Andere beveiligingswaarschuwingen
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en worden vervolgens snel lateraal verplaatst totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele aanvals kill chain en classificeert ze in de volgende fasen:
- Waarschuwingen voor reconnaissance en detectie
- Waarschuwingen voor persistentie en escalatie van bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Overige
Zie Informatie over beveiligingswaarschuwingen voor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie Beveiligingswaarschuwingsclassificaties voor informatie over Waar positief (TP),Benign true positive (B-TP) en False positive (FP).
De volgende beveiligingswaarschuwingen helpen u bij het identificeren en herstellen van andere fase verdachte activiteiten die door Defender for Identity in uw netwerk zijn gedetecteerd.
Vermoedelijke DCShadow-aanval (domeincontrollerpromotie) (externe id 2028)
Vorige naam: Verdachte promotie van domeincontrollers (mogelijke DCShadow-aanval)
Ernst: Hoog
Beschrijving:
Een domeincontrollerschaduwaanval (DCShadow) is een aanval die is ontworpen om mapobjecten te wijzigen met behulp van schadelijke replicatie. Deze aanval kan vanaf elke computer worden uitgevoerd door een rogue domeincontroller te maken met behulp van een replicatieproces.
In een DCShadow-aanval worden RPC en LDAP gebruikt om:
- Registreer het computeraccount als een domeincontroller (met behulp van domeinbeheerdersrechten).
- Voer replicatie uit (met behulp van de verleende replicatierechten) via DRSUAPI en verzend wijzigingen naar mapobjecten.
In deze Detectie van Defender for Identity wordt een beveiligingswaarschuwing geactiveerd wanneer een computer in het netwerk probeert te registreren als een rogue domeincontroller.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| MITRE-aanvalstechniek | Rogue-domeincontroller (T1207) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
Valideer de volgende machtigingen:
- Mapwijzigingen repliceren.
- Alle mapwijzigingen repliceren.
- Zie Active Directory Domain Services machtigingen verlenen voor profielsynchronisatie in SharePoint Server 2013 voor meer informatie. U kunt AD ACL Scanner gebruiken of een Windows PowerShell script maken om te bepalen wie deze machtigingen in het domein heeft.
Opmerking
Waarschuwingen voor verdachte domeincontrollerpromotie (mogelijke DCShadow-aanval) worden alleen ondersteund door Defender for Identity-sensoren.
Vermoedelijke DCShadow-aanval (replicatieaanvraag van domeincontroller) (externe id 2029)
Vorige naam: Verdachte replicatieaanvraag (mogelijke DCShadow-aanval)
Ernst: Hoog
Beschrijving:
Active Directory-replicatie is het proces waarmee wijzigingen die zijn aangebracht op één domeincontroller worden gesynchroniseerd met andere domeincontrollers. Met de benodigde machtigingen kunnen aanvallers rechten verlenen voor hun computeraccount, zodat ze een domeincontroller kunnen imiteren. Aanvallers proberen een kwaadwillende replicatieaanvraag te initiëren, zodat ze Active Directory-objecten kunnen wijzigen op een legitieme domeincontroller, waardoor de aanvallers persistentie in het domein kunnen hebben. Bij deze detectie wordt een waarschuwing geactiveerd wanneer een verdachte replicatieaanvraag wordt gegenereerd op een legitieme domeincontroller die wordt beveiligd door Defender for Identity. Het gedrag wijst op technieken die worden gebruikt bij schaduwaanvallen van domeincontrollers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| MITRE-aanvalstechniek | Rogue-domeincontroller (T1207) |
| MITRE-aanvalssubtechniek | N.v.t. |
Aanbevolen herstel en stappen voor preventie:
Valideer de volgende machtigingen:
- Mapwijzigingen repliceren.
- Alle mapwijzigingen repliceren.
- Zie Active Directory Domain Services machtigingen verlenen voor profielsynchronisatie in SharePoint Server 2013 voor meer informatie. U kunt AD ACL Scanner gebruiken of een Windows PowerShell script maken om te bepalen wie in het domein deze machtigingen heeft.
Opmerking
Waarschuwingen voor verdachte replicatieaanvragen (mogelijke DCShadow-aanval) worden alleen ondersteund door Defender for Identity-sensoren.
Verdachte VPN-verbinding (externe id 2025)
Vorige naam: Verdachte VPN-verbinding
Ernst: gemiddeld
Beschrijving:
Defender for Identity leert het entiteitsgedrag voor VPN-verbindingen van gebruikers gedurende een verschuifbare periode van één maand.
Het VPN-gedragsmodel is gebaseerd op de computers waarbij gebruikers zich aanmelden en de locaties van waaruit de gebruikers verbinding maken.
Er wordt een waarschuwing geopend wanneer er een afwijking is van het gedrag van de gebruiker op basis van een machine learning-algoritme.
