Оповещения о рекогносцировках и обнаружении
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются в боковом режиме, пока злоумышленник не получит доступ к ценным ресурсам. Ценными ресурсами могут быть конфиденциальные учетные записи, администраторы домена или высоко конфиденциальные данные. Microsoft Defender для удостоверений определяет эти сложные угрозы в источнике на протяжении всей цепочки уничтожения атак и классифицирует их на следующие этапы:
- Разведка и обнаружение
- Оповещения о сохраняемости и эскалации привилегий
- Оповещения о доступе к учетным данным
- Оповещения о боковом перемещении
- Другие оповещения
Дополнительные сведения о том, как понять структуру и общие компоненты всех оповещений системы безопасности Defender для удостоверений, см. в статье Общие сведения об оповещениях системы безопасности. Сведения о истинноположительных (TP),доброкачественных истинноположительных (B-TP) и ложноположительных срабатываниях (FP) см. в разделе Классификации оповещений системы безопасности.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия этапа рекогносцировки и обнаружения , обнаруженные Defender для удостоверений в сети.
Рекогносцировка и обнаружение состоят из методов, которые злоумышленник может использовать для получения знаний о системе и внутренней сети. Эти методы помогают злоумышленникам наблюдать за средой и ориентироваться перед принятием решения о том, как действовать. Они также позволяют злоумышленникам исследовать, что они могут контролировать и что вокруг точки входа, чтобы узнать, как это может принести пользу их текущей цели. Для этой цели сбора информации после компрометации часто используются собственные средства операционной системы. В Microsoft Defender для удостоверений эти оповещения обычно включают внутреннее перечисление учетных записей с различными методами.
Рекогносцировка перечисления учетных записей (внешний идентификатор 2003)
Предыдущее имя: Разведывательная разведка с помощью перечисления учетных записей
Серьезность: средний уровень
Описание:
В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или такие средства, как KrbGuess, чтобы угадать имена пользователей в домене.
Kerberos. Злоумышленник выполняет запросы Kerberos, используя эти имена, чтобы попытаться найти допустимое имя пользователя в домене. Когда предположение успешно определяет имя пользователя, злоумышленник получает требуемую предварительную проверку подлинности вместо неизвестной ошибки Kerberos субъекта безопасности .
NTLM. Злоумышленник выполняет запросы проверки подлинности NTLM с помощью словаря имен, чтобы попытаться найти допустимое имя пользователя в домене. Если предположение успешно определяет имя пользователя, злоумышленник получает ошибку NTLM WrongPassword (0xc000006a) вместо NoSuchUser (0xc0000064).
При обнаружении оповещений Defender для удостоверений определяет, откуда произошла атака перечисления учетных записей, общее количество попыток угадок и количество попыток, которые были сопоставлены. Если неизвестных пользователей слишком много, Defender для удостоверений обнаруживает это как подозрительное действие. Оповещение основано на событиях проверки подлинности от датчиков, работающих на контроллере домена и серверах AD FS/AD CS.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002) |
Рекомендуемые действия по предотвращению:
- Применение сложных и длинных паролей в организации. Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от атак методом подбора. Атаки методом подбора обычно являются следующим шагом в цепочке уничтожения кибератаки после перечисления.
Разведывательная разведка перечисления учетных записей (LDAP) (внешний идентификатор 2437) (предварительная версия)
Серьезность: средний уровень
Описание:
В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или такие средства, как Ldapnomnom, чтобы угадать имена пользователей в домене.
LDAP. Злоумышленник выполняет запросы Ping LDAP (cLDAP), используя эти имена, чтобы найти допустимое имя пользователя в домене. Если предположение успешно определяет имя пользователя, злоумышленник может получить ответ о том, что пользователь существует в домене.
При обнаружении оповещений Defender для удостоверений определяет, откуда произошла атака перечисления учетных записей, общее количество попыток угадок и количество попыток, которые были сопоставлены. Если неизвестных пользователей слишком много, Defender для удостоверений обнаруживает это как подозрительное действие. Оповещение основано на действиях поиска LDAP с датчиков, работающих на серверах контроллеров домена.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002) |
Разведывательная разведка по сопоставлению сети (DNS) (внешний идентификатор 2007)
Предыдущее имя: Разведывательная разведка с использованием DNS
Серьезность: средний уровень
Описание:
DNS-сервер содержит карту всех компьютеров, IP-адресов и служб в сети. Эта информация используется злоумышленниками для сопоставления структуры сети и назначения интересных компьютеров для последующих действий в атаке.
В протоколе DNS есть несколько типов запросов. Это оповещение системы безопасности Defender для удостоверений обнаруживает подозрительные запросы: запросы с помощью AXFR (передача), исходящие с серверов, не относящихся к DNS, или запросы, использующие чрезмерное количество запросов.
