Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Defender for Identity beskeder kan vises i Microsoft Defender-portalen i to forskellige formater, afhængigt af om beskeden stammer fra Defender for Identity eller Defender XDR. Alle beskeder er baseret på registreringer fra Defender for Identity-sensorer. Forskellene i layout og oplysninger er en del af en løbende overgang til en samlet beskedoplevelse på tværs af Microsoft Defender produkter.
Hvis du vil vide mere om, hvordan du forstår strukturen og almindelige komponenter i alle Sikkerhedsbeskeder i Defender for Identity, skal du se Få vist og administrer beskeder.
Microsoft Defender for Identity XDR-beskedkategorier
Sikkerhedsbeskeder fra Defender for Identity kategoriseres efter deres tilsvarende MITRE ATT&CK-taktik. Det gør det lettere at forstå den mistænkelige angrebsteknik, der potentielt bruges, når en besked fra Defender for Identity udløses. Denne side indeholder oplysninger om hver besked, som kan hjælpe dig med dine undersøgelses- og afhjælpningsopgaver. Denne vejledning indeholder generelle oplysninger om betingelserne for udløsning af beskeder. Bemærk, at uregelmæssighedsbaserede beskeder kun udløses, når funktionsmåden afviger væsentligt fra de etablerede grundlinjer.
- Indledende adgang
- Henrettelse
- Persistens
- Rettighedseskalering
- Forsvarsunddragelse
- Adgang til legitimationsoplysninger
- Opdagelse
- Tværgående bevægelse
- Samling
Indledende adgangsbeskeder
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at få det første fodfæste i din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
Anonym brugeradgang til OktaBeskrivelse: Der blev registreret anonym brugeradgang. |
Høj | T1078 | xdr_OktaAnonymousUserAccess |
Adgangskodespray mod OneLoginBeskrivelse: En mistænkelig IP-adresse forsøgte at godkende til OneLogin ved hjælp af flere gyldige konti. En hacker forsøger muligvis at finde gyldige legitimationsoplysninger til brugerkontoen til senere opfølgningsfunktion. |
Middel | T1110.003 | xdr_OneLoginPasswordSpray |
Mistænkelig optælling af Okta-kontoBeskrivelse: En mistænkelig IP-adresse optalte Okta-konti. En hacker forsøger muligvis at udføre registreringsaktiviteter for senere opfølgningsfunktionalitet. |
Høj | T1078.004 | xdr_SuspiciousOktaAccountEnumeration |
Mistænkelig OneLogin MFA-træthedBeskrivelse: En mistænkelig IP-adresse sendte flere oneLogin MFA-udfordringsforsøg (Multifactor Authentication) for en brugerkonto. En hacker kan have kompromitteret brugerens legitimationsoplysninger og forsøger at oversvømme og omgå MFA-mekanismen. |
Middel | T1110.003 | xdr_OneLoginMfaFatigue |
Mistænkeligt logon til en administratorkontoBeskrivelse: Logon til en administratorkonto blev udført på en mistænkelig måde. Denne funktionsmåde kan indikere, at en brugerkonto er blevet kompromitteret og bruges til skadelige aktiviteter. |
Lav | T1078.001 | xdr_SuspiciousAdminAccountSignIn |
Mistænkeligt logon foretaget ved hjælp af et skadeligt certifikatBeskrivelse: En bruger er logget på organisationen ved hjælp af et skadeligt certifikat. Denne funktionsmåde kan indikere, at en brugerkonto er blevet kompromitteret og bruges til skadelige aktiviteter, og at der er registreret et skadeligt domæne med AAD Internals-certifikatet i organisationen. |
Høj | T1078.001 | xdr_SignInUsingMaliciousCertificate |
Mistænkeligt logon til Microsoft Sentinel app, der er oprettet ved hjælp af entra-id-synkroniseringskontoBeskrivelse: En Microsoft Entra ID Opret forbindelse til synkroniseringskontoen er logget på en Microsoft Sentinel ressource på en usædvanlig måde. Denne funktionsmåde kan indikere, at en brugerkonto er blevet kompromitteret og bruges til skadelige aktiviteter. |
Lav | T1078.001 | xdr_SuspiciousMicrosoftSentinelAccessByEntraIdSyncAccount |
