مشاركة عبر


تنبيهات الأمان الأخرى

عادة ما يتم إطلاق الهجمات الإلكترونية ضد أي كيان يمكن الوصول إليه، مثل مستخدم ذي امتيازات منخفضة، ثم تتحرك بسرعة أفقيا حتى يحصل المهاجم على حق الوصول إلى الأصول القيمة. يمكن أن تكون الأصول القيمة حسابات حساسة أو مسؤولي مجال أو بيانات حساسة للغاية. يحدد Microsoft Defender for Identity هذه التهديدات المتقدمة في المصدر طوال سلسلة قتل الهجوم بأكملها ويصنفها في المراحل التالية:

  1. تنبيهات الاستطلاع والاكتشاف
  2. تنبيهات المثابرة وتصعيد الامتيازات
  3. تنبيهات الوصول إلى بيانات الاعتماد
  4. تنبيهات الحركة الجانبية
  5. آخر

لمعرفة المزيد حول كيفية فهم البنية والمكونات الشائعة لجميع تنبيهات أمان Defender for Identity، راجع فهم تنبيهات الأمان. للحصول على معلومات حول الإيجابي الحقيقي (TP)والإيجابية الحقيقية الحميدة (B-TP)والإيجابية الخاطئة (FP)، راجع تصنيفات تنبيه الأمان.

تساعدك تنبيهات الأمان التالية على تحديد ومعالجة الأنشطة المشبوهة للمرحلة الأخرى التي اكتشفها Defender for Identity في شبكتك.

هجوم DCShadow المشتبه به (ترقية وحدة تحكم المجال) (المعرف الخارجي 2028)

الاسم السابق: ترقية وحدة التحكم بالمجال المشبوهة (هجوم DCShadow المحتمل)

الخطورة: عالية

الوصف:

هجوم ظل وحدة التحكم بالمجال (DCShadow) هو هجوم مصمم لتغيير عناصر الدليل باستخدام النسخ المتماثل الضار. يمكن تنفيذ هذا الهجوم من أي جهاز عن طريق إنشاء وحدة تحكم مجال محتالة باستخدام عملية النسخ المتماثل.

في هجوم DCShadow، يتم استخدام RPC وLDAP من أجل:

  1. تسجيل حساب الجهاز كوحدة تحكم بالمجال (باستخدام حقوق مسؤول المجال).
  2. إجراء النسخ المتماثل (باستخدام حقوق النسخ المتماثل الممنوحة) عبر DRSUAPI وإرسال التغييرات إلى كائنات الدليل.

في هذا الكشف عن Defender for Identity، يتم تشغيل تنبيه أمان عندما يحاول جهاز في الشبكة التسجيل كوحدة تحكم مجال محتالة.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي التهرب الدفاعي (TA0005)
تقنية هجوم MITRE وحدة تحكم المجال المارقة (T1207)
تقنية هجوم MITRE الفرعية N/A

الخطوات المقترحة للوقاية:

تحقق من صحة الأذونات التالية:

  1. نسخ تغييرات الدليل نسخا متماثلا.
  2. نسخ تغييرات الدليل نسخا متماثلا.
  3. لمزيد من المعلومات، راجع منح أذونات خدمات مجال Active Directory لمزامنة ملف التعريف في SharePoint Server 2013. يمكنك استخدام برنامج AD ACL Scanner أو إنشاء برنامج نصي Windows PowerShell لتحديد من لديه هذه الأذونات في المجال.

ملاحظة

يتم دعم تنبيهات ترقية وحدة التحكم بالمجال المشبوهة (هجوم DCShadow المحتمل) بواسطة مستشعرات Defender for Identity فقط.

هجوم DCShadow المشتبه به (طلب النسخ المتماثل لوحدة التحكم بالمجال) (المعرف الخارجي 2029)

الاسم السابق: طلب النسخ المتماثل المشبوه (هجوم DCShadow المحتمل)

الخطورة: عالية

الوصف:

