Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a Defender for Identity összes biztonsági riasztását Defender formátumban sorolja fel. Ezek a biztonsági riasztások a Defender for Identity által a Microsoft Defender portálra küldött riasztásokon alapulnak.
A Defender for Identity a Defender és a klasszikus formátumban is létrehoz riasztásokat. A Defender formátum olyan riasztási struktúrát biztosít, amely összhangban van más Microsoft Defender termékekkel. Mindkét formátum a Defender for Identity érzékelőinek ugyanazon mögöttes észleléseien alapul, de struktúrájuk, elnevezésük és kategorizálásuk eltérő. Az egyes riasztások formátumát a Biztonsági riasztások lapon az Észlelési forrás mező ellenőrzésével azonosíthatja.
Riasztásnév-leképezés
Az XDR-struktúra riasztásnevei eltérnek a klasszikus struktúra riasztásneveiétől, de a riasztásazonosítók konzisztensek maradnak a két riasztási struktúra között.
További információ: Biztonsági riasztások az Microsoft Defender XDR-ben és Riasztások vizsgálata Microsoft Defender XDR.
Riasztások kategória szerint
A Defender for Identity XDR biztonsági riasztásai kategóriák vagy fázisok szerint vannak osztva, ahogy az egy tipikus kibertámadási leölési láncban látható.
Az alábbi táblázatban található hivatkozásokkal közvetlenül a megfelelő kategóriára ugorhat, és áttekintheti az egyes kategóriákhoz elérhető riasztásokat:
- Hitelesítőadat-hozzáférési riasztások
- Védelmi kijátszási riasztások
- Felderítési riasztások
- Végrehajtási riasztások
- Kezdeti hozzáférési riasztások
- Oldalirányú mozgás riasztásai
- Adatmegőrzési riasztások
- Jogosultságeszkalációs riasztások
- Parancs- és vezérlési riasztások
Hitelesítőadat-hozzáférési riasztások
Ez a szakasz olyan riasztásokat ismertet, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja ellopni a fiókneveket és a jelszavakat a szervezettől.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
Feltört felhasználói fiók bejelentkezveLeírás: A hitelesítő adatok feltöltése sikeres bejelentkezéshez vezetett, és meggyőződött arról, hogy egy fiókot illetéktelen fél feltört és elért. |
Magas | T1078 | xdr_CredentialStuffingToolObserved |
Rendellenes OAuth-eszközkód-hitelesítési tevékenységLeírás: A rendszer szokatlan környezetben észlelt egy OAuth-eszközkód-hitelesítést a felhasználói viselkedés és a bejelentkezési minták alapján. Az Eszközkód-folyamatok kialakítása miatt ez a tevékenység azonnali vizsgálatot igényel, mivel jogosulatlan jogkivonat-kiállításra vagy hitelesítés utáni visszaélésre utalhat. |
Magas | T1528, T1078.004 | xdr_AnomalousDeviceCodeAuth |
AS-REP pörkölésLeírás: A rendszer többször is megkísérelt előhitelesítés nélkül bejelentkezni. Ez a viselkedés hitelesítési kiszolgálói válasz (AS-REP) pörkölési támadást jelezhet, amely a Kerberos hitelesítési protokollt célozza, különösen azokat a fiókokat, amelyek kikapcsolták az előhitelesítést. |
Magas | T1558.004 | xdr_AsrepRoastingAttack |
Honeytoken tevékenységLeírás: Honeytoken-felhasználó megpróbált bejelentkezni |
Magas | T1098 | xdr_HoneytokenSignInAttempt |
Több sikertelen Okta-hitelesítési kísérlet észlelhetőLeírás: A rendszer több sikertelen Okta-hitelesítési kísérletet észlelt a(z) {AccountUpn} felhasználó esetében. A(z) {TotalFailedRequestCounts} összesen egy 2 perces időszakon belül a(z) {IPAddress} IP-címről származó sikertelen kísérleteket észlelt. A kísérletek a(z) {ActionType} hitelesítési műveleteket vonták be. Ez a tevékenység találgatásos támadást vagy hitelesítőadat-feltöltési kísérletet jelez. A(z) {UserAgent} felhasználóiügynök-sztringet az összes kísérlet során használták. |
Magas | T1110 | xdr_OktaMultipleFailedLogons |
Több sikertelen Okta-bejelentkezési kísérlet, majd sikeres bejelentkezés rendellenes felhasználói viselkedésselLeírás: Az {AccountUpn} felhasználónál rövid időn belül több sikertelen bejelentkezési kísérlet, majd sikeres bejelentkezés történt. A tevékenység magas kockázatú {RiskyBehaviors} tulajdonságokat tartalmazott, amelyeket az Okta {RiskLevel} néven sorolt be. Minden bejelentkezési kísérlet egyetlen IP-címről ({IPAddress}) származik. |
Magas | T1110, T1078 | xdr_OktaMultipleFailedLogonsFollowedBySignIn |
NEGOEX relay támadásLeírás: A támadó a NEGOEX használatával megszemélyesít egy kiszolgálót, amelyhez az ügyfél csatlakozni szeretne, így a támadó továbbíthatja a hitelesítési folyamatot bármely célhoz. Ez lehetővé teszi, hogy a támadó hozzáférjen a célhoz. A NEGOEX egy hitelesítési protokoll, amelynek célja a felhasználói fiókok hitelesítése Microsoft Entra csatlakoztatott eszközökön. |
Magas | T1187, T1557.001 | xdr_NegoexRelayAttack |
Az Okta FastPass adathalászati támadást észleltLeírás: Sikeres Okta FastPass adathalászati támadást észleltünk a(z) {AccountUpn} felhasználónál. A(z) {phishingAttemptTime} időpontban visszautasított egy kezdeti adathalász kísérletet, de a(z) {SessionId} feltört munkamenetet később a(z) {Timestamp} hitelesítési műveleteihez használták. A munkamenet a(z) {PhishingIPAddress} IP-címről származik, majd a(z) {ReuseIPAddress} felhasználói ügynökkel újra felhasználta a(z) {ReuseUserAgent} felhasználói ügynökkel. Kockázati szint: {SessionReuseRisk}. |
Magas | T1539, T1550.004 | xdr_OktaFastPassPhishingAttempt |
Okta emelt szintű szerepkör hozzárendelve az alkalmazáshozLeírás: {ActorAliasName} {RoleDisplayName} szerepkört rendelt az alkalmazáshoz: {ApplicationDisplayName} |
Magas | T1003.006 | xdr_OktaPrivilegedRoleAssignedToApplication |
Fiók titkos kulcsának lehetséges kiszivárgásaLeírás: A rendszer nem tudott bejelentkezni egy felhasználói fiókba egy hitelesítőadat-feltöltési eszközzel. A hibakód azt jelzi, hogy a titkos kód érvényes volt, de helytelenül használták. Előfordulhat, hogy a felhasználói fiók hitelesítő adatai kiszivárogtak, vagy jogosulatlan fél birtokában vannak. |
Magas | T1078 | xdr_CredentialStuffingToolObserved |
Lehetséges támadó-in-the-middle (AiTM) támadás észlelhető (ConsentFix)Leírás: A rendszer lehetséges jogkivonat-lopást észlelt. A fenyegetéselhárító becsapta a felhasználót, hogy hozzájárulást adjon, vagy megosztson egy engedélyezési kódot a társadalommérnöki vagy támadói középen (AiTM) alapuló technikákkal. Egy ellopott kódot cserélnek le hozzáférési jogkivonatokra. A fenyegetési szereplő ezután jelszó vagy többtényezős hitelesítés (MFA) nélkül megszemélyesíti a felhasználót. Ez lehetővé teszi a Microsoft 365-szolgáltatásokhoz és a bizalmas adatokhoz való jogosulatlan hozzáférést. |
Magas | T1557 | xdr_PossibleAitMConsentFix |
Lehetséges AS-REP pörkölési támadásLeírás: Gyanús Kerberos-hitelesítési kérés érkezett azokhoz a fiókokhoz, amelyek nem igényelnek előhitelesítést. Előfordulhat, hogy egy támadó AS-REP pörkölési támadást hajt végre jelszavak ellopása és a hálózathoz való további hozzáférés érdekében. |
Közepes | T1558.004 | xdr_AsrepRoastingAttack |
Lehetséges Golden SAML-támadásLeírás: Egy emelt szintű felhasználói fiók, amely olyan jellemzőkkel van hitelesítve, amelyek egy Arany SAML-támadáshoz kapcsolódhatnak. |
Magas | T1071, T1606.002 | xdr_PossibleGoldenSamlAttack |
Lehetséges aranyjegyes támadásLeírás: Gyanús Kerberos-jegykiadó szolgáltatásra (TGS) vonatkozó kérést észleltünk. Előfordulhat, hogy a támadó a KRBTGT-fiók ellopott hitelesítő adatait használja egy aranyjegyes támadás megkísérléséhez. |