Mistænkeligt værktøj, der bruges af en Microsoft Entra synkroniseringskontoBeskrivelse: Der blev registreret en mistænkelig godkendelse til en Microsoft Entra ID konto, der typisk bruges til synkronisering af handlinger. Denne funktionsmåde kan indikere, at en brugerkonto er blevet kompromitteret, og at en hacker bruger den til at udføre skadelige aktiviteter. |
Høj | T1078.004 | xdr_SuspiciousToolSyncAccountSignIn |
Synkroniser konto med risiko for logon til en ualmindelig appBeskrivelse: En Microsoft Entra ID Opret forbindelse til en synkroniseringskonto, der er logget på en risikable session, udførte usædvanlige aktiviteter. Denne funktionsmåde kan indikere, at en brugerkonto er blevet kompromitteret og bruges til skadelige aktiviteter. |
Høj | T1078.001 | xdr_RiskyEntraIDSyncAccount |
Kørselsbeskeder
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at køre skadelig kode i din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
Mistænkelig installation af fjerntjenesteBeskrivelse: Der blev fundet en mistænkelig tjenesteinstallation. Denne tjeneste blev oprettet med henblik på at udføre potentielt skadelige kommandoer. En hacker bruger muligvis stjålne legitimationsoplysninger til at udnytte dette angreb. Dette kan også indikere, at der blev brugt et pass-the-hash-angreb. |
Middel | T1569.002 | xdr_SuspiciousRemoteServiceInstallation |
Beskeder om fastholdelse
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at bevare deres fodfæste i din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
OAuth-appen har oprettet en brugerBeskrivelse: En ny brugerkonto blev oprettet af et OAuth-program. En hacker kan have kompromitteret dette program for vedholdenhed i organisationen. |
Middel | T1136.003 | xdr_OAuthAppCreatedAUser |
Okta-privilegeret API-token blev oprettetBeskrivelse: {ActorAliasName} oprettede et API-token. Hvis den bliver stjålet, kan den give hackeren adgang med brugerens tilladelse. |
Høj | T1078.004 | xdr_OktaPrivilegedApiTokenCreated |
Okta-privilegeret API-token blev opdateretBeskrivelse: {ActorAliasName} har opdateret en privilegeret API-tokenkonfiguration, så den er mere promiskuøs. Hvis den bliver stjålet, kan den give hackeren adgang med brugerens tilladelse. |
Høj | T1078.004 | xdr_OktaPrivilegedApiTokenUpdated |
Mistænkelig MFA-manipulationsaktivitet efter administratorkontoBeskrivelse: En administratorkonto udførte manipulationsaktivitet med multifaktorgodkendelse (MFA) efter en risikobetonet godkendelse. En hacker kan have kompromitteret en administratorkonto for at manipulere MFA-indstillinger for mulig tværgående bevægelsesaktivitet. |
Lav | T1556.006 | xdr_AdminAccountTakeover |
Oprettelse af mistænkelig kontoBeskrivelse: En ny brugerkonto blev oprettet af en kompromitteret OAuth-app. Hackere forbereder muligvis den nye brugerkonto til senere brug som bagdør til at flytte side om side på tværs af netværket eller få adgang til data. Denne besked blev udløst på baggrund af en anden Microsoft Cloud App Security-besked, der er relateret til den kompromitterede OAuth-app. |
Middel | T1136.003 | xdr_SuspiciousAccountCreation |
Mistænkelig tilføjelse af alternativt telefonnummerBeskrivelse: Der blev tilføjet et nyt alternativt telefonnummer til flere brugere på mistænkelig måde. En hacker kan have gjort dette for at opnå vedholdenhed i organisationen. |
Middel | T1556.006 | xdr_SuspiciousMFAAddition |
Mistænkelig tilføjelse af mailBeskrivelse: Der blev tilføjet en ny mail til flere brugere på mistænkelig måde. En hacker kan have gjort dette for at opnå vedholdenhed i organisationen. |
Middel | T1556.006 | xdr_SuspiciousMFAAddition |
Mistænkelig ændring af primært gruppe-idBeskrivelse: En brugers primære gruppe-id blev ændret. En hacker kan have kompromitteret en brugerkonto og tildelt en bagdørbruger med stærke tilladelser i domænet til senere brug. |
Middel | T1098 | xdr_SuspiciousChangeInUserPrimaryGroupId |
