Andra säkerhetsaviseringar
Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i efterhand tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:
- Aviseringar om rekognosering och identifiering
- Eskaleringsaviseringar för beständighet och privilegier
- Åtkomstaviseringar för autentiseringsuppgifter
- Laterala förflyttningsaviseringar
- Övrigt
Mer information om hur du förstår strukturen och vanliga komponenter i alla säkerhetsaviseringar för Defender for Identity finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP)och Falsk positiv (FP) finns i klassificeringar av säkerhetsaviseringar.
Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda andra faser misstänkta aktiviteter som identifierats av Defender för identitet i nätverket.
Misstänkt DCShadow-attack (befordran av domänkontrollant) (externt ID 2028)
Tidigare namn: Befordran av misstänkt domänkontrollant (potentiell DCShadow-attack)
Allvarlighetsgrad: Hög
Beskrivning:
En domänkontrollants skuggattack (DCShadow) är en attack som är utformad för att ändra katalogobjekt med hjälp av skadlig replikering. Den här attacken kan utföras från vilken dator som helst genom att skapa en falsk domänkontrollant med hjälp av en replikeringsprocess.
I en DCShadow-attack används RPC och LDAP för att:
- Registrera datorkontot som en domänkontrollant (med domänadministratörsbehörighet).
- Utför replikering (med de beviljade replikeringsrättigheterna) över DRSUAPI och skicka ändringar till katalogobjekt.
I den här Defender for Identity-identifieringen utlöses en säkerhetsavisering när en dator i nätverket försöker registrera sig som en falsk domänkontrollant.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| MITRE-attackteknik | Rogue Domain Controller (T1207) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
Verifiera följande behörigheter:
- Replikera katalogändringar.
- Replikera katalogändringar alla.
- Mer information finns i Bevilja Active Directory Domain Services behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL-skannern eller skapa ett Windows PowerShell skript för att avgöra vem som har dessa behörigheter i domänen.
Obs!
Aviseringar om misstänkt befordran av domänkontrollanter (potentiella DCShadow-attacker) stöds endast av Defender för identitetssensorer.
Misstänkt DCShadow-attack (replikeringsbegäran för domänkontrollant) (externt ID 2029)
Tidigare namn: Misstänkt replikeringsbegäran (potentiell DCShadow-attack)
Allvarlighetsgrad: Hög
Beskrivning:
Active Directory-replikering är den process genom vilken ändringar som görs på en domänkontrollant synkroniseras med andra domänkontrollanter. Med nödvändiga behörigheter kan angripare bevilja rättigheter för sitt datorkonto, så att de kan personifiera en domänkontrollant. Angripare strävar efter att initiera en begäran om skadlig replikering, så att de kan ändra Active Directory-objekt på en äkta domänkontrollant, vilket kan ge angriparna beständighet i domänen. I den här identifieringen utlöses en avisering när en misstänkt replikeringsbegäran genereras mot en äkta domänkontrollant som skyddas av Defender för identitet. Beteendet är ett tecken på tekniker som används i skuggattacker för domänkontrollanter.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| MITRE-attackteknik | Rogue Domain Controller (T1207) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna åtgärder och steg för förebyggande åtgärder:
Verifiera följande behörigheter:
- Replikera katalogändringar.
- Replikera katalogändringar alla.
- Mer information finns i Bevilja Active Directory Domain Services behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL Scanner eller skapa ett Windows PowerShell skript för att avgöra vem i domänen som har dessa behörigheter.
Obs!
Aviseringar om misstänkt replikeringsbegäran (potentiell DCShadow-attack) stöds endast av Defender för identitetssensorer.
Misstänkt VPN-anslutning (externt ID 2025)
Tidigare namn: Misstänkt VPN-anslutning
Allvarlighetsgrad: Medel
Beskrivning:
Defender for Identity lär sig entitetsbeteendet för användarnas VPN-anslutningar under en glidande period på en månad.
VPN-beteendemodellen baseras på de datorer som användarna loggar in på och de platser som användarna ansluter från.
En avisering öppnas när det finns en avvikelse från användarens beteende baserat på en maskininlärningsalgoritm.