Magas | T1558.001 | xdr_PossibleGoldenTicketAttacks |
Lehetséges aranyjegyes támadás (CVE-2021-42287 kihasználás)Leírás: Gyanús Kerberos-jegymegadási jegyet (TGT) észleltek, amely rendellenes Kerberos privilege Attribute Certificate (PAC) tanúsítványt tartalmaz. A támadó a KRBTGT-fiók ellopott hitelesítő adatait használhatja egy aranyjegyes támadás megkísérléséhez. Ez a riasztás akkor aktiválódik, ha egy támadó kerberos PAC-ot hamisít vagy módosít a CVE-2021-42287 biztonsági rés kihasználására tett kísérlet során. A sikeres kiaknázás lehetővé teszi a támadók számára a jogosultságok eszkalálását és a magas jogosultsági szintű fiókok megszemélyesítését azáltal, hogy a Kulcsterjesztési központ (KDC) egy magasabb jogosultsági szintű szolgáltatásjegyet hoz létre, mint a feltört fiók. A megcélzott tartományvezérlő KB5008380 van javítva, amely elhárítja ezt a biztonsági megkerülő biztonsági rést. |
Magas | T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousPac |
Lehetséges aranyjegyes támadás (gyanús jegy)Leírás: Gyanús Kerberos-jegykiadó szolgáltatás (TGS) kérést észlelt a rendszer a(z) {SourceIpAddress} IP-címről. Ez a TGS-jegykérelem feltehetően hamisított vagy módosított Kerberos-jegymegadó jegyet (TGT) tartalmaz. Előfordulhat, hogy a támadó a KRBTGT-fiók ellopott hitelesítő adatait használja egy aranyjegyes támadás megkísérléséhez. |
Magas | T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousTicket |
Lehetséges Kerberoasting-támadásLeírás: A rendszer egy vagy több gyanús, a(z) {SourceIpAddress} IP-címről származó Kerberos-jegykiadó szolgáltatáskérést (TGS-REQ) észlelt. Ez a tevékenység potenciális Kerberoasting-támadást jelezhet, amelyben egy támadó Kerberos-szolgáltatásjegyeket kér az Active Directoryban egyszerű szolgáltatásnevekkel (SPN-ekkel) rendelkező fiókokhoz. A támadó ezután kinyeri és megpróbálja feltörni a titkosított jegyeket offline, hogy megszerezze ezeknek a fiókoknak a egyszerű szöveges jelszavát. Előfordulhat, hogy a megcélzott fiókok biztonsága sérült, így a támadó oldalirányban mozoghat a szervezeten belül, jogosultságokat eszkalálhat, adatokat lophat, vagy biztonsági másolatokat állíthat be a későbbi hozzáféréshez és adatmegőrzéshez. |
Magas | T1558.003 | xdr_PossibleKerberoastingAttack |
Lehetséges Kerberoasting-támadás gyanús LDAP-lekérdezést követőenLeírás: Egy, a Kerberoastinggel kapcsolatos LDAP-lekérdezéssel kapcsolatos közelmúltbeli riasztást követően egy vagy több gyanús, a(z) {SourceIpAddress} IP-címről származó Kerberos-jegykiadó szolgáltatáskérést (TGS-REQ) észleltünk. Ez a tevékenység potenciális Kerberoasting-támadást jelezhet, amikor egy támadó számbavételt végez az Active Directory szolgáltatásnevekkel (például Kerberoastable-fiókokkal) rendelkező fiókokon, majd Kerberos-szolgáltatásjegyeket kér ezekhez a fiókokhoz. A támadó ezután kinyeri és megpróbálja feltörni a titkosított jegyeket offline, hogy megszerezze ezeknek a fiókoknak a egyszerű szöveges jelszavát. |
Magas | T1558.003, T1087.002 | xdr_PossibleKerberoastingFollowingSuspiciousLdapQuery |
Lehetséges Kerberoasting-támadás rejtett LDAP-keresésselLeírás: A rendszer egy vagy több rejtett Lightweight Directory Access Protocol- (LDAP-) lekérdezést észlelt a(z) {SourceIpAddress} IP-címről származó, gyanús Kerberos-jegykiadó szolgáltatáskérések (TGS-REQ) után. Ez a tevékenység azt jelezheti, hogy egy támadó rejtettebb Kerberoasting-támadást kísérelt meg a(z) "(servicePrincipalName=*)" LDAP-lekérdezésszűrő használatának elkerülésével. |
Magas | T1558.003, T1087.002 | xdr_PossibleStealthyLdapKerberoastingAttack |
Lehetséges Kerberos-kulcslista-támadásLeírás: A rendszer a(z) {SourceIpAddress} IP-címről származó egy vagy több gyanús Kerberos-jegykiadó szolgáltatásra (TGS) vonatkozó kérést észlelt. Előfordulhat, hogy a támadó egy írásvédett tartományvezérlő (RODC) tulajdonában lévő KRBTGT-fiók ellopott hitelesítő adatait használja a Kerberos-kulcslista-támadás végrehajtásához. A támadás részeként a támadó beszúr egy rodc aranyjegyet egy célzott fiókhoz, majd elküld egy speciálisan kialakított Kerberos TGS-kérést, amely tartalmazza a hamisított jegyet. Válaszul a támadó megszerezheti a megcélzott fiókok hosszú távú titkos kódját (például NT-kivonat). |
Magas | T1558.001 | xdr_PossibleKerberosKeyListAttack |
Lehetséges NetSync-támadásLeírás: A NetSync egy mimikatz-modul, amely egy utólagosan használható eszköz, amely egy céleszköz jelszavának jelszókivonatát kéri le úgy, mintha tartományvezérlő lenne. Előfordulhat, hogy egy támadó rosszindulatú tevékenységeket végez a hálózaton ezzel a funkcióval, hogy hozzáférjen a szervezet erőforrásaihoz. |
Magas | T1003.006 | xdr_PossibleNetsyncAttack |
Lehetséges OAuth-kódlopás a hozzájárulással való visszaélés soránLeírás: Lehetséges OAuth-hitelesítési kódlopást észleltünk. A fenyegetéskezelők rávették a felhasználót arra, hogy hozzájárulást adjon, vagy megossza az engedélyezési kódot a szociális tervezés vagy a közbeékelt támadó (AiTM) technikákkal. Egy ellopott kódot cserélnek le hozzáférési jogkivonatokra. A fenyegetést figyelő szereplők ezután jelszó vagy többtényezős hitelesítés (MFA) nélkül megszemélyesíti a felhasználót. Ez lehetővé teszi a Microsoft 365-szolgáltatásokhoz és a bizalmas adatokhoz való jogosulatlan hozzáférést. |
Magas | T1557 | xdr_PossibleOauthCodeTheft |
Lehetséges overpass-the-hash támadásLeírás: Lehetséges overpass-the-hash támadást észleltünk. Ilyen típusú támadás esetén a támadó a felhasználói fiók vagy más Kerberos-kulcsok NT-kivonatát használja a Kerberos-jegyek beszerzéséhez, ami lehetővé teszi a hálózati erőforrásokhoz való jogosulatlan hozzáférést. |
Magas | T1550.002 | xdr_PossibleOverPassTheHash |
Lehetséges szolgáltatásnév-fiók titkos kódvesztéseLeírás: A rendszer nem tudott bejelentkezni egy szolgáltatásnév-fiókba egy hitelesítőadat-ellátó eszközzel. A hibakód azt jelzi, hogy a titkos kód érvényes volt, de helytelenül használták. Előfordulhat, hogy a szolgáltatásnév-fiók hitelesítő adatai kiszivárogtak, vagy jogosulatlan fél birtokában vannak. |
Közepes | T1078 | xdr_CredentialStuffingToolObserved |
Valószínűleg feltört szolgáltatásnév-fiók van bejelentkezveLeírás: Valószínűleg feltört szolgáltatásnév-fiók van bejelentkezve. A hitelesítő adatok feltöltésére tett kísérlet sikeresen megtörtént, ami azt jelzi, hogy a szolgáltatásnév-fiók hitelesítő adatai kiszivároghattak, vagy jogosulatlan fél birtokában vannak. |
Magas | T1078 | xdr_CredentialStuffingToolObserved |
Valószínűleg feltört szolgáltatásnév-fiók van bejelentkezveLeírás: Valószínűleg feltört szolgáltatásnév-fiók van bejelentkezve. A felderítéshez használt automatizált eszköz sikeresen bejelentkezett egy szolgáltatásnév-fiókba, ami azt jelzi, hogy a szolgáltatásnév-fiók hitelesítő adatai kiszivároghattak, vagy jogosulatlan fél birtokában vannak. |
Magas | T1078 | xdr_ReconnaissanceToolObsereved |
Valószínűleg feltört felhasználói fiók van bejelentkezveLeírás: Valószínűleg feltört felhasználói fiók van bejelentkezve. A felderítéshez használt automatizált eszköz sikeresen bejelentkezett egy felhasználói fiókba, amely azt jelzi, hogy a felhasználói fiók hitelesítő adatai kiszivároghattak, vagy jogosulatlan fél birtokában vannak. |
Magas | T1078 | xdr_ReconnaissanceToolObsereved |