Mistænkelig filændringBeskrivelse: En bruger ændrede en fil på en mistænkelig måde. |
Middel | T1546.001 | xdr_SuspiciousCloudFileModification |
Mistænkelig invitation til gæstebrugerBeskrivelse: En ny gæstebruger blev inviteret og accepteret på en mistænkelig måde. En hacker kan have kompromitteret en brugerkonto i organisationen og bruger den til at tilføje en uautoriseret bruger af vedvarende årsager. |
Middel | T1136.003 | xdr_SuspiciousGuestUserInvitation |
Mistænkelig indbakkeregelBeskrivelse: En bruger har ændret eller oprettet en indbakkeregel på denne enhed på en mistænkelig måde. |
Middel | T1114.003 | xdr_SuspiciousInboxRule |
Brugeren blev oprettet og tildelt til en følsom rolleBeskrivelse: En ny bruger blev oprettet og tildelt til en følsom rolle. En hacker kan have kompromitteret brugerkontoen for at udføre vedholdenhed og tværgående bevægelse. |
Middel | T1136.003, T1098.003 | xdr_SuspiciousUserCreationAndSensitiveRoleAssignment |
Rettighedseskaleringsbeskeder
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at få tilladelser på et højere niveau i din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
Mistænkelig SPN blev føjet til en brugerBeskrivelse: Et mistænkeligt tjenesteprincipalnavn (SPN) blev føjet til en følsom bruger. En hacker forsøger muligvis at få øget adgang til tværgående bevægelse i organisationen. |
Høj | T1098 | xdr_SuspiciousAdditionOfSpnToUser |
Mistænkelig udnyttelse af certifikatregistrering misbruger ESC15Beskrivelse: Et certifikat blev tilmeldt mistænkeligt. En hacker udnytter muligvis en sårbarhed (også kaldet ESC) til at eskalere rettigheder i området. |
Høj | T1068 | xdr_SuspectedCertificateEnrollmentESC15 |
Beskeder om forsvarsunddragelse
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at undgå registrering i din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
Mistænkelig adgangsnægtelse for at få vist et objekts primære gruppe-idBeskrivelse: En adgangskontrolliste (ACL) nægtede adgang til at få vist det primære gruppe-id for et objekt. En hacker kan have kompromitteret en brugerkonto og ønsker at skjule gruppen af en bagdørbruger. |
Middel | T1564.002 | xdr_SuspiciousDenyAccessToPrimaryGroupId |
Link til mistænkelig kontoBeskrivelse: En konto blev sammenkædet via en administrativ handling på tværs af lejere. Handlingen blev udført på en mistænkelig måde, der kan indikere, at kontoen kan bruges i et forsøg på at omgå MFA. |
Middel | T1556 | xdr_SuspiciousAccountLink |
Beskeder om adgang til legitimationsoplysninger
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at stjæle kontonavne og adgangskoder fra din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
AS-REP stegningBeskrivelse: Der blev registreret flere forsøg på at logge på uden forhåndsgodkendelse. Denne funktionsmåde kan indikere et AS-REP-stegningsangreb (Authentication Server Response), som er målrettet Kerberos-godkendelsesprotokollen, især konti, der har deaktiveret forhåndsgodkendelse. |
Middel | T1558.004 | xdr_AsrepRoastingAttack |
HonningtokenaktivitetBeskrivelse: Honeytoken-bruger forsøgte at logge på |
Høj | T1098 | xdr_HoneytokenSignInAttempt |
NEGOEX relæangrebBeskrivelse: En hacker brugte NEGOEX til at repræsentere en server, som en klient ønsker at oprette forbindelse til, så hackeren derefter kan videresende godkendelsesprocessen til et hvilket som helst mål. Dette gør det muligt for hackeren at få adgang til målet. NEGOEX er en godkendelsesprotokol, der er udviklet til at godkende brugerkonti til Microsoft Entra tilsluttede enheder. |
Høj | T1187, T1557.001 | xdr_NegoexRelayAttack |
Okta-privilegeret rolle, der er tildelt til programmetBeskrivelse: {ActorAliasName} har tildelt rollen {RoleDisplayName} til programmet: {ApplicationDisplayName} |
Høj | T1003.006 | xdr_OktaPrivilegedRoleAssignedToApplication |
