Inne alerty zabezpieczeń
Zazwyczaj ataki cybernetyczne są uruchamiane przeciwko dowolnej dostępnej jednostce, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, dopóki osoba atakująca nie uzyska dostępu do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabijania ataków i klasyfikuje je w następujących fazach:
- Alerty rekonesansu i odnajdywania
- Alerty eskalacji trwałości i uprawnień
- Alerty dostępu poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Inne
Aby dowiedzieć się więcej o tym, jak zrozumieć strukturę i typowe składniki wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat wartości prawdziwie dodatnich (TP),niegroźnych prawdziwie dodatnich (B-TP) i fałszywie dodatnich (FP), zobacz klasyfikacje alertów zabezpieczeń.
Następujące alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie innych podejrzanych działań fazy wykrytych przez usługę Defender for Identity w sieci.
Podejrzenie ataku DCShadow (podwyższanie poziomu kontrolera domeny) (identyfikator zewnętrzny 2028)
Poprzednia nazwa: Podejrzane podwyższanie poziomu kontrolera domeny (potencjalny atak DCShadow)
Ważność: wysoka
Opis:
Atak w tle kontrolera domeny (DCShadow) to atak mający na celu zmianę obiektów katalogów przy użyciu złośliwej replikacji. Ten atak można wykonać z dowolnej maszyny przez utworzenie nieautoryzowanego kontrolera domeny przy użyciu procesu replikacji.
W ataku DCShadow RPC i LDAP są używane do:
- Zarejestruj konto komputera jako kontroler domeny (przy użyciu praw administratora domeny).
- Wykonaj replikację (przy użyciu przyznanych praw do replikacji) za pośrednictwem interfejsu DRSUAPI i wyślij zmiany do obiektów katalogu.
W przypadku wykrywania tożsamości w usłudze Defender alert zabezpieczeń jest wyzwalany, gdy maszyna w sieci próbuje zarejestrować się jako nieautoryzowany kontroler domeny.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Technika ataku MITRE | Nieautoryzowany kontroler domeny (T1207) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
Zweryfikuj następujące uprawnienia:
- Replikowanie zmian katalogu.
- Replikowanie katalogu zmienia wszystko.
- Aby uzyskać więcej informacji, zobacz Udzielanie Active Directory Domain Services uprawnień do synchronizacji profilu w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt Windows PowerShell, aby określić, kto ma te uprawnienia w domenie.
Uwaga
Alerty dotyczące podwyższania poziomu podejrzanego kontrolera domeny (potencjalnego ataku DCShadow) są obsługiwane tylko przez czujniki usługi Defender for Identity.
Podejrzenie ataku DCShadow (żądanie replikacji kontrolera domeny) (identyfikator zewnętrzny 2029)
Poprzednia nazwa: Podejrzane żądanie replikacji (potencjalny atak DCShadow)
Ważność: wysoka
Opis:
Replikacja usługi Active Directory to proces, w którym zmiany wprowadzone na jednym kontrolerze domeny są synchronizowane z innymi kontrolerami domeny. Po uzyskaniu niezbędnych uprawnień osoby atakujące mogą przyznawać prawa do swojego konta komputera, umożliwiając im personifikowanie kontrolera domeny. Osoby atakujące dążą do zainicjowania złośliwego żądania replikacji, umożliwiając im zmianę obiektów usługi Active Directory na oryginalnym kontrolerze domeny, co może zapewnić trwałość osób atakujących w domenie. Podczas tego wykrywania alert jest wyzwalany, gdy zostanie wygenerowane podejrzane żądanie replikacji względem oryginalnego kontrolera domeny chronionego przez usługę Defender for Identity. To zachowanie wskazuje na techniki używane w atakach w tle kontrolera domeny.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Technika ataku MITRE | Nieautoryzowany kontroler domeny (T1207) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane korygowanie i kroki zapobiegania:
Zweryfikuj następujące uprawnienia:
- Replikowanie zmian katalogu.
- Replikowanie katalogu zmienia wszystko.
- Aby uzyskać więcej informacji, zobacz Udzielanie Active Directory Domain Services uprawnień do synchronizacji profilu w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt Windows PowerShell, aby określić, kto w domenie ma te uprawnienia.
Uwaga
Alerty dotyczące podejrzanego żądania replikacji (potencjalnego ataku DCShadow) są obsługiwane tylko przez czujniki usługi Defender for Identity.
Podejrzane połączenie sieci VPN (identyfikator zewnętrzny 2025)
Poprzednia nazwa: Podejrzane połączenie sieci VPN
Ważność: średnia
Opis:
Usługa Defender for Identity poznaje zachowanie jednostki dla użytkowników połączeń sieci VPN w okresie przesuwnym wynoszącym jeden miesiąc.
Model zachowania sieci VPN jest oparty na maszynach, z których logują się użytkownicy, oraz lokalizacjach, z których użytkownicy się łączą.
Alert jest otwierany w przypadku odchylenia od zachowania użytkownika opartego na algorytmie uczenia maszynowego.
