기타 보안 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 대한 액세스 권한을 얻을 때까지 신속하게 횡적으로 이동합니다. 중요한 자산은 중요한 계정, 도메인 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity 전체 공격 킬 체인 전체에서 소스에서 이러한 고급 위협을 식별하고 다음 단계로 분류합니다.
구조 및 모든 Defender for Identity 보안 경고의 일반적인 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
다음 보안 경고는 네트워크에서 Defender for Identity에서 검색한 기타 단계 의심스러운 활동을 식별하고 수정하는 데 도움이 됩니다.
의심되는 DCShadow 공격(도메인 컨트롤러 승격)(외부 ID 2028)
이전 이름: 의심스러운 도메인 컨트롤러 승격(잠재적 DCShadow 공격)
심각도: 높음
설명:
DCShadow(도메인 컨트롤러 그림자) 공격은 악의적인 복제를 사용하여 디렉터리 개체를 변경하도록 설계된 공격입니다. 이 공격은 복제 프로세스를 사용하여 불법 도메인 컨트롤러를 만들어 모든 컴퓨터에서 수행할 수 있습니다.
DCShadow 공격에서 RPC 및 LDAP는 다음을 위해 사용됩니다.
- 컴퓨터 계정을 도메인 컨트롤러로 등록합니다(도메인 관리자 권한 사용).
- DRSUAPI에 대해 복제(부여된 복제 권한 사용)를 수행하고 디렉터리 개체에 변경 내용을 보냅니다.
이 Defender for Identity 검색에서는 네트워크의 컴퓨터가 불량 도메인 컨트롤러로 등록하려고 할 때 보안 경고가 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | Rogue 도메인 컨트롤러(T1207) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
다음 사용 권한의 유효성을 검사합니다.
- 디렉터리 변경 내용을 복제합니다.
- 디렉터리 변경 내용을 모두 복제합니다.
- 자세한 내용은 SharePoint Server 2013에서 프로필 동기화에 대한 Active Directory Domain Services 권한 부여를 참조하세요. AD ACL 스캐너를 사용하거나 Windows PowerShell 스크립트를 만들어 도메인에서 이러한 권한이 있는 사용자를 확인할 수 있습니다.
참고
의심스러운 도메인 컨트롤러 승격(잠재적 DCShadow 공격) 경고는 Defender for Identity 센서에서만 지원됩니다.
의심되는 DCShadow 공격(도메인 컨트롤러 복제 요청)(외부 ID 2029)
이전 이름: 의심스러운 복제 요청(잠재적 DCShadow 공격)
심각도: 높음
설명:
Active Directory 복제는 한 도메인 컨트롤러에서 수행된 변경 내용이 다른 도메인 컨트롤러와 동기화되는 프로세스입니다. 필요한 권한이 있는 경우 공격자는 컴퓨터 계정에 대한 권한을 부여하여 도메인 컨트롤러를 가장할 수 있습니다. 공격자는 악의적인 복제 요청을 시작하여 공격자가 도메인에서 지속성을 제공할 수 있는 정품 도메인 컨트롤러에서 Active Directory 개체를 변경할 수 있도록 합니다. 이 검색에서는 Defender for Identity로 보호되는 정품 도메인 컨트롤러에 대해 의심스러운 복제 요청이 생성될 때 경고가 트리거됩니다. 동작은 도메인 컨트롤러 섀도 공격에 사용되는 기술을 나타냅니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | Rogue 도메인 컨트롤러(T1207) |
| MITRE 공격 하위 기술 | 해당 없음 |
권장되는 수정 및 방지 단계:
다음 사용 권한의 유효성을 검사합니다.
- 디렉터리 변경 내용을 복제합니다.
- 디렉터리 변경 내용을 모두 복제합니다.
- 자세한 내용은 SharePoint Server 2013에서 프로필 동기화에 대한 Active Directory Domain Services 권한 부여를 참조하세요. AD ACL 스캐너를 사용하거나 Windows PowerShell 스크립트를 만들어 도메인에 이러한 권한이 있는 사용자를 확인할 수 있습니다.
참고
의심스러운 복제 요청(잠재적 DCShadow 공격) 경고는 Defender for Identity 센서에서만 지원됩니다.
의심스러운 VPN 연결(외부 ID 2025)
이전 이름: 의심스러운 VPN 연결
심각도: 보통
설명:
Defender for Identity는 1개월의 슬라이딩 기간 동안 사용자 VPN 연결에 대한 엔터티 동작을 알아봅니다.
VPN 동작 모델은 사용자가 로그인하는 컴퓨터와 사용자가 연결하는 위치를 기반으로 합니다.
