Andre sikkerhetsvarsler
Vanligvis lanseres cyberangrep mot enhver tilgjengelig enhet, for eksempel en bruker med lav privilegerte rettigheter, og beveger seg deretter raskt sidelengs til angriperen får tilgang til verdifulle eiendeler. Verdifulle ressurser kan være sensitive kontoer, domeneadministratorer eller svært sensitive data. Microsoft Defender for identitet identifiserer disse avanserte truslene ved kilden gjennom hele angrepsdrapskjeden og klassifiserer dem i følgende faser:
- Rekognoserings- og oppdagelsesvarsler
- Varsler om videresending av vedvarende rettigheter og rettigheter
- Varsler om legitimasjonstilgang
- Varsler om sidebevegelse
- Annet
Hvis du vil lære mer om hvordan du forstår strukturen og vanlige komponenter i alle sikkerhetsvarsler for Defender for identitet, kan du se Forstå sikkerhetsvarsler. Hvis du vil ha informasjon om sann positiv (TP),godartet sann positiv (B-TP) og usann positiv (FP), kan du se sikkerhetsvarslingsklassifiseringer.
Følgende sikkerhetsvarsler hjelper deg med å identifisere og utbedre andre fase mistenkelige aktiviteter som oppdages av Defender for Identitet i nettverket.
Mistenkt DCShadow-angrep (nivåheving av domenekontroller) (ekstern ID 2028)
Forrige navn: Mistenkelig domenekontrollerkampanje (potensielt DCShadow-angrep)
Alvorlighetsgrad: Høy
Beskrivelse:
Et dcshadow-angrep (domain controller shadow) er et angrep som er utformet for å endre katalogobjekter ved hjelp av skadelig replikering. Dette angrepet kan utføres fra en hvilken som helst maskin ved å opprette en røverstater domenekontroller ved hjelp av en replikeringsprosess.
I et DCShadow-angrep brukes RPC og LDAP til å:
- Registrer maskinkontoen som en domenekontroller (ved hjelp av domeneadministratorrettigheter).
- Utfør replikering (ved hjelp av de tildelte replikeringsrettighetene) over DRSUAPI og send endringer til katalogobjekter.
I denne Defender for identitetsgjenkjenning utløses et sikkerhetsvarsel når en maskin i nettverket prøver å registrere seg som en falsk domenekontroller.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| MITRE-angrepsteknikk | Rogue Domain Controller (T1207) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
Valider følgende tillatelser:
- Repliser katalogendringer.
- Repliser katalogen endrer alle.
- Hvis du vil ha mer informasjon, kan du se Gi Active Directory Domain Services tillatelser for profilsynkronisering i SharePoint Server 2013. Du kan bruke AD ACL Scanner eller opprette et Windows PowerShell skript for å finne ut hvem som har disse tillatelsene i domenet.
Obs!
Mistenkelige domenekontrollerkampanjer (potensielle DCShadow-angrep)-varsler støttes bare av Defender for identitetssensorer.
Mistenkt DCShadow-angrep (forespørsel om replikering av domenekontroller) (ekstern ID 2029)
Forrige navn: Mistenkelig replikeringsforespørsel (potensielt DCShadow-angrep)
Alvorlighetsgrad: Høy
Beskrivelse:
Active Directory-replikering er prosessen der endringer som gjøres på én domenekontroller, synkroniseres med andre domenekontrollere. Gitt nødvendige tillatelser kan angripere gi rettigheter for maskinkontoen sin, slik at de kan representere en domenekontroller. Angripere forsøker å starte en ondsinnet replikeringsforespørsel, slik at de kan endre Active Directory-objekter på en ekte domenekontroller, noe som kan gi angriperne vedvarende i domenet. I denne gjenkjenningen utløses et varsel når en mistenkelig replikeringsforespørsel genereres mot en ekte domenekontroller som er beskyttet av Defender for Identitet. Virkemåten er et tegn på teknikker som brukes i skyggeangrep på domenekontrolleren.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| MITRE-angrepsteknikk | Rogue Domain Controller (T1207) |
| Mitre angrep sub-teknikk | I/T |
Foreslått utbedring og trinn for forebygging:
Valider følgende tillatelser:
- Repliser katalogendringer.
- Repliser katalogen endrer alle.
- Hvis du vil ha mer informasjon, kan du se Gi Active Directory Domain Services tillatelser for profilsynkronisering i SharePoint Server 2013. Du kan bruke AD ACL Scanner eller opprette et Windows PowerShell skript for å finne ut hvem i domenet som har disse tillatelsene.
Obs!
Mistenkelig replikeringsforespørsel (potensielle DCShadow-angrep)-varsler støttes bare av Defender for identitetssensorer.