Találgatásos támadás gyanúja (Kerberos, NTLM)Leírás: Gyanús találgatásos támadást észleltünk. Előfordulhat, hogy egy fenyegetést okozó szereplő találgatásos támadást hajtott végre az Active Directoryn, és esetleg talált felhasználók jelszavát, ami súlyos biztonsági fenyegetésekhez és adatszivárgáshoz vezethet. |
Közepes | T1110.001 | xdr_OnPremBruteforce |
Találgatásos támadás a Lightweight Directory Access Protocol -hitelesítés (LDAP) ellenLeírás: A rendszer gyanús bejelentkezési kísérletek sorozatát észlelte egyetlen eszközről egyetlen felhasználói fiókon. |
Közepes | T1110.001 | xdr_LdapBindBruteforce |
Jelszóspray-támadás gyanúja (Kerberos, NTLM)Leírás: Gyanús jelszópermetet észleltünk. Előfordulhat, hogy egy fenyegetési szereplő jelszóspray-t hajtott végre az Active Directoryn, és esetleg talált felhasználók jelszavát, ami súlyos biztonsági fenyegetésekhez és adatszivárgáshoz vezethet. |
Közepes | T1110.003 | xdr_OnPremPasswordSpray |
Jelszóspray-támadás gyanúja a Lightweight Directory Access Protocol -hitelesítés (LDAP) ellenLeírás: Egyetlen eszköz volt megfigyelhető, amely több felhasználói fiókon keresztül kísérelt meg bejelentkezni, ami rosszindulatú hitelesítési mintát jelez. |
Közepes | T1110.003 | xdr_LdapBindBruteforce |
ESXi-csoport gyanús létrehozásaLeírás: Gyanús VMWare ESXi-csoport jött létre a tartományban. Ez azt jelezheti, hogy egy támadó további engedélyeket próbál beszerezni egy támadás későbbi lépéseihez. |
Magas | T1098 | xdr_SuspiciousUserAdditionToEsxGroup |
Gyanús DMSA-jal kapcsolatos tevékenység észlelhetőLeírás: Gyanús DMSA-tevékenység észlelhető. Ez egy feltört felügyelt fiókot vagy egy DMSA-fiók kihasználására tett kísérletet jelezhet. |
Magas | T1555 | xdr_SuspiciousDmsaAction |
Gyanús e-mail-alkalmazás hozzájárulásának megadásaLeírás: Gyanús e-mail-alkalmazás-hozzájárulást észleltünk egy esetlegesen feltört felhasználói fiókból. Előfordulhat, hogy a támadó a tiltott hozzájárulási engedélyt arra használta, hogy a jogszerű e-mail alkalmazást használja a felhasználói adatokhoz való jogosulatlan hozzáféréshez és adatgyűjtéshez, az adatmegőrzéshez, illetve a felhasználó nevében rosszindulatú e-mail-küldéshez. |
Közepes | T1110.004, T1110.003 | xdr_MfaTamperingAndEmailSoftwareAbuse |
Gyanús Entra fiók engedélyezése megszakítás utánLeírás: Ezt követően újra engedélyezték azt a fiókot, amelyet korábban letiltottak egy fennakadási vagy elszigetelési művelet részeként. Ez a viselkedés rendkívül gyanús, és azt jelezheti, hogy a fenyegetést jelentő szereplő megkísérelt visszaállítani egy feltört identitáshoz való hozzáférést, vagy megkerülte a védelmi intézkedéseket. |
Magas | T1098 | xdr_SuspiciousAccountEnabled |
Gyanús Arany gMSA-hoz kapcsolódó tevékenységLeírás: Gyanús olvasási tevékenység történt a bizalmas csoport felügyeltszolgáltatás-fiók (gMSA) objektumaihoz, amelyek társíthatók egy fenyegetést okozó szereplővel, aki megpróbálja kihasználni az Arany gMSA-támadást. |
Magas | T1555 | xdr_SuspiciousGoldenGmsaActivity |
Gyanús Kerberos-hitelesítés (AP-REQ)Leírás: Gyanús Kerberos-alkalmazáskérést (AP-REQ) észlelt a rendszer. Előfordulhat, hogy egy támadó egy szolgáltatásfiók ellopott hitelesítő adatait használja egy ezüstjegyes támadás megkísérléséhez. Ilyen támadás esetén a támadó szolgáltatásjegyet (Ticket Granting Service vagy TGS) küld egy adott szolgáltatáshoz egy hálózaton belül, amely lehetővé teszi a támadó számára, hogy a kezdeti biztonsági sérülés után ne kelljen kapcsolatba lépnie a tartományvezérlővel. |
Magas | T1558.002 | xdr_SuspiciousKerberosApReq |
Gyanús Kerberos-hitelesítés (AS-REQ)Leírás: Gyanús Kerberos-hitelesítési kérést (AS-REQ) észleltek egy jegykiadó jegy (TGT) esetében. Ezt a rendellenes TGT-kérést feltehetően egy támadó hozta létre. Előfordulhat, hogy a támadó lopott hitelesítő adatokat használ a támadás kihasználásához. |
Közepes | T1550, T1558 | xdr_SusKerberosAuth_AsReq |
Gyanús Kerberos-hitelesítés (TGS-REQ)Leírás: Gyanús Kerberos-jegykiadó szolgáltatás (TGS) jegykérelmét figyelték meg. Ezt a rendellenes TGS-kérést gyanítják, hogy egy támadó kifejezetten egy rosszindulatú eszköz használatával hozta létre. Előfordulhat, hogy a támadó lopott hitelesítő adatokat használ a támadás végrehajtásához. A rendellenes Kerberos TGS-kéréseket gyakran figyelik meg különböző támadási technikákban, többek között a Kerberoastingban, a távoli kódvégrehajtásban (RCE), a hitelesítő adatok memóriaképében. |
Közepes | T1550, T1558 | xdr_SusKerberosAuth_TgsReq |
Gyanús Kerberos-hitelesítés (TGT-kérelem TGS-REQ használatával)Leírás: Gyanús Kerberos-jegykiadó szolgáltatáskérést (TGS-REQ) észleltek, amely magában foglalja a Felhasználótól önálló szolgáltatás (S4U2self) bővítményt. Ezt a rendellenes TGS-kérést gyanítják, hogy egy támadó kifejezetten erre a célra készült. Az S4U2self egy olyan bővítmény, amely lehetővé teszi, hogy egy szolgáltatás kerberos-szolgáltatásjegyet szerezzen be egy másik felhasználó nevében. A krbtgt szolgáltatás megcélzásakor a bővítményt használó sikeres hitelesítés esetén a rendszer érvényes TGT-ket bocsát ki a megcélzott felhasználó nevében. |
Közepes | T1550, T1558 | xdr_SusKerberosAuth_S4U2selfTgsReq |
Gyanús bejelentkezési kísérlet egy esetlegesen feltört fióktanúsítvány használatávalLeírás: Gyanús bejelentkezési kísérlet történt egy esetlegesen feltört fióktanúsítvány használatával. A korábbi kísérletek valószínűleg már megtörténtek a tanúsítvány ellopására vagy a szolgáltatásnévhez való hozzáadására, hogy a fenyegetést jelentő szereplő a jövőben használni tudja. Lehetséges, hogy a fenyegetést jelző szereplő feltörte a Entra szolgáltatásfiók tanúsítványát, és szolgáltatásnév-bejelentkezéshez használta. Ha ez nem oldja meg a probléma megoldását, az Entra szolgáltatásba történő, feltört szolgáltatásnév-bejelentkezés jogosultságok eszkalálásához, a fiókok átvételéhez, a hitelesítő adatok felfedéséhez és a jogvédett adatokhoz és fájlokhoz való jogosulatlan hozzáféréshez vezethet. |
Magas | T1649 | xdr_SuspiciousLoginWithExchange |
Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztülLeírás: Gyanús titkosított fájlrendszerbeli távoli protokoll (EFSRPC) kapcsolatot észleltünk a(z) {SourceIpAddress} helyről. Ez a tevékenység a PetitPotamhoz (CVE-2021-36942) van társítva, ahol egy támadó EFSRPC-hívásokat kezdeményez egy tartományvezérlőre az NTLM-hitelesítés kényszerítése érdekében. Ha sikeresen kihasználták, lehetővé teheti a hitelesítő adatok ellopása és az oldalirányú mozgás. További információ a biztonsági résről: https://security.microsoft.com/intel-explorer/cves/CVE-2021-36942. |
Közepes | T1187 | xdr_SuspiciousConnectionOverEFSRPC |
Gyanús NTLM-hitelesítésLeírás: A rendszer egy vagy több gyanús NTLM-hitelesítési kísérletet észlelt a(z) {SourceIpAddress} IP-címről. Ezt a rendellenes NTLM-hitelesítési tevékenységet gyanítják, hogy egy támadó kifejezetten egy rosszindulatú eszközt érintő támadás részeként hozta létre. Előfordulhat, hogy a támadó lopott hitelesítő adatokat használ a támadás végrehajtásához. Az NTLM rendellenes viselkedését gyakran megfigyelik különböző támadási technikákban, beleértve a pass-the-hash, a reconnaissance, a brute-force, a remote code execution (RCE) és más technikákat. |
Közepes | T1550.002, T1087.002 | xdr_SuspiciousNtlmAuthentication |