기계 학습 알고리즘을 기반으로 하는 사용자의 동작과 편차가 있을 때 경고가 열립니다.
학습 기간:
첫 번째 VPN 연결로부터 30일, 사용자당 지난 30일 동안 5개 이상의 VPN 연결
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 지속성(TA0003) |
| MITRE 공격 기술 | 외부 원격 서비스(T1133) |
| MITRE 공격 하위 기술 | 해당 없음 |
원격 코드 실행 시도(외부 ID 2019)
이전 이름: 원격 코드 실행 시도
심각도: 보통
설명:
관리자 자격 증명을 손상시키거나 제로 데이 익스플로잇을 사용하는 공격자는 도메인 컨트롤러 또는 AD FS/AD CS 서버에서 원격 명령을 실행할 수 있습니다. 지속성 확보, 정보 수집, DOS(서비스 거부) 공격 또는 기타 이유로 사용할 수 있습니다. Defender for Identity는 PSexec, 원격 WMI 및 PowerShell 연결을 검색합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 실행(TA0002) |
|---|---|
| 보조 MITRE 전술 | 횡적 이동(TA0008) |
| MITRE 공격 기술 | 명령 및 스크립팅 인터프리터(T1059),원격 서비스(T1021) |
| MITRE 공격 하위 기술 | PowerShell(T1059.001), Windows 원격 관리(T1021.006) |
예방을 위한 제안된 단계:
- 비계층 0 컴퓨터에서 도메인 컨트롤러에 대한 원격 액세스를 제한합니다.
- 권한 있는 액세스를 구현하여 강화된 컴퓨터만 관리자용 도메인 컨트롤러에 연결할 수 있도록 합니다.
- 특정 사용자가 서비스를 만들 수 있는 권한을 허용하도록 도메인 머신에 대한 권한이 낮은 액세스를 구현합니다.
참고
Powershell 명령의 사용 시도에 대한 원격 코드 실행 시도 경고는 Defender for Identity 센서에서만 지원됩니다.
의심스러운 서비스 만들기(외부 ID 2026)
이전 이름: 의심스러운 서비스 만들기
심각도: 보통
설명:
organization 도메인 컨트롤러 또는 AD FS/AD CS 서버에 의심스러운 서비스가 생성되었습니다. 이 경고는 이벤트 7045를 사용하여 이 의심스러운 활동을 식별합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 실행(TA0002) |
|---|---|
| 보조 MITRE 전술 | 지속성(TA0003), 권한 상승(TA0004), 방어 회피(TA0005), 횡적 이동(TA0008) |
| MITRE 공격 기술 | 원격 서비스(T1021), 명령 및 스크립팅 인터프리터(T1059), System Services(T1569), 시스템 프로세스 만들기 또는 수정(T1543) |
| MITRE 공격 하위 기술 | 서비스 실행(T1569.002), Windows 서비스(T1543.003) |
예방을 위한 제안된 단계:
- 비계층 0 컴퓨터에서 도메인 컨트롤러에 대한 원격 액세스를 제한합니다.
- 강화 된 컴퓨터만 관리자용 도메인 컨트롤러에 연결할 수 있도록 권한 있는 액세스를 구현합니다.
- 특정 사용자에게만 서비스를 만들 수 있는 권한을 부여하기 위해 도메인 머신에 대한 권한이 낮은 액세스를 구현합니다.
