Alerty rekonesansu i odnajdywania
Zazwyczaj ataki cybernetyczne są uruchamiane przeciwko dowolnej dostępnej jednostce, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, dopóki osoba atakująca nie uzyska dostępu do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabijania ataków i klasyfikuje je w następujących fazach:
- Rekonesans i odnajdywanie
- Alerty eskalacji trwałości i uprawnień
- Alerty dostępu poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Inne alerty
Aby dowiedzieć się więcej o tym, jak zrozumieć strukturę i typowe składniki wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat wartości prawdziwie dodatnich (TP),niegroźnych prawdziwie dodatnich (B-TP) i fałszywie dodatnich (FP), zobacz klasyfikacje alertów zabezpieczeń.
Następujące alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie podejrzanych działań w fazie rekonesansu i odnajdywania wykrytych przez usługę Defender for Identity w sieci.
Rekonesans i odnajdywanie składają się z technik, których przeciwnik może użyć, aby uzyskać wiedzę na temat systemu i sieci wewnętrznej. Techniki te pomagają przeciwnikom obserwować środowisko i zorientować się przed podjęciem decyzji, jak działać. Pozwalają one również przeciwnikom zbadać, co mogą kontrolować i co jest wokół ich punktu wejścia, aby dowiedzieć się, jak może to przynieść korzyści ich obecnemu celowi. Narzędzia natywne systemu operacyjnego są często używane w celu gromadzenia informacji po naruszeniach zabezpieczeń. W Microsoft Defender for Identity te alerty zwykle obejmują wewnętrzne wyliczenie konta przy użyciu różnych technik.
Rekonesans wyliczania konta (identyfikator zewnętrzny 2003)
Poprzednia nazwa: Rekonesans przy użyciu wyliczenia konta
Ważność: średnia
Opis:
Podczas rekonesansu wyliczania konta osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak KrbGuess, w celu odgadnięcia nazw użytkowników w domenie.
Kerberos: osoba atakująca wysyła żądania Kerberos przy użyciu tych nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Po pomyślnym określeniu nazwy użytkownika osoba atakująca otrzymuje wymagane wstępne uwierzytelnianie zamiast nieznanego błędu Kerberos podmiotu zabezpieczeń .
NTLM: Osoba atakująca wysyła żądania uwierzytelniania NTLM przy użyciu słownika nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Jeśli odgadnięcie pomyślnie określi nazwę użytkownika, osoba atakująca otrzyma błąd WrongPassword (0xc000006a) zamiast błędu NTLM NoSuchUser (0xc0000064).
W tym wykrywaniu alertów usługa Defender for Identity wykrywa, skąd pochodzi atak wyliczania konta, łączną liczbę prób odgadnięcia i liczbę prób dopasowania. Jeśli jest zbyt wielu nieznanych użytkowników, usługa Defender for Identity wykrywa go jako podejrzane działanie. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS/AD CS.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087) |
| Podsieć ataku MITRE | Konto domeny (T1087.002) |
Sugerowane kroki zapobiegania:
- Wymuszaj złożone i długie hasła w organizacji. Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi. Ataki siłowe są zazwyczaj kolejnym krokiem w łańcuchu zabijania ataków cybernetycznych po wyliczeniu.
Rekonesans wyliczenia konta (LDAP) (identyfikator zewnętrzny 2437) (wersja zapoznawcza)
Ważność: średnia
Opis:
Podczas rekonesansu wyliczania konta osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak Ldapnomnom, w celu odgadnięcia nazw użytkowników w domenie.
LDAP: Osoba atakująca wysyła żądania ping LDAP (cLDAP) przy użyciu tych nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Jeśli odgadnięcie pomyślnie określi nazwę użytkownika, osoba atakująca może otrzymać odpowiedź wskazującą, że użytkownik istnieje w domenie.
W tym wykrywaniu alertów usługa Defender for Identity wykrywa, skąd pochodzi atak wyliczania konta, łączną liczbę prób odgadnięcia i liczbę prób dopasowania. Jeśli jest zbyt wielu nieznanych użytkowników, usługa Defender for Identity wykrywa go jako podejrzane działanie. Alert jest oparty na działaniach wyszukiwania LDAP z czujników uruchomionych na serwerach kontrolera domeny.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087) |
| Podsieć ataku MITRE | Konto domeny (T1087.002) |
Rekonesans mapowania sieci (DNS) (identyfikator zewnętrzny 2007)
Poprzednia nazwa: Rekonesans przy użyciu systemu DNS
Ważność: średnia
Opis:
Serwer DNS zawiera mapę wszystkich komputerów, adresów IP i usług w sieci. Te informacje są używane przez osoby atakujące do mapowania struktury sieci i kierowania interesujących komputerów do późniejszych kroków ataku.
W protokole DNS istnieje kilka typów zapytań. Ten alert zabezpieczeń usługi Defender for Identity wykrywa podejrzane żądania, żądania używające protokołu AXFR (transfer) pochodzącego z serwerów innych niż DNS lub używające nadmiernej liczby żądań.
Okres nauki:
Ten alert ma osiem dni od rozpoczęcia monitorowania kontrolera domeny.
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087),skanowanie usługi sieciowej (T1046),zdalne odnajdywanie systemu (T1018) |
| Podsieć ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
Ważne jest, aby zapobiegać przyszłym atakom przy użyciu zapytań AXFR przez zabezpieczenie wewnętrznego serwera DNS.
