コントローラーの監視の開始時から 8 日間です。
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、ネットワーク サービス スキャン (T1046)、リモート システム検出 (T1018) |
| MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
内部 DNS サーバーをセキュリティで保護することで、AXFR クエリを使用して将来の攻撃を防ぐことが重要です。
- ゾーン転送を無効にするか、指定された IP アドレスのみにゾーン転送を制限することで、DNS を使用した偵察を防ぐために内部 DNS サーバーをセキュリティで保護します。 ゾーン転送の変更は、内部攻撃と外部攻撃の両方から DNS サーバーをセキュリティで保護するために対処する必要がある、チェックリストの 1 つのタスクです。
ユーザーと IP アドレスの偵察 (SMB) (外部 ID 2012)
以前の名前: SMB セッション 列挙を使用した偵察
重大度: 中
説明:
Server Message Block (SMB) プロトコルを使用した列挙により、攻撃者は最近ユーザーがログオンした場所に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を水平方向に移動して、特定の機密性の高いアカウントにアクセスします。
この検出では、ドメイン コントローラーに対して SMB セッション リストが実行された場合に、アラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、システム ネットワーク接続検出 (T1049) |
| MITRE 攻撃サブ手法 | ドメイン アカウント (T1087.002) |
ユーザーおよびグループ メンバーシップの偵察 (SAMR) (外部 ID 2021)
以前の名前: ディレクトリ サービス クエリを使用した偵察
重大度: 中
説明:
ユーザーとグループのメンバーシップの偵察は、攻撃者がディレクトリ構造をマップして攻撃のターゲットとする特権アカウントを見つけるのに使われます。 Security Account Manager Remote (SAM-R) プロトコルは、この種類のマッピングを実行するディレクトリにクエリを実行するために使用する手法の 1 つです。 この検出では、Defender for Identity がデプロイされてから最初の 1 か月間 (学習期間) は、アラートはトリガーされません。 学習期間中、Defender for Identity により、重要なアカウントの列挙と個別のクエリの両方について、どの SAM-R クエリがどのコンピューターから行われるかがプロファイリングされます。
ラーニング期間:
特定の DC に対する SAMR の最初のネットワーク アクティビティから開始して、ドメイン コントローラーごとに 4 週間。
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、アクセス許可グループの検出 (T1069) |
| MITRE 攻撃サブ手法 | ドメイン アカウント (T1087.002)、ドメイン グループ (T1069.002) |
防止するための推奨手順:
- ネットワーク アクセスを実施し、SAM グループ ポリシー へのリモート呼び出しを許可するクライアントを制限します。
Active Directory 属性偵察 (LDAP) (外部 ID 2210)
重大度: 中
説明:
Active Directory LDAP 偵察は、ドメイン環境に関する重要な情報を取得するために攻撃者によって使用されます。 この情報は攻撃者がドメイン構造をマップするため、そして攻撃キル チェーンの後の手順で使用する特権アカウントを識別するために役立ちます。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory にクエリを実行するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、間接コマンド実行 (T1202)、アクセス許可グループの検出 (T1069) |
| MITRE 攻撃サブ手法 | ドメイン アカウント (T1087.002)、ドメイン グループ (T1069.002) |
ハニートークンが SAM-R 経由でクエリされました (外部 ID 2439)
重大度: 低
説明:
ユーザーの偵察は、攻撃者がディレクトリ構造をマップして攻撃のターゲットとする権限アカウントを見つけるために使用されます。 Security Account Manager Remote (SAM-R) プロトコルは、この種類のマッピングを実行するディレクトリにクエリを実行するために使用する手法の 1 つです。 この検出では、Microsoft Defender for Identity によって、事前に構成された ハニートークン ユーザーに対する偵察アクティビティに対してこのアラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウントの検出 (T1087) |
| MITRE 攻撃サブ手法 | ドメイン アカウント (T1087.002) |
ハニートークンが LDAP 経由でクエリされました (外部 ID 2429)
重大度: 低
説明:
ユーザーの偵察は、攻撃者がディレクトリ構造をマップして攻撃のターゲットとする権限アカウントを見つけるために使用されます。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory にクエリを実行するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。
この検出では、Microsoft Defender for Identity によって、事前に構成された ハニートークン ユーザーに対する偵察アクティビティに対してこのアラートがトリガーされます。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウントの検出 (T1087) |
| MITRE 攻撃サブ手法 | ドメイン アカウント (T1087.002) |
疑わしい Okta アカウント列挙攻撃
重大度: 高
説明:
アカウント列挙攻撃では、攻撃者は組織に属していないユーザーで Okta へのログインを実行することにより、ユーザー名の推測を試みます。 失敗した試行を実行しているソース IP を調査して、それらが正当なものであるかどうかを判断することをお勧めします。
ラーニング期間:
なし
MITRE:
| MITRE の主要な戦術 | 初回アクセス (TA0001)、防御回避 (TA0005)、永続化 (TA0003)、特権エスカレーション (TA0004) |
|---|---|
| MITRE 攻撃手法 | 有効なアカウント (T1078) |
| MITRE 攻撃サブ手法 | クラウド アカウント (T1078.004) |