DNS를 통한 의심스러운 통신(외부 ID 2031)
이전 이름: DNS를 통한 의심스러운 통신
심각도: 보통
설명:
대부분의 조직의 DNS 프로토콜은 일반적으로 모니터링되지 않으며 악의적인 활동에 대해 거의 차단되지 않습니다. 손상된 컴퓨터에서 공격자가 DNS 프로토콜을 남용할 수 있도록 합니다. DNS를 통한 악의적인 통신은 데이터 반출, 명령 및 제어 및/또는 회사 네트워크 제한을 회피하는 데 사용할 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 반출(TA0010) |
|---|---|
| MITRE 공격 기술 | 대체 프로토콜을 통한 반출(T1048), C2 채널을 통한 반출(T1041), 예약된 전송(T1029), 자동화된 반출(T1020), 애플리케이션 계층 프로토콜(T1071) |
| MITRE 공격 하위 기술 | DNS(T1071.004), 암호화 되지 않음/난독 처리를 통한 반출 C2 프로토콜(T1048.003) |
SMB를 통한 데이터 반출(외부 ID 2030)
심각도: 높음
설명:
도메인 컨트롤러는 가장 중요한 조직 데이터를 보유합니다. 대부분의 공격자의 경우 가장 중요한 데이터를 도용하기 위해 도메인 컨트롤러 액세스 권한을 얻는 것이 최우선 과제 중 하나입니다. 예를 들어 DC에 저장된 Ntds.dit 파일을 반출하면 공격자가 모든 리소스에 대한 권한 부여를 제공하는 TGT(티켓)를 Kerberos 티켓으로 위조할 수 있습니다. 위조된 Kerberos TGT를 사용하면 공격자가 티켓 만료를 임의의 시간으로 설정할 수 있습니다. 모니터링되는 도메인 컨트롤러에서 의심스러운 데이터 전송이 관찰되면 SMB 경고에 대한 Defender for Identity 데이터 반출 이 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 반출(TA0010) |
|---|---|
| 보조 MITRE 전술 | 횡적 이동(TA0008),명령 및 제어(TA0011) |
| MITRE 공격 기술 | 대체 프로토콜을 통한 반출(T1048), 횡적 도구 전송(T1570) |
| MITRE 공격 하위 기술 | 암호화되지 않음/난독 처리를 통한 반출 비 C2 프로토콜(T1048.003) |
인증서 데이터베이스 항목의 의심스러운 삭제(외부 ID 2433)
심각도: 보통
설명:
인증서 데이터베이스 항목 삭제는 잠재적인 악의적인 활동을 나타내는 빨간색 플래그입니다. 이 공격은 PKI(공개 키 인프라) 시스템의 작동을 방해하여 인증 및 데이터 무결성에 영향을 미칠 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | 표시기 제거(T1070) |
| MITRE 공격 하위 기술 | 해당 없음 |
참고
인증서 데이터베이스 항목 경고의 의심스러운 삭제는 AD CS의 Defender for Identity 센서에서만 지원됩니다.
AD CS 감사 필터의 의심스러운 사용 안 함(외부 ID 2434)
심각도: 보통
설명:
AD CS에서 감사 필터를 사용하지 않도록 설정하면 공격자가 검색되지 않고 작동할 수 있습니다. 이 공격은 의심스러운 활동에 플래그를 지정하는 필터를 사용하지 않도록 설정하여 보안 모니터링을 회피하는 것을 목표로 합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | 방어 장애(T1562) |
| MITRE 공격 하위 기술 | Windows 이벤트 로깅 사용 안 함(T1562.002) |
디렉터리 서비스 복원 모드 암호 변경(외부 ID 2438)
심각도: 보통
설명:
DSRM(디렉터리 서비스 복원 모드)은 관리자가 Active Directory 데이터베이스를 복구하거나 복원할 수 있는 Microsoft Windows Server 운영 체제의 특수 부팅 모드입니다. 이 모드는 일반적으로 Active Directory에 문제가 있고 일반 부팅이 불가능할 때 사용됩니다. DSRM 암호는 서버를 도메인 컨트롤러로 승격하는 동안 설정됩니다. 이 검색에서 Defender for Identity가 DSRM 암호가 변경된 것을 감지하면 경고가 트리거됩니다. DSRM 암호 변경이 합법적인 관리 작업에서 시작되었는지 또는 무단 액세스 또는 잠재적 보안 위협에 대한 우려가 발생하는지 이해하도록 요청한 원본 컴퓨터 및 사용자를 조사하는 것이 좋습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
가능한 Okta 세션 도난
심각도: 높음
설명:
세션 도난에서 공격자는 합법적인 사용자의 쿠키를 훔쳐 다른 위치에서 사용합니다. 작업을 수행하는 원본 IP를 조사하여 해당 작업이 합법적인지 여부와 사용자가 IP 주소를 사용하는지 여부를 확인하는 것이 좋습니다.
학습 기간:
2주
MITRE:
| 기본 MITRE 전술 | 컬렉션(TA0009) |
|---|---|
| MITRE 공격 기술 | 브라우저 세션 하이재킹(T1185) |
| MITRE 공격 하위 기술 | 해당 없음 |
그룹 정책 변조(외부 ID 2440)(미리 보기)
심각도: 보통
설명:
그룹 정책 의심스러운 변경이 감지되어 Windows Defender 바이러스 백신 비활성화되었습니다. 이 활동은 랜섬웨어 배포 단계를 설정할 수 있는 높은 권한을 가진 공격자가 보안 위반을 나타낼 수 있습니다.
제안된 조사 단계:
GPO 변경이 합법적인지 이해
그렇지 않은 경우 변경 되돌리기
그룹 정책이 연결된 방식을 이해하여 영향 scope 예측합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | 트러스트 컨트롤 전복(T1553) |
| MITRE 공격 기술 | 트러스트 컨트롤 전복(T1553) |
| MITRE 공격 하위 기술 | 해당 없음 |