Muligt AS-REP-stegningsangrebBeskrivelse: Der blev foretaget en mistænkelig Kerberos-godkendelsesanmodning til konti, der ikke kræver forhåndsgodkendelse. En hacker udfører muligvis et AS-REP-stegningsangreb for at stjæle adgangskoder og få yderligere adgang til netværket. |
Middel | T1558.004 | xdr_AsrepRoastingAttack |
Muligt Golden SAML-angrebBeskrivelse: En privilegeret brugerkonto, der er godkendt med egenskaber, der kan være relateret til et Golden SAML-angreb. |
Høj | T1071, T1606.002 | xdr_PossibleGoldenSamlAttack |
Muligt NetSync-angrebBeskrivelse: NetSync er et modul i Mimikatz, et værktøj efter udnyttelse, der anmoder om adgangskodehash for en destinationsenheds adgangskode ved at foregive at være en domænecontroller. En hacker kan udføre skadelige aktiviteter på netværket ved hjælp af denne funktion for at få adgang til organisationens ressourcer. |
Høj | T1003.006 | xdr_PossibleNetsyncAttack |
Mulig kontohemmelighedsfejlBeskrivelse: Der blev registreret et mislykket forsøg på at logge på en brugerkonto med et udstopningsværktøj til legitimationsoplysninger. Fejlkoden angiver, at hemmeligheden var gyldig, men misbrugt. Brugerkontoens legitimationsoplysninger kan være blevet lækket eller er i besiddelse af en uautoriseret part. |
Middel | T1078 | xdr_CredentialStuffingToolObserved |
Muligt golden ticket-angrebBeskrivelse: En mistænkelig Kerberos-anmodning om tildeling af tjeneste (TGS) blev observeret. En hacker bruger muligvis stjålne legitimationsoplysninger for KRBTGT-kontoen til at forsøge et gyldent billetangreb. |
Høj | T1558, T1558.001 | xdr_PossibleGoldenTicketAttacks |
Mulige gyldne billet angreb (CVE-2021-42287 udnytte)Beskrivelse: Der blev observeret en mistænkelig Kerberos-billettildelingsbillet (TGT), der indeholder unormale PAC (Kerberos Privilege Attribute Certificate). En hacker bruger muligvis stjålne legitimationsoplysninger for KRBTGT-kontoen til at forsøge et gyldent billetangreb. |
Høj | T1558, T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousPac |
Muligt overpass-the-hash angrebBeskrivelse: Der blev registreret et muligt overpass-the-hash-angreb. I denne type angreb bruger en hacker NT-hashen for en brugerkonto eller andre Kerberos-nøgler til at hente Kerberos-billetter, hvilket giver uautoriseret adgang til netværksressourcer. |
Høj | T1003.006 | xdr_PossibleOverPassTheHash |
Mulig sikkerhedslækage for tjenesteprincipalkontoBeskrivelse: Der blev registreret et mislykket forsøg på at logge på en tjenesteprincipalkonto med et udstopningsværktøj til legitimationsoplysninger. Fejlkoden angiver, at hemmeligheden var gyldig, men misbrugt. Legitimationsoplysningerne for tjenesteprincipalkontoen kan være blevet lækket eller er i besiddelse af en uautoriseret part. |
Middel | T1078 | xdr_CredentialStuffingToolObserved |
Muligvis kompromitteret tjenesteprincipalkonto logget påBeskrivelse: En tjenesteprincipalkonto, der muligvis er kompromitteret, er logget på. Et forsøg på at fylde legitimationsoplysninger blev godkendt, hvilket angiver, at tjenesteprincipalkontoens legitimationsoplysninger kan være lækket eller er i besiddelse af en uautoriseret part. |
Middel | T1078 | xdr_CredentialStuffingToolObserved |
Muligvis kompromitteret brugerkonto, der er logget påBeskrivelse: En muligvis kompromitteret brugerkonto er logget på. Et forsøg på at fylde legitimationsoplysninger blev godkendt, hvilket angiver, at brugerkontoens legitimationsoplysninger kan være lækket eller er i besiddelse af en uautoriseret part. |
Middel | T1078 | xdr_CredentialStuffingToolObserved |
Mistænkelig DMSA-relateret aktivitet registreretBeskrivelse: Der blev registreret en mistænkelig DMSA-relateret aktivitet. Dette kan indikere en kompromitteret administreret konto eller et forsøg på at udnytte en DMSA-konto. |
Høj | T1555 | xdr_SuspiciousDmsaAction |