Gyanús helyszíni fiók engedélyezése megszakítás utánLeírás: Ezt követően újra engedélyezték azt a fiókot, amelyet korábban letiltottak egy fennakadási vagy elszigetelési művelet részeként. Ez a viselkedés rendkívül gyanús, és azt jelezheti, hogy a fenyegetést jelentő szereplő megkísérelt visszaállítani egy feltört identitáshoz való hozzáférést, vagy megkerülte a védelmi intézkedéseket. |
Magas | T1098 | xdr_SuspiciousAccountEnabled |
Gyanús operációsrendszer-kapcsoló bejelentkezéseLeírás: Az operációs rendszer váratlan változása figyelhető meg a felhasználói bejelentkezés során, miközben az ügyfélprofil konzisztens marad. Az ilyen műszakok nem gyakoriak a stabil környezetekben. Ez a tokenek visszajátszását, a munkamenet eltérítését vagy a hitelesítési összetevők egy másik platformról való újrafelhasználását jelezheti. Lehetséges, hogy a felhasználó eszközkörnyezetének rendellenes változásai miatt lehetséges, hogy az identitás sérülése folyamatban van. A kapcsolódó kockázatok azonnali kivizsgálásához és mérsékléséhez tekintse át az Ajánlott művelet szakaszt. |
Közepes | T1078 | xdr_SuspiciousOsSwitchSignIn |
Gyanús SAM-fiók nevének módosításaLeírás: Gyanús változást észlelt a SAM-fióknévben, ami azt jelezheti, hogy megkísérelték kihasználni a Kerberos-hitelesítést az NTP időmanipulációja (timeroasting) használatával. Ez a technika lehetővé teszi, hogy a támadók találgatásos támadást hajtsanak ki, vagy visszajátssza a Kerberos-jegyeket, ami a hitelesítő adatok sérüléséhez és az oldalirányú mozgáshoz vezethet. |
Közepes | T1110.001, T1558.003 | xdr_SuspiciousChangeOfSamName |
Gyanús megosztott ügyfélinfrastruktúra-tevékenységLeírás: Gyanús megosztott ügyfélinfrastruktúra-tevékenységet észleltünk. A gyanús bejelentkezési tevékenység egy ügyfélinfrastruktúrából származik, és szokatlanul megnőtt a különböző felhasználók és a hozzáfért erőforrások száma. A többtényezős hitelesítés (MFA) ismételt sikertelenségét sikeres MFA-bejelentkezés követte, amely állandó hitelesítési kísérleteket tett a megosztott vagy automatizált infrastruktúrából, és potenciálisan sérült fiókokat észlelt. A kapcsolódó kockázatok azonnali kivizsgálásához és mérsékléséhez tekintse át az Ajánlott művelet szakaszt. |
Közepes | T1078 | xdr_SuspiciousSharedClientInfraActivity |
Gyanús bejelentkezés CSRF speedbump-eseményindítóvalLeírás: Microsoft Entra ID sikeres kockázatos bejelentkezést észlelt a CSRF (helyek közötti hamisítás) speedbump eseményindító riasztása után. Ez általában akkor fordul elő, ha a bejelentkezési folyamat eltér a böngésző várt viselkedésétől, például munkamenet- vagy cookie-inkonzisztenciák, hiányzó vagy érvénytelen hamis jogkivonatok vagy gyors automatizált kérésminták. |
Közepes | T1557, T1185 | xdr_CsrfSpeedbumpToRiskyLogin |
Védelmi kijátszási riasztások
Ez a szakasz olyan riasztásokat ismertet, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja elkerülni az észlelést a szervezetben.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
A Megfigyelt Defender for Identity szolgáltatásnév letiltásaLeírás: Egy szereplő megpróbálta letiltani vagy letiltani az identitás- és hitelesítési riasztások létrehozásáért felelős biztonsági alkalmazást. Ez a viselkedés összhangban van azokkal a támadókkal, akik a kezdeti hozzáférés után próbálják elkerülni az észlelést, fenntartják az adatmegőrzést, vagy megszakítják a figyelést a biztonsági szolgáltatások módosításával, leállításával vagy eltávolításával. Ilyen tevékenység gyakran a hitelesítő adatok sérülése, a jogosultságok eszkalálása vagy az oldalirányú mozgás után következik be. |
Magas | T1562.001 | xdr_SuspectedMDITampering |
Kihagyott MFA a megjegyzett eszközön a nem gyakori ISP-bejelentkezésbőlLeírás: Gyanús Microsoft Entra internetszolgáltatótól (ISP) való bejelentkezéshez, amelyet a fiók nem használt az elmúlt 30 napban, kihagyta a többtényezős hitelesítést (MFA) egy megjegyzett eszközön. Ez azt jelzi, hogy egy támadó egy ellopott állandó cookie-t használt, amelyet a támadó infrastruktúrája visszajátszott a felhasználó normál hálózata helyett. Fontos, hogy ezt sürgősen kivizsgálja és enyhítse, mert a kihagyott MFA potenciális biztonsági kockázatokhoz vezethet, például jogosulatlan hozzáféréshez, munkamenet-eltérítéshez és adatszivárgáshoz. |
Közepes | T1550.004, T1078.004 | xdr_SuspiciousMfaSkip |
Gyanús hozzáférés-megtagadás egy objektum elsődleges csoportazonosítójának megtekintéséhezLeírás: Egy hozzáférés-vezérlési lista (ACL) megtagadta a hozzáférést egy objektum elsődleges csoportazonosítójának megtekintéséhez. Előfordulhat, hogy egy támadó feltört egy felhasználói fiókot, és el szeretné rejteni egy backdoor-felhasználó csoportját. |
Közepes | T1564.002 | xdr_SuspiciousDenyAccessToPrimaryGroupId |
Gyanús fiókhivatkozásLeírás: Egy fiók bérlők közötti felügyeleti műveleten keresztül lett összekapcsolva. A műveletet gyanús módon hajtották végre, ami azt jelezheti, hogy a fiók használható az MFA megkerülésére tett kísérlet során. |
Közepes | T1556 | xdr_SuspiciousAccountLink |
Gyanús tulajdonságzár inaktiválva Microsoft Entra alkalmazásbanLeírás: Egy Microsoft Entra alkalmazás vagy annak egyik társított szolgáltatásnevének servicePrincipalLockConfiguration.isEnabled tulajdonsága módosult. A zárolás letiltása eltávolítja az alapvető beépített védelmet, amely védelmet nyújt a hitelesítő adatok jogosulatlan rotációja, az átirányítási URI illetéktelen módosítása és a jogosulatlan engedélyek megadása ellen. A beállítás módosítása a szokásos felügyeleti műveletek során ritkán fordul elő, és gyakran gyanús tevékenységet jelez. A fenyegetést figyelő szereplők szándékosan letilthatják a zárolást, hogy gyengítse az alkalmazás biztonsági állapotát, ami megnyithatja az oldalirányú mozgást vagy a jogosultságok eszkalálását a környezetben. |
Közepes | T1562.001, T1671 | xdr_SuspiciousPropertyLockEntra |
Felderítési riasztások
Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál információkat gyűjteni a szervezetről.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
Rendellenes Samr-tevékenység (előzetes verzió)Leírás: Rendellenes Biztonságifiók-kezelő távoli (SAMR) protokolltevékenység észlelhető, ami a hálózaton belüli lehetséges felderítési kísérleteket jelzi. Előfordulhat, hogy egy támadó megpróbálja megkerülni a felderítési biztonsági vezérlőket. |
Közepes | T1069, T1087 | xdr_SamrReconnaissanceSecurityAlert |
Okta szinkronizálási szolgáltatásnév enumerálvaLeírás: A rendszer gyanús LDAP -számbavételt (Lightweight Directory Access Protocol) észlelt az Okta szinkronizálási szolgáltatásfiókjának megkereséséhez. Ez a viselkedés azt jelezheti, hogy egy felhasználói fiókot feltörtek, és egy támadó rosszindulatú tevékenységek végrehajtására használja. |
Magas | T1087.002 | xdr_OktaSyncServicePrincipalEnumeration |
Lehetséges Active Directory tanúsítványszolgáltatások számbavételeLeírás: A rendszer egy vagy több lehetséges Active Directory tanúsítványszolgáltatás (AD CS) enumerálási tevékenységet észlelt a(z) {SourceIpAddress} IP-címről. Ez az enumerálás azt jelezheti, hogy a támadó felderíti a szervezeten belül, és potenciálisan az AD CS biztonsági réseit vagy helytelen konfigurációit keresi, amelyek lehetővé tehetik a későbbi támadási szakaszokat, például az ESC-technikákat. |
Közepes | T1649, T1087 | xdr_PossibleActiveDirectoryCertificateServicesEnumeration |