النسخ المتماثل ل Active Directory هو العملية التي تتم من خلالها مزامنة التغييرات التي يتم إجراؤها على وحدة تحكم مجال واحدة مع وحدات التحكم بالمجال الأخرى. بالنظر إلى الأذونات الضرورية، يمكن للمهاجمين منح حقوق لحساب الجهاز الخاص بهم، ما يسمح لهم بانتحال شخصية وحدة تحكم المجال. يسعى المهاجمون جاهدين لبدء طلب النسخ المتماثل الضار، ما يسمح لهم بتغيير عناصر Active Directory على وحدة تحكم مجال أصلية، والتي يمكن أن تمنح المهاجمين استمرارية في المجال. في هذا الكشف، يتم تشغيل تنبيه عند إنشاء طلب نسخ متماثل مريب مقابل وحدة تحكم مجال أصلية محمية بواسطة Defender for Identity. يشير السلوك إلى التقنيات المستخدمة في هجمات الظل لوحدة التحكم بالمجال.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي التهرب الدفاعي (TA0005)
تقنية هجوم MITRE وحدة تحكم المجال المارقة (T1207)
تقنية هجوم MITRE الفرعية N/A

المعالجة المقترحة وخطوات الوقاية:

تحقق من صحة الأذونات التالية:

  1. نسخ تغييرات الدليل نسخا متماثلا.
  2. نسخ تغييرات الدليل نسخا متماثلا.
  3. لمزيد من المعلومات، راجع منح أذونات خدمات مجال Active Directory لمزامنة ملف التعريف في SharePoint Server 2013. يمكنك استخدام برنامج AD ACL Scanner أو إنشاء برنامج نصي Windows PowerShell لتحديد من لديه هذه الأذونات في المجال.

ملاحظة

يتم دعم تنبيهات طلب النسخ المتماثل المشبوه (هجوم DCShadow المحتمل) بواسطة مستشعرات Defender for Identity فقط.

اتصال VPN مريب (معرف خارجي 2025)

الاسم السابق: اتصال VPN مريب

الخطورة: متوسط

الوصف:

يتعلم Defender for Identity سلوك الكيان للمستخدمين اتصالات VPN على مدى فترة انزلاقية لمدة شهر واحد.

يستند نموذج سلوك VPN إلى الأجهزة التي يسجل المستخدمون الدخول إليها والمواقع التي يتصل منها المستخدمون.

يتم فتح تنبيه عندما يكون هناك انحراف عن سلوك المستخدم استنادا إلى خوارزمية التعلم الآلي.

فترة التعلم:

30 يوما من أول اتصال VPN، و5 اتصالات VPN على الأقل في آخر 30 يوما، لكل مستخدم.

MITRE:

تكتيك MITRE الأساسي التهرب الدفاعي (TA0005)
تكتيك MITRE الثانوي المثابرة (TA0003)
تقنية هجوم MITRE الخدمات البعيدة الخارجية (T1133)
تقنية هجوم MITRE الفرعية N/A

محاولة تنفيذ التعليمات البرمجية عن بعد (المعرف الخارجي 2019)

الاسم السابق: محاولة تنفيذ التعليمات البرمجية عن بعد

الخطورة: متوسط

الوصف:

يمكن للمهاجمين الذين يخترقون بيانات الاعتماد الإدارية أو يستخدمون استغلالا صفريا تنفيذ أوامر بعيدة على وحدة التحكم بالمجال أو خادم AD FS / AD CS. يمكن استخدام هذا للحصول على استمرارية أو جمع المعلومات أو هجمات رفض الخدمة (DOS) أو أي سبب آخر. يكتشف Defender for Identity اتصالات PSexec وWMI البعيد وPowerShell.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي التنفيذ (TA0002)
تكتيك MITRE الثانوي الحركة الجانبية (TA0008)
تقنية هجوم MITRE مترجم الأوامر والبرمجة النصية (T1059)،الخدمات البعيدة (T1021)
تقنية هجوم MITRE الفرعية PowerShell (T1059.001)،إدارة Windows عن بعد (T1021.006)

الخطوات المقترحة للوقاية:

  1. تقييد الوصول عن بعد إلى وحدات التحكم بالمجال من الأجهزة غير من المستوى 0.
  2. تنفيذ الوصول المتميز، ما يسمح فقط للأجهزة المتصلبة بالاتصال بوحدات التحكم بالمجال للمسؤولين.
  3. تنفيذ وصول أقل امتيازا على أجهزة المجال للسماح لمستخدمين محددين بالحق في إنشاء خدمات.

ملاحظة

يتم دعم تنبيهات محاولة تنفيذ التعليمات البرمجية عن بعد عند محاولة استخدام أوامر Powershell فقط بواسطة مستشعرات Defender for Identity.

