Dela via


Andra säkerhetsaviseringar

Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i sidled tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:

  1. Aviseringar om rekognosering och identifiering
  2. Aviseringar om beständighet och behörighetseskalering
  3. Åtkomstaviseringar för autentiseringsuppgifter
  4. Aviseringar om lateral förflyttning
  5. Övrigt

Mer information om hur du förstår strukturen och vanliga komponenter i alla Säkerhetsaviseringar för Defender för identiteter finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP) och Falskt positiv (FP) finns i klassificeringar av säkerhetsaviseringar.

Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda misstänkta aktiviteter i andra faser som identifierats av Defender for Identity i nätverket.

Misstänkt DCShadow-attack (befordran av domänkontrollant) (externt ID 2028)

Tidigare namn: Misstänkt befordran av domänkontrollant (potentiell DCShadow-attack)

Allvarlighetsgrad: Hög

Beskrivning:

En domänkontrollants skuggattack (DCShadow) är en attack som är utformad för att ändra katalogobjekt med skadlig replikering. Den här attacken kan utföras från vilken dator som helst genom att skapa en felaktig domänkontrollant med hjälp av en replikeringsprocess.

I en DCShadow-attack används RPC och LDAP för att:

  1. Registrera datorkontot som en domänkontrollant (med domänadministratörsbehörighet).
  2. Utför replikering (med de beviljade replikeringsrättigheterna) över DRSUAPI och skicka ändringar till katalogobjekt.

I den här Defender for Identity-identifieringen utlöses en säkerhetsavisering när en dator i nätverket försöker registrera sig som en falsk domänkontrollant.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Defense Evasion (TA0005)
MITRE-attackteknik Falsk domänkontrollant (T1207)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna steg för förebyggande:

Verifiera följande behörigheter:

  1. Replikera katalogändringar.
  2. Replikera katalogändringar alla.
  3. Mer information finns i Bevilja Active Directory-domän Services-behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL Scanner eller skapa ett Windows PowerShell-skript för att avgöra vem som har dessa behörigheter i domänen.

Kommentar

Aviseringar om misstänkt befordran av domänkontrollanter (potentiella DCShadow-attacker) stöds endast av Defender för identitetssensorer.

Misstänkt DCShadow-attack (replikeringsbegäran för domänkontrollant) (externt ID 2029)

Tidigare namn: Misstänkt replikeringsbegäran (potentiell DCShadow-attack)

Allvarlighetsgrad: Hög

Beskrivning:

Active Directory-replikering är den process genom vilken ändringar som görs på en domänkontrollant synkroniseras med andra domänkontrollanter. Med nödvändiga behörigheter kan angripare bevilja rättigheter för sitt datorkonto, så att de kan personifiera en domänkontrollant. Angripare strävar efter att initiera en begäran om skadlig replikering, så att de kan ändra Active Directory-objekt på en äkta domänkontrollant, vilket kan ge angriparna beständighet i domänen. I den här identifieringen utlöses en avisering när en misstänkt replikeringsbegäran genereras mot en äkta domänkontrollant som skyddas av Defender för identitet. Beteendet är ett tecken på tekniker som används i skuggattacker för domänkontrollanter.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Defense Evasion (TA0005)
MITRE-attackteknik Falsk domänkontrollant (T1207)
MITRE-attackunderteknik Ej tillämpligt

Föreslagna åtgärder och åtgärder för förebyggande:

Verifiera följande behörigheter:

  1. Replikera katalogändringar.
  2. Replikera katalogändringar alla.
  3. Mer information finns i Bevilja Active Directory-domän Services-behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL Scanner eller skapa ett Windows PowerShell-skript för att avgöra vem i domänen som har dessa behörigheter.

Kommentar

Aviseringar om misstänkt replikering (potentiell DCShadow-attack) stöds endast av Defender för identitetssensorer.

Misstänkt VPN-anslutning (externt ID 2025)

Tidigare namn: Misstänkt VPN-anslutning

Allvarlighetsgrad: Medel

Beskrivning:

Defender for Identity lär sig entitetsbeteendet för användarnas VPN-anslutningar under en glidande period på en månad.

VPN-beteendemodellen baseras på de datorer som användarna loggar in på och de platser som användarna ansluter från.

En avisering öppnas när det finns en avvikelse från användarens beteende baserat på en maskininlärningsalgoritm.

