Alertas de reconocimiento y detección
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con pocos privilegios, y después se desplazan lateralmente hasta que el atacante accede a activos valiosos. Los activos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de destrucción del ataque y las clasifica en las siguientes fases:
- Reconocimiento y detección
- Alertas de persistencia y elevación de privilegios
- Alertas de acceso con credenciales
- Alertas de movimientos laterales
- Otras alertas
Para obtener más información sobre cómo entender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de alertas de seguridad. Para obtener información sobre casos de Verdadero positivo (TP), Verdadero positivo benigno (B-TP) y Falso positivo (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad ayudan a identificar y corregir las actividades sospechosas de la fase de reconocimiento y descubrimiento detectadas por Defender for Identity en la red.
El reconocimiento y descubrimiento son técnicas que un adversario puede usar para obtener información sobre el sistema y la red interna. Estas técnicas ayudan a los adversarios a observar el entorno y orientarse antes de decidir cómo actuar. También les permiten explorar lo que pueden controlar y lo que rodea a su punto de entrada para descubrir cómo podría ayudar a lograr su objetivo actual. Para este objetivo de recopilación de información después de la vulneración, se suelen usar las herramientas nativas del sistema operativo. En Microsoft Defender for Identity, estas alertas suelen implicar la enumeración de cuentas internas con distintas técnicas.
Reconocimiento de enumeración de cuentas (ID externo 2003)
Nombre anterior: reconocimiento mediante enumeración de cuentas
Gravedad: media
Descripción:
En el reconocimiento de enumeración de cuentas, un atacante usa un diccionario con miles de nombres de usuario o herramientas como KrbGuess en un intento de adivinar nombres de usuario en el dominio.
Kerberos: el atacante realiza solicitudes Kerberos con estos nombres para intentar encontrar un nombre de usuario válido en el dominio. Cuando una estimación determina correctamente un nombre de usuario, el atacante recibirá el requisito de autenticación previa en lugar del error de Kerberos entidad de seguridad desconocida.
NTLM: el atacante realiza solicitudes de autenticación NTLM mediante el diccionario de nombres para intentar encontrar un nombre de usuario válido en el dominio. Si una estimación determina correctamente un nombre de usuario, el atacante obtiene el error NTLM Contraseña Incorrecta (0xc000006a) en lugar de No existe el usuario (0xc0000064).
En esta detección de alertas, Defender for Identity identifica el origen del ataque de enumeración de cuentas, el número total de intentos de adivinación y el número de coincidencias que se han obtenido. Si hay demasiados usuarios desconocidos, Defender for Identity lo identifica como actividad sospechosa. La alerta se basa en eventos de autenticación de sensores que se ejecutan en el controlador de dominio y en los servidores de AD FS /AD CS.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002) |
Pasos sugeridos para la prevención:
- Aplicar contraseñas complejas y largas en la organización. Las contraseñas complejas y largas proporcionan el primer nivel de seguridad necesario frente a ataques por fuerza bruta. Los ataques por fuerza bruta suelen ser el siguiente paso de la cadena de eliminación de ataques cibernéticos después de la enumeración.
Reconocimiento de enumeración de cuentas (LDAP) (ID externo 2437) (Versión preliminar)
Gravedad: media
Descripción:
En el reconocimiento de enumeración de cuentas, un atacante usa un diccionario con miles de nombres de usuario o herramientas como Ldapnomnom en un intento de adivinar nombres de usuario en el dominio.
LDAP: el atacante realiza solicitudes mediante el ping de LDAP (cLDAP) con estos nombres para intentar encontrar un nombre de usuario válido en el dominio. Si una estimación determina correctamente un nombre de usuario, el atacante puede recibir una respuesta que indique que el usuario existe en el dominio.
En esta detección de alertas, Defender for Identity identifica el origen del ataque de enumeración de cuentas, el número total de intentos de adivinación y el número de coincidencias que se han obtenido. Si hay demasiados usuarios desconocidos, Defender for Identity lo identifica como actividad sospechosa. La alerta se basa en actividades de búsqueda LDAP de sensores que se ejecutan en servidores de controladores de dominio.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002) |
Reconocimiento de asignación de red (DNS) (ID externo 2007)
Nombre anterior: Reconocimiento mediante DNS
Gravedad: media
Descripción:
El servidor DNS contiene un mapa de todos los equipos, direcciones IP y servicios de la red. Los atacantes usan esta información para asignar la estructura de red y dirigirse a equipos interesantes para los pasos posteriores de su ataque.
Hay varios tipos de consulta en el protocolo DNS. Esta alerta de seguridad de Defender for Identity detecta solicitudes sospechosas, ya sea solicitudes que usan una AXFR (transferencia) procedente de servidores distintos de DNS o aquellas que usan un número excesivo de solicitudes.
Período de aprendizaje:
Esta alerta tiene un período de aprendizaje de ocho días desde el inicio de la supervisión del controlador de dominio.
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087), Examen de servicios de red (T1046), Detección remota del sistema (T1018) |
| Sub-técnica de ataque MITRE | N/D |
Pasos sugeridos para la prevención:
Es importante evitar ataques futuros al usar consultas AXFR mediante la protección del servidor DNS interno.