Lehetséges Active Directory-enumerálás az ADWS-en keresztülLeírás: A rendszer egy vagy több lehetséges Active Directory- (AD-) enumerálási tevékenységet észlelt az Active Directory Web Services (ADWS) szolgáltatáson keresztül. Ez az enumerálás azt jelezheti, hogy a támadó felderítést hajtott végre a szervezeten belül, ami potenciálisan lehetővé teszi a támadások későbbi szakaszait. |
Közepes | T1087.002, T1069.002, T1615 | xdr_PossibleActiveDirectoryEnumerationAdws |
Lehetséges Kerberoasting LDAP-felderítésLeírás: A rendszer egy vagy több, a(z) {SourceIpAddress} IP-címről származó, Kerberoasting-hez kapcsolódó LDAP-felderítési tevékenységet észlelt. Ez a tevékenység potenciális Kerberoasting-támadást jelezhet, amikor egy támadó számbavételt végez az Active Directory szolgáltatásnevekkel (például Kerberoastable-fiókokkal) rendelkező fiókokon, majd Kerberos-szolgáltatásjegyeket kér ezekhez a fiókokhoz. A támadó ezután kinyeri és megpróbálja feltörni a titkosított jegyeket offline, hogy megszerezze ezeknek a fiókoknak a egyszerű szöveges jelszavát. Előfordulhat, hogy a megcélzott fiókok biztonsága sérült, így a támadó oldalirányban mozoghat a szervezeten belül, jogosultságokat eszkalálhat, adatokat lophat, vagy biztonsági másolatokat állíthat be a későbbi hozzáféréshez és adatmegőrzéshez. Azonnal vizsgálja meg a kapcsolódó biztonsági kockázatokat. |
Magas | T1087.002, T1558.003 | xdr_PossibleKerberoastingLdapRecon |
Lehetséges SPN-enumerálás az ADWS-en keresztülLeírás: A rendszer egy vagy több lehetséges egyszerű szolgáltatásnevet (SPN) észlelt az Active Directory Web Services (ADWS) szolgáltatáson keresztül. Ez az enumerálás azt jelezheti, hogy egy támadó felderítése a szervezeten belül történt, és olyan támadásokhoz használható, mint a Kerberoasting. |
Közepes | T1087.002 | xdr_PossibleSpnEnumerationAdws |
Lehetséges SPN-enumerálás LDAP-n keresztülLeírás: A rendszer egy vagy több, a(z) {SourceIpAddress} IP-címről származó, Lightweight Directory Access Protocol (LDAP) protokollon (LDAP) keresztül végzett lehetséges szolgáltatásnév- (SPN-) vizsgálati tevékenységet észlelt. Ez az enumerálás azt jelezheti, hogy egy támadó felderítése a szervezeten belül történt, és olyan támadásokhoz használható, mint a Kerberoasting. |
Közepes | T1087.002 | xdr_PossibleSpnEnumerationLdap |
Felderítő eszközt észleltekLeírás: Egy felderítéshez használt eszköz nem tudott bejelentkezni egy felhasználói fiókba. A támadók előre formázhatják a felderítési tevékenységeket a támadás előkészítése során. |
Magas | T1087 | xdr_ReconnaissanceToolObsereved |
Fiók számbavételének gyanúja (Kerberos, NTLM, AD FS)Leírás: A rendszer gyanús fiók-enumerálást észlelt. Előfordulhat, hogy a fenyegetést észlelő szereplőnek az Active Directoryban vannak számbavételi fiókjai a gyengeségek vagy biztonsági rések azonosítása és leképezése érdekében. Ha nem csökkentik, ez a tevékenység súlyos biztonsági fenyegetésekhez és adatszivárgáshoz vezethet. |
Közepes | T1087.002 | xdr_SuspectedAccountEnumeration |
Gyanús helyszíni eszköz hozzáadásaLeírás: Gyanús helyszíni eszköz hozzáadását figyelték meg. Ez számos kockázatot jelenthet, például megfelelőségi problémákat, bizalmas vagy bizalmas munkával kapcsolatos adatokhoz vagy szellemi tulajdonokhoz való jogosulatlan hozzáférést, kártevőket, adathalászati támadásokat vagy adatszivárgást. Azonnal vizsgálja meg a kapcsolódó biztonsági kockázatokat. |
Magas | T1098.005 | xdr_SuspiciousAdditionOfOnPremDevice |
Gyanús Entra eszközcsatlakozás vagy -regisztrációLeírás: Egy felhasználót gyanúsan regisztráltak vagy egy új eszközhöz csatlakoztak, hogy Entra, amely a Microsoft Fenyegetésfelderítés által azonosított IP-címről származik. Előfordulhat, hogy egy támadó feltörte a felhasználói fiókot az adatmegőrzés és az oldalirányú mozgás végrehajtása érdekében. Azonnal vizsgálja meg a kapcsolódó biztonsági kockázatokat. |
Magas | T1098.005 | xdr_SuspiciousDeviceRegistration |
Gyanús LDAP-lekérdezésLeírás: Egy ismert támadási eszközhöz társított, gyanús Lightweight Directory Access Protocol- (LDAP-) lekérdezést észleltünk. Előfordulhat, hogy egy támadó felderítést hajt végre a későbbi lépésekhez. |
Magas | T1087.002 | xdr_SuspiciousLdapQuery |
Bizalmas attribútumokat megcélzó gyanús LDAP-lekérdezésLeírás: A rendszer gyanús LDAP-lekérdezést észlelt, amely olyan bizalmas attribútumokat tartalmaz, amelyek nem gyakoriak a forráseszköz esetében az Active Directoryban. A támadók megpróbálhatják meghatározni és megtervezni az oldalirányú mozgásukat a tartományban. Az Active Directory LDAP-attribútumok lekérdezéseit a támadók arra használják, hogy kritikus fontosságú információkat szerezzenek a tartományi környezetről. |
Közepes | T1087.002, T1069.002 | xdr_SuspiciousSensitiveAttributeLdapQuery |
Gyanús kiszolgálói üzenetblokk (SMB) számbavétele nem megbízható gazdagéprőlLeírás: Az MDI-érzékelőt célzó gyanús SMB-munkamenet-számbavétel. Ez azt jelzi, hogy a támadók felderítése a gazdagép aktív felhasználói munkameneteinek azonosítására irányul. |
Közepes | T1049 | xdr_SmbSessionEnumeration |
Végrehajtási riasztások
Ez a szakasz olyan riasztásokat ismertet, amelyek azt jelzik, hogy egy rosszindulatú szereplő rosszindulatú kódot próbál futtatni a szervezetben.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
Gyanús távoli szolgáltatástelepítésLeírás: A rendszer gyanús szolgáltatástelepítést észlelt. Ez a szolgáltatás potenciálisan rosszindulatú parancsok végrehajtására lett létrehozva. Előfordulhat, hogy a támadó ellopott hitelesítő adatokat használ a támadáshoz. Ez azt is jelezheti, hogy pass-the-hash támadást használtak. |
Közepes | T1569.002 | xdr_SuspiciousRemoteServiceInstallation |
Kezdeti hozzáférési riasztások
Ez a szakasz olyan riasztásokat ismertet, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál kezdeti hozzáférést szerezni a szervezethez.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
Okta névtelen felhasználói hozzáférésLeírás: A rendszer névtelen felhasználói hozzáférést észlelt. |
Magas | T1078 | xdr_OktaAnonymousUserAccess |
Jelszópermet a OneLogin ellenLeírás: Egy gyanús IP-cím több érvényes fiókkal próbált hitelesítést végezni a OneLoginban. Előfordulhat, hogy egy támadó érvényes felhasználói fiók hitelesítő adatait próbálja megtalálni a későbbi viselkedéshez. |
Közepes | T1110.003 | xdr_OneLoginPasswordSpray |
Lehetséges hitelesítő adatokkal való visszaélés Entra id-hitelesítés soránLeírás: A rendszer hitelesítési kísérletet észlelt, amely megfelel a hitelesítő adatokkal vagy identitással kapcsolatos támadásokhoz gyakran kapcsolódó mintáknak. Ez a tevékenység az identitás-infrastruktúrát célzó speciális támadási technikákra tett kísérletet jelezhet. |
Magas | T1078.004 | xdr_SuspiciousEntraAuthentication |
Gyanús fiókbejelentkés és konfigurációs módosításokLeírás: Gyanús bejelentkezést és konfigurációs módosításokat észleltünk ebből a fiókból. Ez a viselkedés azt jelezheti, hogy a felhasználói fiókot feltörték, és rosszindulatú tevékenységekhez használják. |
Alacsony | T1078.001 | xdr_SuspiciousSignInAndUserTampering |
Gyanús Entra gyanús IPAddress cookie-kéréseLeírás: Egy fenyegetésfelderítéshez (TI) társított IP-címről származó sikeres bejelentkezés elsődleges frissítési jogkivonatot (PRT) próbált lekérni Microsoft Entra. Ez a tevékenység azt jelezheti, hogy egy támadó által vezérelt gazdagép megpróbál visszaélni a PRT-hitelesítéssel. |