إنشاء خدمة مشبوهة (معرف خارجي 2026)

الاسم السابق: إنشاء خدمة مشبوهة

الخطورة: متوسط

الوصف:

تم إنشاء خدمة مشبوهة على وحدة تحكم مجال أو خادم AD FS / AD CS في مؤسستك. يعتمد هذا التنبيه على الحدث 7045 لتحديد هذا النشاط المشبوه.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي التنفيذ (TA0002)
تكتيك MITRE الثانوي المثابرة (TA0003) ، تصعيد الامتياز (TA0004) ، التهرب الدفاعي (TA0005) ، الحركة الجانبية (TA0008)
تقنية هجوم MITRE الخدمات البعيدة (T1021)ومترجم الأوامر والبرمجة النصية (T1059)وخدمات النظام (T1569)وإنشاء عملية النظام أو تعديلها (T1543)
تقنية هجوم MITRE الفرعية تنفيذ الخدمة (T1569.002)، خدمة Windows (T1543.003)

الخطوات المقترحة للوقاية:

  1. تقييد الوصول عن بعد إلى وحدات التحكم بالمجال من الأجهزة غير من المستوى 0.
  2. تنفيذ الوصول المتميز للسماح فقط للأجهزة المتصلبة بالاتصال بوحدات التحكم بالمجال للمسؤولين.
  3. تنفيذ وصول أقل امتيازا على أجهزة المجال لمنح مستخدمين محددين فقط الحق في إنشاء الخدمات.

الاتصال المشبوه عبر DNS (المعرف الخارجي 2031)

الاسم السابق: الاتصال المشبوه عبر DNS

الخطورة: متوسط

الوصف:

عادة ما لا تتم مراقبة بروتوكول DNS في معظم المؤسسات ونادرا ما يتم حظره للنشاط الضار. تمكين المهاجم على جهاز مخترق، لإساءة استخدام بروتوكول DNS. يمكن استخدام الاتصال الضار عبر DNS لتسريب البيانات والأوامر والتحكم و/أو التهرب من قيود شبكة الشركة.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي النقل غير المصرح به (TA0010)
تقنية هجوم MITRE النقل غير المصرح عبر البروتوكول البديل (T1048)، النقل غير المصرح عبر قناة C2 (T1041)، النقل المجدول (T1029)، النقل غير المصرح التلقائي (T1020)، بروتوكول طبقة التطبيق (T1071)
تقنية هجوم MITRE الفرعية DNS (T1071.004)،النقل غير المصرح به عبر بروتوكول غير مشفر/معبص غير C2 (T1048.003)

النقل غير المصرح للبيانات عبر SMB (المعرف الخارجي 2030)

الخطورة: عالية

الوصف:

تحتفظ وحدات التحكم بالمجال بالبيانات التنظيمية الأكثر حساسية. بالنسبة لمعظم المهاجمين، تتمثل إحدى أولوياتهم القصوى في الوصول إلى وحدة التحكم بالمجال، لسرقة بياناتك الأكثر حساسية. على سبيل المثال، يسمح النقل غير المصرح به لملف Ntds.dit، المخزن على DC، للمهاجم بتزويد تذاكر منح تذاكر Kerberos (TGT) التي توفر تخويلا لأي مورد. تمكن Kerberos TGTs المزورة المهاجم من تعيين انتهاء صلاحية التذكرة إلى أي وقت عشوائي. يتم تشغيل تسرب بيانات Defender for Identity عبر تنبيه SMB عند ملاحظة عمليات النقل المشبوهة للبيانات من وحدات التحكم بالمجال المراقبة.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي النقل غير المصرح به (TA0010)
تكتيك MITRE الثانوي الحركة الجانبية (TA0008)،القيادة والتحكم (TA0011)
تقنية هجوم MITRE النقل غير المصرح عبر البروتوكول البديل (T1048)،نقل الأدوات الجانبية (T1570)
تقنية هجوم MITRE الفرعية النقل غير المصرح به عبر بروتوكول غير مشفر/معطوب غير C2 (T1048.003)

الحذف المشبوه لإدخالات قاعدة بيانات الشهادة (المعرف الخارجي 2433)

الخطورة: متوسط

الوصف:

يعد حذف إدخالات قاعدة بيانات الشهادة علامة حمراء، مما يشير إلى نشاط ضار محتمل. قد يؤدي هذا الهجوم إلى تعطيل عمل أنظمة البنية الأساسية للمفتاح العام (PKI)، مما يؤثر على المصادقة وسلامة البيانات.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي التهرب الدفاعي (TA0005)
تقنية هجوم MITRE إزالة المؤشر (T1070)
تقنية هجوم MITRE الفرعية N/A

ملاحظة

يتم دعم الحذف المشبوه لتنبيهات إدخالات قاعدة بيانات الشهادة فقط بواسطة مستشعرات Defender for Identity على AD CS.

