偵察と検出アラート
通常、サイバー攻撃は、アクセス可能なエンティティ (低特権ユーザーなど) に対して起動され、攻撃者が貴重な資産にアクセスできるようになるまで迅速に横方向に移動します。 重要な資産には、機密性の高いアカウント、ドメイン管理者、または機密性の高いデータなどがあります。 Microsoft Defender for Identityは、攻撃キル チェーン全体を通じてソースでこれらの高度な脅威を特定し、それらを次のフェーズに分類します。
すべての Defender for Identity セキュリティ アラートの構造と一般的なコンポーネントを理解する方法の詳細については、「 セキュリティ アラートについて」を参照してください。 真陽性 (TP)、良性真陽性 (B-TP)、偽陽性 (FP) の詳細については、「セキュリティ アラートの分類」を参照してください。
次のセキュリティ アラートは、ネットワーク内の Defender for Identity によって検出された 偵察と検出 フェーズの疑わしいアクティビティを特定して修復するのに役立ちます。
偵察と検出は、敵対者がシステムと内部ネットワークに関する知識を得るために使用できる手法で構成されています。 これらの手法は、敵対者が環境を観察し、行動する方法を決定する前に自分自身を向けるのに役立ちます。また、敵対者は、自分が制御できる内容とエントリ ポイントの周囲の内容を調べて、現在の目的にどのようにメリットがあるかを調べることができます。 ネイティブ オペレーティング システム ツールは、多くの場合、この侵害後の情報収集の目的に向けて使用されます。 Microsoft Defender for Identityでは、これらのアラートには通常、さまざまな手法を使用した内部アカウント列挙が含まれます。
アカウント列挙偵察 (外部 ID 2003)
前の名前: アカウント列挙を使用した偵察
重要度: 中
説明:
アカウント列挙偵察では、攻撃者は何千ものユーザー名を持つ辞書、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測します。
Kerberos: 攻撃者はこれらの名前を使用して Kerberos 要求を行い、ドメイン内の有効なユーザー名を検索しようとします。 推測によってユーザー名が正常に決定されると、攻撃者はセキュリティ プリンシパル不明の Kerberos エラーの代わりに必要な事前認証を取得します。
NTLM: 攻撃者は、ドメイン内の有効なユーザー名を見つけるために、名前の辞書を使用して NTLM 認証要求を行います。 推測でユーザー名が正常に特定された場合、攻撃者は NoSuchUser (0xc0000064) NTLM エラーではなく、WrongPassword (0xc000006a) を取得します。
このアラート検出では、Defender for Identity は、アカウント列挙攻撃の発生元、推測試行の合計数、一致した試行回数を検出します。 不明なユーザーが多すぎる場合は、Defender for Identity によって疑わしいアクティビティとして検出されます。 このアラートは、ドメイン コントローラーと AD FS/AD CS サーバーで実行されているセンサーからの認証イベントに基づいています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002) |
予防のための推奨される手順:
- organizationに複雑なパスワードと長いパスワードを適用します。 複雑で長いパスワードは、ブルートフォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。 ブルート フォース攻撃は、通常、列挙に続くサイバー攻撃キル チェーンの次の手順です。
アカウント列挙偵察 (LDAP) (外部 ID 2437) (プレビュー)
重要度: 中
説明:
アカウント列挙偵察では、攻撃者は何千ものユーザー名を持つディクショナリ、または Ldapnomnom などのツールを使用して、ドメイン内のユーザー名を推測します。
LDAP: 攻撃者は、これらの名前を使用して LDAP Ping 要求 (cLDAP) を行い、ドメイン内の有効なユーザー名を検索しようとします。 推測によってユーザー名が正常に決定された場合、攻撃者はユーザーがドメインに存在することを示す応答を受け取る可能性があります。
このアラート検出では、Defender for Identity は、アカウント列挙攻撃の発生元、推測試行の合計数、一致した試行回数を検出します。 不明なユーザーが多すぎる場合は、Defender for Identity によって疑わしいアクティビティとして検出されます。 このアラートは、ドメイン コントローラー サーバーで実行されているセンサーからの LDAP 検索アクティビティに基づいています。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002) |
ネットワーク マッピング偵察 (DNS) (外部 ID 2007)
前の名前: DNS を使用した偵察
重要度: 中
説明:
DNS サーバーには、ネットワーク内のすべてのコンピューター、IP アドレス、およびサービスのマップが含まれています。 この情報は、攻撃者がネットワーク構造をマップし、攻撃の後の手順で興味深いコンピューターをターゲットにするために使用されます。
DNS プロトコルには、いくつかのクエリの種類があります。 この Defender for Identity セキュリティ アラートは、疑わしい要求 (DNS 以外のサーバーから発信される AXFR (転送) を使用した要求、または過剰な数の要求を使用する要求のいずれか) を検出します。
学習期間:
このアラートには、ドメイン コントローラーの監視の開始から 8 日間の学習期間があります。
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、 ネットワーク サービス スキャン (T1046)、 リモート システム検出 (T1018) |
| MITRE 攻撃サブテクニック | 該当なし |
予防のための推奨される手順:
内部 DNS サーバーをセキュリティで保護することで、AXFR クエリを使用して将来の攻撃を防ぐことが重要です。