Közepes | T1078.001 | xdr_SuspiciousEntraSignIn |
Gyanús Entra P2P-tanúsítványkérés gyanús IP-címrőlLeírás: Egy fenyegetésfelderítéshez (TI) társított IP-címről származó sikeres bejelentkezés társközi (P2P) tanúsítványt próbált igényelni Microsoft Entra. Ez a tevékenység azt jelezheti, hogy egy támadó által vezérelt gazdagép megpróbál visszaélni a tanúsítványalapú hitelesítéssel. |
Közepes | T1078.001 | xdr_SuspiciousEntraSignIn |
Gyanús Graph API kérés Entra ID szinkronizálási alkalmazásbólLeírás: A rendszer váratlan Graph API kérést észlelt Entra id szinkronizálási szolgáltatásalkalmazása részéről. Ez a viselkedés azt jelezheti, hogy az alkalmazást feltörték, és rosszindulatú tevékenységekhez használják. Haladjon végig az ajánlott műveleteken az azonnali vizsgálat és a kapcsolódó kockázatok mérséklése érdekében. |
Közepes | T1087, T1069 | xdr_SuspiciousConnectSyncProvisioningGraphAPIActivity |
Gyanús Okta-fiók számbavételeLeírás: Egy gyanús IP-cím sorolta fel az Okta-fiókokat. Előfordulhat, hogy egy támadó felderítési tevékenységeket kísérel meg végrehajtani a későbbi követési viselkedés érdekében. |
Magas | T1078.004 | xdr_SuspiciousOktaAccountEnumeration |
Gyanús OneLogin MFA-fáradtságLeírás: Egy gyanús IP-cím több OneLogin többtényezős hitelesítési (MFA-) kihívást küldött egy felhasználói fiókhoz. Előfordulhat, hogy egy támadó feltörte a felhasználói fiók hitelesítő adatait, és megpróbálja elárasztani és megkerülni az MFA-mechanizmust. |
Közepes | T1110.003 | xdr_OneLoginMfaFatigue |
Gyanús Sign-In szokatlan felhasználói ügynöktől és IP-címtőlLeírás: A rendszer egy nem gyakori felhasználói ügynökkel és potenciálisan rosszindulatú IP-címmel végzett sikeres bejelentkezést észlelt a Microsoft Entra. Ez a tevékenység a támadó által vezérelt IP-címről származó jelszófeltörést vagy hitelesítőadat-feltöltési támadást jelezhet, vagy ritka esetekben illetéktelen hozzáféréshez használt feltört fiókot. |
Közepes | T1078.001 | xdr_SuspiciousEntraSignIn |
Gyanús bejelentkezés szokatlan felhasználói ügynökből és IP-címről eszközkódfolyamat használatávalLeírás: A rendszer sikeres bejelentkezést észlelt egy nem gyakori vagy atipikus felhasználói ügynök és egy potenciálisan kockázatos IP-cím együttes használatával. Ez a minta gyakran kapcsolódik jelszófeltöréshez, hitelesítő adatok feltöltéséhez vagy a támadó által vezérelt infrastruktúrából származó egyéb jogosulatlan hitelesítési kísérletekhez. Bizonyos esetekben azt is jelezheti, hogy illetéktelen hozzáféréshez feltört hitelesítő adatokat használnak. |
Közepes | T1078.001 | xdr_SuspiciousEntraSignIn |
Gyanús bejelentkezés szokatlan felhasználói ügynökből és IP-címről a PowerShell használatávalLeírás: A rendszer sikeres bejelentkezést észlelt egy nem gyakori vagy atipikus felhasználói ügynök és egy potenciálisan kockázatos IP-cím együttes használatával. Ez a minta gyakran kapcsolódik jelszófeltöréshez, hitelesítő adatok feltöltéséhez vagy a támadó által vezérelt infrastruktúrából származó egyéb jogosulatlan hitelesítési kísérletekhez. Bizonyos esetekben azt is jelezheti, hogy illetéktelen hozzáféréshez feltört hitelesítő adatokat használnak. |
Közepes | T1078.001 | xdr_SuspiciousEntraSignIn |
Rendszergazdai fiókba való gyanús bejelentkezésLeírás: A rendszergazdai fiókba való bejelentkezés gyanús módon történt. Ez a viselkedés azt jelezheti, hogy egy felhasználói fiókot feltörtek, és rosszindulatú tevékenységekhez használják. |
Alacsony | T1078.001 | xdr_SuspiciousAdminAccountSignIn |
Gyanús bejelentkezés rosszindulatú tanúsítvánnyalLeírás: Egy felhasználó rosszindulatú tanúsítvánnyal jelentkezett be a szervezetbe. Ez a viselkedés azt jelezheti, hogy egy felhasználói fiókot feltörtek, és rosszindulatú tevékenységekhez használják, és hogy egy AAD Internals-tanúsítvánnyal rendelkező rosszindulatú tartomány regisztrálva van a szervezetben. |
Magas | T1078.001 | xdr_SignInUsingMaliciousCertificate |
Gyanús bejelentkezés észlelhető Entra ID szinkronizálási alkalmazásbólLeírás: A rendszer gyanús bejelentkezést észlelt az Entra ID szinkronizálási szolgáltatásalkalmazásból. Ez a viselkedés azt jelezheti, hogy az alkalmazást feltörték, és rosszindulatú tevékenységekhez használják. Haladjon végig az ajánlott műveleteken az azonnali vizsgálat és a kapcsolódó kockázatok mérséklése érdekében. |
Közepes | T1078.001 | xdr_SuspiciousConnectSyncProvisioningSignIn |
Gyanús bejelentkezés észlelhető Entra id szinkronizálási alkalmazásból egy nem gyakori erőforrás-alkalmazásbaLeírás: Gyanús bejelentkezést észleltünk az Entra ID szinkronizálási szolgáltatásalkalmazásból egy nem gyakori erőforrás-alkalmazásba. Ez a viselkedés azt jelezheti, hogy az alkalmazást feltörték, és rosszindulatú tevékenységekhez használják. Haladjon végig az ajánlott műveleteken az azonnali vizsgálat és a kapcsolódó kockázatok mérséklése érdekében. |
Közepes | T1078.001 | xdr_SuspiciousConnectSyncProvisioningSignIn |
Gyanús bejelentkezés észlelhető Entra id szinkronizálási alkalmazáshoz egy nem gyakori felhasználói ügynök használatávalLeírás: A rendszer gyanús bejelentkezést észlelt az Entra ID szinkronizálási szolgáltatásalkalmazásból egy nem gyakori felhasználói ügynök használatával. Ez a viselkedés azt jelezheti, hogy az alkalmazást feltörték, és rosszindulatú tevékenységekhez használják. Haladjon végig az ajánlott műveleteken az azonnali vizsgálat és a kapcsolódó kockázatok mérséklése érdekében. |
Közepes | T1078.001 | xdr_SuspiciousConnectSyncProvisioningSignIn |
Gyanús bejelentkezés egy webalkalmazásba az MFA-telefonszámok illetéktelen módosításával kapcsolatos tevékenység utánLeírás: Gyanús bejelentkezés történt egy webalkalmazásba a felhasználói fiók konfigurációs módosításait követően. Ez a viselkedés azt jelezheti, hogy a felhasználói fiókot feltörték, és rosszindulatú tevékenységekhez használják. |
Magas | T1078.001 | xdr_MfaPhoneNumberTamperingToSuspiciousWebAppSignIn |
Gyanús bejelentkezés Microsoft Sentinel alkalmazásba Entra id szinkronizálási fiókkalLeírás: Egy Microsoft Entra ID Connect szinkronizálási fiók szokatlan módon van bejelentkezve egy Microsoft Sentinel erőforrásba. Ez a viselkedés azt jelezheti, hogy egy felhasználói fiókot feltörtek, és rosszindulatú tevékenységekhez használják. |
Alacsony | T1078.001 | xdr_SuspiciousMicrosoftSentinelAccessByEntraIdSyncAccount |
A Microsoft Entra Sync-fiók által használt gyanús eszközLeírás: A rendszer gyanús hitelesítést észlelt egy Microsoft Entra ID-fiókon, amelyet általában szinkronizálási műveletekhez használnak. Ez a viselkedés azt jelezheti, hogy egy felhasználói fiókot feltörtek, és egy támadó rosszindulatú tevékenységek végrehajtására használja. |
Magas | T1078.004 | xdr_SuspiciousToolSyncAccountSignIn |
Gyanús felhasználói ügynök bejelentkezése Microsoft EntraLeírás: Gyanús felhasználói ügynök jelentkezett be Microsoft Entra. Ez azt jelezheti, hogy a felhasználói fiókot feltörték, és rosszindulatú tevékenységekhez használják. |
Közepes | T1078.001 | xdr_SuspiciousEntraSignIn |