تعطيل مشبوه لعوامل تصفية التدقيق ل AD CS (المعرف الخارجي 2434)

الخطورة: متوسط

الوصف:

يمكن أن يسمح تعطيل عوامل تصفية التدقيق في AD CS للمهاجمين بالعمل دون اكتشافهم. يهدف هذا الهجوم إلى التهرب من مراقبة الأمان عن طريق تعطيل عوامل التصفية التي من شأنها أن تشير إلى الأنشطة المشبوهة بخلاف ذلك.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي التهرب الدفاعي (TA0005)
تقنية هجوم MITRE ضعف الدفاعات (T1562)
تقنية هجوم MITRE الفرعية تعطيل تسجيل أحداث Windows (T1562.002)

تغيير كلمة مرور وضع استعادة خدمات الدليل (المعرف الخارجي 2438)

الخطورة: متوسط

الوصف:

وضع استعادة خدمات الدليل (DSRM) هو وضع تمهيد خاص في Microsoft Windows Server أنظمة التشغيل التي تسمح للمسؤول بإصلاح قاعدة بيانات Active Directory أو استعادتها. يتم استخدام هذا الوضع عادة عند وجود مشكلات في Active Directory ولا يمكن التمهيد العادي. يتم تعيين كلمة مرور DSRM أثناء ترقية خادم إلى وحدة تحكم مجال. في هذا الكشف، يتم تشغيل تنبيه عندما يكتشف Defender for Identity تغيير كلمة مرور DSRM. نوصي بالتحقيق في الكمبيوتر المصدر والمستخدم الذي قدم الطلب لفهم ما إذا تم بدء تغيير كلمة مرور DSRM من إجراء إداري شرعي أو إذا كان يثير مخاوف بشأن الوصول غير المصرح به أو التهديدات الأمنية المحتملة.

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي المثابرة (TA0003)
تقنية هجوم MITRE معالجة الحساب (T1098)
تقنية هجوم MITRE الفرعية N/A

سرقة جلسة Okta المحتملة

الخطورة: عالية

الوصف:

في سرقة الجلسة، يسرق المهاجمون ملفات تعريف الارتباط الخاصة بالمستخدم الشرعي ويستخدمونها من مواقع أخرى. نوصي بالتحقق من عنوان IP المصدر الذي يقوم بالعملية لتحديد ما إذا كانت هذه العمليات شرعية أم لا، وأن عنوان IP مستخدم من قبل المستخدم.

فترة التعلم:

أسبوعين

MITRE:

تكتيك MITRE الأساسي مجموعة (TA0009)
تقنية هجوم MITRE اختطاف جلسة عمل المستعرض (T1185)
تقنية هجوم MITRE الفرعية N/A

نهج المجموعة العبث (المعرف الخارجي 2440) (معاينة)

الخطورة: متوسط

الوصف:

تم الكشف عن تغيير مريب في نهج المجموعة، مما أدى إلى إلغاء تنشيط Windows برنامج الحماية من الفيروسات من Defender. قد يشير هذا النشاط إلى خرق أمني من قبل مهاجم يتمتع بامتيازات مرتفعة يمكن أن يمهد للمرحلة لتوزيع برامج الفدية الضارة. 

الخطوات المقترحة للتحقيق:

  1. فهم ما إذا كان تغيير عنصر نهج المجموعة شرعيا

  2. إذا لم يكن كذلك، فقم بإعادة التغيير

  3. فهم كيفية ربط نهج المجموعة، لتقدير نطاق تأثيرها

فترة التعلم:

بلا

MITRE:

تكتيك MITRE الأساسي التهرب الدفاعي (TA0005)
تقنية هجوم MITRE تخريب عناصر التحكم في الثقة (T1553)
تقنية هجوم MITRE تخريب عناصر التحكم في الثقة (T1553)
تقنية هجوم MITRE الفرعية N/A

راجع أيضًا