Yleensä kyberhyökkäykset käynnistetään mitä tahansa helppokäyttöistä entiteettiä, kuten matalalla etuoikeutettua käyttäjää, vastaan ja siirtyvät sitten nopeasti sivuttain, kunnes hyökkääjä pääsee käsiksi arvokkaisiin resursseihin. Arvokkaat resurssit voivat olla arkaluonteisia tilejä, toimialueen järjestelmänvalvojia tai erittäin arkaluontoisia tietoja. Microsoft Defender for Identity tunnistaa nämä kehittyneet uhat lähteessä koko hyökkäyksen tappoketjun ajan ja luokittelee ne seuraaviin vaiheisiin:
Lisätietoja siitä, miten voit ymmärtää kaikkien Defender for Identity -suojaushälytysten rakennetta ja yleisiä osia, on artikkelissa Suojaushälytysten ymmärtäminen. Lisätietoja True-positiivisista (TP),Hyvänlaatuisista tosi-positiivisista (B-TP) ja False-positiivisista (FP) on kohdassa Suojaushälytysten luokitukset.
Seuraavien suojausilmoitusten avulla voit tunnistaa ja korjata pysyvyyden ja oikeuksien eskaloinnin vaiheen epäilyttävät toimet, jotka Defender for Identity on havainnut verkossasi.
Kun hyökkääjä käyttää tekniikoita eri paikallisten resurssien käytön säilyttämiseen, hän aloittaa Privilege Escalation -vaiheen, joka koostuu tekniikoista, joiden avulla vastustajat saavat korkeamman tason käyttöoikeudet järjestelmään tai verkkoon. Vastustajat voivat usein siirtyä verkkoon ja tutkia sitä ilman käyttöoikeuksia, mutta edellyttää laajennettuja käyttöoikeuksia tavoitteiden saavuttamiseksi. Yleisiä lähestymistapoja ovat järjestelmän heikkouksien, virheellisten määritysten ja heikkouksien hyödyntäminen.
Epäilty Golden Ticket -käyttö (salauksen alentaminen) (ulkoinen tunnus 2009)
Edellinen nimi: Salauksen alennuksen toiminta
Vakavuus: Keskikoko
Kuvaus:
Salauksen alentaminen on tapa heikentää Kerberosia alentamalla salaustasoa eri protokollakentissä, joilla on yleensä korkein salaustaso. Heikentynyt salattu kenttä voi olla helpompi kohde offline-raakaan voimayritykseen. Useat hyökkäysmenetelmät hyödyntävät heikkoja Kerberos-salaussyfääriä. Tässä tunnistamisessa Defender for Identity oppii tietokoneiden ja käyttäjien käyttämät Kerberos-salaustyypit ja ilmoittaa, kun käytetään heikompaa syfääriä, joka on epätavallinen lähdetietokoneelle ja/tai käyttäjälle ja vastaa tunnettuja hyökkäystekniikoita.
Golden Ticket -hälytyksessä lähdetietokoneen TGS_REQ (palvelupyyntö) -viestin TGT-kentän salausmenetelmä havaittiin heikentyneen verrattuna aiemmin oppimaansa toimintaan. Tämä ei perustu aikapoikkeamaan (kuten toisessa Golden Ticket -tunnistukseen). Lisäksi tämän ilmoituksen tapauksessa edelliseen palvelupyyntöön ei liittynyt Kerberos-todennuspyyntöä, jonka Defender on havainnut käyttäjätietojen osalta.
Oppimisjakso:
Tämän ilmoituksen oppimisaika on 5 päivää toimialueen ohjauskoneen valvonnan alusta.
Varmista, että kaikki toimialueen ohjauskoneet, joiden käyttöjärjestelmät ovat enintään Windows Server 2012 R2, on asennettu KB3011780 ja että kaikki jäsenpalvelimet ja toimialueen ohjauskoneet 2012 R2:een asti ovat ajan tasalla ja että niissä on KB2496930. Lisätietoja on tiedoissa Silver PAC ja Forged PAC.
Epäilty Golden Ticket -käyttö (tili, jota ei ole) (ulkoinen tunnus 2027)
Edellinen nimi: Kerberos golden ticket
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka antaa valtuutuksen mille tahansa resurssille ja asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tässä tunnistamisessa ilmoituksen laukaisee tili, jota ei ole.