Utbildningsperiod:

30 dagar från den första VPN-anslutningen och minst 5 VPN-anslutningar under de senaste 30 dagarna, per användare.

MITRE:

Primär MITRE-taktik Defense Evasion (TA0005)
Sekundär MITRE-taktik Beständighet (TA0003)
MITRE-attackteknik Externa fjärrtjänster (T1133)
MITRE-attackunderteknik Ej tillämpligt

Försök att köra fjärrkod (externt ID 2019)

Föregående namn: Försök att köra fjärrkod

Allvarlighetsgrad: Medel

Beskrivning:

Angripare som komprometterar administrativa autentiseringsuppgifter eller använder en nolldagsexploatering kan köra fjärrkommandon på domänkontrollanten eller AD FS/AD CS-servern. Detta kan användas för att få bestående, samla in information, DOS-attacker (Denial of Service) eller någon annan orsak. Defender for Identity identifierar PSexec-, Fjärr-WMI- och PowerShell-anslutningar.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Körning (TA0002)
Sekundär MITRE-taktik Lateral rörelse (TA0008)
MITRE-attackteknik Kommando- och skripttolk (T1059),Fjärrtjänster (T1021)
MITRE-attackunderteknik PowerShell (T1059.001), Windows Remote Management (T1021.006)

Föreslagna steg för förebyggande:

  1. Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.
  2. Implementera privilegierad åtkomst, så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.
  3. Implementera mindre privilegierad åtkomst på domändatorer för att ge specifika användare rätt att skapa tjänster.

Kommentar

Aviseringar om fjärrkörningsförsök vid försök att använda Powershell-kommandon stöds endast av Defender för identitetssensorer.

Misstänkt tjänstskapande (externt ID 2026)

Tidigare namn: Misstänkt skapande av tjänst

Allvarlighetsgrad: Medel

Beskrivning:

En misstänkt tjänst har skapats på en domänkontrollant eller AD FS/AD CS-server i din organisation. Den här aviseringen förlitar sig på händelse 7045 för att identifiera den här misstänkta aktiviteten.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Körning (TA0002)
Sekundär MITRE-taktik Persistence (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008)
MITRE-attackteknik Fjärrtjänster (T1021), kommando- och skripttolkare (T1059), System Services (T1569), Skapa eller ändra systemprocess (T1543)
MITRE-attackunderteknik Tjänstkörning (T1569.002), Windows Service (T1543.003)

Föreslagna steg för förebyggande:

  1. Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.
  2. Implementera privilegierad åtkomst så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.
  3. Implementera mindre privilegierad åtkomst på domändatorer för att endast ge specifika användare rätt att skapa tjänster.

Misstänkt kommunikation via DNS (externt ID 2031)

Tidigare namn: Misstänkt kommunikation via DNS

Allvarlighetsgrad: Medel

Beskrivning:

DNS-protokollet i de flesta organisationer övervakas vanligtvis inte och blockeras sällan för skadlig aktivitet. Aktivera en angripare på en komprometterad dator för att missbruka DNS-protokollet. Skadlig kommunikation via DNS kan användas för dataexfiltrering, kommando och kontroll och/eller undvika företagsnätverksbegränsningar.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Exfiltrering (TA0010)
MITRE-attackteknik Exfiltrering över alternativt protokoll (T1048), exfiltrering över C2-kanal (T1041), schemalagd överföring (T1029), automatisk exfiltrering (T1020), Application Layer Protocol (T1071)
MITRE-attackunderteknik DNS (T1071.004), Exfiltrering över okrypterat/fördunklat icke-C2-protokoll (T1048.003)

Dataexfiltrering över SMB (externt ID 2030)

Allvarlighetsgrad: Hög

Beskrivning:

Domänkontrollanter innehåller de känsligaste organisationsdata. För de flesta angripare är en av deras främsta prioriteringar att få åtkomst till domänkontrollanter för att stjäla dina känsligaste data. Exfiltrering av filen Ntds.dit, som lagras på domänkontrollanten, gör det till exempel möjligt för en angripare att förfalska Kerberos-biljettbeviljande biljetter (TGT) som ger auktorisering till alla resurser. Förfalskade Kerberos-TGT:er gör det möjligt för angriparen att ange biljettens giltighetstid till valfri godtycklig tid. En Defender for Identity Data-exfiltrering via SMB-avisering utlöses när misstänkta dataöverföringar observeras från dina övervakade domänkontrollanter.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Exfiltrering (TA0010)
Sekundär MITRE-taktik Lateral förflyttning (TA0008),Kommando och kontroll (TA0011)
MITRE-attackteknik Exfiltrering över alternativt protokoll (T1048), lateral verktygsöverföring (T1570)
MITRE-attackunderteknik Exfiltrering över okrypterat/fördunklat icke-C2-protokoll (T1048.003)

