Другие оповещения системы безопасности
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются в боковом режиме, пока злоумышленник не получит доступ к ценным ресурсам. Ценными ресурсами могут быть конфиденциальные учетные записи, администраторы домена или высоко конфиденциальные данные. Microsoft Defender для удостоверений определяет эти сложные угрозы в источнике на протяжении всей цепочки уничтожения атак и классифицирует их на следующие этапы:
- Оповещения о рекогносцировках и обнаружении
- Оповещения о сохраняемости и эскалации привилегий
- Оповещения о доступе к учетным данным
- Оповещения о боковом перемещении
- Other
Дополнительные сведения о том, как понять структуру и общие компоненты всех оповещений системы безопасности Defender для удостоверений, см. в статье Общие сведения об оповещениях системы безопасности. Сведения о истинноположительных (TP),доброкачественных истинноположительных (B-TP) и ложноположительных срабатываниях (FP) см. в разделе Классификации оповещений системы безопасности.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия других этапов, обнаруженные Defender для удостоверений в сети.
Предполагаемая атака DCShadow (повышение уровня контроллера домена) (внешний идентификатор 2028)
Предыдущее имя: Подозрительное повышение уровня контроллера домена (потенциальная атака DCShadow)
Серьезность: высокая
Описание:
Теневая атака контроллера домена (DCShadow) — это атака, предназначенная для изменения объектов каталога с помощью вредоносной репликации. Эту атаку можно выполнить с любого компьютера, создав с помощью процесса репликации фальшивый контроллер домена.
В атаке DCShadow RPC и LDAP используются для:
- Зарегистрируйте учетную запись компьютера в качестве контроллера домена (используя права администратора домена).
- Выполните репликацию (используя предоставленные права репликации) по DRSUAPI и отправьте изменения в объекты каталога.
В этом обнаружении Defender для удостоверений оповещение системы безопасности активируется, когда компьютер в сети пытается зарегистрироваться в качестве незаконного контроллера домена.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Метод атаки MITRE | Контроллер домена rogue (T1207) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
Проверьте следующие разрешения:
- Репликация изменений каталога.
- Реплицировать все изменения каталога.
- Дополнительные сведения см. в статье Предоставление разрешений доменные службы Active Directory для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ad ACL или создать скрипт Windows PowerShell, чтобы определить, у кого есть эти разрешения в домене.
Примечание.
Оповещения о подозрительном повышении уровня контроллера домена (потенциальная атака DCShadow) поддерживаются только датчиками Defender для удостоверений.
Предполагаемая атака DCShadow (запрос на репликацию контроллера домена) (внешний идентификатор 2029)
Предыдущее имя: Подозрительный запрос на репликацию (потенциальная атака DCShadow)
Серьезность: высокая
Описание:
Репликация Active Directory — это процесс синхронизации изменений, внесенных на одном контроллере домена, с другими контроллерами домена. При необходимых разрешениях злоумышленники могут предоставить права для учетной записи компьютера, что позволяет им олицетворять контроллер домена. Злоумышленники стремятся инициировать вредоносный запрос на репликацию, позволяя им изменять объекты Active Directory на подлинном контроллере домена, что может обеспечить злоумышленникам сохраняемость в домене. В этом обнаружении оповещение активируется при создании подозрительного запроса репликации для подлинного контроллера домена, защищенного Defender для удостоверений. Поведение указывает на методы, используемые в атаках теневых контроллеров домена.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Метод атаки MITRE | Контроллер домена rogue (T1207) |
| Вложенная техника атаки MITRE | Н/Д |
Предлагаемое исправление и действия по предотвращению:
Проверьте следующие разрешения:
- Репликация изменений каталога.
- Реплицировать все изменения каталога.
- Дополнительные сведения см. в статье Предоставление разрешений доменные службы Active Directory для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения.
Примечание.
Оповещения о подозрительных запросах репликации (потенциальная атака DCShadow) поддерживаются только датчиками Defender для удостоверений.
Подозрительное VPN-подключение (внешний идентификатор 2025)
Предыдущее имя: Подозрительное VPN-подключение
Серьезность: средний уровень
Описание:
Defender для удостоверений изучает поведение сущности для VPN-подключений пользователей в течение одного месяца.
Модель поведения VPN основана на компьютерах, в которые входят пользователи, и расположениях, из которые пользователи подключаются.
