Alertas de reconhecimento e deteção
Normalmente, os ciberataques são lançados contra qualquer entidade acessível, como um utilizador com privilégios baixos e, em seguida, movem-se rapidamente lateralmente até que o atacante obtenha acesso a ativos valiosos. Os recursos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. Microsoft Defender para Identidade identifica estas ameaças avançadas na origem ao longo de toda a cadeia de eliminação de ataques e classifica-as nas seguintes fases:
- Reconhecimento e deteção
- Alertas de persistência e escalamento de privilégios
- Alertas de acesso a credenciais
- Alertas de movimento lateral
- Outros alertas
Para saber mais sobre como compreender a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, veja Compreender os alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP),Positivo verdadeiro benigno (B-TP) e Falso positivo (FP),veja Classificações de alertas de segurança.
Os seguintes alertas de segurança ajudam-no a identificar e remediar atividades suspeitas da fase de reconhecimento e deteção detetadas pelo Defender para Identidade na sua rede.
O reconhecimento e a deteção consistem em técnicas que um adversário pode utilizar para obter conhecimentos sobre o sistema e a rede interna. Estas técnicas ajudam os adversários a observar o ambiente e a orientarem-se antes de decidirem como agir. Também permitem que os adversários explorem o que podem controlar e o que está à volta do seu ponto de entrada para descobrir como poderia beneficiar o seu objetivo atual. As ferramentas do sistema operativo nativo são frequentemente utilizadas para este objetivo de recolha de informações pós-comprometimento. No Microsoft Defender para Identidade, estes alertas normalmente envolvem a enumeração da conta interna com técnicas diferentes.
Reconhecimento de enumeração de conta (ID externo 2003)
Nome anterior: Reconhecimento através da enumeração de conta
Severidade: média
Descrição:
No reconhecimento da enumeração de contas, um atacante utiliza um dicionário com milhares de nomes de utilizador ou ferramentas como KrbGuess numa tentativa de adivinhar nomes de utilizador no domínio.
Kerberos: o atacante faz pedidos Kerberos com estes nomes para tentar encontrar um nome de utilizador válido no domínio. Quando uma estimativa determina com êxito um nome de utilizador, o atacante obtém a Pré-autenticação necessária em vez do erro Kerberos desconhecido do principal de segurança .
NTLM: o atacante faz pedidos de autenticação NTLM com o dicionário de nomes para tentar encontrar um nome de utilizador válido no domínio. Se uma estimativa determinar com êxito um nome de utilizador, o atacante obtém o erro WrongPassword (0xc000006a) em vez do erro NTLM NoSuchUser (0xc0000064).
Nesta deteção de alerta, o Defender para Identidade deteta a origem do ataque de enumeração da conta, o número total de tentativas de adivinhação e quantas tentativas foram correspondidas. Se existirem demasiados utilizadores desconhecidos, o Defender para Identidade deteta-o como uma atividade suspeita. O alerta baseia-se em eventos de autenticação de sensores em execução no controlador de domínio e servidores AD FS/AD CS.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Conta (T1087) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002) |
Passos sugeridos para a prevenção:
- Impor palavras-passe complexas e longas na organização. As palavras-passe complexas e longas fornecem o primeiro nível de segurança necessário contra ataques de força bruta. Os ataques de força bruta são normalmente o próximo passo na cadeia de eliminação de ciberataques após a enumeração.
Reconhecimento de Enumeração de Conta (LDAP) (ID externo 2437) (Pré-visualização)
Severidade: média
Descrição:
No reconhecimento da enumeração de contas, um atacante utiliza um dicionário com milhares de nomes de utilizador ou ferramentas como Ldapnomnom numa tentativa de adivinhar nomes de utilizador no domínio.
LDAP: o atacante faz pedidos de Ping LDAP (cLDAP) com estes nomes para tentar encontrar um nome de utilizador válido no domínio. Se um palpite determinar com êxito um nome de utilizador, o atacante poderá receber uma resposta a indicar que o utilizador existe no domínio.
Nesta deteção de alerta, o Defender para Identidade deteta a origem do ataque de enumeração da conta, o número total de tentativas de adivinhação e quantas tentativas foram correspondidas. Se existirem demasiados utilizadores desconhecidos, o Defender para Identidade deteta-o como uma atividade suspeita. O alerta baseia-se em atividades de pesquisa LDAP de sensores em execução em servidores de controlador de domínio.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Conta (T1087) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002) |
Reconhecimento de mapeamento de rede (DNS) (ID externo 2007)
Nome anterior: Reconhecimento através de DNS
Severidade: média
Descrição:
O servidor DNS contém um mapa de todos os computadores, endereços IP e serviços na sua rede. Estas informações são utilizadas pelos atacantes para mapear a sua estrutura de rede e direcionar computadores interessantes para passos posteriores no ataque.
Existem vários tipos de consulta no protocolo DNS. Este alerta de segurança do Defender para Identidade deteta pedidos suspeitos, pedidos que utilizam um AXFR (transferência) proveniente de servidores não DNS ou aqueles que utilizam um número excessivo de pedidos.
Período de aprendizagem:
Este alerta tem um período de aprendizagem de oito dias desde o início da monitorização do controlador de domínio.