Epäilty Golden Ticket -käyttö (lipun poikkeama) (ulkoinen tunnus 2032)
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka antaa valtuutuksen mille tahansa resurssille ja asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tämäntyyppisillä taotut kultaiset liput ovat ainutlaatuisia ominaisuuksia, jotka tämä tunnistus on erityisesti suunniteltu tunnistamaan.
Epäilty Golden Ticket -lipun käyttö (lipun poikkeama RBCD:n avulla) (ulkoinen tunnus 2040)
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka tarjoaa valtuutuksen mille tahansa resurssille. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tässä tunnistamisessa ilmoitus käynnistyy kultaisella lipulla, joka luotiin määrittämällä resurssipohjaisen rajoitetun delegoinnin (RBCD) käyttöoikeudet käyttämällä KRBTGT-tiliä tilillä (käyttäjä\tietokone) palvelun päänimellä.
Epäilty Golden Ticket -lipun käyttö (aikapoikkeama) (ulkoinen tunnus 2022)
Edellinen nimi: Kerberos golden ticket
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät, joilla on toimialueen järjestelmänvalvojan oikeudet, voivat vaarantaa KRBTGT-tilin. KRBTGT-tilin avulla he voivat luoda Kerberos-lipun myöntämisen lipun (TGT), joka antaa valtuutuksen mille tahansa resurssille ja asettaa lipun vanhenemisen mihin tahansa mielivaltaiseen aikaan. Tätä väärennettyä TGT:ää kutsutaan "Kultaiseksi lipuksi", ja sen avulla hyökkääjät voivat saavuttaa verkon pysyvyyden. Tämä ilmoitus käynnistyy, kun Kerberos-lipun myöntämispalvelupyyntöä käytetään sallitun ajan yli, joka on määritetty käyttäjälipun enimmäiskäyttöiässä.
Epäilty luuranko avainhyökkäys (salauksen alentaminen) (ulkoinen tunnus 2010)
Edellinen nimi: Salauksen alennuksen toiminta
Vakavuus: Keskikoko
Kuvaus:
Salauksen alentaminen on tapa heikentää Kerberosia käyttämällä alennettua salaustasoa protokollan eri kentille, joilla on yleensä korkein salaustaso. Heikentynyt salattu kenttä voi olla helpompi kohde offline-raakaan voimayritykseen. Useat hyökkäysmenetelmät hyödyntävät heikkoja Kerberos-salaussyfääriä. Tässä tunnistamisessa Defender for Identity oppii tietokoneiden ja käyttäjien käyttämät Kerberos-salaustyypit. Hälytys annetaan, kun käytetään heikompaa sfääriä, joka on epätavallinen lähdetietokoneelle ja/tai käyttäjälle, ja vastaa tunnettuja hyökkäystekniikoita.
Skeleton Key on haittaohjelma, joka toimii toimialueen ohjauskoneissa ja sallii todentamisen toimialueelle millä tahansa tilillä tietämättä sen salasanaa. Tämä haittaohjelma käyttää usein heikompia salausalgoritmeja hajauttaakseen käyttäjän salasanat toimialueen ohjauskoneessa. Tässä hälytyksessä aiemman KRB_ERR viestin salauksen opittua toimintaa toimialueen ohjauskoneesta lippua pyytäneeseen tiliin alennettiin.
Epäilyttäviä lisäyksiä luottamuksellisiin ryhmiin (ulkoinen tunnus 2024)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät lisäävät käyttäjiä erittäin etuoikeutettuihin ryhmiin. Käyttäjien lisääminen tehdään, jotta saat käyttöoikeuden useampiin resursseihin ja saat pysyvyyttä. Tämä tunnistus perustuu käyttäjien ryhmän muokkaustoimintojen profilointiin ja hälytyksiin, kun havaitaan epänormaali lisäys arkaluontoiseen ryhmään. Defender for Identity -profiileja jatkuvasti.
Tunnistaminen perustuu toimialueen ohjauskoneisiin tarkastettuihin tapahtumiin. Varmista, että toimialueen ohjauskoneet valvovat tarvittavia tapahtumia.
Oppimisjakso:
Neljä viikkoa toimialueen ohjauskonetta kohden ensimmäisestä tapahtumasta alkaen.
