Revisar las cuentas o datos comprometidos

  • 19 minutos

Las alertas de seguridad de Microsoft Defender for Identity explican actividades sospechosas detectadas por los sensores de Microsoft Defender for Identity en su red, y los actores y ordenadores involucrados en cada amenaza. Las listas de pruebas de alerta contienen enlaces directos a los usuarios y ordenadores involucrados, para ayudar a que sus investigaciones sean fáciles y directas.

Las alertas de seguridad de Microsoft Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una típica cadena de exterminio de un ciberataque:

  • Reconocimiento de alertas de fase
  • Alertas de la fase de credenciales en peligro
  • Alerta de fase de movimiento lateral
  • Alertas de la fase de dominio
  • Alertas de la fase de exfiltración

Cada alerta de seguridad de Microsoft Defender for Identity incluye:

  • Título de la alerta. Nombre oficial de la alerta de Microsoft Defender for Identity.
  • Descripción. Una breve explicación de lo que pasó.
  • Evidencia: La información adicional pertinente y los datos conexos sobre lo sucedido ayudarán en el proceso de investigación.
  • Descarga de Excel. Informe detallado de la descarga de Excel para el análisis

Microsoft Defender for Identity alerta de seguridad.

Las alertas también se pueden ver en Microsof Defender for Cloud Apps:

Alerta de Microsoft Defender for Cloud Apps.

El siguiente escenario describe una investigación sobre un atacante que obtiene acceso de administrador al controlador de dominio y compromete el dominio y el bosque de Active Directory.

La primera alerta que notamos en el portal de Defender for Cloud Apps muestra el Reconocimiento de usuarios y direcciones IP (SMB). Al hacer clic en esta alerta, vemos (en Descripción) que un usuario fue capaz de aprender las direcciones IP de dos cuentas enumerando las sesiones SMB en el controlador de dominio.

Reconocimiento de direcciones de IP y usuario.

Dentro de la alerta, también podemos encontrar el registro de actividad, que muestra más información sobre el comando que se ejecutó.

Registro de actividad.

En el resumen de Alertas, podemos ver una alerta más reciente que apunta a un ataque overpass-the-hash.

Alerta: Overpass-the-hash-attack.

Al abrir la alerta de overpass-the-hash-attack (Kerberos), vemos pruebas de que la cuenta de usuario era parte de una ruta de movimiento lateral.

Abrir la alerta de ataque sospechosa.

La siguiente alerta muestra una Sospecha de robo de identidad (pass-the-ticket).

Alerta Pass-the-ticket.

Microsoft Defender for Identity ha detectado el robo de un ticket desde un administrador de dominio al PC infiltrado. El portal de Defender for Cloud Apps muestra exactamente a qué recursos accedieron usando las entradas robadas.

Más información sobre la alerta pass-the-ticket.

En la siguiente alerta, vemos que las credenciales robadas se usaron para ejecutar un comando remoto en el controlador de dominio.

Alerta que muestra el intento de ejecución de código remoto.

Al analizar el Registro de actividad para la alerta, vemos que se usó el comando para crear un nuevo usuario dentro del grupo de Administradores.

Comando utilizado para crear un nuevo usuario.

De todas las alertas anteriores, sospechamos que un atacante lo ha hecho:

  • Se infiltró en un PC.
  • Utilizó el PC para determinar las direcciones IP de los PC de otros usuarios, uno de los cuales pertenece a un administrador de dominio.
  • Realizó un ataque overpass-the-hash robando el hash NTLM de otro usuario que previamente se autentificó en el PC infiltrado para acceder a cualquier recurso para el que el usuario tenga permisos (En este caso, los derechos de administración local de las direcciones IP previamente expuestas)
  • Usó las credenciales recién robadas para acceder al PC del administrador del dominio.
  • Usó su acceso al PC del administrador del dominio para robar la identidad del administrador del dominio.
  • Utilizó la identidad del administrador del dominio para acceder al controlador del dominio y creó una nueva cuenta de usuario con permisos de administración del dominio.

Con los permisos administrativos del dominio, el atacante ha comprometido efectivamente el medio ambiente. Ahora son libres de realizar cualquier número de ataques, como el de la llave maestra.

Conozca cómo investigar y responder a ataques con Microsoft Defender for Identity.

Vea una versión en vídeo de la guía interactiva (subtítulos disponibles en más idiomas).

Microsoft Defender for Identity.

Haga clic en la opción de pantalla completa del reproductor de vídeo. Cuando haya terminado, use la flecha Atrás del explorador para volver a esta página.