- Zabezpiecz wewnętrzny serwer DNS, aby zapobiec rekonesansowi przy użyciu systemu DNS, wyłączając transfery stref lub ograniczając transfery stref tylko do określonych adresów IP. Modyfikowanie transferów stref jest jednym z zadań na liście kontrolnej, którą należy zająć się zabezpieczaniem serwerów DNS przed atakami wewnętrznymi i zewnętrznymi.
Rekonesans adresów IP i użytkowników (SMB) (identyfikator zewnętrzny 2012)
Poprzednia nazwa: Rekonesans przy użyciu wyliczenia sesji SMB
Ważność: średnia
Opis:
Wyliczenie przy użyciu protokołu Bloku komunikatów serwera (SMB) umożliwia osobom atakującym uzyskanie informacji o tym, gdzie użytkownicy ostatnio się logują. Gdy osoby atakujące mają te informacje, mogą przenieść się później w sieci, aby przejść do określonego konta poufnego.
W przypadku tego wykrywania alert jest wyzwalany po wykonaniu wyliczenia sesji SMB względem kontrolera domeny.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087),odnajdywanie Connections sieci systemowej (T1049) |
| Podsieć ataku MITRE | Konto domeny (T1087.002) |
Rekonesans członkostwa użytkowników i grup (SAMR) (identyfikator zewnętrzny 2021)
Poprzednia nazwa: Rekonesans przy użyciu zapytań usług katalogowych
Ważność: średnia
Opis:
Rekonesans członkostwa użytkowników i grup jest używany przez osoby atakujące do mapowania struktury katalogów i kierowania uprzywilejowanych kont na późniejsze kroki ataku. Protokół Zdalny menedżera kont zabezpieczeń (SAM-R) jest jedną z metod używanych do wykonywania zapytań względem katalogu w celu wykonania tego typu mapowania. W przypadku tego wykrywania żadne alerty nie są wyzwalane w pierwszym miesiącu po wdrożeniu usługi Defender for Identity (okres nauki). W okresie nauki usługa Defender for Identity profiluje zapytania SAM-R, na podstawie których są tworzone komputery, zarówno wyliczenie, jak i pojedyncze zapytania dotyczące poufnych kont.
Okres nauki:
Cztery tygodnie na kontroler domeny, począwszy od pierwszego działania sieci samr względem określonego kontrolera domeny.
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087),uprawnienia Grupy odnajdywania (T1069) |
| Podsieć ataku MITRE | Konto domeny (T1087.002),grupa domeny (T1069.002) |
Sugerowane kroki zapobiegania:
- Zastosuj dostęp do sieci i ogranicz klientów, którzy mogą wykonywać zdalne wywołania zasad grupy SAM.
Rekonesans atrybutów usługi Active Directory (LDAP) (identyfikator zewnętrzny 2210)
Ważność: średnia
Opis:
Rekonesans LDAP usługi Active Directory jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. Te informacje mogą pomóc osobom atakującym w mapowaniu struktury domeny, a także identyfikowaniu uprzywilejowanych kont do użycia w późniejszych krokach łańcucha ataków. Protokół LDAP (Lightweight Directory Access Protocol) jest jedną z najpopularniejszych metod używanych zarówno do celów uzasadnionych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087),pośrednie wykonywanie poleceń (T1202),uprawnienie Grupy odnajdywanie (T1069) |
| Podsieć ataku MITRE | Konto domeny (T1087.002),Grupy domeny (T1069.002) |
Kwerenda honeytoken była wysyłana za pośrednictwem języka SAM-R (identyfikator zewnętrzny 2439)
Ważność: niska
Opis:
Rekonesans użytkowników jest używany przez osoby atakujące do mapowania struktury katalogów i kierowania uprzywilejowanych kont na późniejsze kroki ataku. Protokół Zdalny menedżera kont zabezpieczeń (SAM-R) jest jedną z metod używanych do wykonywania zapytań względem katalogu w celu wykonania tego typu mapowania. W tym wykrywaniu Microsoft Defender for Identity wyzwoli ten alert dla wszelkich działań rekonesansu względem wstępnie skonfigurowanego użytkownika z błędem honeytoken
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087) |
| Podsieć ataku MITRE | Konto domeny (T1087.002) |
Kwerenda o honeytoken była wysyłana za pośrednictwem protokołu LDAP (identyfikator zewnętrzny 2429)
Ważność: niska
Opis:
Rekonesans użytkowników jest używany przez osoby atakujące do mapowania struktury katalogów i kierowania uprzywilejowanych kont na późniejsze kroki ataku. Protokół LDAP (Lightweight Directory Access Protocol) jest jedną z najpopularniejszych metod używanych zarówno do celów uzasadnionych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory.
W tym wykrywaniu Microsoft Defender for Identity wyzwoli ten alert dla wszelkich działań rekonesansu względem wstępnie skonfigurowanego użytkownika z błędem honeytoken.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie konta (T1087) |
| Podsieć ataku MITRE | Konto domeny (T1087.002) |
Podejrzane wyliczenie konta Okta
Ważność: wysoka
Opis:
W wyliczeniu konta osoby atakujące będą próbowały odgadnąć nazwy użytkowników, przeprowadzając logowania do usługi Okta z użytkownikami, którzy nie należą do organizacji. Zalecamy zbadanie źródłowego adresu IP wykonującego nieudane próby i określenie, czy są one uzasadnione, czy nie.
Okres nauki:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp początkowy (TA0001),uchylanie się od obrony (TA0005),trwałość (TA0003),eskalacja uprawnień (TA0004) |
|---|---|
| Technika ataku MITRE | Prawidłowe konta (T1078) |
| Podsieć ataku MITRE | Konta w chmurze (T1078.004) |