Aufklärungs- und Ermittlungswarnungen
In der Regel werden Cyberangriffe gegen eine beliebige zugängliche Einheit, z. B. einen wenig privilegierten Benutzer, gestartet und wandern dann schnell weiter, bis der Angreifer Zugang zu wertvollen Ressourcen erhält. Wertvolle Werte können sensible Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese komplexen Bedrohungen an der Quelle über die gesamte Kill Chain des Angriffs hinweg und ordnet sie in die folgenden Phasen ein:
- Aufklärung und Entdeckung
- Persistenz- und Berechtigungseskalationswarnungen
- Benachrichtigungen zum Zugriff auf Anmeldeinformationen
- Meldungen über laterale Verschiebungen
- Andere Warnungen
Weitere Informationen zum Verständnis der Struktur und zu gängigen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu den "True Positive" (TP), "Benign True Positive" (B-TP) und "False Positive" (FP) finden Sie unter Klassifizierung von Sicherheitswarnungen.
Die folgenden Sicherheitswarnungen unterstützen Sie dabei, verdächtige Aktivitäten zu identifizieren und zu unterbinden, die von Defender for Identity in Ihrem Netzwerk erkannt werden und auf Reconnaissance hindeuten.
Die Ermittlung besteht aus Techniken, die ein Angreifer verwenden kann, um mehr über das System und das interne Netzwerk zu erfahren. Mit diesen Techniken können Angreifer die Umgebung beobachten und sich orientieren, bevor sie über ihr Vorgehen entscheiden. Angreifer können auch herausfinden, worüber sie die Kontrolle übernehmen können und was sich in der Nähe des Zutrittspunkts befindet, um zu ermitteln, wie sie dies für ihr aktuelles Ziel ausnutzen können. Für dieses Ziel, nach der Kompromittierung weiter Informationen zu sammeln, werden native Betriebssystemtools verwendet. In Microsoft Defender for Identity beziehen sich diese Warnungen in der Regel auf interne Kontoaufzählungen mit unterschiedlichen Techniken.
Kontoenumeration Reconnaissance (externe ID 2003)
Vorheriger Name: Erkundung mittels Kontenaufzählung
Schweregrad: Mittel
Beschreibung:
Bei der Kontoaufzählungsaufklärung verwendet ein Angreifer ein Wörterbuch mit Tausenden von Benutzernamen oder Tools wie KrbGuess in einem Versuch, Benutzernamen in der Do zu erraten Standard.
Kerberos: Angreifer sendet Kerberos-Anforderungen mithilfe dieser Namen, um zu versuchen, einen gültigen Benutzernamen in der Do zu finden Standard. Wenn ein Schätzwert erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer die erforderliche Vorauthentifizierung anstelle des unbekannten Kerberos-Fehlers " Sicherheitsprinzipal" .
NTLM: Angreifer erstellt NTLM-Authentifizierungsanforderungen mithilfe des Namenswörterbuchs, um zu versuchen, einen gültigen Benutzernamen in der Do zu finden Standard. Wenn ein Schätzwert erfolgreich einen Benutzernamen ermittelt, erhält der Angreifer den WrongPassword (0xc000006a) anstelle des NTLM-Fehlers NoSuchUser (0xc0000064).
Bei Erkennung dieser Warnung ermittelt Defender for Identity den Ursprung des Kontoenumerationsangriffs, die Gesamtzahl der Versuche zum Erraten des Namens und die Anzahl der gefundenen Übereinstimmungen. Wenn es zu viele unbekannte Benutzer gibt, erkennt Defender for Identity dies als verdächtige Aktivität. Die Warnung basiert auf Authentifizierungsereignissen von Sensoren, die auf do Standard Controller und AD FS/AD CS-Servern ausgeführt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Vorgeschlagene Schritte zur Verhinderung:
- Erzwingen Sie komplexe und lange Kennwörter in der Organisation. Komplexe und lange Kennwörter bieten die erforderliche erste Sicherheitsstufe vor Brute-Force-Angriffen. Brute-Force-Angriffe sind in der Regel der nächste Schritt in der KillChain von Cyberangriffen nach Enumeration.
