Rekognoskace a upozornění zjišťování
Kyberútoky se obvykle spouští proti jakékoli přístupné entitě, jako je například uživatel s nízkou úrovní oprávnění, a pak se rychle posunou později, dokud útočník získá přístup k cenným prostředkům. Cenné prostředky můžou být citlivé účty, správci domény nebo vysoce citlivá data. Microsoft Defender for Identity identifikuje tyto pokročilé hrozby ve zdroji v celém řetězci útoku kill a klasifikuje je do následujících fází:
- Rekognoskace a zjišťování
- Upozornění eskalace trvalosti a oprávnění
- Upozornění na přístup k přihlašovacím údajům
- Upozornění laterálního pohybu
- Další výstrahy
Další informace o tom, jak porozumět struktuře a běžným komponentám všech výstrah zabezpečení Defenderu for Identity, najdete v tématu Vysvětlení výstrah zabezpečení. Informace o pravdivě pozitivních (TP), neškodných pravdivě pozitivních (B-TP) a falešně pozitivních (FP) najdete v klasifikacích výstrah zabezpečení.
Následující výstrahy zabezpečení vám pomůžou identifikovat a opravit podezřelé aktivity fáze rekognoskace a zjišťování zjištěné službou Defender for Identity ve vaší síti.
Rekognoskace a zjišťování se skládají z technik, které může nežádoucí osoba použít k získání znalostí o systému a interní síti. Tyto techniky pomáhají nežádoucím lidem sledovat prostředí a orientovat se před rozhodováním, jak jednat. Také umožňují nežádoucím uživatelům prozkoumat, co můžou řídit a co se nachází kolem jejich vstupního bodu, aby zjistili, jak by to mohlo prospět jejich aktuálnímu cíli. Nativní nástroje operačního systému se často používají k tomuto cíli shromažďování informací po ohrožení zabezpečení. V programu Microsoft Defender for Identity tato upozornění obvykle zahrnují výčet interních účtů s různými technikami.
Rekognoskace účtů (externí ID 2003)
Předchozí název: Rekognoskace pomocí výčtu účtu
Závažnost: Střední
Popis:
Při rekognoskaci výčtu účtů používá útočník slovník s tisíci uživatelských jmen nebo nástroji, jako je KrbGuess, při pokusu o odhad uživatelských jmen v doméně.
Kerberos: Útočník vytvoří požadavky Kerberos pomocí těchto názvů, aby se pokusil najít platné uživatelské jméno v doméně. Když odhad úspěšně určí uživatelské jméno, útočník získá místo neznámé chyby Protokolu Kerberos předběžnéověření místo objektu zabezpečení.
NTLM: Útočník vytvoří požadavky na ověřování NTLM pomocí slovníku názvů, aby se pokusil najít platné uživatelské jméno v doméně. Pokud odhad úspěšně určí uživatelské jméno, útočník místo chyby NoSuchUser (0xc0000064) NTLM získá chybu WrongPassword (0xc000006a).
V této detekci výstrah Defender for Identity zjistí, odkud pochází útok na výčet účtu, celkový počet pokusů o odhad a počet odpovídajících pokusů. Pokud existuje příliš mnoho neznámých uživatelů, Defender for Identity ho detekuje jako podezřelou aktivitu. Výstraha je založená na událostech ověřování ze senzorů spuštěných na řadiči domény a na serverech AD FS / AD CS.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) |
Navrhované kroky pro prevenci:
- Vynucujte složitá a dlouhá hesla v organizaci. Složitá a dlouhá hesla poskytují potřebnou první úroveň zabezpečení proti útokům hrubou silou. Útoky hrubou silou jsou obvykle dalším krokem v řetězci kill-útoku kyber-útoku po výčtu.
Rekognoskace účtu (LDAP) (externí ID 2437) (Preview)
Závažnost: Střední
Popis:
Při rekognoskaci výčtu účtů používá útočník slovník s tisíci uživatelských jmen nebo nástroji, jako je Ldapnomnom, při pokusu o odhad uživatelských jmen v doméně.
LDAP: Útočník vytvoří požadavky protokolu LDAP Ping (cLDAP) pomocí těchto názvů, aby se pokusil najít platné uživatelské jméno v doméně. Pokud odhad úspěšně určí uživatelské jméno, může útočník obdržet odpověď, která značí, že uživatel v doméně existuje.
V této detekci výstrah Defender for Identity zjistí, odkud pochází útok na výčet účtu, celkový počet pokusů o odhad a počet odpovídajících pokusů. Pokud existuje příliš mnoho neznámých uživatelů, Defender for Identity ho detekuje jako podezřelou aktivitu. Výstraha je založená na aktivitách vyhledávání PROTOKOLU LDAP ze senzorů spuštěných na serverech řadiče domény.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) |
Rekognoskace mapování sítě (DNS) (externí ID 2007)
Předchozí název: Rekognoskace pomocí DNS
Závažnost: Střední
Popis:
Server DNS obsahuje mapu všech počítačů, IP adres a služeb ve vaší síti. Tyto informace používají útočníci k namapování struktury sítě a cílení na zajímavé počítače pro pozdější kroky v útoku.
Protokol DNS obsahuje několik typů dotazů. Tato výstraha zabezpečení služby Defender for Identity detekuje podezřelé požadavky, buď požadavky využívající AXFR (přenos), které pocházejí ze serverů mimo DNS, nebo žádosti, které používají nadměrný počet požadavků.
období Učení:
Tato výstraha má 8 dnů od začátku monitorování řadiče domény.