Mistænkelig golden gMSA-relateret aktivitetBeskrivelse: Der blev foretaget en mistænkelig læsningsaktivitet for følsomme gMSA-objekter (Managed Service Account), som kan være knyttet til en trusselsaktør, der forsøger at udnytte det gyldne gMSA-angreb. |
Høj | T1555 | xdr_SuspiciousGoldenGmsaActivity |
Mistænkelig Kerberos-godkendelse (AP-REQ)Beskrivelse: Der blev registreret en mistænkelig Kerberos-programanmodning (AP-REQ). En hacker bruger muligvis stjålne legitimationsoplysninger for en tjenestekonto til at forsøge et silver ticket-angreb. I denne type angreb opretter en person med ondsindede hensigter en tjenestebillet (Ticket Granting Service eller TGS) for en bestemt tjeneste på et netværk, hvilket gør det muligt for hackeren at få adgang til tjenesten uden at skulle interagere med domænecontrolleren efter det indledende kompromis. |
Høj | T1558, T1558.002 | xdr_SuspiciousKerberosApReq |
Mistænkelig Kerberos-godkendelse (AS-REQ)Beskrivelse: En mistænkelig Kerberos-godkendelsesanmodning (AS-REQ) for en TGT (ticket-granting ticket) blev observeret. Denne uregelmæssige TGT-anmodning mistænkes for at være særligt udformet af en hacker. Hackeren bruger muligvis stjålne legitimationsoplysninger til at udnytte dette angreb. |
Middel | T1550, T1558 | xdr_SusKerberosAuth_AsReq |
Mistænkelig Kerberos-godkendelse (TGT-anmodning ved hjælp af TGS-REQ)Beskrivelse: Der blev observeret en mistænkelig Kerberos-anmodning om tildeling af en tjeneste (TGS-REQ), der involverer udvidelsen Service for User to Self (S4U2self). Denne uregelmæssige TGS-anmodning mistænkes for at være særligt udformet af en hacker. |
Middel | T1550, T1558 | xdr_SusKerberosAuth_S4U2selfTgsReq |
Mistænkelig oprettelse af ESXi-gruppeBeskrivelse: Der blev oprettet en mistænkelig VMware ESXi-gruppe i domænet. Dette kan indikere, at en hacker forsøger at få flere tilladelser til senere trin i et angreb. |
Høj | T1098 | xdr_SuspiciousUserAdditionToEsxGroup |
Mistanke om LDAP (Brute Force-angreb)Forrige navn: Brute force attack using LDAP simple bind. Beskrivelse: I et brute-force-angreb forsøger hackeren at godkende med mange forskellige adgangskoder for forskellige konti, indtil der findes en korrekt adgangskode til mindst én konto. Når en person med ondsindede hensigter er fundet, kan vedkommende logge på med den pågældende konto. I denne registrering udløses en besked, når Defender for Identity registrerer et massivt antal enkle binding-godkendelser. Denne besked registrerer brute force-angreb, der udføres enten vandret med et lille sæt adgangskoder på tværs af mange brugere, lodret med et stort sæt adgangskoder på blot nogle få brugere eller en kombination af de to muligheder. Beskeden er baseret på godkendelseshændelser fra sensorer, der kører på domænecontroller- og AD FS/AD CS-servere. Læringsperiode: Ingen Foreslåede trin til forebyggelse: – Gennemtvinge komplekse og lange adgangskoder i organisationen. Det giver det nødvendige første sikkerhedsniveau mod fremtidige angreb fra brute-force. – Undgå fremtidig brug af LDAP-klartekstprotokol i din organisation. |
Middel |
TA0006 T1110 T1110.001 T1110.003 |
xdr_LdapBindBruteforce |
Registreringsbeskeder
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at indsamle oplysninger om din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
Der er optæltet en Okta-synkroniseringstjenesteprincipalBeskrivelse: Der blev registreret en mistænkelig LDAP-optælling (Lightweight Directory Access Protocol) for at finde Okta-synkroniseringstjenestekontoen. Denne funktionsmåde kan indikere, at en brugerkonto er blevet kompromitteret, og at en hacker bruger den til at udføre skadelige aktiviteter. |
Høj | T1087.002 | xdr_OktaSyncServicePrincipalEnumeration |
