In der Regel werden Cyberangriffe gegen jede zugängliche Entität wie z. B. einen Benutzer mit geringen Berechtigungen gestartet und werden dann schnell seitlich verschoben, bis der Angreifer Zugriff auf wertvolle Ressourcen erhält. Wertvolle Ressourcen können vertrauliche Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese erweiterten Bedrohungen an der Quelle während der gesamten Kill Chain des Angriffs und klassifiziert sie in die folgenden Phasen:
Die folgenden Sicherheitswarnungen helfen Ihnen, andere verdächtige Aktivitäten zu identifizieren und zu beheben, die von Defender for Identity in Ihrem Netzwerk erkannt wurden.
Vermuteter DCShadow-Angriff (Domänencontroller-Heraufstufung) (externe ID 2028)
Ein Domänencontrollerschattenangriff (DCShadow) ist ein Angriff, der zum Ändern von Verzeichnisobjekten mithilfe einer böswilligen Replikation entwickelt wurde. Dieser Angriff kann von jedem beliebigen Computer durchgeführt werden, indem ein bösartiger Domänencontroller mithilfe eines Replikationsprozesses erstellt wird.
Bei einem DCShadow-Angriff werden RPC und LDAP für Folgendes verwendet:
Registrieren Sie das Computerkonto als Domänencontroller (mit Domänenadministratorrechten).
Führen Sie die Replikation (mit den gewährten Replikationsrechten) über DRSUAPI aus, und senden Sie Änderungen an Verzeichnisobjekte.
In dieser Defender for Identity-Erkennung wird eine Sicherheitswarnung ausgelöst, wenn ein Computer im Netzwerk versucht, sich als nicht autorisierter Domänencontroller zu registrieren.
Die Active Directory-Replikation ist der Prozess, bei dem Änderungen, die auf einem Domänencontroller vorgenommen werden, mit anderen Domänencontrollern synchronisiert werden. Mit den erforderlichen Berechtigungen können Angreifer Rechte für ihr Computerkonto gewähren, sodass sie die Identität eines Domänencontrollers annehmen können. Angreifer versuchen, eine böswillige Replikationsanforderung zu initiieren, sodass sie Active Directory-Objekte auf einem echten Domänencontroller ändern können, wodurch die Angreifer in der Domäne dauerhaft bleiben können.
Bei dieser Erkennung wird eine Warnung ausgelöst, wenn eine verdächtige Replikationsanforderung für einen durch Defender for Identity geschützten Echten Domänencontroller generiert wird. Das Verhalten ist ein Hinweis auf Techniken, die bei Schattenangriffen von Domänencontrollern verwendet werden.
Warnungen zu verdächtigen Replikationsanforderungen (potenzieller DCShadow-Angriff) werden nur von Defender for Identity-Sensoren unterstützt.
Verdächtige VPN-Verbindung (externe ID 2025)
Vorheriger Name: Verdächtige VPN-Verbindung
Schweregrad: Mittel
Beschreibung:
Defender for Identity lernt das Entitätsverhalten für BENUTZER-VPN-Verbindungen über einen gleitenden Zeitraum von einem Monat kennen.
Das VPN-Verhaltensmodell basiert auf den Computern, an den sich Benutzer anmelden, und auf den Speicherorten, von dem aus die Benutzer eine Verbindung herstellen.
Eine Warnung wird geöffnet, wenn eine Abweichung vom Benutzerverhalten basierend auf einem Machine Learning-Algorithmus vorliegt.
Lernzeitraum:
30 Tage ab der ersten VPN-Verbindung und mindestens 5 VPN-Verbindungen in den letzten 30 Tagen pro Benutzer.
Angreifer, die Administratoranmeldeinformationen kompromittieren oder einen Zero-Day-Exploit verwenden, können Remotebefehle auf Ihrem Domänencontroller oder AD FS/AD CS-Server ausführen. Dies kann verwendet werden, um Persistenz zu erlangen, Informationen zu sammeln, Dos-Angriffe (Denial-of-Service) oder andere Gründe zu erhalten. Defender for Identity erkennt PSexec-, Remote-WMI- und PowerShell-Verbindungen.
