Aviseringar om rekognosering och identifiering
Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i efterhand tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:
- Rekognosering och identifiering
- Eskaleringsaviseringar för beständighet och privilegier
- Åtkomstaviseringar för autentiseringsuppgifter
- Laterala förflyttningsaviseringar
- Andra aviseringar
Mer information om hur du förstår strukturen och vanliga komponenter i alla säkerhetsaviseringar för Defender for Identity finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP)och Falsk positiv (FP) finns i klassificeringar av säkerhetsaviseringar.
Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda misstänkta aktiviteter i spanings- och identifieringsfasen som identifieras av Defender för identitet i nätverket.
Rekognosering och identifiering består av tekniker som en angripare kan använda för att få kunskap om systemet och det interna nätverket. Dessa tekniker hjälper angripare att observera miljön och orientera sig innan de bestämmer hur de ska agera. De gör det också möjligt för angripare att utforska vad de kan kontrollera och vad som finns runt startpunkten för att upptäcka hur det kan gynna deras nuvarande mål. Interna operativsystemverktyg används ofta mot det här målet för informationsinsamling efter kompromettering. I Microsoft Defender for Identity omfattar dessa aviseringar vanligtvis intern kontouppräkning med olika tekniker.
Rekognosering av kontouppräkning (externt ID 2003)
Tidigare namn: Rekognosering med kontouppräkning
Allvarlighetsgrad: Medel
Beskrivning:
I kontouppräkningsspaning använder en angripare en ordlista med tusentals användarnamn eller verktyg som KrbGuess i ett försök att gissa användarnamn i domänen.
Kerberos: Angriparen gör Kerberos-begäranden med dessa namn för att försöka hitta ett giltigt användarnamn i domänen. När en gissning lyckas fastställa ett användarnamn får angriparen den förautentisering som krävs i stället för ett okänt Kerberos-fel för säkerhetsobjektet .
NTLM: Angriparen gör NTLM-autentiseringsbegäranden med hjälp av ordlistan med namn för att försöka hitta ett giltigt användarnamn i domänen. Om en gissning lyckas fastställa ett användarnamn får angriparen Felet WrongPassword (0xc000006a) i stället för NoSuchUser (0xc0000064) NTLM.
I den här aviseringsidentifieringen identifierar Defender for Identity var kontouppräkningsattacken kom ifrån, det totala antalet gissningsförsök och hur många försök som matchades. Om det finns för många okända användare identifierar Defender for Identity det som en misstänkt aktivitet. Aviseringen baseras på autentiseringshändelser från sensorer som körs på domänkontrollant och AD FS/AD CS-servrar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Föreslagna steg för förebyggande:
- Framtvinga komplexa och långa lösenord i organisationen. Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker. Brute force-attacker är vanligtvis nästa steg i kedjan för cyberattacker efter uppräkning.
Kontouppräkningsspaning (LDAP) (externt ID 2437) (förhandsversion)
Allvarlighetsgrad: Medel
Beskrivning:
I kontouppräkningsspaning använder en angripare en ordlista med tusentals användarnamn eller verktyg som Ldapnomnom i ett försök att gissa användarnamn i domänen.
LDAP: Angriparen gör LDAP-pingbegäranden (cLDAP) med hjälp av dessa namn för att försöka hitta ett giltigt användarnamn i domänen. Om en gissning lyckas fastställa ett användarnamn kan angriparen få ett svar som anger att användaren finns i domänen.
I den här aviseringsidentifieringen identifierar Defender for Identity var kontouppräkningsattacken kom ifrån, det totala antalet gissningsförsök och hur många försök som matchades. Om det finns för många okända användare identifierar Defender for Identity det som en misstänkt aktivitet. Aviseringen baseras på LDAP-sökaktiviteter från sensorer som körs på domänkontrollantservrar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Rekognosering av nätverksmappning (DNS) (externt ID 2007)
Tidigare namn: Rekognosering med DNS
Allvarlighetsgrad: Medel
Beskrivning:
DNS-servern innehåller en karta över alla datorer, IP-adresser och tjänster i nätverket. Den här informationen används av angripare för att mappa nätverksstrukturen och rikta in sig på intressanta datorer för senare steg i attacken.
Det finns flera frågetyper i DNS-protokollet. Den här defender for Identity-säkerhetsaviseringen identifierar misstänkta begäranden, antingen begäranden som använder en AXFR (överföring) som kommer från icke-DNS-servrar eller de som använder ett överdrivet antal begäranden.
Utbildningsperiod:
Den här aviseringen har en inlärningsperiod på åtta dagar från början av övervakningen av domänkontrollanten.