Mistenkelig VPN-tilkobling (ekstern ID 2025)
Forrige navn: Mistenkelig VPN-tilkobling
Alvorlighetsgrad: Middels
Beskrivelse:
Defender for Identity lærer enhetsvirkemåten for brukere VPN-tilkoblinger over en glidende periode på én måned.
VPN-virkemåtemodellen er basert på maskinene brukerne logger på, og plasseringene brukerne kobler til fra.
Et varsel åpnes når det er et avvik fra brukerens virkemåte basert på en maskinlæringsalgoritme.
Læringsperiode:
30 dager fra den første VPN-tilkoblingen, og minst 5 VPN-tilkoblinger de siste 30 dagene, per bruker.
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| Sekundær MITRE taktikk | Persistens (TA0003) |
| MITRE-angrepsteknikk | Eksterne eksterne tjenester (T1133) |
| Mitre angrep sub-teknikk | I/T |
Forsøk på ekstern kjøring av kode (ekstern ID 2019)
Forrige navn: Forsøk på ekstern kjøring av kode
Alvorlighetsgrad: Middels
Beskrivelse:
Angripere som kompromitterer administrativ legitimasjon eller bruker nulldagsutnyttelse, kan utføre eksterne kommandoer på domenekontrolleren eller AD FS/AD CS-serveren. Dette kan brukes til å få vedvarende, samle inn informasjon, tjenestenektangrep (DOS) eller andre grunner. Defender for Identity oppdager PSexec-, Remote WMI- og PowerShell-tilkoblinger.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Kjøring (TA0002) |
|---|---|
| Sekundær MITRE taktikk | Sidebevegelse (TA0008) |
| MITRE-angrepsteknikk | Kommando- og skripttolk (T1059),Eksterne tjenester (T1021) |
| Mitre angrep sub-teknikk | PowerShell (T1059.001), Windows Remote Management (T1021.006) |
Foreslåtte trinn for forebygging:
- Begrens ekstern tilgang til domenekontrollere fra maskiner som ikke er på nivå 0.
- Implementer privilegert tilgang, slik at bare herdede maskiner kan koble til domenekontrollere for administratorer.
- Implementer mindre privilegert tilgang på domenemaskiner for å gi bestemte brukere rett til å opprette tjenester.
Obs!
Varsler om forsøk på ekstern kjøring av kode ved forsøk på bruk av Powershell-kommandoer støttes bare av Defender for Identity-sensorer.
Mistenkelig tjenesteoppretting (ekstern ID 2026)
Forrige navn: Mistenkelig oppretting av tjeneste
Alvorlighetsgrad: Middels
Beskrivelse:
En mistenkelig tjeneste er opprettet på en domenekontroller eller AD FS / AD CS-server i organisasjonen. Dette varselet er avhengig av hendelse 7045 for å identifisere denne mistenkelige aktiviteten.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Kjøring (TA0002) |
|---|---|
| Sekundær MITRE taktikk | Persistens (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
| MITRE-angrepsteknikk | Eksterne tjenester (T1021),kommando- og skripttolk (T1059), systemtjenester (T1569),Opprett eller endre systemprosess (T1543) |
| Mitre angrep sub-teknikk | Tjenestekjøring (T1569.002), Windows-tjeneste (T1543.003) |
Foreslåtte trinn for forebygging:
- Begrens ekstern tilgang til domenekontrollere fra maskiner som ikke er på nivå 0.
- Implementer privilegert tilgang for å tillate bare herdede maskiner å koble til domenekontrollere for administratorer.
- Implementer mindre privilegert tilgang på domenemaskiner for å gi bare bestemte brukere rett til å opprette tjenester.