Gyanús felhasználói konfigurációmódosítási tevékenység Entra id szinkronizálási alkalmazásbólLeírás: Gyanús felhasználói konfigurációs változás történt az Entra id szinkronizálási szolgáltatásalkalmazásban. Ez a viselkedés azt jelezheti, hogy az alkalmazást feltörték, és rosszindulatú tevékenységekhez használják. A kapcsolódó kockázatok azonnali kivizsgálásához és mérsékléséhez tekintse át az ajánlott műveleteket. |
Közepes | T1078.001 | xdr_ConnectSyncProvisioningNonSyncActivity |
Fiók kockázatos bejelentkezésének szinkronizálása nem gyakori alkalmazásbaLeírás: Egy Microsoft Entra ID Connect-szinkronizálási fiók, amely kockázatos munkamenetbe jelentkezett be, szokatlan tevékenységeket hajtott végre. Ez a viselkedés azt jelezheti, hogy egy felhasználói fiókot feltörtek, és rosszindulatú tevékenységekhez használják. |
Magas | T1078.001 | xdr_RiskyEntraIDSyncAccount |
Oldalirányú mozgás riasztásai
Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhat mozogni a szervezet erőforrásai vagy identitásai között.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
Lehetséges hitelesítési siló megkerüléseLeírás: A rendszer megkísérelte megkerülni a hitelesítési silószabályzatokat és a siló által védett szolgáltatáson való hitelesítést ezen az eszközön. |
Magas | T1550 | xdr_PossibleAuthenticationSiloBypass |
Microsoft Entra közvetlen SSO-fiók lehetséges átvételeLeírás: Gyanúsan módosult egy Microsoft Entra közvetlen egyszeri bejelentkezéses fiókobjektum (AZUREADSSOACC). Előfordulhat, hogy egy támadó oldalirányban halad át a helyszíni környezetből a felhőbe. |
Magas | T1556 | xdr_SuspectedAzureSsoAccountTakeover |
Gyanús pass-the-ticket támadásLeírás: A rendszer pass-the-ticket (PtT) AKA-jegy visszajátszási támadást észlelt ezen a fiókon. A(z) {TargetDeviceName} eszközről származó {SourceAccountName} fiókhoz tartozó jegyet újból felhasználtuk a(z) {DeviceName} eszközön. Ebben a támadásban egy fenyegetési szereplő ellop egy érvényes Kerberos-hitelesítési jegyet, és újra felhasználja azt a hálózaton keresztüli egyéb eszközök eléréséhez. Az ellopott jegy megismétlésével a fenyegetést kezelő szereplő megszemélyesítheti a felhasználót, mozoghat a hálózaton, és a fiók jelszavának megkövetelése nélkül eszkalálhatja a jogosultságokat. |
Közepes | T1550 | xdr_PassTheTicketAttack |
Gyanús tevékenység a jelszó-szinkronizálás utánLeírás: Egy felhasználó nem gyakori műveletet hajtott végre egy alkalmazásban a legutóbbi jelszó-szinkronizálás után. Előfordulhat, hogy egy támadó feltörte egy felhasználó fiókját, hogy kártékony tevékenységeket végezzen a szervezetben. |
Közepes | T1021.007 | xdr_SuspiciousActivityAfterPasswordSync |
Gyanús hitelesítési kísérletLeírás: Gyanús hitelesítési kísérlet történt. Ezt a rendellenes hitelesítési kérést feltehetően egy támadó hozta létre. A támadó ellopott kivonatot vagy egyértelmű szöveges jelszót használhat a hitelesítéshez, esetleg pass-the-hash vagy over-pass-the-hash támadást használva. Azonnal vizsgálja meg a fiókot és a szervezetet a biztonsági incidensek elleni védelem érdekében. |
Közepes | T1550.002 | xdr_SuspiciousAuthAttempt |
Gyanús Kerberos SPN-kérésLeírás: Gyanús Kerberos SPN-kérést észleltünk. Ezt a rendellenes kérést gyanítják, hogy egy támadó kifejezetten erre a célra készült. Előfordulhat, hogy a támadó ellopott hitelesítő adatokat használ egy feltört felhasználótól, és kerberoasting támadáshoz használja őket. |
Közepes | T1558.003 | xdr_SuspiciousAuthAttempt |
Gyanús erőforrás-alapú korlátozott delegálási (RBCD-) hitelesítésLeírás: A rendszer Resource-Based korlátozott delegálással (RBCD) konzisztens Kerberos-hitelesítési mintát észlelt. A(z) {DelegatingMachine} fiók Kerberos-szolgáltatásjegyet kért a(z) {ServiceName} szolgáltatáshoz, miközben delegálás útján megszemélyesíti a(z) {SourceAccountName} felhasználót. Az RBCD-visszaélés egy kifinomult támadási technika, amely lehetővé teszi, hogy a támadó megszemélyesítse a felhasználókat a célzott fiókban üzemeltetett szolgáltatások elérésekor. Ez a viselkedés azt jelezheti, hogy a támadó megpróbálja elérni az oldalirányú mozgást, a jogosultságok eszkalálását és a szervezeten belüli adatmegőrzést. |
Közepes | T1558 | xdr_SuspiciousRBCDAuthentication |
Gyanús SMB NTLM-hitelesítési kísérletLeírás: Gyanús kiszolgálói üzenetblokk (SMB) NTLM (New Technology LAN Manager) hitelesítési kísérlet történt a(z) {SourceIpAddress} IP-címről. Előfordulhat, hogy egy támadó ellopott hitelesítő adatokkal speciálisan kialakította ezt a rendellenes hitelesítési kérést. Ez pass-the-hash támadást, találgatásos támadást, potenciális biztonsági incidenst vagy a hálózaton belüli sérülést is jelezhet. |
Közepes | T1021.002 | xdr_SuspiciousSmbNtlmAuthenticationAttempt |
Adatmegőrzési riasztások
Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja fenntartani a lábtartását a szervezetben.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
OAuth-alkalmazás létrehozott egy felhasználótLeírás: Egy új felhasználói fiókot egy OAuth-alkalmazás hozott létre. Előfordulhat, hogy egy támadó feltörte ezt az alkalmazást a szervezeten belüli adatmegőrzés érdekében. |
Közepes | T1136.003 | xdr_OAuthAppCreatedAUser |
Okta privileged API-jogkivonat létrehozvaLeírás: {ActorAliasName} létrehozott egy API-jogkivonatot. Ellopás esetén hozzáférést adhat a támadónak a felhasználó engedélyével. |
Magas | T1078.004 | xdr_OktaPrivilegedApiTokenCreated |
Okta privileged API-jogkivonat frissítveLeírás: A(z) {ActorAliasName} frissítette a Privileged API-jogkivonat konfigurációját, hogy egyértelműbb legyen. Ellopás esetén hozzáférést adhat a támadónak a felhasználó engedélyével. |
Magas | T1078.004 | xdr_OktaPrivilegedApiTokenUpdated |
Árnyékolási hitelesítő adatok hozzáadva a fiókhozLeírás: A rendszer árnyék-hitelesítőadat-injektálást észlelt a fiókon. Ez állandóságra vagy oldalirányú mozgásra utalhat. A támadók árnyék hitelesítő adatokat injektálnak az Active Directory- (AD-) fiókokba, hogy hozzáférést szerezzenek vagy fenntartsák a feltört fiókhoz. |
Magas | T1098 | xdr_ShadowCredentialsAttack |
Fiókhoz hozzáadott és hitelesítéshez használt árnyékhitelesítő adatokLeírás: A fiókba árnyékhitelesítő adatokat szúrtak be, és hitelesítésre használták őket. Ilyen esetben a támadók megkerülhetik a hagyományos hitelesítőadat-lopási módszereket, hogy állandó hozzáférést szerezzenek egy felhasználói fiókhoz. Az állandóság mellett ez az oldalirányú mozgásra is utalhat. |
Magas | T1098 | xdr_ShadowCredentialsAttack |
Helyszíni ACL gyanús hozzáadásaLeírás: A helyszíni ACL gyanús hozzáadását figyelték meg. Ez többek között jogosulatlan hozzáféréshez, emelt szintű engedélyekhez, fiók- és erőforrás-biztonság sérüléséhez, oldalirányú mozgáshoz vezethet. Azonnal vizsgálja meg a kapcsolódó biztonsági kockázatokat. |
Magas | T1098 | xdr_SuspiciousAdditionOfAcl |
Alternatív telefonszám gyanús hozzáadásaLeírás: Gyanús módon új alternatív telefonszám lett hozzáadva egy felhasználóhoz vagy felhasználókhoz. Előfordulhat, hogy egy támadó azért tette ezt, hogy manipulálja a többtényezős hitelesítést, és a mobiltelefonos hitelesítés használatával csalárd módon megőrizze a szervezetet. |
Közepes | T1556.006 | xdr_SuspiciousMFAAddition |
Gyanús e-mail-hozzáadásLeírás: Az új e-mail gyanús módon lett hozzáadva több felhasználóhoz. Előfordulhat, hogy egy támadó azért tette ezt, hogy megőrizze a szervezetét. |
Közepes | T1556.006 | xdr_SuspiciousMFAAddition |