Leerperiode:
30 dagen vanaf de eerste VPN-verbinding en ten minste 5 VPN-verbindingen in de afgelopen 30 dagen per gebruiker.
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| Secundaire MITRE-tactiek | Persistentie (TA0003) |
| MITRE-aanvalstechniek | Externe externe services (T1133) |
| MITRE-aanvalssubtechniek | N.v.t. |
Poging om externe code uit te voeren (externe id 2019)
Vorige naam: Poging om externe code uit te voeren
Ernst: gemiddeld
Beschrijving:
Aanvallers die inbreuk maken op beheerdersreferenties of een zero-day exploit gebruiken, kunnen externe opdrachten uitvoeren op uw domeincontroller of AD FS/AD CS-server. Dit kan worden gebruikt voor het verkrijgen van persistentie, het verzamelen van informatie, DOS-aanvallen (Denial of Service) of een andere reden. Defender for Identity detecteert PSexec-, externe WMI- en PowerShell-verbindingen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Uitvoering (TA0002) |
|---|---|
| Secundaire MITRE-tactiek | Laterale beweging (TA0008) |
| MITRE-aanvalstechniek | Opdracht- en scriptinterpreter (T1059),Externe services (T1021) |
| MITRE-aanvalssubtechniek | PowerShell (T1059.001), Windows Remote Management (T1021.006) |
Voorgestelde stappen voor preventie:
- Beperk externe toegang tot domeincontrollers vanaf niet-laag 0-machines.
- Implementeer bevoegde toegang, zodat alleen beveiligde machines verbinding kunnen maken met domeincontrollers voor beheerders.
- Implementeer minder bevoegde toegang op domeincomputers om specifieke gebruikers het recht te geven om services te maken.
Opmerking
Waarschuwingen voor het uitvoeren van externe code bij het gebruik van PowerShell-opdrachten worden alleen ondersteund door Defender for Identity-sensoren.
Verdachte service maken (externe id 2026)
Vorige naam: Verdachte service maken
Ernst: gemiddeld
Beschrijving:
Er is een verdachte service gemaakt op een domeincontroller of AD FS/AD CS-server in uw organisatie. Deze waarschuwing is afhankelijk van gebeurtenis 7045 om deze verdachte activiteit te identificeren.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Uitvoering (TA0002) |
|---|---|
| Secundaire MITRE-tactiek | Persistentie (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
| MITRE-aanvalstechniek | Externe services (T1021), Opdracht- en scriptinterpreter (T1059), Systeemservices (T1569), Systeemproces maken of wijzigen (T1543) |
| MITRE-aanvalssubtechniek | Service-uitvoering (T1569.002), Windows-service (T1543.003) |
Voorgestelde stappen voor preventie:
- Beperk externe toegang tot domeincontrollers vanaf niet-laag 0-machines.
- Implementeer bevoegde toegang zodat alleen beveiligde machines verbinding kunnen maken met domeincontrollers voor beheerders.
- Implementeer minder bevoegde toegang op domeinmachines om alleen specifieke gebruikers het recht te geven om services te maken.
Verdachte communicatie via DNS (externe id 2031)
Vorige naam: Verdachte communicatie via DNS
Ernst: gemiddeld
Beschrijving:
Het DNS-protocol in de meeste organisaties wordt meestal niet bewaakt en zelden geblokkeerd voor schadelijke activiteiten. Een aanvaller op een gecompromitteerde computer in staat stellen misbruik te maken van het DNS-protocol. Schadelijke communicatie via DNS kan worden gebruikt voor gegevensexfiltratie, opdrachten en controle en/of het omzeilen van beperkingen van het bedrijfsnetwerk.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Exfiltratie (TA0010) |
|---|---|
| MITRE-aanvalstechniek | Exfiltratie over alternatief protocol (T1048), exfiltratie via C2-kanaal (T1041), geplande overdracht (T1029), geautomatiseerde exfiltratie (T1020), Application Layer Protocol (T1071) |
| MITRE-aanvalssubtechniek | DNS (T1071.004), exfiltratie via niet-versleuteld/verborgen niet-C2-protocol (T1048.003) |
Gegevensexfiltratie via SMB (externe id 2030)
Ernst: Hoog
Beschrijving:
Domeincontrollers bevatten de meest gevoelige organisatiegegevens. Voor de meeste aanvallers is een van hun belangrijkste prioriteiten het verkrijgen van toegang tot domeincontrollers om uw meest gevoelige gegevens te stelen. Exfiltratie van het bestand Ntds.dit, opgeslagen op de domeincontroller, stelt een aanvaller bijvoorbeeld in staat om kerberos-tickettoekenningstickets (TGT) te vervalsen met autorisatie voor elke resource. Met vervalste Kerberos-TGT's kan de aanvaller de vervaldatum van het ticket instellen op een willekeurige tijd. Een Defender for Identity Data-exfiltratie via SMB-waarschuwing wordt geactiveerd wanneer verdachte overdrachten van gegevens van uw bewaakte domeincontrollers worden waargenomen.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Exfiltratie (TA0010) |
|---|---|
| Secundaire MITRE-tactiek | Lateral Movement (TA0008),Command and Control (TA0011) |
| MITRE-aanvalstechniek | Exfiltratie over alternatief protocol (T1048),laterale gereedschapsoverdracht (T1570) |
| MITRE-aanvalssubtechniek | Exfiltratie over niet-versleutelde/verborgen niet-C2-protocol (T1048.003) |
Verdachte verwijdering van de certificaatdatabasevermeldingen (externe id 2433)
Ernst: gemiddeld
Beschrijving:
Het verwijderen van certificaatdatabasevermeldingen is een rode vlag, die mogelijke schadelijke activiteiten aangeeft. Deze aanval kan de werking van PKI-systemen (Public Key Infrastructure) verstoren en de verificatie en gegevensintegriteit beïnvloeden.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| MITRE-aanvalstechniek | Indicator verwijderen (T1070) |
| MITRE-aanvalssubtechniek | N.v.t. |
Opmerking
Waarschuwingen voor verdachte verwijdering van de vermeldingen in de certificaatdatabase worden alleen ondersteund door Defender for Identity-sensoren op AD CS.