Utbildningsperiod:
30 dagar från den första VPN-anslutningen och minst 5 VPN-anslutningar under de senaste 30 dagarna, per användare.
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| Sekundär MITRE-taktik | Persistence (TA0003) |
| MITRE-attackteknik | Externa fjärrtjänster (T1133) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Försök att köra fjärrkod (externt ID 2019)
Tidigare namn: Körningsförsök för fjärrkod
Allvarlighetsgrad: Medel
Beskrivning:
Angripare som komprometterar administrativa autentiseringsuppgifter eller använder en nolldagsexploatering kan köra fjärrkommandon på domänkontrollanten eller AD FS/AD CS-servern. Detta kan användas för att få beständighet, samla in information, DOS-attacker (Denial of Service) eller någon annan orsak. Defender for Identity identifierar PSexec-, Remote WMI- och PowerShell-anslutningar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Körning (TA0002) |
|---|---|
| Sekundär MITRE-taktik | Lateral förflyttning (TA0008) |
| MITRE-attackteknik | Kommando- och skripttolkare (T1059),Fjärrtjänster (T1021) |
| MITRE-attackunderteknik | PowerShell (T1059.001), Windows Remote Management (T1021.006) |
Föreslagna steg för förebyggande:
- Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.
- Implementera privilegierad åtkomst, så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.
- Implementera mindre privilegierad åtkomst på domändatorer för att ge specifika användare rätt att skapa tjänster.
Obs!
Aviseringar om fjärrkörningsförsök vid försök att använda Powershell-kommandon stöds endast av Defender för identitetssensorer.
Misstänkt skapande av tjänst (externt ID 2026)
Tidigare namn: Misstänkt skapande av tjänst
Allvarlighetsgrad: Medel
Beskrivning:
En misstänkt tjänst har skapats på en domänkontrollant eller AD FS/AD CS-server i din organisation. Den här aviseringen förlitar sig på händelse 7045 för att identifiera den här misstänkta aktiviteten.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Körning (TA0002) |
|---|---|
| Sekundär MITRE-taktik | Persistence (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
| MITRE-attackteknik | Remote Services (T1021), Command and Scripting Interpreter (T1059), System Services (T1569), Create or Modify System Process (T1543) |
| MITRE-attackunderteknik | Tjänstkörning (T1569.002), Windows Service (T1543.003) |
Föreslagna steg för förebyggande:
- Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.
- Implementera privilegierad åtkomst så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.
- Implementera mindre privilegierad åtkomst på domändatorer för att endast ge specifika användare rätt att skapa tjänster.
Misstänkt kommunikation via DNS (externt ID 2031)
Tidigare namn: Misstänkt kommunikation via DNS
Allvarlighetsgrad: Medel
Beskrivning:
DNS-protokollet i de flesta organisationer övervakas vanligtvis inte och blockeras sällan för skadlig aktivitet. Aktivera en angripare på en komprometterad dator för att missbruka DNS-protokollet. Skadlig kommunikation via DNS kan användas för dataexfiltrering, kommando och kontroll och/eller undvika begränsningar för företagsnätverk.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Exfiltrering (TA0010) |
|---|---|
| MITRE-attackteknik | Exfiltrering över alternativt protokoll (T1048), exfiltrering över C2-kanal (T1041), schemalagd överföring (T1029), automatisk exfiltrering (T1020), Application Layer Protocol (T1071) |
| MITRE-attackunderteknik | DNS (T1071.004), Exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Dataexfiltrering över SMB (externt ID 2030)
Allvarlighetsgrad: Hög
Beskrivning:
Domänkontrollanter innehåller de känsligaste organisationsdata. För de flesta angripare är en av deras främsta prioriteringar att få åtkomst till domänkontrollanter för att stjäla dina känsligaste data. Exfiltrering av filen Ntds.dit, som lagras på domänkontrollanten, gör det till exempel möjligt för en angripare att förfalska Kerberos-biljettbeviljande biljetter (TGT) som ger auktorisering till alla resurser. Med förfalskade Kerberos-TGT:er kan angriparen ange biljettens giltighetstid till valfri tid. En Defender for Identity-dataexfiltrering via SMB-avisering utlöses när misstänkta dataöverföringar observeras från dina övervakade domänkontrollanter.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Exfiltrering (TA0010) |
|---|---|
| Sekundär MITRE-taktik | Lateral förflyttning (TA0008),Kommando och kontroll (TA0011) |
| MITRE-attackteknik | Exfiltrering över alternativt protokoll (T1048), lateral verktygsöverföring (T1570) |
| MITRE-attackunderteknik | Exfiltrering över okrypterat/fördunklat icke-C2-protokoll (T1048.003) |
Misstänkt borttagning av certifikatdatabasposterna (externt ID 2433)
Allvarlighetsgrad: Medel
Beskrivning:
Borttagningen av certifikatdatabasposter är en röd flagga som anger potentiell skadlig aktivitet. Den här attacken kan störa funktionen hos PKI-system (Public Key Infrastructure), vilket påverkar autentisering och dataintegritet.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| MITRE-attackteknik | Borttagning av indikator (T1070) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Obs!
