Waarschuwingen voor reconnaissance en detectie
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en worden vervolgens snel lateraal verplaatst totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele aanvals kill chain en classificeert ze in de volgende fasen:
- Reconnaissance en detectie
- Waarschuwingen voor persistentie en escalatie van bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Andere waarschuwingen
Zie Informatie over beveiligingswaarschuwingen voor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie Beveiligingswaarschuwingsclassificaties voor informatie over Waar positief (TP),Benign true positive (B-TP) en False positive (FP).
De volgende beveiligingswaarschuwingen helpen u bij het identificeren en herstellen van verdachte activiteiten in reconnaissance en detectiefase die zijn gedetecteerd door Defender for Identity in uw netwerk.
Reconnaissance en detectie bestaan uit technieken die een kwaadwillende gebruiker kan gebruiken om kennis op te doen over het systeem en het interne netwerk. Deze technieken helpen kwaadwillenden de omgeving te observeren en zich te oriënteren voordat ze beslissen hoe ze moeten handelen. Ze laten kwaadwillenden ook verkennen wat ze kunnen controleren en wat er rond hun toegangspunt is om te ontdekken hoe het hun huidige doel ten goede kan komen. Systeemeigen hulpprogramma's voor besturingssystemen worden vaak gebruikt voor deze post-inbreukdoelstelling voor het verzamelen van informatie. In Microsoft Defender for Identity hebben deze waarschuwingen meestal betrekking op interne accountinventarisatie met verschillende technieken.
Verkenning van accountinventarisatie (externe id 2003)
Vorige naam: Reconnaissance met accountinventarisatie
Ernst: gemiddeld
Beschrijving:
In accountinventarisatie reconnaissance gebruikt een aanvaller een woordenlijst met duizenden gebruikersnamen of hulpprogramma's zoals KrbGuess in een poging om gebruikersnamen in het domein te raden.
Kerberos: aanvaller doet Kerberos-aanvragen met behulp van deze namen om te proberen een geldige gebruikersnaam in het domein te vinden. Wanneer een schatting een gebruikersnaam bepaalt, krijgt de aanvaller de vereiste verificatie vooraf in plaats van een onbekende Kerberos-fout in de beveiligingsprincipal .
NTLM: Aanvaller doet NTLM-verificatieaanvragen met behulp van de woordenlijst met namen om te proberen een geldige gebruikersnaam in het domein te vinden. Als een schatting een gebruikersnaam bepaalt, krijgt de aanvaller de fout WrongPassword (0xc000006a) in plaats van NoSuchUser (0xc0000064) NTLM.
In deze waarschuwingsdetectie detecteert Defender for Identity waar de opsommingsaanval van het account afkomstig is, het totale aantal schattingspogingen en het aantal pogingen dat is vergeleken. Als er te veel onbekende gebruikers zijn, detecteert Defender for Identity dit als een verdachte activiteit. De waarschuwing is gebaseerd op verificatie-gebeurtenissen van sensoren die worden uitgevoerd op domeincontrollers en AD FS/AD CS-servers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| MITRE-aanvalssubtechniek | Domeinaccount (T1087.002) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden afdwingen in de organisatie. Complexe en lange wachtwoorden bieden het noodzakelijke eerste niveau van beveiliging tegen brute-force-aanvallen. Brute force-aanvallen zijn doorgaans de volgende stap in de kill chain voor cyberaanvallen na inventarisatie.
Account enumeration reconnaissance (LDAP) (externe id 2437) (preview)
Ernst: gemiddeld
Beschrijving:
In accountinventarisatie reconnaissance gebruikt een aanvaller een woordenlijst met duizenden gebruikersnamen of hulpprogramma's zoals Ldapnomnom in een poging om gebruikersnamen in het domein te raden.
LDAP: Aanvaller maakt LDAP Ping-aanvragen (cLDAP) met behulp van deze namen om te proberen een geldige gebruikersnaam in het domein te vinden. Als een schatting een gebruikersnaam bepaalt, ontvangt de aanvaller mogelijk een antwoord dat aangeeft dat de gebruiker in het domein bestaat.
In deze waarschuwingsdetectie detecteert Defender for Identity waar de opsommingsaanval van het account afkomstig is, het totale aantal schattingspogingen en het aantal pogingen dat is vergeleken. Als er te veel onbekende gebruikers zijn, detecteert Defender for Identity dit als een verdachte activiteit. De waarschuwing is gebaseerd op LDAP-zoekactiviteiten van sensoren die worden uitgevoerd op domeincontrollerservers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| MITRE-aanvalssubtechniek | Domeinaccount (T1087.002) |
Netwerktoewijzingsverkenning (DNS) (externe id 2007)
Vorige naam: Reconnaissance met behulp van DNS
Ernst: gemiddeld
Beschrijving:
Uw DNS-server bevat een kaart van alle computers, IP-adressen en services in uw netwerk. Deze informatie wordt gebruikt door aanvallers om uw netwerkstructuur toe te wijzen en interessante computers te targeten voor latere stappen in hun aanval.
Het DNS-protocol bevat verschillende querytypen. Deze Defender for Identity-beveiligingswaarschuwing detecteert verdachte aanvragen, aanvragen met behulp van een AXFR (overdracht) die afkomstig zijn van niet-DNS-servers of aanvragen die een te groot aantal aanvragen gebruiken.
Leerperiode:
Deze waarschuwing heeft een leerperiode van acht dagen vanaf het begin van de bewaking van de domeincontroller.
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), Network Service Scanning (T1046), Remote System Discovery (T1018) |
| MITRE-aanvalssubtechniek | N.v.t. |
Voorgestelde stappen voor preventie:
Het is belangrijk om toekomstige aanvallen met BEHULP van AXFR-query's te voorkomen door uw interne DNS-server te beveiligen.
- Beveilig uw interne DNS-server om reconnaissance met behulp van DNS te voorkomen door zoneoverdrachten uit te schakelen of door zoneoverdrachten alleen te beperken tot opgegeven IP-adressen. Het wijzigen van zoneoverdrachten is een van de taken in een controlelijst die moet worden aangepakt voor het beveiligen van uw DNS-servers tegen zowel interne als externe aanvallen.
Verkenning van gebruikers- en IP-adressen (SMB) (externe id 2012)
Vorige naam: Reconnaissance met behulp van SMB Session Enumeration
Ernst: gemiddeld
Beschrijving:
Opsomming met behulp van het SMB-protocol (Server Message Block) stelt aanvallers in staat om informatie te krijgen over waar gebruikers zich onlangs hebben aangemeld. Zodra aanvallers deze informatie hebben, kunnen ze zich lateraal in het netwerk verplaatsen om naar een specifiek gevoelig account te gaan.
Bij deze detectie wordt een waarschuwing geactiveerd wanneer een SMB-sessie-inventarisatie wordt uitgevoerd op een domeincontroller.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), Systeemnetwerk Connections Detectie (T1049) |
| MITRE-aanvalssubtechniek | Domeinaccount (T1087.002) |
Verkenning van gebruikers- en groepslidmaatschap (SAMR) (externe id 2021)
Vorige naam: Reconnaissance met behulp van Directory Services-query's
Ernst: gemiddeld
Beschrijving:
Reconnaissance van gebruikers- en groepslidmaatschappen worden door aanvallers gebruikt om de directorystructuur en doelaccounts toe te wijzen voor latere stappen in hun aanval. Het Sam-R-protocol (Security Account Manager Remote) is een van de methoden die worden gebruikt om een query uit te voeren op de map om dit type toewijzing uit te voeren. In deze detectie worden er geen waarschuwingen geactiveerd in de eerste maand nadat Defender for Identity is geïmplementeerd (leerperiode). Tijdens de leerperiode profileert Defender for Identity welke SAM-R-query's worden gemaakt van welke computers, zowel opsomming als afzonderlijke query's van gevoelige accounts.
Leerperiode:
Vier weken per domeincontroller vanaf de eerste netwerkactiviteit van SAMR op de specifieke domeincontroller.
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), Machtiging Groepen Detectie (T1069) |
| MITRE-aanvalssubtechniek | Domeinaccount (T1087.002), domeingroep (T1069.002) |
Voorgestelde stappen voor preventie:
- Pas netwerktoegang toe en beperk clients die externe aanroepen mogen uitvoeren naar SAM-groepsbeleid.
Active Directory-kenmerken reconnaissance (LDAP) (externe id 2210)
Ernst: gemiddeld
Beschrijving:
Active Directory LDAP-reconnaissance wordt gebruikt door aanvallers om kritieke informatie over de domeinomgeving te verkrijgen. Deze informatie kan aanvallers helpen bij het toewijzen van de domeinstructuur en het identificeren van bevoegde accounts voor gebruik in latere stappen in hun kill chain voor aanvallen. Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om query's uit te voeren op Active Directory.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), indirecte opdrachtuitvoering (T1202), machtiging Groepen detectie (T1069) |
| MITRE-aanvalssubtechniek | Domeinaccount (T1087.002), Domein Groepen (T1069.002) |
Honeytoken is opgevraagd via SAM-R (externe id 2439)
Urgentieniveau: laag
Beschrijving:
Gebruikersverkenning wordt gebruikt door aanvallers om de directorystructuur en doelaccounts toe te wijzen voor latere stappen in hun aanval. Het Sam-R-protocol (Security Account Manager Remote) is een van de methoden die worden gebruikt om een query uit te voeren op de map om dit type toewijzing uit te voeren. In deze detectie activeert Microsoft Defender for Identity deze waarschuwing voor reconnaissance-activiteiten tegen een vooraf geconfigureerde honeytoken-gebruiker
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| MITRE-aanvalssubtechniek | Domeinaccount (T1087.002) |
Honeytoken is opgevraagd via LDAP (externe id 2429)
Urgentieniveau: laag
Beschrijving:
Gebruikersverkenning wordt gebruikt door aanvallers om de directorystructuur en doelaccounts toe te wijzen voor latere stappen in hun aanval. Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om query's uit te voeren op Active Directory.
In deze detectie activeert Microsoft Defender for Identity deze waarschuwing voor verkenningsactiviteiten voor een vooraf geconfigureerde honeytoken-gebruiker.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| MITRE-aanvalssubtechniek | Domeinaccount (T1087.002) |
Opsomming van verdacht Okta-account
Ernst: Hoog
Beschrijving:
In de accountinventarisatie proberen aanvallers gebruikersnamen te raden door aanmeldingen uit te voeren bij Okta met gebruikers die niet tot de organisatie behoren. We raden u aan om het bron-IP-adres te onderzoeken en de mislukte pogingen uit te voeren en te bepalen of ze legitiem zijn of niet.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Initiële toegang (TA0001), Defense Evasion (TA0005), Persistentie (TA0003), Escalatie van bevoegdheden (TA0004) |
|---|---|
| MITRE-aanvalstechniek | Geldige accounts (T1078) |
| MITRE-aanvalssubtechniek | Cloudaccounts (T1078.004) |