Misstänkt borttagning av certifikatdatabasposterna (externt ID 2433)

Allvarlighetsgrad: Medel

Beskrivning:

Borttagningen av certifikatdatabasposter är en röd flagga som anger potentiell skadlig aktivitet. Den här attacken kan störa funktionen hos PKI-system (Public Key Infrastructure) som påverkar autentisering och dataintegritet.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Defense Evasion (TA0005)
MITRE-attackteknik Borttagning av indikator (T1070)
MITRE-attackunderteknik Inte tillgänglig

Kommentar

Misstänkt borttagning av certifikatdatabasposternas aviseringar stöds endast av Defender för identitetssensorer i AD CS.

Misstänkt inaktivering av granskningsfilter för AD CS (externt ID 2434)

Allvarlighetsgrad: Medel

Beskrivning:

Om du inaktiverar granskningsfilter i AD CS kan angripare arbeta utan att identifieras. Den här attacken syftar till att undvika säkerhetsövervakning genom att inaktivera filter som annars skulle flagga misstänkta aktiviteter.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Defense Evasion (TA0005)
MITRE-attackteknik Försämra försvar (T1562)
MITRE-attackunderteknik Inaktivera Händelseloggning i Windows (T1562.002)

Ändring av lösenord för återställningsläge för Katalogtjänster (externt ID 2438)

Allvarlighetsgrad: Medel

Beskrivning:

Återställningsläge för Katalogtjänster (DSRM) är ett särskilt startläge i Microsoft Windows Server-operativsystem som gör att en administratör kan reparera eller återställa Active Directory-databasen. Det här läget används vanligtvis när det finns problem med Active Directory och normal start inte är möjligt. DSRM-lösenordet anges under befordran av en server till en domänkontrollant. I den här identifieringen utlöses en avisering när Defender för identitet identifierar ett DSRM-lösenord ändras. Vi rekommenderar att du undersöker källdatorn och den användare som gjorde begäran för att förstå om DSRM-lösenordsändringen initierades från en legitim administrativ åtgärd eller om den ger upphov till problem med obehörig åtkomst eller potentiella säkerhetshot.

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Beständighet (TA0003)
MITRE-attackteknik Kontomanipulering (T1098)
MITRE-attackunderteknik Ej tillämpligt

Möjlig okta-sessionsstöld

Allvarlighetsgrad: Hög

Beskrivning:

Vid sessionsstöld stjäl angripare den legitima användarens cookies och använder den från andra platser. Vi rekommenderar att du undersöker käll-IP-adressen som utför åtgärderna för att avgöra om dessa åtgärder är legitima eller inte och att IP-adressen används av användaren.

Utbildningsperiod:

2 veckor

MITRE:

Primär MITRE-taktik Samling (TA0009)
MITRE-attackteknik Kapning av webbläsarsession (T1185)
MITRE-attackunderteknik Ej tillämpligt

grupprincip manipulering (externt ID 2440) (förhandsversion)

Allvarlighetsgrad: Medel

Beskrivning:

En misstänkt ändring har identifierats i grupprincip, vilket resulterar i inaktivering av Windows Defender Antivirus. Den här aktiviteten kan tyda på en säkerhetsöverträdelse av en angripare med förhöjd behörighet som kan ställa in fasen för distribution av utpressningstrojaner. 

Föreslagna steg för undersökning:

  1. Förstå om GPO-ändringen är legitim

  2. Om det inte var det återställer du ändringen

  3. Förstå hur grupprincipen är länkad för att uppskatta dess effektomfång

Utbildningsperiod:

Ingen

MITRE:

Primär MITRE-taktik Defense Evasion (TA0005)
MITRE-attackteknik Omstörtning av förtroendekontroller (T1553)
MITRE-attackteknik Omstörtning av förtroendekontroller (T1553)
MITRE-attackunderteknik Ej tillämpligt

Se även