- Proteja el servidor DNS interno para evitar el reconocimiento mediante DNS deshabilitando las transferencias de zona o restringiendo las transferencias de zona solo a direcciones IP especificadas. La modificación de transferencias de zona es una tarea de la lista de comprobación que debe abordarse para proteger los servidores DNS de ataques internos y externos.
Reconocimiento de direcciones IP y usuarios (SMB) (id. externo 2012)
Nombre anterior: reconocimiento mediante la enumeración de sesiones SMB
Gravedad: media
Descripción:
La enumeración que utiliza el protocolo Bloque de mensajes del servidor (SMB) permite a los atacantes obtener información sobre dónde han iniciado sesión los usuarios recientemente. Cuando los atacantes tienen esta información, pueden moverse lateralmente en la red para acceder a una cuenta confidencial específica.
En esta detección, se desencadena una alerta cuando se realiza una enumeración de sesión SMB en un controlador de dominio.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087), Detección de conexión de red del sistema (T1049) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002) |
Reconocimiento de pertenencia a usuarios y grupos (SAMR) (id. externo 2021)
Nombre anterior: Reconocimiento mediante consultas de Servicios de directorio
Gravedad: media
Descripción:
Los atacantes usan el reconocimiento de usuarios y la pertenencia a grupos para asignar la estructura de directorios y fijar como objetivo las cuentas con privilegios para los pasos posteriores al ataque. El protocolo Remoto del Administrador de cuentas de seguridad (SAM-R) es uno de los métodos que se usan para consultar el directorio y realizar este tipo de asignación. En esta detección, no se desencadena ninguna alerta durante el primer mes posterior a la implementación de Defender for Identity (período de aprendizaje). Durante el período de aprendizaje, Defender for Identity genera perfiles de las consultas SAM-R que se realizan desde cada equipo, tanto consultas de enumeración como individuales de cuentas confidenciales.
Período de aprendizaje:
Cuatro semanas por controlador de dominio a partir de la primera actividad de red de SAMR en el controlador de dominio específico.
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087), Detección de grupos de permisos (T1069) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002), Grupo de dominio (T1069.002) |
Pasos sugeridos para la prevención:
- Aplique el acceso de red y evite que clientes con permiso realicen llamadas remotas a la directiva de grupos de SAM.
Reconocimiento de atributos de Active Directory (LDAP) (id. externo 2210)
Gravedad: media
Descripción:
Los atacantes usan el reconocimiento LDAP de Active Directory para obtener información crítica sobre el entorno de dominio. Esta información puede ayudar a los atacantes a asignar la estructura de dominio, así como a identificar cuentas con privilegios para usarlas en pasos posteriores en su cadena de eliminación de ataques. El Protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares utilizados para fines legítimos y malintencionados para consultar Active Directory.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087), Ejecución indirecta de comandos (T1202), Detección de grupos de permisos (T1069) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002), Grupos de dominio (T1069.002) |
Honeytoken fue consultado a través de SAM-R (id. externo 2439)
Gravedad: baja
Descripción:
Los atacantes usan el reconocimiento de usuarios para asignar la estructura de directorios y fijar como objetivo las cuentas con privilegios para los pasos posteriores al ataque. El protocolo Remoto del Administrador de cuentas de seguridad (SAM-R) es uno de los métodos que se usan para consultar el directorio y realizar este tipo de asignación. En esta detección, Microsoft Defender for Identity desencadenará esta alerta para cualquier actividad de reconocimiento en un usuario de honeytoken preconfigurado.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002) |
Honeytoken se consultó a través de LDAP (id. externo 2429)
Gravedad: baja
Descripción:
Los atacantes usan el reconocimiento de usuarios para asignar la estructura de directorios y fijar como objetivo las cuentas con privilegios para los pasos posteriores al ataque. El Protocolo ligero de acceso a directorios (LDAP) es uno de los métodos más populares utilizados para fines legítimos y malintencionados para consultar Active Directory.
En esta detección, Microsoft Defender for Identity desencadenará esta alerta para cualquier actividad de reconocimiento en un usuario de honeytoken preconfigurado.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Detección (TA0007) |
|---|---|
| Técnica de ataque MITRE | Detección de cuentas (T1087) |
| Sub-técnica de ataque MITRE | Cuenta de dominio (T1087.002) |
Enumeración de cuentas de Okta sospechosas
Gravedad: alta
Descripción:
En la enumeración de cuentas, los atacantes intentarán adivinar los nombres de usuario realizando inicios de sesión en Okta con usuarios que no pertenecen a la organización. Recomendamos investigar la IP de origen que realiza los intentos de inicio de sesión fallidos para determinar si son legítimos o no.
Período de aprendizaje:
None
MITRE:
| Táctica principal MITRE | Acceso inicial (TA0001), Evasión defensiva (TA0005), Persistencia (TA0003), Elevación de privilegios (TA0004) |
|---|---|
| Técnica de ataque MITRE | Cuentas válidas (T1078) |
| Sub-técnica de ataque MITRE | Cuentas en la nube (T1078.004) |