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087), prohledávání síťových služeb (T1046), vzdálené zjišťování systému (T1018) |
| Dílčí technika útoku MITRE | – |
Navrhované kroky pro prevenci:
Je důležité zabránit budoucím útokům pomocí dotazů AXFR zabezpečením interního serveru DNS.
- Zabezpečte interní server DNS, aby se zabránilo rekognoskaci pomocí DNS tím, že zakážete přenosy zón nebo omezíte přenosy zón jenom na zadané IP adresy. Úprava přenosů zón je jedním z úkolů kontrolního seznamu, který by se měl řešit pro zabezpečení serverů DNS před interními i externími útoky.
Rekognoskace uživatelů a IP adres (SMB) (externí ID 2012)
Předchozí název: Rekognoskace pomocí výčtu relace SMB
Závažnost: Střední
Popis:
Výčet pomocí protokolu SMB (Server Message Block) umožňuje útočníkům získat informace o tom, kde se uživatelé nedávno přihlásili. Jakmile budou mít útočníci tyto informace, můžou se v síti přesunout později, aby se dostali ke konkrétnímu citlivému účtu.
V tomto zjišťování se aktivuje výstraha při provedení výčtu relace SMB na řadiči domény.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087), zjišťování systémových síťových Připojení ionů (T1049) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) |
Rekognoskace členství uživatelů a skupin (SAMR) (externí ID 2021)
Předchozí název: Rekognoskace pomocí dotazů adresářových služeb
Závažnost: Střední
Popis:
Rekognoskace členství uživatelů a skupin používají útočníci k mapování adresářové struktury a cílových privilegovaných účtů pro pozdější kroky v útoku. Protokol SAM-R (Security Account Manager Remote) je jednou z metod používaných k dotazování adresáře k provedení tohoto typu mapování. V této detekci se v prvním měsíci po nasazení Defenderu for Identity neaktivují žádné výstrahy (období výuky). Během studijního období se v programu Defender for Identity profily, ze kterých se provádějí dotazy SAM-R, ze kterých počítačů, jak výčtu, tak individuální dotazy citlivých účtů.
období Učení:
Čtyři týdny na řadič domény počínaje první síťovou aktivitou SAMR vůči konkrétnímu řadiči domény.
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087), zjišťování skupin oprávnění (T1069) |
| Dílčí technika útoku MITRE | Domain Account (T1087.002), Domain Group (T1069.002) |
Navrhované kroky pro prevenci:
- Použijte přístup k síti a omezte klienty, kteří můžou provádět vzdálená volání do zásad skupiny SAM.
Rekognoskace atributů služby Active Directory (LDAP) (externí ID 2210)
Závažnost: Střední
Popis:
Rekognoskace PROTOKOLU LDAP služby Active Directory je používána útočníky k získání důležitých informací o prostředí domény. Tyto informace můžou útočníkům pomoct mapovat strukturu domény a také identifikovat privilegované účty pro použití v pozdějších krocích v řetězci ukončení útoku. Protokol LDAP (Lightweight Directory Access Protocol) je jednou z nejoblíbenějších metod používaných pro legitimní i škodlivé účely k dotazování služby Active Directory.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087), nepřímé spouštění příkazů (T1202), zjišťování skupin oprávnění (T1069) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) a skupiny domén (T1069.002) |
Honeytoken se dotazoval přes SAM-R (externí ID 2439)
Závažnost: Nízká
Popis:
Rekognoskace uživatelů používají útočníci k mapování adresářové struktury a cílení privilegovaných účtů na pozdější kroky v útoku. Protokol SAM-R (Security Account Manager Remote) je jednou z metod používaných k dotazování adresáře k provedení tohoto typu mapování. V této detekci aktivuje Microsoft Defender for Identity toto upozornění pro všechny aktivity rekognoskace proti předem nakonfigurovaným uživatelům honeytokenu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) |
Honeytoken byl dotazován přes LDAP (externí ID 2429)
Závažnost: Nízká
Popis:
Rekognoskace uživatelů používají útočníci k mapování adresářové struktury a cílení privilegovaných účtů na pozdější kroky v útoku. Protokol LDAP (Lightweight Directory Access Protocol) je jednou z nejoblíbenějších metod používaných pro legitimní i škodlivé účely k dotazování služby Active Directory.
V této detekci aktivuje Microsoft Defender for Identity toto upozornění pro všechny aktivity rekognoskace proti předem nakonfigurovaným uživatelům honeytokenu.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Zjišťování (TA0007) |
|---|---|
| Technika útoku MITRE | Zjišťování účtů (T1087) |
| Dílčí technika útoku MITRE | Doménový účet (T1087.002) |
Podezřelý výčet účtů Okta
Závažnost: Vysoká
Popis:
V výčtu účtů se útočníci pokusí odhadnout uživatelská jména provedením přihlášení do Okta s uživateli, kteří nepatří do organizace. Doporučujeme zjistit, jestli zdrojová IP adresa provádí neúspěšné pokusy, a zjistit, jestli jsou legitimní, nebo ne.
období Učení:
Nic
MITRE:
| Primární taktika MITRE | Počáteční přístup (TA0001), únik obrany (TA0005), trvalost (TA0003), eskalace oprávnění (TA0004) |
|---|---|
| Technika útoku MITRE | Platné účty (T1078) |
| Dílčí technika útoku MITRE | Cloudové účty (T1078.004) |