Mistenkelig kommunikasjon over DNS (ekstern ID 2031)
Tidligere navn: Mistenkelig kommunikasjon over DNS
Alvorlighetsgrad: Middels
Beskrivelse:
DNS-protokollen i de fleste organisasjoner overvåkes vanligvis ikke og blokkeres sjelden for skadelig aktivitet. Aktivering av en angriper på en kompromittert maskin, for å misbruke DNS-protokollen. Ondsinnet kommunikasjon over DNS kan brukes for datautfiltrering, kommando og kontroll, og/eller for å unngå nettverksbegrensninger for bedriften.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Exfiltration (TA0010) |
|---|---|
| MITRE-angrepsteknikk | Exfiltration Over Alternative Protocol (T1048),Exfiltration Over C2 Channel (T1041),Scheduled Transfer (T1029), Automated Exfiltration (T1020), Application Layer Protocol (T1071) |
| Mitre angrep sub-teknikk | DNS (T1071.004), Exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Dataeksfiltrering over SMB (ekstern ID 2030)
Alvorlighetsgrad: Høy
Beskrivelse:
Domenekontrollere inneholder de mest sensitive organisasjonsdataene. For de fleste angripere er en av deres viktigste prioriteringer å få tilgang til domenekontrolleren for å stjele de mest sensitive dataene dine. Eksfiltrering av Ntds.dit-filen, som er lagret på DC, gjør det for eksempel mulig for en angriper å smi Kerberos-billetttildelingsbilletter (TGT) som gir autorisasjon til enhver ressurs. Forfalskede Kerberos TGTs gjør det mulig for angriperen å angi utløpsdatoen for billetten til et vilkårlig tidspunkt. En Exfiltration for Defender for Identity Data over SMB-varsel utløses når mistenkelige overføringer av data observeres fra de overvåkede domenekontrollerne.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Exfiltration (TA0010) |
|---|---|
| Sekundær MITRE taktikk | Sidebevegelse (TA0008),Kommando og kontroll (TA0011) |
| MITRE-angrepsteknikk | Exfiltration Over Alternative Protocol (T1048), Lateral Tool Transfer (T1570) |
| Mitre angrep sub-teknikk | Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Mistenkelig sletting av sertifikatdatabaseoppføringene (ekstern ID 2433)
Alvorlighetsgrad: Middels
Beskrivelse:
Slettingen av oppføringer i sertifikatdatabasen er et rødt flagg som angir potensiell skadelig aktivitet. Dette angrepet kan forstyrre funksjonen til PKI-systemer (Public Key Infrastructure), som påvirker godkjenning og dataintegritet.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| MITRE-angrepsteknikk | Fjerning av indikator (T1070) |
| Mitre angrep sub-teknikk | I/T |
Obs!
Mistenkelig sletting av varsler om sertifikatdatabaseoppføringer støttes bare av Defender for Identity-sensorer på AD CS.
Mistenkelig deaktivering av overvåkingsfiltre for AD CS (ekstern ID 2434)
Alvorlighetsgrad: Middels
Beskrivelse:
Deaktivering av overvåkingsfiltre i AD CS kan tillate angripere å operere uten å bli oppdaget. Dette angrepet tar sikte på å unngå sikkerhetsovervåking ved å deaktivere filtre som ellers ville flagge mistenkelige aktiviteter.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| MITRE-angrepsteknikk | Svekke forsvar (T1562) |
| Mitre angrep sub-teknikk | Deaktiver Windows-hendelseslogging (T1562.002) |
Endring av passord for gjenopprettingsmodus for katalogtjenester (ekstern ID 2438)
Alvorlighetsgrad: Middels
Beskrivelse:
Directory Services Restore Mode (DSRM) er en spesiell oppstartsmodus i Microsoft Windows Server operativsystemer som gjør det mulig for en administrator å reparere eller gjenopprette Active Directory-databasen. Denne modusen brukes vanligvis når det er problemer med Active Directory, og vanlig oppstart er ikke mulig. DSRM-passordet angis under promotering av en server til en domenekontroller. I denne gjenkjenningen utløses et varsel når Defender for Identity oppdager at et DSRM-passord endres. Vi anbefaler at du undersøker kildedatamaskinen og brukeren som har bedt om å forstå om DSRM-passordendringen ble startet fra en legitim administrativ handling, eller om den reiser bekymringer om uautorisert tilgang eller potensielle sikkerhetstrusler.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Persistens (TA0003) |
|---|---|
| MITRE-angrepsteknikk | Kontomanipulering (T1098) |
| Mitre angrep sub-teknikk | I/T |
Mulig Okta-økttyveri
Alvorlighetsgrad: Høy
Beskrivelse:
I økttyveri stjeler angripere informasjonskapslene til ekte bruker og bruker den fra andre steder. Vi anbefaler at du undersøker kilde-IP-en som utfører operasjonene for å avgjøre om disse operasjonene er legitime eller ikke, og at IP-adressen brukes av brukeren.
Læringsperiode:
2 uker
Mitre:
| Primær MITRE-taktikk | Samling (TA0009) |
|---|---|
| MITRE-angrepsteknikk | Browser Session Hijacking (T1185) |
| Mitre angrep sub-teknikk | I/T |
gruppepolicy manipulering (ekstern ID 2440) (forhåndsversjon)
Alvorlighetsgrad: Middels
Beskrivelse:
En mistenkelig endring er oppdaget i gruppepolicy, noe som resulterer i deaktivering av Windows Defender Antivirus. Denne aktiviteten kan indikere et sikkerhetsbrudd fra en angriper med utvidede rettigheter som kan angi fasen for distribusjon av løsepengevirus.
Foreslåtte trinn for undersøkelse:
Forstå om gruppepolicyobjektendringen er legitim
Hvis den ikke var det, tilbakestiller du endringen
Forstå hvordan gruppepolicyen er koblet sammen, for å estimere innvirkningsomfanget
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Forsvarsunndragelse (TA0005) |
|---|---|
| MITRE-angrepsteknikk | Subverter klareringskontroller (T1553) |
| MITRE-angrepsteknikk | Subverter klareringskontroller (T1553) |
| Mitre angrep sub-teknikk | I/T |