Период обучения:
Это оповещение имеет период обучения в восемь дней с момента начала мониторинга контроллера домена.
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087),сканирование сетевых служб (T1046),удаленное обнаружение системы (T1018) |
| Вложенная техника атаки MITRE | Н/Д |
Рекомендуемые действия по предотвращению:
Важно предотвратить будущие атаки с помощью запросов AXFR путем защиты внутреннего DNS-сервера.
- Защитите внутренний DNS-сервер, чтобы предотвратить рекогносцировку с помощью DNS, отключив передачу между зонами или ограничив передачу между зонами только указанными IP-адресами. Изменение передачи между зонами — одна из задач контрольного списка, которая должна быть решена для защиты DNS-серверов от внутренних и внешних атак.
Рекогносцировка пользователей и IP-адресов (SMB) (внешний идентификатор 2012)
Предыдущее имя: Рекогносцировка с помощью перечисления сеансов SMB
Серьезность: средний уровень
Описание:
Перечисление с помощью протокола SMB позволяет злоумышленникам получать сведения о том, где пользователи недавно входили в систему. Получив эту информацию, злоумышленники могут перейти в сеть, чтобы перейти к определенной конфиденциальной учетной записи.
В этом обнаружении оповещение активируется при выполнении перечисления сеанса SMB в контроллере домена.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087),обнаружение Connections системной сети (T1049) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002) |
Рекогносцировка членства пользователей и групп (SAMR) (внешний идентификатор 2021)
Предыдущее имя: Рекогносцировка с помощью запросов служб каталогов
Серьезность: средний уровень
Описание:
Разведка членства пользователей и групп используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих действий в атаке. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения этого типа сопоставления. В этом обнаружении оповещения не активируются в первый месяц после развертывания Defender для удостоверений (период обучения). В течение периода обучения Defender для удостоверений профилирует запросы SAM-R, из которых выполняются компьютеры, как перечисление, так и отдельные запросы конфиденциальных учетных записей.
Период обучения:
Четыре недели на контроллер домена, начиная с первого сетевого действия SAMR для конкретного контроллера домена.
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087),обнаружение Группы разрешений (T1069) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002),группа доменов (T1069.002) |
Рекомендуемые действия по предотвращению:
- Применение сетевого доступа и ограничение клиентов, которым разрешено совершать удаленные вызовы к групповой политике SAM.
Разведывательная разведка атрибутов Active Directory (LDAP) (внешний идентификатор 2210)
Серьезность: средний уровень
Описание:
Рекогносцировка LDAP Active Directory используется злоумышленниками для получения критически важных сведений о среде домена. Эта информация может помочь злоумышленникам сопоставить структуру домена, а также определить привилегированные учетные записи для использования на последующих шагах в цепочке устранения атак. Протокол LDAP является одним из наиболее популярных методов, используемых как для законных, так и для вредоносных целей для запроса Active Directory.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087),непрямое выполнение команд (T1202),обнаружение Группы разрешений (T1069) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002),Группы домена (T1069.002) |
Запрос к Honeytoken был выполнен через SAM-R (внешний идентификатор 2439)
Серьезность: низкий уровень
Описание:
Рекогносцировка пользователей используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих действий в атаке. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения этого типа сопоставления. В этом обнаружении Microsoft Defender для удостоверений активирует это оповещение для любых разведывательных действий против предварительно настроенного пользователя honeytoken.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002) |
Запрос к Honeytoken был выполнен через LDAP (внешний идентификатор 2429)
Серьезность: низкий уровень
Описание:
Рекогносцировка пользователей используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих действий в атаке. Протокол LDAP является одним из наиболее популярных методов, используемых как для законных, так и для вредоносных целей для запроса Active Directory.
В этом обнаружении Microsoft Defender для удостоверений активирует это оповещение для любых действий рекогносцировки в отношении предварительно настроенного пользователя honeytoken.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Вложенная техника атаки MITRE | Учетная запись домена (T1087.002) |
Перечисление подозрительных учетных записей Okta
Серьезность: высокая
Описание:
При перечислении учетных записей злоумышленники будут пытаться угадать имена пользователей, выполнив вход в Okta с пользователями, которые не принадлежат организации. Мы рекомендуем изучить исходный IP-адрес, выполняющий неудачные попытки, и определить, являются ли они допустимыми.
Период обучения:
Нет
MITRE:
| Основная тактика MITRE | Начальный доступ (TA0001),уклонение от защиты (TA0005),сохраняемость (TA0003),повышение привилегий (TA0004) |
|---|---|
| Метод атаки MITRE | Допустимые учетные записи (T1078) |
| Вложенная техника атаки MITRE | Облачные учетные записи (T1078.004) |