Reconnaissance mithilfe von Kontoenumeration (LDAP) (externe ID 2437) (Vorschau)
Schweregrad: Mittel
Beschreibung:
Bei der Aufklärung der Kontoaufzählung verwendet ein Angreifer ein Wörterbuch mit Tausenden von Benutzernamen oder Tools wie Ldapnomnom, um Benutzernamen in der Domäne zu erraten.
LPDA: Der Angreifer führt LDAP-Ping-Anfragen (cLDAP) mit diesen Namen durch, um zu versuchen, einen gültigen Benutzernamen in der Domäne zu finden. Wenn durch eine Vermutung ein Benutzername erfolgreich ermittelt wird, erhält der Angreifer möglicherweise eine Antwort, die darauf hinweist, dass der Benutzer in der Domäne existiert.
Bei Erkennung dieser Warnung ermittelt Defender for Identity den Ursprung des Kontoenumerationsangriffs, die Gesamtzahl der Versuche zum Erraten des Namens und die Anzahl der gefundenen Übereinstimmungen. Wenn es zu viele unbekannte Benutzer gibt, erkennt Defender for Identity dies als verdächtige Aktivität. Die Warnung basiert auf LDAP-Suchaktivitäten von Sensoren, die auf Domänencontrollerservern ausgeführt werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Netzwerkzuordnungs-Aufklärung (DNS) (externe ID 2007)
Vorheriger Name: Reconnaissance mit DNS
Schweregrad: Mittel
Beschreibung:
Ihr DNS-Server enthält eine Zuordnung aller Computer, IP-Adressen und Dienste in Ihrem Netzwerk. Diese Informationen werden von Angreifern verwendet, um Ihre Netzwerkstruktur zuzuordnen und interessante Computer für spätere Schritte in ihrem Angriff zuzuordnen.
Im DNS-Protokoll gibt es mehrere Abfragetypen. Diese Defender for Identity-Sicherheitswarnung meldet verdächtige Anforderungen: entweder AXFR-Anforderungen (Übertragung) von Nicht-DNS-Servern oder solche, die eine übermäßige Anzahl von Anforderungen verwenden.
Lernzeitraum:
Diese Warnung hat einen Lernzeitraum von acht Tagen ab Beginn der Aktion Standard Controllerüberwachung.
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Account Discovery (T1087), Network Service Scanning (T1046), Remote System Discovery (T1018) |
| MITRE-Angriffsuntertechnik | N/V |
Vorgeschlagene Schritte zur Verhinderung:
Es ist wichtig, zukünftige Angriffe mithilfe von AXFR-Abfragen zu verhindern, indem Sie Ihren internen DNS-Server schützen.
- Schützen Sie Ihren internen DNS-Server, um die Aufklärung mithilfe von DNS zu verhindern, indem Sie Zonenübertragungen deaktivieren oder Zonenübertragungen nur auf bestimmte IP-Adressen einschränken. Das Ändern von Zonenübertragungen ist eine Aufgabe unter einer Checkliste, die zum Sichern Ihrer DNS-Server sowohl von internen als auch von externen Angriffen adressiert werden sollte.
Benutzer- und IP-Adressenaufklärung (SMB) (externe ID 2012)
Vorheriger Name: Reconnaissance mit SMB Session Enumeration
Schweregrad: Mittel
Beschreibung:
Mithilfe des SMB-Protokolls (Server Message Block) können Angreifer Informationen darüber abrufen, wo sich Benutzer kürzlich angemeldet haben. Sobald Angreifer über diese Informationen verfügen, können sie sich lateral im Netzwerk bewegen, um zu einem bestimmten vertraulichen Konto zu gelangen.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine SMB-Sitzungsenumeration für einen Do Standard controller ausgeführt wird.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Account Discovery (T1087),System Network Verbinden ions Discovery (T1049) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Benutzer- und Gruppenmitgliedschaftsaufklärung (SAMR) (externe ID 2021)
Vorheriger Name: Reconnaissance using directory services queries
Schweregrad: Mittel
Beschreibung:
Die Reconnaissance über Benutzer und Gruppenmitgliedschaften wird von Angreifern verwendet, um die Verzeichnisstruktur und Zielkonten mit weitreichenden Rechten für die weiteren Schritte eines Angriffs auszukundschaften. Das Sam-R-Protokoll (Security Account Manager Remote) ist eine der Methoden, die zum Abfragen des Verzeichnisses verwendet werden, um diesen Zuordnungstyp auszuführen. In dieser Erkennung werden im ersten Monat nach der Bereitstellung von Defender for Identity keine Warnungen ausgelöst (Lernphase). Während der Lernphase erfasst Defender for Identity, welche SAM-R-Abfragen (Enumerationsabfragen und einzelne Abfragen von sensiblen Konten) von welchen Computern gestellt werden.
