偵察和探索警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權的使用者,然後快速橫向移動,直到攻擊者取得重要資產的存取權為止。 有價值資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊終止鏈結的來源識別這些進階威脅,並將其分類為下列階段:
- 偵察和探索
- 持續性和許可權提升警示
- 認證存取警示
- 橫向移動警示
- 其他警示
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需 確判為真 (TP) 、 B-TP) 的良性真 (和 FP) (誤 判的詳細資訊,請參閱 安全性警示分類。
下列安全性警示可協助您識別及補救網路中適用於身分識別的 Defender 所偵測到的 偵察和探索 階段可疑活動。
偵察和探索是由敵人可用來取得系統和內部網路知識的技術所組成。 這些技術可協助敵人先觀察環境並調整其方向,再決定如何採取行動。他們也可讓敵人探索他們可以控制的專案,以及其進入點周圍的專案,以探索其如何受益於他們目前的目標。 原生作業系統工具通常用於這個入侵后的資訊收集目標。 在 適用於身分識別的 Microsoft Defender 中,這些警示通常涉及使用不同技術的內部帳戶列舉。
帳戶列舉偵察 (外部標識碼 2003)
上一個名稱: 使用帳戶列舉進行偵察
嚴重性:中
描述:
在帳戶列舉偵察中,攻擊者會使用具有數千個用戶名稱的字典,或 KrbGuess 等工具,嘗試猜測網域中的用戶名稱。
Kerberos:攻擊者會使用這些名稱提出 Kerberos 要求,以嘗試在網域中尋找有效的用戶名稱。 當猜測成功判斷用戶名稱時,攻擊者會取得 所需的預先驗證 ,而不是 安全性主體未知 的 Kerberos 錯誤。
NTLM:攻擊者會使用名稱字典來提出NTLM驗證要求,以嘗試在網域中尋找有效的用戶名稱。 如果猜測成功判斷使用者名稱,攻擊者會收到 WrongPassword (0xc000006a) ,而不是 NoSuchUser (0xc0000064) NTLM 錯誤。
在此警示偵測中,適用於身分識別的 Defender 會偵測帳戶列舉攻擊的來源、猜測嘗試總數,以及相符的嘗試次數。 如果有太多未知的使用者,適用於身分識別的 Defender 會將它偵測為可疑的活動。 警示是以域控制器和AD FS / AD CS 伺服器上執行之感測器的驗證事件為基礎。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | T1087.002 (網域帳戶) |
預防的建議步驟:
- 在組織中強制執行 複雜和冗長的密碼 。 複雜且冗長的密碼可針對暴力密碼破解攻擊提供必要的第一層安全性。 暴力密碼破解攻擊通常是列舉之後網路攻擊終止鏈結的下一個步驟。
帳戶列舉偵察 (LDAP) (外部標識碼 2437) (Preview)
嚴重性:中
描述:
在帳戶列舉偵察中,攻擊者會使用具有數千個用戶名稱的字典,或 Ldapnomnom 之類的工具,嘗試猜測網域中的用戶名稱。
LDAP:攻擊者使用這些名稱嘗試在網域中尋找有效的用戶名稱, (cLDAP) 提出LDAP Ping要求。 如果猜測成功判斷使用者名稱,攻擊者可能會收到回應,指出使用者存在於網域中。
在此警示偵測中,適用於身分識別的 Defender 會偵測帳戶列舉攻擊的來源、猜測嘗試總數,以及相符的嘗試次數。 如果有太多未知的使用者,適用於身分識別的 Defender 會將它偵測為可疑的活動。 警示是以域控制器伺服器上執行之感測器的LDAP搜尋活動為基礎。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | T1087.002 (網域帳戶) |
網路對應偵察 (DNS) (外部標識碼 2007)
上一個名稱: 使用 DNS 探查
嚴重性:中
描述:
您的 DNS 伺服器包含網路中所有電腦、IP 位址和服務的對應。 攻擊者會使用此資訊來對應您的網路結構,並以感興趣的計算機為目標,以供其後續攻擊的步驟使用。
DNS 通訊協定中有數種查詢類型。 此適用於身分識別的 Defender 安全性警示會偵測可疑的要求,可能是使用 AXFR (傳送) 源自非 DNS 伺服器的要求,或使用過多要求數目的要求。
學習期間:
從域控制器監視開始起,此警示的學習期間為8天。
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳號探索 (T1087) 、 網路服務掃描 (T1046) 、 遠端系統探索 (T1018) |
| MITRE 攻擊子技術 | 不適用 |
預防的建議步驟:
請務必保護您的內部 DNS 伺服器,以防止未來使用 AXFR 查詢的攻擊。
- 藉由停用區域傳輸或 將區域傳送限制 為僅限指定的IP位址,保護您的內部 DNS 伺服器,以防止使用 DNS 進行偵察。 修改區域傳送是檢查清單中的一項工作,應加以解決,以確保 DNS 伺服器免於遭受內部和外部攻擊。