Verdachte uitschakelen van controlefilters van AD CS (externe id 2434)
Ernst: gemiddeld
Beschrijving:
Als u controlefilters uitschakelt in AD CS, kunnen aanvallers werken zonder dat ze worden gedetecteerd. Deze aanval is bedoeld om beveiligingsbewaking te omzeilen door filters uit te schakelen die anders verdachte activiteiten zouden markeren.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| MITRE-aanvalstechniek | Defenses (T1562) |
| MITRE-aanvalssubtechniek | Windows-gebeurtenislogboekregistratie uitschakelen (T1562.002) |
Wachtwoordwijziging in directoryservices-herstelmodus (externe id 2438)
Ernst: gemiddeld
Beschrijving:
Directory Services Restore Mode (DSRM) is een speciale opstartmodus in Microsoft Windows Server-besturingssystemen waarmee een beheerder de Active Directory-database kan herstellen of herstellen. Deze modus wordt meestal gebruikt wanneer er problemen zijn met de Active Directory en normaal opstarten niet mogelijk is. Het DSRM-wachtwoord wordt ingesteld tijdens de promotie van een server naar een domeincontroller. In deze detectie wordt een waarschuwing geactiveerd wanneer Defender for Identity detecteert dat een DSRM-wachtwoord wordt gewijzigd. We raden u aan de broncomputer en de gebruiker die de aanvraag heeft ingediend te onderzoeken om te begrijpen of de wijziging van het DSRM-wachtwoord is geïnitieerd vanuit een legitieme administratieve actie of dat deze aanleiding geeft tot zorgen over onbevoegde toegang of mogelijke beveiligingsrisico's.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Persistentie (TA0003) |
|---|---|
| MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
| MITRE-aanvalssubtechniek | N.v.t. |
Mogelijke okta-sessiediefstal
Ernst: Hoog
Beschrijving:
Bij sessiediefstal stelen aanvallers de cookies van legitieme gebruikers en gebruiken deze van andere locaties. We raden u aan het bron-IP-adres te onderzoeken dat de bewerkingen uitvoert om te bepalen of deze bewerkingen legitiem zijn of niet, en of het IP-adres wordt gebruikt door de gebruiker.
Leerperiode:
2 weken
MITRE:
| Primaire MITRE-tactiek | Verzameling (TA0009) |
|---|---|
| MITRE-aanvalstechniek | Browsersessie hijacking (T1185) |
| MITRE-aanvalssubtechniek | N.v.t. |
groepsbeleid manipulatie (externe id 2440) (preview)
Ernst: gemiddeld
Beschrijving:
Er is een verdachte wijziging gedetecteerd in groepsbeleid, waardoor Windows Defender Antivirus is gedeactiveerd. Deze activiteit kan duiden op een beveiligingsschending door een aanvaller met verhoogde bevoegdheden die de fase voor het distribueren van ransomware kan instellen.
Voorgestelde stappen voor onderzoek:
Begrijpen of de wijziging van het groepsbeleidsobject legitiem is
Als dat niet zo is, maakt u de wijziging ongedaan
Begrijpen hoe het groepsbeleid is gekoppeld om het impactbereik ervan te schatten
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Defense Evasion (TA0005) |
|---|---|
| MITRE-aanvalstechniek | Besturingselementen voor vertrouwensrelaties ondermijnen (T1553) |
| MITRE-aanvalstechniek | Besturingselementen voor vertrouwensrelaties ondermijnen (T1553) |
| MITRE-aanvalssubtechniek | N.v.t. |