Gyanús változás az elsődleges csoportazonosítóbanLeírás: Egy felhasználó elsődleges csoportazonosítója módosult. Előfordulhat, hogy egy támadó feltört egy felhasználói fiókot, és hozzárendelt egy erős engedélyekkel rendelkező backdoor-felhasználót a tartományban későbbi használatra. |
Magas | T1098 | xdr_SuspiciousChangeInUserPrimaryGroupId |
Gyanús Entra eszközcsatlakozás vagy -regisztrációLeírás: Egy felhasználót gyanúsan regisztráltak vagy új eszközhöz csatlakoztak, hogy Entra. Előfordulhat, hogy egy támadó feltörte a felhasználói fiókot az adatmegőrzés és az oldalirányú mozgás végrehajtása érdekében. Azonnal vizsgálja meg a kapcsolódó biztonsági kockázatokat. |
Közepes | T1098.005 | xdr_SuspiciousAdditionOfEntraDevice |
Gyanús Entra szerepkör hozzáadásaLeírás: Egy felhasználó gyanúsan bizalmas szerepkörhöz lett hozzárendelve. Előfordulhat, hogy egy támadó feltörte a felhasználói fiókot az adatmegőrzés és az oldalirányú mozgás végrehajtása érdekében. Azonnal vizsgálja meg a kapcsolódó biztonsági kockázatokat. |
Közepes | T1098.003 | xdr_SuspiciousAdditionOfRoleToUser |
Gyanús vendégfelhasználói meghívásLeírás: Egy új vendégfelhasználót gyanús módon hívtak meg és fogadtak el. Előfordulhat, hogy egy támadó feltört egy felhasználói fiókot a szervezetben, és arra használja, hogy jogosulatlan felhasználót adjon hozzá adatmegőrzési célból. |
Közepes | T1136.003 | xdr_SuspiciousGuestUserInvitation |
Gyanús Intune eszközregisztrációs tevékenységLeírás: Microsoft Entra ID gyanús eszközregisztrációs kísérletet észlelt Microsoft Intune. Az eszközregisztrációs tevékenység eltér a normál felhasználói vagy szervezeti viselkedéstől, és jogosulatlan eszközbeléptetést vagy fiókokkal való visszaélést jelezhet. Tekintse át a regisztráló felhasználót, az eszköz adatait, a helyet és a hitelesítési környezetet annak ellenőrzéséhez, hogy a regisztráció jogszerű volt-e. |
Közepes | T1098.005 | xdr_SuspiciousIntuneDeviceRegistration |
Gyanús MFA-módosítási tevékenység rendszergazdai fiók szerintLeírás: Egy rendszergazdai fiók többtényezős hitelesítést (MFA) módosító tevékenységet hajtott végre egy kockázatos hitelesítés után. Előfordulhat, hogy egy támadó feltört egy rendszergazdai fiókot, hogy manipulálja az MFA beállításait az esetleges oldalirányú mozgási tevékenység érdekében. |
Alacsony | T1556.006 | xdr_AdminAccountTakeover |
Gyanús erőforrás-alapú korlátozott delegálási (RBCD) attribútumváltozásLeírás: A rendszer egy vagy több gyanús Resource-Based korlátozott delegálással (RBCD) kapcsolatos Active Directory- (AD-) attribútummódosítást észlelt. Az ilyen tevékenység gyakran az RBCD-támadások kezdeti lépése, és lehetővé teheti, hogy a támadó megszemélyesítse a felhasználókat az RBCD attribútum változása által érintett célzott fiók elérésekor. Ez a viselkedés azt jelezheti, hogy a támadó megpróbálja elérni a jogosultságok eszkalálását és a szervezeten belüli adatmegőrzést. |
Közepes | T1098 | xdr_SuspiciousRbcdAttributeChange |
A felhasználó bizalmas szerepkörhöz lett létrehozva és hozzárendelveLeírás: Új felhasználó lett létrehozva, és bizalmas szerepkörhöz lett hozzárendelve. Előfordulhat, hogy egy támadó feltörte a felhasználói fiókot az adatmegőrzés és az oldalirányú mozgás végrehajtása érdekében. |
Közepes | T1136.003, T1098.003 | xdr_SuspiciousUserCreationAndSensitiveRoleAssignment |
Jogosultságeszkalációs riasztások
Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbál magasabb szintű engedélyeket szerezni a szervezetében.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
Okta-jogosultságok eszkalálása az {ActorAliasName} rendellenes bejelentkezése utánLeírás: Egy rendellenes Okta bejelentkezési kísérlet ({AnomalousLoginEventId}) a(z) {IPAddress} IP-címről {AnomalousLoginTime} időpontban, a(z) {PrivilegedActionType} kiemelt műveletet követte ugyanabban a munkamenetben ({SessionId}, {Timestamp}). Események közötti időeltérés: {DeltaSeconds}s. |
Magas | T1110, T1548 | xdr_OktaPrivilegeEscalationFollowingSignIn |
Az Okta-munkamenet megszemélyesítése emelt szintű művelethez vezet a(z) {AccountUpn} esetébenLeírás: Az Okta megszemélyesítési munkamenetét ({ImpersonationStartEventId}) a(z) {ImpersonateSessionTime} ip-címről indították el a(z) {IPAddress} IP-címről. A(z) {PrivilegedActionType} kiemelt művelet ugyanabban a munkamenetben történt, {SessionId}, {Timestamp}. Az események közötti idő {DeltaSeconds}s volt |
Magas | T1548, T1134 | xdr_OktaUserSessionImpersonationPrivilegedAction |
Kockázatos bejelentkezés, majd jogosultsági szerepkör megadásaLeírás: A magas kockázattal Microsoft Entra bejelentkezési értékeléssel megjelölt felhasználói fiókot a bejelentkezés után röviddel a Tag hozzáadása szerepkörhöz művelettel hozzárendelték egy magas jogosultsági szintű címtárszerepkörhöz, például a globális rendszergazda vagy a kiemelt szerepkör rendszergazdájához. Ez a sorozat erősen arra utal, hogy a hitelesítő adatok biztonsága sérül, és a jogosultságok gyors eszkalálása következik. |
Közepes | T1078.004, T1098.003 | xdr_RiskySignInFollowedByPrivilegedRoleGrant |
Emelt szintű jogosultságok gyanús hozzáadása és eltávolításaLeírás: Egy magas jogosultságú Entra azonosító szerepkört (például globális rendszergazda vagy kiemelt szerepkörű rendszergazda) kapott a felhasználó vagy a szolgáltatásnév számára, és ezt követően gyorsan visszavonták. Ez a gyors szerepkör-hozzárendelési és -eltávolítási minta nem gyakori a rendszeres felügyeleti munkafolyamatokban, és a jogosultságok eszkalálása során az észlelés elkerülésére tett kísérletet jelezhet. A riasztás azonnali kivizsgálása a jogosulatlan hozzáférés, a jogosultságok eszkalálása és a biztonsági incidensek megelőzése vagy enyhítése érdekében. |
Közepes | T1078.004 | xdr_SuspiciousAdditionAndRemovalOfPrivilegedRole |
Gyanús tanúsítványregisztráció kihasználása az ESC15-bőlLeírás: Gyanúsan regisztráltak egy tanúsítványt. Előfordulhat, hogy egy támadó egy biztonsági rést (más néven ESC-t) használ a jogosultságok eszkalálásához az erdőben. |
Magas | T1068 | xdr_SuspectedCertificateEnrollmentESC15 |
Gyanús Entra tartomány hozzáadása figyelhető megLeírás: Megfigyeltek egy, a Microsoft Threat Intelligence által gyanúsként besorolt tartományt. |
Közepes | T1484.002 | xdr_SuspiciousEntraDomainAddition |
Gyanús egyszerű szolgáltatásnév lett hozzáadva egy felhasználóhozLeírás: Gyanús egyszerű szolgáltatásnév (SPN) lett hozzáadva egy bizalmas felhasználóhoz. Előfordulhat, hogy egy támadó emelt szintű hozzáférést próbál szerezni a szervezeten belüli oldalirányú mozgáshoz. |
Magas | T1098 | xdr_SuspiciousAdditionOfSpnToUser |
Parancs- és vezérlési riasztások
Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő mikor próbál kommunikálni a már feltört rendszerekkel az ellenőrzésük érdekében.
| Biztonsági riasztás neve | Súlyossága | MITRE technika | Érzékelő azonosítója |
|---|---|---|---|
Gyanús DNS-lekérdezés a szervezet egyik eszközérőlLeírás: A szervezet egyik eszköze DNS-lekérdezést végzett egy olyan tartománynévre, amelyet a Microsoft Fenyegetésfelderítés gyanúsként azonosított. |
Közepes | T1071.004 | xdr_SuspiciousActiveDirectoryDnsQuery |
Gyanús Entra Graph API lekérdezés észlelhetőLeírás: Gyanús Entra Graph API tevékenységet észleltek, amely a Microsoft Threat Intelligence által azonosított IP-címről származik. |
Közepes | T1071.001 | xdr_SuspiciousEntraGraphCall |