Schränken Sie den Remotezugriff auf Domänencontroller von Computern ein, die keine Ebene 0 sind.
Implementieren Sie privilegierten Zugriff, sodass nur gehärtete Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.
Implementieren Sie zugriff mit weniger Berechtigungen auf Domänencomputern, um bestimmten Benutzern das Recht zum Erstellen von Diensten zu gewähren.
Hinweis
Warnungen zum Remotecodeausführungsversuch bei versuchter Verwendung von PowerShell-Befehlen werden nur von Defender for Identity-Sensoren unterstützt.
Erstellen eines verdächtigen Diensts (externe ID 2026)
Vorheriger Name: Erstellen eines verdächtigen Diensts
Schweregrad: Mittel
Beschreibung:
Ein verdächtiger Dienst wurde auf einem Domänencontroller oder AD FS/AD CS-Server in Ihrem organization erstellt. Diese Warnung basiert auf dem Ereignis 7045, um diese verdächtige Aktivität zu identifizieren.
Schränken Sie den Remotezugriff auf Domänencontroller von Computern ein, die keine Ebene 0 sind.
Implementieren Sie privilegierten Zugriff , damit nur gehärtete Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.
Implementieren Sie zugriff mit weniger Berechtigungen auf Domänencomputern, um nur bestimmten Benutzern das Recht zum Erstellen von Diensten zu gewähren.
Verdächtige Kommunikation über DNS (externe ID 2031)
Vorheriger Name: Verdächtige Kommunikation über DNS
Schweregrad: Mittel
Beschreibung:
Das DNS-Protokoll wird in den meisten Organisationen in der Regel nicht überwacht und selten für schädliche Aktivitäten blockiert. Aktivieren eines Angreifers auf einem kompromittierten Computer, um das DNS-Protokoll zu missbrauchen. Böswillige Kommunikation über DNS kann für Datenexfiltration, Befehle und Kontrolle und/oder das Umgehen von Einschränkungen des Unternehmensnetzwerks verwendet werden.
Domänencontroller enthalten die vertraulichsten Organisationsdaten. Für die meisten Angreifer besteht eine ihrer wichtigsten Prioritäten darin, Zugriff auf Domänencontroller zu erhalten, um Ihre vertraulichsten Daten zu stehlen. Beispielsweise ermöglicht die Exfiltration der Datei Ntds.dit, die auf dem DC gespeichert ist, einem Angreifer, Kerberos Ticket Granting Tickets (TGT) zu schmieden, um eine Autorisierung für jede Ressource bereitzustellen. Gefälschte Kerberos-TGTs ermöglichen es dem Angreifer, den Ticketablauf auf einen beliebigen Zeitpunkt festzulegen. Eine Defender for Identity-Datenexfiltration über SMB wird ausgelöst, wenn verdächtige Datenübertragungen von Ihren überwachten Domänencontrollern beobachtet werden.
Verdächtiges Löschen der Zertifikatdatenbankeinträge (externe ID 2433)
Schweregrad: Mittel
Beschreibung:
Das Löschen von Zertifikatdatenbankeinträgen ist eine rote Kennzeichnung, die auf potenzielle schädliche Aktivitäten hinweist. Dieser Angriff könnte die Funktionsfähigkeit von PKI-Systemen (Public Key Infrastructure) beeinträchtigen und die Authentifizierung und Datenintegrität beeinträchtigen.
Warnungen zu verdächtigen Löschungen der Zertifikatdatenbankeinträge werden nur von Defender for Identity-Sensoren in AD CS unterstützt.