Reconnaissance relateret til følsom LDAP-attributBeskrivelse: Der blev fundet reconnaissanceaktiviteter, der er relateret til LDAP-attributter (Lightweight Directory Access Protocol) på denne enhed. En hacker kan have kompromitteret en brugerkonto og leder efter oplysninger til brug i deres næste trin. |
Middel | T1087.002 | xdr_LdapSensitiveAttributeRecon |
Mistænkelig LDAP-forespørgselBeskrivelse: Der blev fundet en mistænkelig LDAP-forespørgsel (Lightweight Directory Access Protocol), der er knyttet til et kendt angrebsværktøj. En hacker udfører muligvis rekognoscering for senere trin. |
Høj | T1087.002 | xdr_SuspiciousLdapQuery |
Active Directory-attributter reconnaissance ved hjælp af LDAPBeskrivelse: Active Directory LDAP-rekognoscering bruges af hackere til at få vigtige oplysninger om domænemiljøet. Disse oplysninger kan hjælpe hackere med at kortlægge domænestrukturen samt identificere privilegerede konti til brug i senere trin i deres kæde til angrebsdræb. LDAP (Lightweight Directory Access Protocol) er en af de mest populære metoder, der bruges til både legitime og skadelige formål til at forespørge i Active Directory. Læringsperiode: Ingen |
Middel |
TA0007 T1087 T1049 T1087.002 |
xdr_LdapSensitiveAttributeReconnaissanceSecurityAlert |
Rekognoscering af bruger- og IP-adresse (SMB)Forrige navn: Reconnaissance ved hjælp af SMB Session-optælling. Beskrivelse: Optælling ved hjælp af SMB-protokollen (Server Message Block) gør det muligt for hackere at få oplysninger om, hvor brugere for nylig har logget på. Når personer med ondsindede hensigter har disse oplysninger, kan de flytte side om side i netværket for at få adgang til en bestemt følsom konto. I denne registrering udløses en besked, når der udføres en optælling af en SMB-session i forhold til en domænecontroller. Læringsperiode: Ingen |
Middel |
TA0007 T1087 T1046 T1018 |
xdr_SmbSessionEnumeration |
Optælling af konto i AD FSForrige navn: Reconnaissance ved hjælp af kontoopregning. Beskrivelse: I forbindelse med rekognoscering af konto bruger en hacker en ordbog med tusindvis af brugernavne eller værktøjer som KrbGuess i et forsøg på at gætte brugernavne i domænet. I denne registrering af beskeder registrerer Defender for Identity, hvor kontooptællingsangrebet kom fra, det samlede antal gætforsøg, og hvor mange forsøg der blev matchet. Hvis der er for mange ukendte brugere, registrerer Defender for Identity den som en mistænkelig aktivitet. Beskeden er baseret på godkendelseshændelser fra sensorer, der kører på domænecontroller- og AD FS/AD CS-servere. Læringsperiode: Ingen Foreslåede trin til forebyggelse: Gennemtving komplekse og lange adgangskoder i organisationen. Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod brute-force-angreb. Brute force angreb er typisk det næste skridt i cyber-angreb kill chain efter optælling. |
Middel |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertAdfs |
Optælling af konto i KerberosForrige navn: Reconnaissance ved hjælp af kontoopregning. Beskrivelse: I forbindelse med rekognoscering af konto bruger en hacker en ordbog med tusindvis af brugernavne eller værktøjer som KrbGuess i et forsøg på at gætte brugernavne i domænet. Hackeren foretager Kerberos-anmodninger ved hjælp af disse navne for at forsøge at finde et gyldigt brugernavn i domænet. Når et gæt bestemmer et brugernavn, får hackeren den påkrævede forhåndsgodkendelse i stedet for sikkerhedsprincipalens ukendte Kerberos-fejl. I denne registrering af beskeder registrerer Defender for Identity, hvor kontooptællingsangrebet kom fra, det samlede antal gætforsøg, og hvor mange forsøg der blev matchet. Hvis der er for mange ukendte brugere, registrerer Defender for Identity den som en mistænkelig aktivitet. Beskeden er baseret på godkendelseshændelser fra sensorer, der kører på domænecontroller- og AD FS/AD CS-servere. Læringsperiode: Ingen Foreslåede trin til forebyggelse: Gennemtving komplekse og lange adgangskoder i organisationen. Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod brute-force-angreb. Brute force angreb er typisk det næste skridt i cyber-angreb kill chain efter optælling. |