Voit estää tulevat hyökkäykset minimoimalla niiden käyttäjien määrän, joilla on oikeus muokata arkaluontoisia ryhmiä.
Määritä Privileged Access Management Active Directorylle, jos käytettävissä.
Epäiltiin Netlogon-oikeuksien korotusta (CVE-2020-1472-hyödyntäminen) (ulkoinen tunnus 2411)
Vakavuusaste: Suuri
Kuvaus: Microsoft julkaisi CVE-2020-1472 :n ilmoittaen, että on olemassa uusi haavoittuvuus, joka mahdollistaa oikeuksien nostamisen toimialueen ohjauskoneeseen.
Oikeuksien haavoittuvuus on kohonnut, kun hyökkääjä muodostaa haavoittuvan Netlogon-suojatun kanavayhteyden toimialueen ohjauskoneeseen MS-NRPC (Netlogon Remote Protocol) -protokollan ( Netlogon Elevation of Privilege Vulnerability) avulla.
Tutustu ohjeiimme, joiden mukaan hallitset Suojatun Netlogon-kanavayhteyden muutoksia, jotka liittyvät tähän haavoittuvuuteen ja voivat estää sen.
Honeytoken-käyttäjämääritteitä muokattu (ulkoinen tunnus 2427)
Vakavuusaste: Suuri
Kuvaus: Jokaisella Active Directoryn käyttäjäobjektilla on määritteitä, jotka sisältävät esimerkiksi etunimen, toisen nimen, sukunimen, puhelinnumeron ja osoitteen. Joskus hyökkääjät yrittävät käsitellä näitä objekteja niiden eduksi esimerkiksi muuttamalla tilin puhelinnumeroa, jotta he voivat käyttää monimenetelmäistä todentamisyritystä. Microsoft Defender for Identity käynnistää tämän ilmoituksen määritemuokkauksille esimääritetylle honeytoken-käyttäjälle.
Honeytoken-ryhmän jäsenyys muuttui (ulkoinen tunnus 2428)
Vakavuusaste: Suuri
Kuvaus: Active Directoryssa kukin käyttäjä on yhden tai useamman ryhmän jäsen. Kun hyökkääjät ovat saaneet käyttöoikeuden tiliin, he voivat yrittää lisätä tai poistaa sen käyttöoikeuksia muille käyttäjille poistamalla ne tai lisäämällä niitä käyttöoikeusryhmiin. Microsoft Defender for Identity käynnistää ilmoituksen aina, kun ennalta määritettyä honeytoken-käyttäjätiliä muutetaan.
Kuvaus: SIDHistory on Active Directoryn määrite, jonka avulla käyttäjät voivat säilyttää resurssikäyttöoikeutensa ja käyttöoikeutensa, kun heidän tilinsä siirretään toimialueelta toiselle. Kun käyttäjätili siirretään uuteen toimialueeseen, käyttäjän SID-tunnus lisätään hänen tilinsä SIDHistory-määritteisiin uudessa toimialueessa. Tämä määrite sisältää luettelon käyttäjän edellisen toimialueen SID-tunnuksista.
Vastustajat voivat käyttää SIH-historian lisäystä oikeuksien eskaloimiseen ja käyttöoikeuksien valvonnan ohittamiseen. Tämä tunnistus käynnistyy, kun äskettäin lisätty SID-tunnus lisättiin SIDHistory-määritteisiin.
Epäilyttävä dNSHostName-määritteen (CVE-2022-26923) (ulkoinen tunnus 2421) epäilyttävä muokkaaminen
Vakavuusaste: Suuri
Kuvaus:
Tämä hyökkäys edellyttää dNSHostName-määritteen luvatonta muokkaamista, mahdollisesti tunnetun haavoittuvuuden hyödyntämistä (CVE-2022-26923). Hyökkääjät voivat käsitellä tätä määritettä vaarantaakseen DNS-järjestelmän (Domain Name System) -ratkaisuprosessin eheyden, mikä aiheuttaa erilaisia suojausriskejä, kuten mieskeskisiin hyökkäyksiin tai luvattomaan verkkoresurssien käyttämiseen.
