정찰 및 검색 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 대한 액세스 권한을 얻을 때까지 신속하게 횡적으로 이동합니다. 중요한 자산은 중요한 계정, 도메인 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity 전체 공격 킬 체인 전체에서 소스에서 이러한 고급 위협을 식별하고 다음 단계로 분류합니다.
- 정찰 및 검색
- 지속성 및 권한 에스컬레이션 경고
- 자격 증명 액세스 경고
- 횡적 이동 경고
- 기타 경고
구조 및 모든 Defender for Identity 보안 경고의 일반적인 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
다음 보안 경고는 네트워크에서 Defender for Identity에서 검색한 의심스러운 정찰 및 검색 단계 의심스러운 활동을 식별하고 수정하는 데 도움이 됩니다.
정찰 및 검색은 악의적 사용자가 시스템 및 내부 네트워크에 대한 지식을 습득하는 데 사용할 수 있는 기술로 구성됩니다. 이러한 기술은 악의적 사용자가 환경을 관찰하고 행동 방법을 결정하기 전에 자신을 지향하는 데 도움이 됩니다. 또한 악의적 사용자가 제어할 수 있는 항목과 진입점 주변의 내용을 탐색하여 현재 목표에 어떻게 도움이 될 수 있는지 알아볼 수 있습니다. 네이티브 운영 체제 도구는 종종 이 손상 후 정보 수집 목표에 사용됩니다. Microsoft Defender for Identity 이러한 경고에는 일반적으로 다양한 기술을 사용하는 내부 계정 열거형이 포함됩니다.
계정 열거 정찰(외부 ID 2003)
이전 이름: 계정 열거형을 사용한 정찰
심각도: 보통
설명:
계정 열거 정찰에서 공격자는 수천 명의 사용자 이름이 있는 사전이나 도메인의 사용자 이름을 추측하기 위해 KrbGuess와 같은 도구를 사용합니다.
Kerberos: 공격자는 이러한 이름을 사용하여 Kerberos 요청을 수행하여 도메인에서 유효한 사용자 이름을 찾습니다. 추측이 사용자 이름을 성공적으로 확인하면 공격자는 보안 주체 알 수 없는 Kerberos 오류 대신 필요한 사전 인증을 가져옵니다.
NTLM: 공격자는 이름 사전을 사용하여 도메인에서 유효한 사용자 이름을 찾기 위해 NTLM 인증 요청을 수행합니다. 추측에서 사용자 이름을 확인하는 경우 공격자는 NoSuchUser(0xc0000064) NTLM 오류 대신 WrongPassword(0xc000006a)를 가져옵니다.
이 경고 검색에서 Defender for Identity는 계정 열거 공격이 발생한 위치, 총 추측 시도 횟수 및 일치된 시도 수를 검색합니다. 알 수 없는 사용자가 너무 많은 경우 Defender for Identity는 의심스러운 활동으로 검색합니다. 경고는 도메인 컨트롤러 및 AD FS/AD CS 서버에서 실행되는 센서의 인증 이벤트를 기반으로 합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | 도메인 계정(T1087.002) |
예방을 위한 제안된 단계:
- organization 복잡하고 긴 암호를 적용합니다. 복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다. 무차별 암호 대입 공격은 일반적으로 열거형 다음 사이버 공격 킬 체인의 다음 단계입니다.
LDAP(계정 열거 정찰)(외부 ID 2437)(미리 보기)
심각도: 보통
설명:
계정 열거 정찰에서 공격자는 수천 명의 사용자 이름이 있는 사전이나 도메인의 사용자 이름을 추측하기 위해 Ldapnomnom과 같은 도구를 사용합니다.
LDAP: 공격자는 이러한 이름을 사용하여 LDAP Ping 요청(cLDAP)을 만들어 도메인에서 유효한 사용자 이름을 찾으려고 시도합니다. 추측이 사용자 이름을 성공적으로 결정하는 경우 공격자는 사용자가 도메인에 있음을 나타내는 응답을 받을 수 있습니다.
이 경고 검색에서 Defender for Identity는 계정 열거 공격이 발생한 위치, 총 추측 시도 횟수 및 일치된 시도 수를 검색합니다. 알 수 없는 사용자가 너무 많은 경우 Defender for Identity는 의심스러운 활동으로 검색합니다. 경고는 도메인 컨트롤러 서버에서 실행되는 센서의 LDAP 검색 활동을 기반으로 합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | 도메인 계정(T1087.002) |
DNS(네트워크 매핑 정찰)(외부 ID 2007)
이전 이름: DNS를 사용한 정찰
심각도: 보통
설명:
DNS 서버에는 네트워크의 모든 컴퓨터, IP 주소 및 서비스의 맵이 포함되어 있습니다. 이 정보는 공격자가 네트워크 구조를 매핑하고 공격의 이후 단계를 위해 흥미로운 컴퓨터를 대상으로 지정하는 데 사용됩니다.
DNS 프로토콜에는 여러 쿼리 형식이 있습니다. 이 Defender for Identity 보안 경고는 의심스러운 요청, DNS가 아닌 서버에서 시작된 AXFR(전송)을 사용하는 요청 또는 과도한 수의 요청을 사용하는 요청을 검색합니다.
학습 기간:
이 경고는 도메인 컨트롤러 모니터링 시작부터 8일의 학습 기간이 있습니다.