Misstänkt borttagning av certifikatdatabasposternas aviseringar stöds bara av Defender for Identity-sensorer i AD CS.
Misstänkt inaktivering av granskningsfilter för AD CS (externt ID 2434)
Allvarlighetsgrad: Medel
Beskrivning:
Om du inaktiverar granskningsfilter i AD CS kan angripare arbeta utan att identifieras. Den här attacken syftar till att undvika säkerhetsövervakning genom att inaktivera filter som annars skulle flagga misstänkta aktiviteter.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| MITRE-attackteknik | Försämra försvar (T1562) |
| MITRE-attackunderteknik | Inaktivera Händelseloggning i Windows (T1562.002) |
Lösenordsändring för återställningsläge för katalogtjänster (externt ID 2438)
Allvarlighetsgrad: Medel
Beskrivning:
DSRM (Directory Services Restore Mode) är ett särskilt startläge i Microsoft Windows Server operativsystem som gör att en administratör kan reparera eller återställa Active Directory-databasen. Det här läget används vanligtvis när det finns problem med Active Directory och normal start inte är möjligt. DSRM-lösenordet anges under befordran av en server till en domänkontrollant. I den här identifieringen utlöses en avisering när Defender for Identity identifierar att ett DSRM-lösenord har ändrats. Vi rekommenderar att du undersöker källdatorn och den användare som gjorde begäran för att förstå om DSRM-lösenordsändringen initierades från en legitim administrativ åtgärd eller om den ger upphov till oro för obehörig åtkomst eller potentiella säkerhetshot.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Persistence (TA0003) |
|---|---|
| MITRE-attackteknik | Kontomanipulering (T1098) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Möjlig okta-sessionsstöld
Allvarlighetsgrad: Hög
Beskrivning:
Vid sessionsstöld stjäl angripare cookies från legitima användare och använder dem från andra platser. Vi rekommenderar att du undersöker käll-IP-adressen som utför åtgärderna för att avgöra om dessa åtgärder är legitima eller inte och att IP-adressen används av användaren.
Utbildningsperiod:
2 veckor
MITRE:
| Primär MITRE-taktik | Samling (TA0009) |
|---|---|
| MITRE-attackteknik | Kapning av webbläsarsession (T1185) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
grupprincip manipulering (externt ID 2440) (förhandsversion)
Allvarlighetsgrad: Medel
Beskrivning:
En misstänkt ändring har identifierats i grupprincip, vilket resulterar i inaktivering av Windows Defender Antivirus. Den här aktiviteten kan tyda på en säkerhetsöverträdelse av en angripare med förhöjd behörighet som kan ställa in fasen för distribution av utpressningstrojaner.
Föreslagna steg för undersökning:
Förstå om GPO-ändringen är legitim
Om det inte var det återställer du ändringen
Förstå hur grupprincipen är länkad för att uppskatta dess effektomfång
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Undandragande av skydd (TA0005) |
|---|---|
| MITRE-attackteknik | Subvert trust controls (T1553) |
| MITRE-attackteknik | Subvert trust controls (T1553) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |