Rekognoserings- og oppdagelsesvarsler
Vanligvis lanseres cyberangrep mot enhver tilgjengelig enhet, for eksempel en bruker med lav privilegerte rettigheter, og beveger seg deretter raskt sidelengs til angriperen får tilgang til verdifulle eiendeler. Verdifulle ressurser kan være sensitive kontoer, domeneadministratorer eller svært sensitive data. Microsoft Defender for identitet identifiserer disse avanserte truslene ved kilden gjennom hele angrepsdrapskjeden og klassifiserer dem i følgende faser:
- Rekognosering og oppdagelse
- Varsler om videresending av vedvarende rettigheter og rettigheter
- Varsler om legitimasjonstilgang
- Varsler om sidebevegelse
- Andre varsler
Hvis du vil lære mer om hvordan du forstår strukturen og vanlige komponenter i alle sikkerhetsvarsler for Defender for identitet, kan du se Forstå sikkerhetsvarsler. Hvis du vil ha informasjon om sann positiv (TP),godartet sann positiv (B-TP) og usann positiv (FP), kan du se sikkerhetsvarslingsklassifiseringer.
Følgende sikkerhetsvarsler hjelper deg med å identifisere og utbedre rekognosering og oppdagelsesfase mistenkelige aktiviteter oppdaget av Defender for Identity i nettverket.
Rekognosering og oppdagelse består av teknikker en motstander kan bruke til å få kunnskap om systemet og interne nettverk. Disse teknikkene hjelper motstandere å observere miljøet og orientere seg før de bestemmer seg for hvordan de skal handle. De tillater også motstandere å utforske hva de kan kontrollere og hva som er rundt deres inngangspunkt for å finne ut hvordan det kan være til nytte for deres nåværende mål. Opprinnelige operativsystemverktøy brukes ofte mot dette postkompromissete informasjonsinnsamlingsmålet. I Microsoft Defender for identitet involverer disse varslene vanligvis intern kontoopplisting med ulike teknikker.
Rekognosering av kontoopplisting (ekstern ID 2003)
Forrige navn: Rekognosering ved hjelp av kontoopplisting
Alvorlighetsgrad: Middels
Beskrivelse:
I rekognosering av kontoopplisting bruker en angriper en ordliste med tusenvis av brukernavn eller verktøy som KrbGuess i et forsøk på å gjette brukernavn i domenet.
Kerberos: Angriper utfører Kerberos-forespørsler ved hjelp av disse navnene for å prøve å finne et gyldig brukernavn i domenet. Når en gjetning fastslår et brukernavn, får angriperen forhåndsgodkjenningen som kreves i stedet for sikkerhetskontohaver ukjent Kerberos-feil.
NTLM: Angriper utfører NTLM-godkjenningsforespørsler ved hjelp av ordlisten med navn for å prøve å finne et gyldig brukernavn i domenet. Hvis en gjetning fastslår et brukernavn, får angriperen WrongPassword (0xc000006a) i stedet for NoSuchUser (0xc0000064) NTLM-feil.
I denne varslingsgjenkjenningen oppdager Defender for Identity hvor opplistingsangrepet for kontoen kom fra, det totale antallet antatte forsøk og hvor mange forsøk som ble matchet. Hvis det er for mange ukjente brukere, oppdager Defender for Identity det som en mistenkelig aktivitet. Varselet er basert på godkjenningshendelser fra sensorer som kjører på domenekontrolleren og AD FS / AD CS-servere.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Kontooppdagelse (T1087) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002) |
Foreslåtte trinn for forebygging:
- Fremtving komplekse og lange passord i organisasjonen. Komplekse og lange passord gir det nødvendige første sikkerhetsnivået mot brute-force angrep. Brute force angrep er vanligvis neste skritt i cyber-angrep kill kjeden etter opplisting.
Rekognosering av kontoopplisting (LDAP) (ekstern ID 2437) (forhåndsversjon)
Alvorlighetsgrad: Middels
Beskrivelse:
I rekognosering av kontoopplisting bruker en angriper en ordliste med tusenvis av brukernavn eller verktøy som Ldapnomnom i et forsøk på å gjette brukernavn i domenet.
LDAP: Angriper utfører LDAP Ping-forespørsler (cLDAP) ved hjelp av disse navnene for å prøve å finne et gyldig brukernavn i domenet. Hvis en gjetning fastslår et brukernavn, kan angriperen motta et svar som angir at brukeren finnes i domenet.
I denne varslingsgjenkjenningen oppdager Defender for Identity hvor opplistingsangrepet for kontoen kom fra, det totale antallet antatte forsøk og hvor mange forsøk som ble matchet. Hvis det er for mange ukjente brukere, oppdager Defender for Identity det som en mistenkelig aktivitet. Varselet er basert på LDAP-søkeaktiviteter fra sensorer som kjører på domenekontrollerservere.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Kontooppdagelse (T1087) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002) |
Rekognosering av nettverkstilordning (DNS) (ekstern ID 2007)
Forrige navn: Rekognosering ved hjelp av DNS
Alvorlighetsgrad: Middels
Beskrivelse:
DNS-serveren inneholder et kart over alle datamaskinene, IP-adressene og tjenestene i nettverket. Denne informasjonen brukes av angripere til å tilordne nettverksstrukturen og målrette mot interessante datamaskiner for senere trinn i angrepet.
Det finnes flere spørringstyper i DNS-protokollen. Dette sikkerhetsvarselet defender for identity oppdager mistenkelige forespørsler, enten forespørsler ved hjelp av en AXFR (overføring) med opprinnelse fra ikke-DNS-servere, eller de som bruker et stort antall forespørsler.