Toimialueen AdminSdHolder -kohteen epäilyttävä muokkaaminen (ulkoinen tunnus 2430)
Vakavuusaste: Suuri
Kuvaus:
Hyökkääjät voivat kohdistaa kohteen toimialueen järjestelmänvalvojanSdHolderiin ja tehdä luvattomia muutoksia. Tämä voi johtaa suojaushaavoittuvuuksiin muuttamalla etuoikeutettujen tilien suojauskuvaimia. Tärkeiden Active Directory -objektien säännöllinen valvonta ja suojaaminen ovat välttämättömiä luvattoman muuttamisen estämiseksi.
Epäilyttävä Kerberos-delegointiyritys juuri luodulla tietokoneella (ulkoinen tunnus 2422)
Vakavuusaste: Suuri
Kuvaus:
Tämä hyökkäys sisältää epäilyttävän Kerberos-lippupyynnön vasta luodulta tietokoneelta. Luvattomat Kerberos-lippupyynnöt voivat ilmaista mahdollisia tietoturvauhkia. Epänormaalien lippupyyntöjen valvonta, tietokonetilien vahvistaminen ja epäilyttävän toiminnan nopea korjaaminen ovat välttämättömiä luvattoman käytön ja mahdollisten vaarantumisten estämiseksi.
Epäilyttävä toimialueen ohjauskoneen varmennepyyntö (ESC8) (ulkoinen tunnus 2432)
Vakavuusaste: Suuri
Kuvaus:
Epänormaali pyyntö toimialueen ohjauskoneen varmenteelle (ESC8) herättää huolta mahdollisista tietoturvauhkista. Tämä voi olla yritys vaarantaa varmenneinfrastruktuurin eheys, mikä johtaa luvattomaan käyttöön ja tietomurtoihin.
Defender tukee epäilyttäviä toimialueen ohjauskoneen varmennepyyntöjen (ESC8) ilmoituksia vain AD CS:n käyttäjätietotunnistimia varten.
Epäilyttävät muutokset AD CS-suojauksen käyttöoikeuksiin/asetuksiin (ulkoinen tunnus 2435)
Vakavuus: Keskikoko
Kuvaus:
Hyökkääjät voivat kohdistaa kohteita Active Directory -varmennepalvelujen (AD CS) suojausoikeuksilla ja asetuksilla varmenteiden myöntämisen ja hallinnan muokkaamiseksi. Luvattomat muutokset voivat aiheuttaa haavoittuvuuksia, vaarantaa varmenteen eheyden ja vaikuttaa PKI-infrastruktuurin yleiseen suojaukseen.
Defender tukee epäilyttäviä muutoksia AD CS -suojausoikeuksien/asetusten hälytyksiin vain AD CS:n käyttäjätietotunnistimien osalta.
Epäilyttävä AD FS -palvelimen luottamussuhteen muuttaminen (ulkoinen tunnus 2420)
Vakavuus: Keskikoko
Kuvaus:
Luvattomat muutokset AD FS -palvelimien luottamussuhteessa voivat vaarantaa liitettyjen käyttäjätietojärjestelmien suojauksen. Luottamusmääritysten valvonta ja suojaaminen ovat erittäin tärkeitä luvattoman käytön estämisen kannalta.
Defender tukee vain AD FS -palvelinhälytysten luottamussuhteen epäilyttävää muokkaamista AD FS:ssä.
Tietokonetilin (ulkoinen tunnus 2423) määrittämän resurssipohjaisen rajoitetun delegoinnin määritteen epäilyttävä muutos
Vakavuusaste: Suuri
Kuvaus:
Konetilin valtuuttamattomat muutokset Resource-Based rajoitetun delegoinnin määritteisiin voivat johtaa suojausrikkomuksiin, jolloin hyökkääjät voivat tekeytyä käyttäjiksi ja käyttää resursseja. Delegointimääritysten valvonta ja suojaaminen ovat välttämättömiä väärinkäytön ehkäisemiseksi.
Tässä moduulissa keskitytään suojauksen ylläpitoon Active Directory -ympäristössä. Se kattaa asioita käyttöoikeuksien hallinnasta todennusmenetelmiin ja ongelmallisten tilien tunnistamiseen.
Esittele Microsoft Entra ID:n ominaisuuksia, joilla nykyaikaistat käyttäjätietoratkaisuja, otat käyttöön hybridiratkaisuja ja toteutat käyttäjätietojen hallinnan.