使用者和IP位址偵察 (SMB) (外部標識碼 2012)
上一個名稱: 使用SMB會話列舉進行偵察
嚴重性:中
描述:
使用伺服器消息塊 (SMB) 通訊協定列舉可讓攻擊者取得使用者最近登入位置的相關信息。 一旦攻擊者取得這項資訊,他們就可以在網路中橫向移動,以取得特定的敏感性帳戶。
在此偵測中,針對域控制器執行SMB會話列舉時,會觸發警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳戶探索 (T1087) 、系統網路 Connections 探索 (T1049) |
| MITRE 攻擊子技術 | T1087.002 (網域帳戶) |
使用者和群組成員資格偵察 (SAMR) (外部標識碼 2021)
上一個名稱: 使用目錄服務查詢進行偵察
嚴重性:中
描述:
攻擊者會使用使用者和群組成員資格偵察來對應目錄結構,並以具特殊許可權的帳戶為目標,以進行攻擊的後續步驟。 安全性帳戶管理員遠端 (SAM-R) 通訊協定是用來查詢目錄以執行這種對應類型的其中一種方法。 在此偵測中,在部署適用於身分識別的 Defender 之後的第一個月, (學習期間) 不會觸發任何警示。 在學習期間,適用於身分識別的Defender配置檔會從哪些計算機進行SAM-R查詢,包括敏感性帳戶的列舉和個別查詢。
學習期間:
從 SAMR 針對特定 DC 的第一個網路活動開始,每個域控制器四周。
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳戶探索 (T1087) 、權限 群組 探索 (T1069) |
| MITRE 攻擊子技術 | 網域帳戶 (T1087.002) 、 網域群組 (T1069.002) |
預防的建議步驟:
- 套用網路存取並限制允許對 SAM 組策略進行遠端呼叫的用戶端。
Active Directory 屬性偵察 (LDAP) (外部標識碼 2210)
嚴重性:中
描述:
攻擊者會使用 Active Directory LDAP 偵察來取得網域環境的重要資訊。 此資訊可協助攻擊者對應網域結構,以及識別特殊許可權帳戶,以便在攻擊終止鏈結的後續步驟中使用。 輕量型目錄存取通訊協定 (LDAP) 是用來查詢 Active Directory 的合法和惡意用途的最熱門方法之一。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳戶探索 (T1087) 、間接命令執行 (T1202) 、權限 群組 探索 (T1069) |
| MITRE 攻擊子技術 | 網域帳戶 (T1087.002) 、網域 群組 (T1069.002) |
Honeytoken 是透過 SAM-R (外部標識碼 2439)
嚴重性:低
描述:
攻擊者會使用使用者偵察來對應目錄結構,並以具有特殊許可權的帳戶為目標,以供其後續攻擊的步驟使用。 安全性帳戶管理員遠端 (SAM-R) 通訊協定是用來查詢目錄以執行這種對應類型的其中一種方法。 在此偵測中,適用於身分識別的 Microsoft Defender 會針對預先設定的 honeytoken 使用者,針對任何偵察活動觸發此警示
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | T1087.002 (網域帳戶) |
Honeytoken 是透過LDAP (外部標識碼 2429 查詢)
嚴重性:低
描述:
攻擊者會使用使用者偵察來對應目錄結構,並以具有特殊許可權的帳戶為目標,以供其後續攻擊的步驟使用。 輕量型目錄存取通訊協定 (LDAP) 是用來查詢 Active Directory 的合法和惡意用途的最熱門方法之一。
在此偵測中,適用於身分識別的 Microsoft Defender 會針對預先設定的 honeytoken 使用者,針對任何偵察活動觸發此警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 探索 (TA0007) |
|---|---|
| MITRE 攻擊技術 | 帳戶探索 (T1087) |
| MITRE 攻擊子技術 | T1087.002 (網域帳戶) |
可疑的Okta帳戶列舉
嚴重性:高
描述:
在帳戶列舉中,攻擊者會嘗試對不屬於組織的使用者登入Okta,以猜測用戶名稱。 建議您調查執行失敗嘗試的來源IP,並判斷它們是否合法。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 初始存取 (TA0001) 、 Defense (TA0005) 、 Persistence (TA0003) 、權 限提升 (TA0004) |
|---|---|
| MITRE 攻擊技術 | T1078) 的有效帳戶 ( |
| MITRE 攻擊子技術 | T1078.004 (雲端帳戶) |