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Conta (T1087), Análise de Serviços de Rede (T1046), DeteçãoRemota do Sistema (T1018) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
É importante evitar ataques futuros com consultas AXFR ao proteger o servidor DNS interno.
- Proteja o servidor DNS interno para impedir o reconhecimento através do DNS ao desativar as transferências de zona ou ao restringir as transferências de zona apenas para endereços IP especificados. Modificar transferências de zona é uma tarefa entre uma lista de verificação que deve ser abordada para proteger os servidores DNS de ataques internos e externos.
Reconhecimento de endereços IP e de utilizador (SMB) (ID externo 2012)
Nome anterior: Reconhecimento com a Enumeração de Sessões SMB
Severidade: média
Descrição:
A enumeração com o protocolo SMB (Server Message Block) permite que os atacantes obtenham informações sobre onde os utilizadores iniciaram sessão recentemente. Assim que os atacantes tiverem estas informações, podem mover-se lateralmente na rede para aceder a uma conta confidencial específica.
Nesta deteção, é acionado um alerta quando uma enumeração de sessão SMB é efetuada num controlador de domínio.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Contas (T1087), Deteção de Connections de Rede do Sistema (T1049) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002) |
Reconhecimento de associação de utilizadores e grupos (SAMR) (ID externo 2021)
Nome anterior: Reconhecimento através de consultas de serviços de diretório
Severidade: média
Descrição:
O reconhecimento da associação de utilizadores e grupos é utilizado pelos atacantes para mapear a estrutura do diretório e as contas privilegiadas de destino para passos posteriores no ataque. O protocolo SAM-R (Security Account Manager Remote) é um dos métodos utilizados para consultar o diretório para executar este tipo de mapeamento. Nesta deteção, não são acionados alertas no primeiro mês após a implementação do Defender para Identidade (período de aprendizagem). Durante o período de aprendizagem, o Defender para Identidade cria perfis que são feitas consultas SAM-R a partir dos quais os computadores, tanto a enumeração como as consultas individuais de contas confidenciais.
Período de aprendizagem:
Quatro semanas por controlador de domínio a partir da primeira atividade de rede de SAMR em relação ao DC específico.
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Conta (T1087), Grupos Deteção de Permissões (T1069) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002), Grupo de Domínios (T1069.002) |
Passos sugeridos para a prevenção:
- Aplique o acesso à rede e restrinja os clientes autorizados a efetuar chamadas remotas para a política de grupo SAM.
Reconhecimento de atributos do Active Directory (LDAP) (ID externo 2210)
Severidade: média
Descrição:
O reconhecimento LDAP do Active Directory é utilizado pelos atacantes para obter informações críticas sobre o ambiente de domínio. Estas informações podem ajudar os atacantes a mapear a estrutura de domínio, bem como identificar contas privilegiadas para utilização em passos posteriores na cadeia de eliminação de ataques. O LDAP (Lightweight Directory Access Protocol) é um dos métodos mais populares utilizados para fins legítimos e maliciosos para consultar o Active Directory.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Conta (T1087), Execução de Comandos Indiretos (T1202), Permissão Grupos Deteção (T1069) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002), Grupos de Domínio (T1069.002) |
Honeytoken foi consultado através de SAM-R (ID externo 2439)
Gravidade: baixa
Descrição:
O reconhecimento de utilizadores é utilizado pelos atacantes para mapear a estrutura do diretório e as contas privilegiadas de destino para passos posteriores no ataque. O protocolo SAM-R (Security Account Manager Remote) é um dos métodos utilizados para consultar o diretório para executar este tipo de mapeamento. Nesta deteção, Microsoft Defender para Identidade acionará este alerta para quaisquer atividades de reconhecimento contra um utilizador honeytoken pré-configurado
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Conta (T1087) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002) |
Honeytoken foi consultado através de LDAP (ID externo 2429)
Gravidade: baixa
Descrição:
O reconhecimento de utilizadores é utilizado pelos atacantes para mapear a estrutura do diretório e as contas privilegiadas de destino para passos posteriores no ataque. O LDAP (Lightweight Directory Access Protocol) é um dos métodos mais populares utilizados para fins legítimos e maliciosos para consultar o Active Directory.
Nesta deteção, Microsoft Defender para Identidade acionará este alerta para quaisquer atividades de reconhecimento contra um utilizador honeytoken pré-configurado.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Deteção (TA0007) |
|---|---|
| Técnica de ataque MITRE | Deteção de Conta (T1087) |
| Sub-técnica de ataque MITRE | Conta de Domínio (T1087.002) |
Enumeração suspeita da conta Okta
Gravidade: Elevada
Descrição:
Na enumeração de contas, os atacantes tentarão adivinhar os nomes de utilizador ao efetuar inícios de sessão no Okta com utilizadores que não pertencem à organização. Recomendamos que investigue o IP de origem que executa as tentativas falhadas e determine se são legítimas ou não.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Acesso Inicial (TA0001), Evasão de Defesa (TA0005), Persistência (TA0003), Escalamento de Privilégios (TA0004) |
|---|---|
| Técnica de ataque MITRE | Contas Válidas (T1078) |
| Sub-técnica de ataque MITRE | Contas na Cloud (T1078.004) |