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Account Discovery (T1087), Network Service Scanning (T1046), Remote System Discovery (T1018) |
| MITRE-attackunderteknik | EJ TILLÄMPLIGT |
Föreslagna steg för förebyggande:
Det är viktigt att förhindra framtida attacker med hjälp av AXFR-frågor genom att skydda din interna DNS-server.
- Skydda din interna DNS-server för att förhindra rekognosering med HJÄLP av DNS genom att inaktivera zonöverföringar eller genom att begränsa zonöverföringar endast till angivna IP-adresser. Att ändra zonöverföringar är en uppgift bland en checklista som bör åtgärdas för att skydda dina DNS-servrar från både interna och externa attacker.
Rekognosering av användare och IP-adresser (SMB) (externt ID 2012)
Tidigare namn: Rekognosering med SMB-sessionsuppräkning
Allvarlighetsgrad: Medel
Beskrivning:
Uppräkning med SMB-protokollet (Server Message Block) gör det möjligt för angripare att få information om var användare nyligen har loggat in. När angripare har den här informationen kan de flytta i sidled i nätverket för att komma till ett specifikt känsligt konto.
I den här identifieringen utlöses en avisering när en SMB-sessionsuppräkning utförs mot en domänkontrollant.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Account Discovery (T1087), System Network Connections Discovery (T1049) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Rekognosering av användar- och gruppmedlemskap (SAMR) (externt ID 2021)
Tidigare namn: Rekognosering med hjälp av katalogtjänstfrågor
Allvarlighetsgrad: Medel
Beskrivning:
Rekognosering av användar- och gruppmedlemskap används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i attacken. Sam-R-protokollet (Security Account Manager Remote) är en av de metoder som används för att fråga katalogen för att utföra den här typen av mappning. I den här identifieringen utlöses inga aviseringar den första månaden efter att Defender for Identity har distribuerats (inlärningsperiod). Under inlärningsperioden görs Defender for Identity-profiler som SAM-R-frågor görs från vilka datorer, både uppräkning och enskilda frågor för känsliga konton.
Utbildningsperiod:
Fyra veckor per domänkontrollant från den första nätverksaktiviteten för SAMR mot den specifika domänkontrollanten.
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087), behörighet Grupper identifiering (T1069) |
| MITRE-attackunderteknik | Domänkonto (T1087.002), domängrupp (T1069.002) |
Föreslagna steg för förebyggande:
- Tillämpa nätverksåtkomst och begränsa klienter som tillåts att göra fjärranrop till EN SAM-grupprincip.
Rekognosering av Active Directory-attribut (LDAP) (externt ID 2210)
Allvarlighetsgrad: Medel
Beskrivning:
Active Directory LDAP-rekognosering används av angripare för att få viktig information om domänmiljön. Den här informationen kan hjälpa angripare att mappa domänstrukturen, samt identifiera privilegierade konton för användning i senare steg i attackkedjan. Lightweight Directory Access Protocol (LDAP) är en av de mest populära metoderna som används för både legitima och skadliga syften för att fråga Active Directory.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Account Discovery (T1087), Indirect Command Execution (T1202), Permission Grupper Discovery (T1069) |
| MITRE-attackunderteknik | Domänkonto (T1087.002), domän Grupper (T1069.002) |
Honeytoken efterfrågades via SAM-R (externt ID 2439)
Allvarlighetsgrad: Låg
Beskrivning:
Användarens rekognosering används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i attacken. Sam-R-protokollet (Security Account Manager Remote) är en av de metoder som används för att fråga katalogen för att utföra den här typen av mappning. I den här identifieringen utlöser Microsoft Defender for Identity den här aviseringen för alla rekognoseringsaktiviteter mot en förkonfigurerad honeytoken-användare
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Honeytoken efterfrågades via LDAP (externt ID 2429)
Allvarlighetsgrad: Låg
Beskrivning:
Användarens rekognosering används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i attacken. Lightweight Directory Access Protocol (LDAP) är en av de mest populära metoderna som används för både legitima och skadliga syften för att fråga Active Directory.
I den här identifieringen utlöser Microsoft Defender for Identity den här aviseringen för alla rekognoseringsaktiviteter mot en förkonfigurerad honeytoken-användare.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Uppräkning av misstänkt Okta-konto
Allvarlighetsgrad: Hög
Beskrivning:
I kontouppräkning försöker angripare gissa användarnamn genom att utföra inloggningar i Okta med användare som inte tillhör organisationen. Vi rekommenderar att du undersöker käll-IP-adressen och utför de misslyckade försöken och avgör om de är legitima eller inte.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004) |
|---|---|
| MITRE-attackteknik | Giltiga konton (T1078) |
| MITRE-attackunderteknik | Molnkonton (T1078.004) |