Оповещение открывается при отклонении от поведения пользователя на основе алгоритма машинного обучения.
Период обучения:
30 дней с момента первого VPN-подключения и по крайней мере 5 VPN-подключений за последние 30 дней на пользователя.
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Вторичная тактика MITRE | Сохраняемость (TA0003) |
| Метод атаки MITRE | Внешние удаленные службы (T1133) |
| Вложенная техника атаки MITRE | Н/Д |
Попытка удаленного выполнения кода (внешний идентификатор 2019)
Предыдущее имя: Попытка удаленного выполнения кода
Серьезность: средний уровень
Описание:
Злоумышленники, которые компрометируют учетные данные администратора или используют эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена или сервере AD FS или AD CS. Это можно использовать для получения сохраняемой информации, сбора информации, атак типа "отказ в обслуживании" (DOS) или по любой другой причине. Defender для удостоверений обнаруживает подключения PSexec, Remote WMI и PowerShell.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Выполнение (TA0002) |
|---|---|
| Вторичная тактика MITRE | Боковое смещение (TA0008) |
| Метод атаки MITRE | Интерпретатор команд и сценариев (T1059),удаленные службы (T1021) |
| Вложенная техника атаки MITRE | PowerShell (T1059.001),удаленное управление Windows (T1021.006) |
Рекомендуемые действия по предотвращению:
- Ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0.
- Реализуйте привилегированный доступ, позволяя только защищенным компьютерам подключаться к контроллерам домена для администраторов.
- Реализуйте менее привилегированный доступ на компьютерах домена, чтобы предоставить определенным пользователям право создавать службы.
Примечание.
Оповещения о попытках удаленного выполнения кода при попытке использования команд PowerShell поддерживаются только датчиками Defender для удостоверений.
Подозрительное создание службы (внешний идентификатор 2026)
Предыдущее имя: Подозрительное создание службы
Серьезность: средний уровень
Описание:
Подозрительная служба создана на контроллере домена или сервере AD FS/AD CS в вашей организации. Это оповещение использует событие 7045 для выявления этого подозрительного действия.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Выполнение (TA0002) |
|---|---|
| Вторичная тактика MITRE | Сохраняемость (TA0003),повышение привилегий (TA0004),уклонение от защиты (TA0005),боковое движение (TA0008) |
| Метод атаки MITRE | Удаленные службы (T1021),интерпретатор команд и сценариев (T1059),системные службы (T1569),создание или изменение системного процесса (T1543) |
| Вложенная техника атаки MITRE | Выполнение службы (T1569.002),служба Windows (T1543.003) |
Рекомендуемые действия по предотвращению:
- Ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0.
- Реализуйте привилегированный доступ , чтобы разрешить только защищенным компьютерам подключаться к контроллерам домена для администраторов.
- Реализуйте менее привилегированный доступ на компьютерах домена, чтобы предоставить только определенным пользователям право создавать службы.
Подозрительная связь через DNS (внешний идентификатор 2031)
Предыдущее имя: подозрительная связь через DNS
Серьезность: средний уровень
Описание:
Протокол DNS в большинстве организаций обычно не отслеживается и редко блокируется для вредоносных действий. Позволяет злоумышленнику на скомпрометированном компьютере злоупотреблять протоколом DNS. Вредоносное взаимодействие через DNS можно использовать для кражи данных, команд и управления и (или) обхода ограничений корпоративной сети.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Кража (TA0010) |
|---|---|
| Метод атаки MITRE | Exfiltration Over Alternative Protocol (T1048),Exfiltration over C2 Channel (T1041),Scheduled Transfer (T1029),Automated Exfiltration (T1020), Application Layer Protocol (T1071) |
| Вложенная техника атаки MITRE | DNS (T1071.004),кража по незашифрованным или замаскированному протоколу, отличному от C2 (T1048.003) |
Кража данных по протоколу SMB (внешний идентификатор 2030)
Серьезность: высокая
Описание:
Контроллеры домена содержат наиболее конфиденциальные организационные данные. Для большинства злоумышленников одним из их главных приоритетов является получение доступа к контроллеру домена, чтобы украсть наиболее конфиденциальные данные. Например, кража файла Ntds.dit, хранящегося в контроллере домена, позволяет злоумышленнику подделать билет Kerberos, предоставляя билеты (TGT), предоставляя авторизацию для любого ресурса. Поддельные TGT Kerberos позволяют злоумышленнику установить срок действия билета на любое произвольное время. Оповещение о краже данных в Defender для удостоверений по протоколу SMB активируется при обнаружении подозрительной передачи данных от отслеживаемых контроллеров домена.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Кража (TA0010) |
|---|---|
| Вторичная тактика MITRE | Боковое смещение (TA0008),Команда и управление (TA0011) |
| Метод атаки MITRE | Exfiltration Over Alternative Protocol (T1048),передача бокового средства (T1570) |
| Вложенная техника атаки MITRE | Кража по незашифрованным или запутанным протоколу, отличному от C2 (T1048.003) |
Подозрительное удаление записей базы данных сертификатов (внешний идентификатор 2433)
Серьезность: средний уровень
Описание:
Удаление записей базы данных сертификатов является красным флагом, указывающим на потенциальные вредоносные действия. Эта атака может нарушить работу систем инфраструктуры открытых ключей (PKI), повлияв на проверку подлинности и целостность данных.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Метод атаки MITRE | Удаление индикатора (T1070) |
| Вложенная техника атаки MITRE | Н/Д |
Примечание.
Предупреждения о подозрительном удалении записей базы данных сертификатов поддерживаются только датчиками Defender для удостоверений в AD CS.
Подозрительное отключение фильтров аудита ad CS (внешний идентификатор 2434)
Серьезность: средний уровень
Описание:
Отключение фильтров аудита в AD CS может позволить злоумышленникам работать без обнаружения. Эта атака направлена на обход мониторинга безопасности путем отключения фильтров, которые в противном случае помечают подозрительные действия.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Метод атаки MITRE | Защита от нарушения (T1562) |
| Вложенная техника атаки MITRE | Отключение ведения журнала событий Windows (T1562.002) |
Изменение пароля в режиме восстановления служб каталогов (внешний идентификатор 2438)
Серьезность: средний уровень
Описание:
Режим восстановления служб каталогов (DSRM) — это специальный режим загрузки в операционных системах Microsoft Windows Server, который позволяет администратору восстанавливать или восстанавливать базу данных Active Directory. Этот режим обычно используется при возникновении проблем с Active Directory и обычной загрузке невозможно. Пароль DSRM устанавливается во время повышения уровня сервера до контроллера домена. В этом обнаружении оповещение активируется, когда Defender для удостоверений обнаруживает изменение пароля DSRM. Мы рекомендуем изучить исходный компьютер и пользователя, который сделал запрос, чтобы понять, было ли изменение пароля DSRM инициировано из законного административного действия или вызывает опасения по поводу несанкционированного доступа или потенциальных угроз безопасности.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Метод атаки MITRE | Управление учетной записью (T1098) |
| Вложенная техника атаки MITRE | Н/Д |
Возможная кража сеанса Okta
Серьезность: высокая
Описание:
При краже сеанса злоумышленники похищают файлы cookie законного пользователя и используют их из других расположений. Рекомендуется исследовать исходный IP-адрес, выполняющий операции, чтобы определить, являются ли эти операции допустимыми или нет, и что IP-адрес используется пользователем.
Период обучения:
2 недели
MITRE:
| Основная тактика MITRE | Коллекция (TA0009) |
|---|---|
| Метод атаки MITRE | Перехват сеанса браузера (T1185) |
| Вложенная техника атаки MITRE | Н/Д |
изменение групповая политика (внешний идентификатор 2440) (предварительная версия)
Серьезность: средний уровень
Описание:
Подозрительное изменение было обнаружено в групповая политика, что привело к отключению Windows антивирусная программа Defender. Это действие может указывать на нарушение безопасности злоумышленником с повышенными привилегиями, который может создать почву для распространения программ-шантажистов.
Рекомендуемые действия для исследования:
Понять, является ли изменение объекта групповой политики допустимым
Если это не так, отменить изменения изменения
Узнайте, как связана групповая политика, чтобы оценить ее область влияния
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Уклонение от обороны (TA0005) |
|---|---|
| Метод атаки MITRE | Отмена элементов управления доверием (T1553) |
| Метод атаки MITRE | Отмена элементов управления доверием (T1553) |
| Вложенная техника атаки MITRE | Н/Д |