Lernzeitraum:
Vier Wochen pro Do Standard Controller ab der ersten Netzwerkaktivität von SAMR gegen den spezifischen DC.
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Account Discovery (T1087), Permission Groups Discovery (T1069) |
| MITRE-Angriffsuntertechnik | Do Standard Account (T1087.002),Do Standard Group (T1069.002) |
Vorgeschlagene Schritte zur Verhinderung:
- Wenden Sie die Gruppenrichtlinie Netzwerkzugriff an und schränken Sie die Clients ein, die Ferngespräche mit SAM führen dürfen.
Active Directory-Attribute reconnaissance (LDAP) (externe ID 2210)
Schweregrad: Mittel
Beschreibung:
Die Active Directory-LDAP-Aufklärung wird von Angreifern verwendet, um wichtige Informationen über die Do Standard Umgebung zu erhalten. Diese Informationen können Angreifern dabei helfen, die Do Standard Struktur zuzuordnen und privilegierte Konten für die Verwendung in späteren Schritten in ihrer Angriffs-KillChain zu identifizieren. Lightweight Directory Access Protocol (LDAP) ist eine der beliebtesten Methoden, die sowohl für legitime als auch für böswillige Zwecke zum Abfragen von Active Directory verwendet werden.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Account Discovery (T1087), Indirekte Befehlsausführung (T1202), Berechtigungsgruppenermittlung (T1069) |
| MITRE-Angriffsuntertechnik | Do Standard Account (T1087.002), Do Standard Groups (T1069.002) |
Honeytoken wurde über SAM-R abgefragt (externe ID 2439)
Schweregrad: Niedrig
Beschreibung:
Die Angreifer nutzen die Benutze-Reconnaissance, um die Verzeichnisstruktur abzubilden und privilegierte Konten für spätere Angriffsschritte anzuvisieren. Das Sam-R-Protokoll (Security Account Manager Remote) ist eine der Methoden, die zum Abfragen des Verzeichnisses verwendet werden, um diesen Zuordnungstyp auszuführen. In dieser Erkennung löst Microsoft Defender for Identity diese Warnung für alle Aufklärungsaktivitäten gegen einen vorkonfigurierten Honeytoken-Benutzer aus.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Honeytoken wurde über LDAP abgefragt (externe ID 2429)
Schweregrad: Niedrig
Beschreibung:
Die Angreifer nutzen die Benutze-Reconnaissance, um die Verzeichnisstruktur abzubilden und privilegierte Konten für spätere Angriffsschritte anzuvisieren. Lightweight Directory Access Protocol (LDAP) ist eine der beliebtesten Methoden, die sowohl für legitime als auch für böswillige Zwecke zum Abfragen von Active Directory verwendet werden.
In dieser Erkennung löst Microsoft Defender for Identity diese Warnung für alle Aufklärungsaktivitäten gegen einen vorkonfigurierten Honeytoken-Benutzer aus.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Entdecken (TA0007) |
|---|---|
| MITRE-Angriffstechnik | Kontoermittlung (T1087) |
| MITRE-Angriffsuntertechnik | Domänenkonto (T1087.002) |
Verdächtige Okta-Kontoenumeration
Schweregrad: hoch
Beschreibung:
Bei der Kontoenumeration versuchen Angreifer, Benutzernamen zu erraten, indem sie sich bei Okta als Benutzer anmelden, die nicht zur Organisation gehören. Es wird empfohlen, die Quell-IP zu untersuchen, die die fehlgeschlagenen Anmeldeversuche ausführt, um herauszufinden, ob sie legitim sind oder nicht.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Erster Zugriff (TA0001), Umgehen von Verteidigungsmaßnahmen (TA0005), Persistenz (TA0003), Rechteausweitung (TA0004) |
|---|---|
| MITRE-Angriffstechnik | Gültige Konten (T1078) |
| MITRE-Angriffsuntertechnik | Cloudkonten (T1078.004) |