Middel |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertKerberos |
Optælling af konto i NTLMForrige navn: Reconnaissance ved hjælp af kontoopregning. Beskrivelse: I forbindelse med rekognoscering af konto bruger en hacker en ordbog med tusindvis af brugernavne eller værktøjer som KrbGuess i et forsøg på at gætte brugernavne i domænet. Hackeren foretager NTLM-godkendelsesanmodninger ved hjælp af ordbogen med navne for at forsøge at finde et gyldigt brugernavn i domænet. Hvis et gæt bestemmer et brugernavn, får hackeren WrongPassword (0xc000006a) i stedet for NTLM-fejlen NoSuchUser (0xc0000064). I denne registrering af beskeder registrerer Defender for Identity, hvor kontooptællingsangrebet kom fra, det samlede antal gætforsøg, og hvor mange forsøg der blev matchet. Hvis der er for mange ukendte brugere, registrerer Defender for Identity den som en mistænkelig aktivitet. Beskeden er baseret på godkendelseshændelser fra sensorer, der kører på domænecontroller- og AD FS/AD CS-servere. Læringsperiode: Ingen Foreslåede trin til forebyggelse: Gennemtving komplekse og lange adgangskoder i organisationen. Komplekse og lange adgangskoder giver det nødvendige første sikkerhedsniveau mod brute-force-angreb. Brute force angreb er typisk det næste skridt i cyber-angreb kill chain efter optælling. |
Middel |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertNtlm |
Beskeder om tværgående flytning
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at flytte mellem ressourcer eller identiteter i din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
Mulig godkendelsessilo bypassBeskrivelse: Der blev registreret et muligt forsøg på at tilsidesætte godkendelsessilopolitikker og godkende i forhold til en silobeskyttet tjeneste på denne enhed. |
Høj | T1550 | xdr_PossibleAuthenticationSiloBypass |
Mulig overtagelse af en Microsoft Entra problemfri SSO-kontoBeskrivelse: Et Microsoft Entra problemfrit SSO-kontoobjekt (enkeltlogon), AZUREADSSOACC, blev ændret mistænkeligt. En hacker flytter muligvis lateralt fra det lokale miljø til cloudmiljøet. |
Høj | T1556 | xdr_SuspectedAzureSsoAccountTakeover |
Mistænkelig aktivitet efter synkronisering af adgangskodeBeskrivelse: En bruger udførte en ualmindelig handling på et program efter en nylig synkronisering af adgangskoden. En hacker kan have kompromitteret en brugers konto for at udføre skadelige aktiviteter i organisationen. |
Middel | T1021.007 | xdr_SuspiciousActivityAfterPasswordSync |
Mistænkelig netværksforbindelse via Encrypting File System Remote ProtocolBeskrivelse: Modstandere kan udnytte Encrypting File System Remote Protocol til at udføre privilegerede filhandlinger forkert. I dette angreb kan hackeren eskalere rettigheder i et Active Directory-netværk ved at gennemtvinge godkendelse fra computerkonti og videresende til certifikattjenesten. Dette angreb gør det muligt for en hacker at overtage et Active Directory-domæne (AD) ved at udnytte en fejl i EFSRPC-protokollen (Encrypting File System Remote) og sammenkæde den med en fejl i Active Directory Certificate Services. Læringsperiode: Ingen |
Høj eller mellem |
TA0008 T1210 |
xdr_SuspiciousConnectionOverEFDRPC |
Indsamlingsbeskeder
I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at indsamle data af interesse for deres mål fra din organisation.
| Navn på sikkerhedsadvarsel | Alvorlighed | MITRE-teknik | Detektor-id |
|---|---|---|---|
Muligt okta-sessionstyveriBeskrivelse: Der blev startet en ny forbindelse ved hjælp af en muligvis stjålet Okta-sessionscookie. En hacker kan have stjålet en sessionscookie og bruger den nu til at udføre en ondsindet handling. |
Høj | T1539 | xdr_PossibleOktaSessionTheft |