Verdächtiges Deaktivieren von Überwachungsfiltern von AD CS (externe ID 2434)
Schweregrad: Mittel
Beschreibung:
Das Deaktivieren von Überwachungsfiltern in AD CS kann es Angreifern ermöglichen, ohne erkannt zu werden. Dieser Angriff zielt darauf ab, die Sicherheitsüberwachung zu umgehen, indem Filter deaktiviert werden, die andernfalls verdächtige Aktivitäten kennzeichnen würden.
Kennwortänderung im Wiederherstellungsmodus für Verzeichnisdienste (externe ID 2438)
Schweregrad: Mittel
Beschreibung:
Der Verzeichnisdienstwiederherstellungsmodus (Directory Services Restore Mode, DSRM) ist ein spezieller Startmodus in Microsoft Windows Server Betriebssystemen, der es einem Administrator ermöglicht, die Active Directory-Datenbank zu reparieren oder wiederherzustellen. Dieser Modus wird in der Regel verwendet, wenn Probleme mit Active Directory auftreten und ein normaler Start nicht möglich ist. Das DSRM-Kennwort wird während der Heraufstufung eines Servers zu einem Domänencontroller festgelegt. Bei dieser Erkennung wird eine Warnung ausgelöst, wenn Defender for Identity erkennt, dass ein DSRM-Kennwort geändert wurde.
Es wird empfohlen, den Quellcomputer und den Benutzer zu untersuchen, der die Anforderung gestellt hat, um zu ermitteln, ob die Änderung des DSRM-Kennworts durch eine legitime administrative Aktion initiiert wurde oder ob sie Bedenken hinsichtlich des unbefugten Zugriffs oder potenzieller Sicherheitsbedrohungen auslöst.
Bei Sitzungsdiebstahl stehlen Angreifer die Cookies eines legitimen Benutzers und verwenden sie von anderen Standorten aus.
Es wird empfohlen, die Quell-IP zu untersuchen, die die Vorgänge ausführt, um festzustellen, ob diese Vorgänge legitim sind oder nicht, und ob die IP-Adresse vom Benutzer verwendet wird.
Gruppenrichtlinie Manipulation (externe ID 2440) (Vorschau)
Schweregrad: Mittel
Beschreibung:
In Gruppenrichtlinie wurde eine verdächtige Änderung erkannt, was zur Deaktivierung von Windows Defender Antivirus führt. Diese Aktivität kann auf eine Sicherheitsverletzung durch einen Angreifer mit erhöhten Rechten hinweisen, der die Phase für die Verteilung von Ransomware einstellen könnte.
Empfohlene Schritte für die Untersuchung:
Verstehen, ob die GPO-Änderung legitim ist
Wenn dies nicht der Fall ist, rückgängig machen die Änderung
Verstehen, wie die Gruppenrichtlinie verknüpft ist, um deren Auswirkungsbereich einzuschätzen
Schützen Sie Ihre Active Directory-Umgebung, indem Sie Benutzerkonten mit den geringsten Rechten schützen und sie in der Gruppe „Geschützte Benutzer“ platzieren. Hier erfahren Sie, wie Sie den Authentifizierungsbereich einschränken und potenziell unsichere Konten verwalten.
In diesem Artikel wird erläutert, Microsoft Defender for Identity Warnungen ausgegeben werden, wenn Persistenzangriffe gegen Ihre organization erkannt werden.
In diesem Artikel werden die Microsoft Defender for Identity Warnungen erläutert, die ausgegeben werden, wenn Angriffe, die normalerweise Teil der Lateral Movement-Phase sind, für Ihre organization erkannt werden.
In diesem Artikel werden Microsoft Defender for Identity Warnungen erläutert, die ausgegeben werden, wenn Reconnaissance- und Ermittlungsangriffe gegen Ihre organization erkannt werden.
In diesem Artikel wird erläutert, Microsoft Defender for Identity Warnungen ausgegeben werden, wenn Zugriffsangriffe auf Anmeldeinformationen für Ihre organization erkannt werden.