Læringsperiode:
Dette varselet har en læringsperiode på åtte dager fra starten av overvåking av domenekontrolleren.
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Account Discovery (T1087), Network Service Scanning (T1046), Remote System Discovery (T1018) |
| Mitre angrep sub-teknikk | I/T |
Foreslåtte trinn for forebygging:
Det er viktig å forhindre fremtidige angrep ved hjelp av AXFR-spørringer ved å sikre den interne DNS-serveren.
- Sikre den interne DNS-serveren for å hindre rekognosering ved hjelp av DNS ved å deaktivere soneoverføringer eller ved å begrense soneoverføringer bare til angitte IP-adresser. Endring av soneoverføringer er én oppgave blant en sjekkliste som bør løses for å sikre DNS-serverne fra både interne og eksterne angrep.
Bruker- og IP-adresserekognosering (SMB) (ekstern ID 2012)
Forrige navn: Rekognosering ved hjelp av SMB-øktopplisting
Alvorlighetsgrad: Middels
Beskrivelse:
Opplisting ved hjelp av SMB-protokollen (Server Message Block) gjør det mulig for angripere å få informasjon om hvor brukere nylig har logget seg på. Når angripere har denne informasjonen, kan de flytte seg sidelengs i nettverket for å få tilgang til en bestemt sensitiv konto.
I denne gjenkjenningen utløses et varsel når en SMB-øktopplisting utføres mot en domenekontroller.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Kontooppdagelse (T1087), System Network Connections Discovery (T1049) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002) |
Rekognosering av bruker- og gruppemedlemskap (SAMR) (ekstern ID 2021)
Forrige navn: Rekognosering ved hjelp av katalogtjenestespørringer
Alvorlighetsgrad: Middels
Beskrivelse:
Bruker- og gruppemedlemskapsrekognosering brukes av angripere til å tilordne katalogstrukturen og målrette privilegerte kontoer for senere trinn i angrepet. Protokollen Security Account Manager Remote (SAM-R) er en av metodene som brukes til å spørre katalogen om å utføre denne typen tilordning. I denne gjenkjenningen utløses ingen varsler i den første måneden etter at Defender for Identity er distribuert (læringsperiode). I læringsperioden, Defender for Identity profiler som SAM-R spørringer er laget fra hvilke datamaskiner, både opplisting og individuelle spørringer av sensitive kontoer.
Læringsperiode:
Fire uker per domenekontroller som starter fra den første nettverksaktiviteten til SAMR mot den bestemte DC.
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Kontooppdagelse (T1087), Grupper oppdaging (T1069) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002), Domenegruppe (T1069.002) |
Foreslåtte trinn for forebygging:
- Bruk nettverkstilgang og begrens klienter som har tillatelse til å foreta eksterne anrop til SAM-gruppepolicyen.
Active Directory-attributter rekognosering (LDAP) (ekstern ID 2210)
Alvorlighetsgrad: Middels
Beskrivelse:
Active Directory LDAP-rekognosering brukes av angripere til å få kritisk informasjon om domenemiljøet. Denne informasjonen kan hjelpe angripere med å tilordne domenestrukturen, samt identifisere privilegerte kontoer for bruk i senere trinn i angrepsdrapskjeden. Lightweight Directory Access Protocol (LDAP) er en av de mest populære metodene som brukes for både legitime og skadelige formål for å spørre Active Directory.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Kontooppdagelse (T1087), indirekte kjøring av kommando (T1202),tillatelse Grupper søk (T1069) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002),Domene Grupper (T1069.002) |
Honeytoken ble forespurt via SAM-R (ekstern ID 2439)
Alvorlighetsgrad: Lav
Beskrivelse:
Brukerrekognosering brukes av angripere til å tilordne katalogstrukturen og målrette privilegerte kontoer for senere trinn i angrepet. Protokollen Security Account Manager Remote (SAM-R) er en av metodene som brukes til å spørre katalogen om å utføre denne typen tilordning. I denne oppdagelsen vil Microsoft Defender for identitet utløse dette varselet for eventuelle rekognoseringsaktiviteter mot en forhåndskonfigurert honningtokenbruker
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Kontooppdagelse (T1087) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002) |
Honeytoken ble forespurt via LDAP (ekstern ID 2429)
Alvorlighetsgrad: Lav
Beskrivelse:
Brukerrekognosering brukes av angripere til å tilordne katalogstrukturen og målrette privilegerte kontoer for senere trinn i angrepet. Lightweight Directory Access Protocol (LDAP) er en av de mest populære metodene som brukes for både legitime og skadelige formål for å spørre Active Directory.
I denne oppdagelsen vil Microsoft Defender for identitet utløse dette varselet for eventuelle rekognoseringsaktiviteter mot en forhåndskonfigurert honningtokenbruker.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Oppdagelse (TA0007) |
|---|---|
| MITRE-angrepsteknikk | Kontooppdagelse (T1087) |
| Mitre angrep sub-teknikk | Domenekonto (T1087.002) |
Mistenkelig okta-kontoopplisting
Alvorlighetsgrad: Høy
Beskrivelse:
I opplisting av kontoen vil angripere prøve å gjette brukernavn ved å utføre pålogginger i Okta med brukere som ikke tilhører organisasjonen. Vi anbefaler at du undersøker kilde-IP-en som utfører de mislykkede forsøkene, og fastslår om de er legitime eller ikke.
Læringsperiode:
Ingen
Mitre:
| Primær MITRE-taktikk | Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004) |
|---|---|
| MITRE-angrepsteknikk | Gyldige kontoer (T1078) |
| Mitre angrep sub-teknikk | Skykontoer (T1078.004) |