其他安全性警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權的使用者,然後快速橫向移動,直到攻擊者取得重要資產的存取權為止。 有價值資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊終止鏈結的來源識別這些進階威脅,並將其分類為下列階段:
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需 確判為真 (TP) 、 B-TP) 的良性真 (和 FP) (誤 判的詳細資訊,請參閱 安全性警示分類。
下列安全性警示可協助您識別及補救網路中適用於身分識別的Defender所偵測到 的其他 階段可疑活動。
可疑的DCShadow攻擊 (域控制器升級) (外部標識碼 2028)
上一個名稱: 可疑的域控制器升級 (潛在的DCShadow攻擊)
嚴重性:高
描述:
域控制器陰影 (DCShadow) 攻擊是設計來使用惡意復寫變更目錄對象的攻擊。 您可以在任何電腦上使用複製程式建立無管理網網域控制器來執行這個攻擊。
在DCShadow攻擊中,RPC 和LDAP會用來:
- 使用網域系統管理員許可權) ,將計算機帳戶註冊為域控制器 (。
- 使用透過DRSUAPI) 授與的複寫許可權執行複寫 (,並將變更傳送至目錄物件。
在此適用於身分識別的 Defender 偵測中,當網路中的計算機嘗試註冊為 Rogue 域控制器時,就會觸發安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| MITRE 攻擊技術 | T1207 (Rogue 域控制器) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
驗證下列權限:
- 複寫目錄變更。
- 全部複寫目錄變更。
- 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與 Active Directory 網域服務 配置檔同步處理的許可權。 您可以使用AD ACL掃描器或建立 Windows PowerShell 腳本,以判斷誰在網域中具有這些許可權。
注意事項
僅適用於身分識別的 Defender 感測器支援可疑的域控制器升級 (潛在的 DCShadow 攻擊) 警示。
可疑的DCShadow攻擊 (域控制器複寫要求) (外部標識碼 2029)
上一個名稱: 可疑的復寫要求 (潛在的DCShadow攻擊)
嚴重性:高
描述:
Active Directory 複寫是在一個域控制器上進行變更與其他域控制器同步處理的程式。 根據必要的許可權,攻擊者可以授與其計算機帳戶的許可權,讓他們能夠模擬域控制器。 攻擊者致力於起始惡意復寫要求,讓他們能夠變更正版域控制器上的 Active Directory 物件,這可讓攻擊者在網域中持續存在。 在此偵測中,針對受適用於身分識別的 Defender 保護的正版域控制器產生可疑復寫要求時,就會觸發警示。 此行為表示域控制器陰影攻擊中所使用的技術。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| MITRE 攻擊技術 | T1207 (Rogue 域控制器) |
| MITRE 攻擊子技術 | 不適用 |
建議的補救措施和預防步驟:
驗證下列權限:
- 複寫目錄變更。
- 全部複寫目錄變更。
- 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與 Active Directory 網域服務 配置檔同步處理的許可權。 您可以使用AD ACL掃描器或建立 Windows PowerShell腳本,以判斷網域中誰具有這些許可權。
注意事項
只有適用於身分識別的 Defender 感測器支援可疑的複寫要求 (潛在的 DCShadow 攻擊) 警示。
外部標識碼 2025 (可疑的 VPN 連線)
上一個名稱: 可疑的 VPN 連線
嚴重性:中
描述:
適用於身分識別的 Defender 會了解使用者 VPN 連線在一個月的滑動期間的實體行為。
VPN 行為模型是以使用者登入的計算機和用戶連線的位置為基礎。
當根據機器學習演算法與用戶的行為有偏差時,就會開啟警示。
學習期間:
從第一個 VPN 連線起算起的 30 天,以及每位使用者在過去 30 天內至少 5 個 VPN 連線。
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003) |
| MITRE 攻擊技術 | 外部遠端服務 (T1133) |
| MITRE 攻擊子技術 | 不適用 |
遠端程式代碼執行嘗試 (外部標識碼 2019)
上一個名稱: 遠端程式代碼執行嘗試
嚴重性:中
描述:
入侵系統管理認證或使用零時差惡意探索的攻擊者,可以在您的域控制器或 AD FS / AD CS 伺服器上執行遠端命令。 這可用來取得持續性、收集資訊、拒絕服務 (DOS) 攻擊或任何其他原因。 適用於身分識別的 Defender 會偵測 PSexec、遠端 WMI 和 PowerShell 連線。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 執行 (TA0002) |
|---|---|
| 次要 MITRE 策略 | TA0008 (橫向移動) |
| MITRE 攻擊技術 | 命令與文稿解釋器 (T1059) 、遠端服務 (T1021) |
| MITRE 攻擊子技術 | PowerShell (T1059.001) 、 Windows 遠端管理 (T1021.006) |
預防的建議步驟:
- 限制從非第 0 層電腦遠端存取域控制器。
- 實 作特殊許可權存取,只允許強化的機器連線到系統管理員的域控制器。
- 在網域計算機上實作較不具特殊許可權的存取權,以允許特定使用者有權建立服務。
注意事項
只有適用於身分識別的 Defender 感測器才支持嘗試使用 Powershell 命令的遠端程式代碼執行嘗試警示。
可疑的服務建立 (外部標識碼 2026)
上一個名稱: 可疑的服務建立
嚴重性:中
描述:
貴組織中的域控制器或AD FS/ AD CS 伺服器上已建立可疑的服務。 此警示依賴事件 7045 來識別此可疑活動。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 執行 (TA0002) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003) 、 許可權提升 (TA0004) 、 Defense (TA0005) 、 橫向動作 (TA0008) |
| MITRE 攻擊技術 | 遠端服務 (T1021) 、 命令和腳本解釋器 (T1059) 、 系統服務 (T1569) 、 建立或修改系統程式 (T1543) |
| MITRE 攻擊子技術 | 服務執行 (T1569.002) 、 Windows 服務 (T1543.003) |
預防的建議步驟:
- 限制從非第 0 層電腦遠端存取域控制器。
- 實 作特殊許可權存取, 只允許強化的機器連線到系統管理員的域控制器。
- 在網域機器上實作較不具特殊許可權的存取權,只賦予特定使用者建立服務的許可權。
透過 DNS (外部識別碼 2031 的可疑通訊)
上一個名稱:透過 DNS 的可疑通訊
嚴重性:中
描述:
大部分組織中的 DNS 通訊協定通常不會受到監視,而且很少會因為惡意活動而遭到封鎖。 在遭入侵的計算機上啟用攻擊者,以濫用 DNS 通訊協定。 透過 DNS 的惡意通訊可用於數據外洩、命令和控制,以及/或規避公司網路限制。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 外流 (TA0010) |
|---|---|
| MITRE 攻擊技術 | 透過替代通訊協定 (T1048) 、透過 C2 通道外洩 (T1041) 、排 程傳輸 (T1029) 、 自動外洩 (T1020) 、 應用層通訊協定 (T1071) |
| MITRE 攻擊子技術 | DNS (T1071.004) 、透過 未加密/模糊化的非 C2 通訊協定外流 (T1048.003) |
透過SMB的數據外流 (外部標識碼 2030)
嚴重性:高
描述:
域控制器會保存最敏感的組織數據。 對於大部分的攻擊者而言,其首要工作之一是取得域控制器存取權,以竊取您最敏感的數據。 例如,Ntds.dit 檔案的外流儲存在 DC 上,可讓攻擊者偽造 Kerberos 票證,授與票證 (TGT) 提供任何資源的授權。 偽造的 Kerberos TGT 可讓攻擊者將票證到期時間設定為任意時間。 從受監視的域控制器觀察到可疑的數據傳輸時,會觸發適用於身分識別的 Defender 數據外洩 SMB 警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 外流 (TA0010) |
|---|---|
| 次要 MITRE 策略 | (TA0008) 、Command and Control (TA0011) |
| MITRE 攻擊技術 | 透過 T1048 (T1048) 、 橫向工具傳輸 (T1570) |
| MITRE 攻擊子技術 | 透過未加密/模糊的非 C2 通訊協定 (T1048.003) |
可疑刪除外部標識碼 2433 (憑證資料庫專案)
嚴重性:中
描述:
刪除憑證資料庫專案是紅色旗標,表示潛在的惡意活動。 此攻擊可能會中斷公鑰基礎結構 (PKI) 系統的運作,而影響驗證和數據完整性。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| MITRE 攻擊技術 | T1070 (指標移除) |
| MITRE 攻擊子技術 | 不適用 |
注意事項
只有 AD CS 上的適用於身分識別的 Defender 感測器支援可疑的憑證資料庫專案刪除警示。
可疑地停用 AD CS 的稽核篩選 (外部標識碼 2434)
嚴重性:中
描述:
在 AD CS 中停用稽核篩選條件,可讓攻擊者在不偵測到的情況下操作。 此攻擊旨在停用將可疑活動標示為旗標的篩選條件,藉此規避安全性監視。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| MITRE 攻擊技術 | Impair Defenses (T1562) |
| MITRE 攻擊子技術 | 停用 T1562.002 (Windows 事件記錄) |
目錄服務還原模式密碼變更 (外部標識碼 2438)
嚴重性:中
描述:
目錄服務還原模式 (DSRM) 是Microsoft Windows Server 操作系統中的特殊開機模式,可讓系統管理員修復或還原 Active Directory 資料庫。 當 Active Directory 發生問題且無法正常開機時,通常會使用此模式。 DSRM 密碼是在將伺服器升級至域控制器期間設定的。 在此偵測中,當適用於身分識別的 Defender 偵測到 DSRM 密碼變更時,就會觸發警示。 建議您調查來源計算機和提出要求的使用者,以瞭解 DSRM 密碼變更是否從合法的系統管理動作起始,或是否引發未經授權存取或潛在安全性威脅的疑慮。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| MITRE 攻擊技術 | T1098) (帳戶操作 |
| MITRE 攻擊子技術 | 不適用 |
可能的Okta會話竊取
嚴重性:高
描述:
在會話竊取中,攻擊者竊取合法使用者的Cookie,並從其他位置使用它。 建議您調查執行作業的來源IP,以判斷這些作業是否合法,以及使用者是否使用IP位址。
學習期間:
2 週
MITRE:
| 主要 MITRE 策略 | 集合 (TA0009) |
|---|---|
| MITRE 攻擊技術 | T1185 (瀏覽器會話攔截) |
| MITRE 攻擊子技術 | 不適用 |
群組原則 竄改 (外部標識碼 2440) (預覽)
嚴重性:中
描述:
在 群組原則 中偵測到可疑的變更,導致停用 Windows Defender 防毒軟體。 此活動可能表示具有更高許可權的攻擊者違反安全性,而此攻擊者可能正在設定散發勒索軟體的階段。
建議的調查步驟:
瞭解 GPO 變更是否合法
如果不是,請還原變更
瞭解組策略如何連結,以估計其影響範圍
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逸 (TA0005) |
|---|---|
| MITRE 攻擊技術 | (T1553) 還原信任控件 |
| MITRE 攻擊技術 | (T1553) 還原信任控件 |
| MITRE 攻擊子技術 | 不適用 |