Okres nauki:
30 dni od pierwszego połączenia sieci VPN i co najmniej 5 połączeń sieci VPN w ciągu ostatnich 30 dni na użytkownika.
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Pomocnicza taktyka MITRE | Trwałość (TA0003) |
| Technika ataku MITRE | Zewnętrzne usługi zdalne (T1133) |
| Podsieć ataku MITRE | Nie dotyczy |
Zdalna próba wykonania kodu (identyfikator zewnętrzny 2019)
Poprzednia nazwa: Zdalna próba wykonania kodu
Ważność: średnia
Opis:
Osoby atakujące, które naruszają poświadczenia administracyjne lub używają luki w zabezpieczeniach zerowym dniem, mogą wykonywać polecenia zdalne na kontrolerze domeny lub na serwerze usług AD FS/AD CS. Może to służyć do uzyskiwania trwałości, zbierania informacji, ataków typu "odmowa usługi" (DOS) lub innych przyczyn. Usługa Defender for Identity wykrywa połączenia PSexec, Remote WMI i PowerShell.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Wykonanie (TA0002) |
|---|---|
| Pomocnicza taktyka MITRE | Ruch boczny (TA0008) |
| Technika ataku MITRE | Interpreter poleceń i skryptów (T1059),usługi zdalne (T1021) |
| Podsieć ataku MITRE | PowerShell (T1059.001),zdalne zarządzanie systemem Windows (T1021.006) |
Sugerowane kroki zapobiegania:
- Ogranicz dostęp zdalny do kontrolerów domeny z maszyn spoza warstwy 0.
- Zaimplementuj dostęp uprzywilejowany, umożliwiając administratorom łączenie się tylko z kontrolerami domeny ze wzmocnionymi zabezpieczeniami.
- Zaimplementuj mniej uprzywilejowany dostęp na maszynach domeny, aby umożliwić określonym użytkownikom prawo do tworzenia usług.
Uwaga
Alerty dotyczące prób zdalnego wykonywania kodu podczas próby użycia poleceń programu PowerShell są obsługiwane tylko przez czujniki usługi Defender for Identity.
Podejrzane tworzenie usługi (identyfikator zewnętrzny 2026)
Poprzednia nazwa: Podejrzane tworzenie usługi
Ważność: średnia
Opis:
Na kontrolerze domeny lub serwerze usług AD FS/AD CS w organizacji utworzono podejrzaną usługę. Ten alert opiera się na zdarzeniu 7045 w celu zidentyfikowania tego podejrzanego działania.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Wykonanie (TA0002) |
|---|---|
| Pomocnicza taktyka MITRE | Trwałość (TA0003),eskalacja uprawnień (TA0004),uchylanie się od obrony (TA0005), ruch boczny (TA0008) |
| Technika ataku MITRE | Usługi zdalne (T1021),interpreter poleceń i skryptów (T1059),usługi systemowe (T1569),tworzenie lub modyfikowanie procesu systemowego (T1543) |
| Podsieć ataku MITRE | Wykonywanie usługi (T1569.002),usługa systemu Windows (T1543.003) |
Sugerowane kroki zapobiegania:
- Ogranicz dostęp zdalny do kontrolerów domeny z maszyn spoza warstwy 0.
- Zaimplementuj dostęp uprzywilejowany , aby umożliwić administratorom nawiązywanie połączenia tylko z kontrolerami domeny ze wzmocnionymi zabezpieczeniami.
- Zaimplementuj mniej uprzywilejowany dostęp na maszynach domeny, aby przyznać tylko określonym użytkownikom prawo do tworzenia usług.
Podejrzana komunikacja za pośrednictwem systemu DNS (identyfikator zewnętrzny 2031)
Poprzednia nazwa: Podejrzana komunikacja za pośrednictwem systemu DNS
Ważność: średnia
Opis:
Protokół DNS w większości organizacji zwykle nie jest monitorowany i rzadko blokowany pod kątem złośliwych działań. Włączenie osoby atakującej na maszynie, na która została naruszona, w celu nadużycia protokołu DNS. Złośliwa komunikacja za pośrednictwem systemu DNS może służyć do eksfiltracji danych, poleceń i kontroli oraz/lub unikania ograniczeń sieci firmowej.
Okres nauki:
Brak
MITRE:
Eksfiltracja danych za pośrednictwem protokołu SMB (identyfikator zewnętrzny 2030)
Ważność: wysoka
Opis:
Kontrolery domeny przechowują najbardziej poufne dane organizacyjne. W przypadku większości osób atakujących jednym z ich najważniejszych priorytetów jest uzyskanie dostępu do kontrolera domeny w celu kradzieży najbardziej poufnych danych. Na przykład eksfiltracja pliku Ntds.dit przechowywanego na kontrolerze domeny umożliwia osobie atakującej sfałszowanie biletu Kerberos udzielającego biletów (TGT) zapewniającego autoryzację do dowolnego zasobu. Sfałszowane TTT protokołu Kerberos umożliwiają atakującemu ustawienie wygaśnięcia biletu na dowolny czas. Eksfiltracja danych usługi Defender for Identity za pośrednictwem alertu SMB jest wyzwalana, gdy podejrzane transfery danych są obserwowane z monitorowanych kontrolerów domeny.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Eksfiltracja (TA0010) |
|---|---|
| Pomocnicza taktyka MITRE | Ruch boczny (TA0008),polecenie i kontrola (TA0011) |
| Technika ataku MITRE | Eksfiltracja za pośrednictwem protokołu alternatywnego (T1048),transfer narzędzi bocznych (T1570) |
| Podsieć ataku MITRE | Eksfiltracja za pośrednictwem protokołu Nieszyfrowane/Zaciemnione inne niż C2 (T1048.003) |
Podejrzane usunięcie wpisów bazy danych certyfikatów (identyfikator zewnętrzny 2433)
Ważność: średnia
Opis:
Usunięcie wpisów bazy danych certyfikatów jest czerwoną flagą wskazującą potencjalne złośliwe działanie. Ten atak może zakłócić działanie systemów infrastruktury kluczy publicznych (PKI), wpływając na uwierzytelnianie i integralność danych.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Technika ataku MITRE | Usuwanie wskaźnika (T1070) |
| Podsieć ataku MITRE | Nie dotyczy |
Uwaga
Alerty dotyczące podejrzanego usuwania wpisów bazy danych certyfikatów są obsługiwane tylko przez czujniki usługi Defender for Identity w usłudze AD CS.
Podejrzane wyłączenie filtrów inspekcji usługi AD CS (identyfikator zewnętrzny 2434)
Ważność: średnia
Opis:
Wyłączenie filtrów inspekcji w usłudze AD CS może umożliwić osobom atakującym działanie bez wykrycia. Ten atak ma na celu uniknięcie monitorowania zabezpieczeń przez wyłączenie filtrów, które w przeciwnym razie oznaczałyby podejrzane działania.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Technika ataku MITRE | Upośledzone zabezpieczenia (T1562) |
| Podsieć ataku MITRE | Wyłącz rejestrowanie zdarzeń systemu Windows (T1562.002) |
Zmiana hasła trybu przywracania usług katalogowych (identyfikator zewnętrzny 2438)
Ważność: średnia
Opis:
Tryb przywracania usług katalogowych (DSRM) to specjalny tryb rozruchu w systemach operacyjnych microsoft Windows Server, który umożliwia administratorowi naprawę lub przywrócenie bazy danych usługi Active Directory. Ten tryb jest zwykle używany, gdy występują problemy z usługą Active Directory i normalne uruchamianie nie jest możliwe. Hasło DSRM jest ustawiane podczas podwyższania poziomu serwera do kontrolera domeny. Podczas tego wykrywania alert jest wyzwalany, gdy usługa Defender for Identity wykryje zmianę hasła DSRM. Zalecamy zbadanie komputera źródłowego i użytkownika, który złożył żądanie w celu zrozumienia, czy zmiana hasła DSRM została zainicjowana w wyniku uzasadnionej akcji administracyjnej lub jeśli budzi ona obawy dotyczące nieautoryzowanego dostępu lub potencjalnych zagrożeń bezpieczeństwa.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Trwałość (TA0003) |
|---|---|
| Technika ataku MITRE | Manipulowanie kontami (T1098) |
| Podsieć ataku MITRE | Nie dotyczy |
Możliwa kradzież sesji Okta
Ważność: wysoka
Opis:
W przypadku kradzieży sesji osoby atakujące kradną pliki cookie legalnego użytkownika i używają ich z innych lokalizacji. Zalecamy zbadanie źródłowego adresu IP wykonującego operacje w celu ustalenia, czy te operacje są uzasadnione, czy nie, oraz czy adres IP jest używany przez użytkownika.
Okres nauki:
2 tygodnie
MITRE:
| Podstawowa taktyka MITRE | Kolekcja (TA0009) |
|---|---|
| Technika ataku MITRE | Przejmowanie sesji przeglądarki (T1185) |
| Podsieć ataku MITRE | Nie dotyczy |
zasady grupy manipulowanie (identyfikator zewnętrzny 2440) (wersja zapoznawcza)
Ważność: średnia
Opis:
Wykryto podejrzaną zmianę w zasady grupy, co spowodowało dezaktywację systemu Windows Program antywirusowy Defender. To działanie może wskazywać na naruszenie zabezpieczeń przez osobę atakującą z podwyższonym poziomem uprawnień, która może ustawić etap dystrybucji oprogramowania wymuszającego okup.
Sugerowane kroki badania:
Dowiedz się, czy zmiana obiektu zasad grupy jest uzasadniona
Jeśli tak nie było, przywróć zmianę
Informacje o sposobie połączenia zasad grupy w celu oszacowania zakresu ich wpływu
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Uchylanie się od obrony (TA0005) |
|---|---|
| Technika ataku MITRE | Odwróć kontrolki zaufania (T1553) |
| Technika ataku MITRE | Odwróć kontrolki zaufania (T1553) |
| Podsieć ataku MITRE | Nie dotyczy |