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), 네트워크 서비스 검사(T1046), 원격 시스템 검색(T1018) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
내부 DNS 서버를 보호하여 AXFR 쿼리를 사용하여 향후 공격을 방지하는 것이 중요합니다.
- 영역 전송을 사용하지 않도록 설정하거나 영역 전송을 지정된 IP 주소로만 제한하여 DNS를 사용한 정찰을 방지하기 위해 내부 DNS 서버를 보호합니다. 영역 전송 수정은 내부 및 외부 공격으로부터 DNS 서버를 보호하기 위해 해결해야 하는 검사 목록 중 하나의 작업입니다.
사용자 및 IP 주소 정찰(SMB)(외부 ID 2012)
이전 이름: SMB 세션 열거형을 사용한 정찰
심각도: 보통
설명:
SMB(서버 메시지 블록) 프로토콜을 사용하여 열거하면 공격자가 사용자가 최근에 로그온한 위치에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다.
이 검색에서는 도메인 컨트롤러에 대해 SMB 세션 열거가 수행될 때 경고가 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), 시스템 네트워크 Connections 검색(T1049) |
| MITRE 공격 하위 기술 | 도메인 계정(T1087.002) |
SAMR(사용자 및 그룹 멤버 자격 정찰)(외부 ID 2021)
이전 이름: 디렉터리 서비스 쿼리를 사용한 정찰
심각도: 보통
설명:
사용자 및 그룹 멤버 자격 정찰은 공격자가 디렉터리 구조를 매핑하고 공격의 이후 단계를 위해 권한 있는 계정을 대상으로 지정하는 데 사용됩니다. SAM-R(보안 계정 관리자 원격) 프로토콜은 이러한 유형의 매핑을 수행하기 위해 디렉터리를 쿼리하는 데 사용되는 방법 중 하나입니다. 이 검색에서는 Defender for Identity가 배포된 후 첫 달에 경고가 트리거되지 않습니다(학습 기간). 학습 기간 동안 Defender for Identity는 중요한 계정의 열거형 및 개별 쿼리 모두에서 SAM-R 쿼리가 수행되는 컴퓨터를 프로파일합니다.
학습 기간:
특정 DC에 대한 SAMR의 첫 번째 네트워크 활동부터 도메인 컨트롤러당 4주입니다.
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), 권한 그룹 검색(T1069) |
| MITRE 공격 하위 기술 | 도메인 계정(T1087.002), 도메인 그룹(T1069.002) |
예방을 위한 제안된 단계:
- 네트워크 액세스를 적용하고 SAM 그룹 정책에 대한 원격 호출을 허용하는 클라이언트를 제한합니다.
LDAP(Active Directory 특성 정찰)(외부 ID 2210)
심각도: 보통
설명:
Active Directory LDAP 정찰은 공격자가 도메인 환경에 대한 중요한 정보를 얻는 데 사용됩니다. 이 정보는 공격자가 도메인 구조를 매핑하고 공격 종료 체인의 이후 단계에서 사용할 권한 있는 계정을 식별하는 데 도움이 될 수 있습니다. LDAP(Lightweight Directory Access Protocol)는 Active Directory를 쿼리하기 위해 합법적이고 악의적인 용도로 사용되는 가장 인기 있는 방법 중 하나입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), 간접 명령 실행(T1202), 권한 그룹 검색(T1069) |
| MITRE 공격 하위 기술 | 도메인 계정(T1087.002), 도메인 그룹(T1069.002) |
Honeytoken이 SAM-R(외부 ID 2439)을 통해 쿼리되었습니다.
심각도: 낮음
설명:
사용자 정찰은 공격자가 디렉터리 구조를 매핑하고 공격의 이후 단계를 위해 권한 있는 계정을 대상으로 지정하는 데 사용됩니다. SAM-R(보안 계정 관리자 원격) 프로토콜은 이러한 유형의 매핑을 수행하기 위해 디렉터리를 쿼리하는 데 사용되는 방법 중 하나입니다. 이 검색에서 Microsoft Defender for Identity 미리 구성된 honeytoken 사용자에 대한 정찰 활동에 대해 이 경고를 트리거합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | 도메인 계정(T1087.002) |
Honeytoken이 LDAP(외부 ID 2429)를 통해 쿼리되었습니다.
심각도: 낮음
설명:
사용자 정찰은 공격자가 디렉터리 구조를 매핑하고 공격의 이후 단계를 위해 권한 있는 계정을 대상으로 지정하는 데 사용됩니다. LDAP(Lightweight Directory Access Protocol)는 Active Directory를 쿼리하기 위해 합법적이고 악의적인 용도로 사용되는 가장 인기 있는 방법 중 하나입니다.
이 검색에서 Microsoft Defender for Identity 미리 구성된 honeytoken 사용자에 대한 정찰 활동에 대해 이 경고를 트리거합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | 도메인 계정(T1087.002) |
의심스러운 Okta 계정 열거형
심각도: 높음
설명:
계정 열거형에서 공격자는 organization 속하지 않은 사용자와 함께 Okta에 로그인을 수행하여 사용자 이름을 추측하려고 합니다. 실패한 시도를 수행하는 원본 IP를 조사하고 합법적인지 여부를 확인하는 것이 좋습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 초기 액세스(TA0001), 방어 회피(TA0005), 지속성(TA0003), 권한 에스컬레이션(TA0004) |
|---|---|
| MITRE 공격 기술 | 유효한 계정(T1078) |
| MITRE 공격 하위 기술 | 클라우드 계정(T1078.004) |