- ゾーン転送を無効にするか、ゾーン転送を指定された IP アドレスのみに制限することで、DNS を使用した偵察を防ぐために、内部 DNS サーバー を セキュリティで保護します。 ゾーン転送の変更は、 内部攻撃と外部攻撃の両方から DNS サーバーをセキュリティで保護するために対処する必要があるチェックリストの 1 つのタスクです。
ユーザーと IP アドレス偵察 (SMB) (外部 ID 2012)
前の名前: SMB セッション列挙を使用した偵察
重要度: 中
説明:
サーバー メッセージ ブロック (SMB) プロトコルを使用した列挙により、攻撃者はユーザーが最近ログオンした場所に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を横方向に移動して、特定の機密性の高いアカウントに移動できます。
この検出では、ドメイン コントローラーに対して SMB セッション列挙が実行されると、アラートがトリガーされます。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、システム ネットワーク Connections検出 (T1049) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002) |
ユーザーおよびグループ メンバーシップ偵察 (SAMR) (外部 ID 2021)
前の名前: ディレクトリ サービス クエリを使用した偵察
重要度: 中
説明:
ユーザーおよびグループ メンバーシップの偵察は、攻撃の後の手順でディレクトリ構造とターゲット特権アカウントをマップするために攻撃者によって使用されます。 Security Account Manager Remote (SAM-R) プロトコルは、ディレクトリのクエリを実行してこの種類のマッピングを実行するために使用される方法の 1 つです。 この検出では、Defender for Identity がデプロイされた後の最初の月 (学習期間) にアラートはトリガーされません。 学習期間中、Defender for Identity プロファイルでは、SAM-R クエリがどのコンピューターから作成され、機密性の高いアカウントの列挙クエリと個々のクエリの両方が実行されます。
学習期間:
特定の DC に対する SAMR の最初のネットワーク アクティビティから始まるドメイン コントローラーあたり 4 週間。
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、アクセス許可グループ検出 (T1069) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002)、 ドメイン グループ (T1069.002) |
予防のための推奨される手順:
- ネットワーク アクセスを適用し、SAM グループ ポリシーへのリモート呼び出しを許可するクライアントを制限します。
Active Directory 属性偵察 (LDAP) (外部 ID 2210)
重要度: 中
説明:
Active Directory LDAP 偵察は、ドメイン環境に関する重要な情報を取得するために攻撃者によって使用されます。 この情報は、攻撃者がドメイン構造をマップし、攻撃キル チェーンの後の手順で使用する特権アカウントを特定するのに役立ちます。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory を照会するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087)、間接コマンド実行 (T1202)、アクセス許可グループ検出 (T1069) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002)、ドメイン グループ (T1069.002) |
SAM-R 経由で Honeytoken がクエリされました (外部 ID 2439)
重要度: 低
説明:
ユーザー偵察は、攻撃の後の手順でディレクトリ構造とターゲット特権アカウントをマップするために、攻撃者によって使用されます。 Security Account Manager Remote (SAM-R) プロトコルは、ディレクトリのクエリを実行してこの種類のマッピングを実行するために使用される方法の 1 つです。 この検出では、Microsoft Defender for Identityは、事前に構成された honeytoken ユーザーに対する偵察アクティビティに対してこのアラートをトリガーします
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002) |
Honeytoken が LDAP 経由でクエリされました (外部 ID 2429)
重要度: 低
説明:
ユーザー偵察は、攻撃の後の手順でディレクトリ構造とターゲット特権アカウントをマップするために、攻撃者によって使用されます。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory を照会するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。
この検出では、Microsoft Defender for Identityは、事前に構成された honeytoken ユーザーに対する偵察アクティビティに対してこのアラートをトリガーします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 検出 (TA0007) |
|---|---|
| MITRE 攻撃手法 | アカウント検出 (T1087) |
| MITRE 攻撃サブテクニック | ドメイン アカウント (T1087.002) |
不審な Okta アカウント列挙
重大度: 高
説明:
アカウント列挙では、攻撃者は、organizationに属していないユーザーと共に Okta へのログインを実行することで、ユーザー名を推測しようとします。 失敗した試行を実行してソース IP に調査し、それらが正当であるかどうかを判断することをお勧めします。
学習期間:
なし
MITRE:
| MITRE の主要な戦術 | 初期アクセス (TA0001)、 防御回避 (TA0005)、 永続化 (TA0003)、 特権エスカレーション (TA0004) |
|---|---|
| MITRE 攻撃手法 | 有効なアカウント (T1078) |
| MITRE 攻撃サブテクニック | クラウド アカウント (T1078.004) |