Egyéb biztonsági riasztások
A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultság-eszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgásra vonatkozó riasztások
- Egyéb
Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.
Az alábbi biztonsági riasztások segítenek azonosítani és elhárítani a Defender for Identity által a hálózatban észlelt egyéb fázisgyanús tevékenységeket.
DcShadow-támadás gyanúja (tartományvezérlő előléptetése) (külső azonosító: 2028)
Előző név: Gyanús tartományvezérlő-előléptetés (lehetséges DCShadow-támadás)
Súlyosság: Magas
Leírás:
A tartományvezérlő árnyék (DCShadow) támadása olyan támadás, amely a címtárobjektumok rosszindulatú replikációval történő módosítására szolgál. Ez a támadás bármely gépről végrehajtható egy megbízható tartományvezérlő replikációs folyamattal történő létrehozásával.
DCShadow-támadás esetén az RPC és az LDAP a következőkre szolgál:
- Regisztrálja a számítógépfiókot tartományvezérlőként (tartományi rendszergazdai jogosultságokkal).
- Végezze el a replikációt (a megadott replikációs jogosultságok használatával) a DRSUAPI-n keresztül, és küldje el a módosításokat a címtárobjektumoknak.
Ebben az identitásészleléshez készült Defenderben a rendszer biztonsági riasztást aktivál, amikor a hálózat egy gépe megpróbál bejelentkezni egy gazember tartományvezérlőként.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| MITRE támadási technika | Rogue tartományvezérlő (T1207) |
| MITRE támadási altechnika | n/a |
Javasolt lépések a megelőzéshez:
Ellenőrizze a következő engedélyeket:
- Címtármódosítások replikálása.
- A címtár módosításainak replikálása.
- További információt a SharePoint Server 2013 profilszinkronizálási engedélyeinek megadása Active Directory tartományi szolgáltatások című témakörben talál. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell-szkriptet annak meghatározásához, hogy ki rendelkezik ezekkel az engedélyekkel a tartományban.
Feljegyzés
A gyanús tartományvezérlő-előléptetési (lehetséges DCShadow-támadás) riasztásokat csak a Defender for Identity érzékelői támogatják.
DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) (külső azonosító: 2029)
Előző név: Gyanús replikációs kérés (lehetséges DCShadow-támadás)
Súlyosság: Magas
Leírás:
Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak más tartományvezérlőkkel. A szükséges engedélyek birtokában a támadók jogosultságokat adhatnak a gépfiókjukhoz, így megszemélyesíthetnek egy tartományvezérlőt. A támadók rosszindulatú replikációs kérést kezdeményeznek, amely lehetővé teszi számukra, hogy egy valódi tartományvezérlőn módosítsák az Active Directory-objektumokat, így a támadók megőrizhetik a tartományt. Ebben az észlelésben egy riasztás akkor aktiválódik, ha gyanús replikációs kérés jön létre a Defender for Identity által védett valódi tartományvezérlőn. A viselkedés a tartományvezérlő árnyéktámadásaiban használt technikákra utal.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| MITRE támadási technika | Rogue tartományvezérlő (T1207) |
| MITRE támadási altechnika | n/a |
Javasolt szervizelés és megelőzési lépések:
Ellenőrizze a következő engedélyeket:
- Címtármódosítások replikálása.
- A címtár módosításainak replikálása.
- További információt a SharePoint Server 2013 profilszinkronizálási engedélyeinek megadása Active Directory tartományi szolgáltatások című témakörben talál. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell-szkriptet annak meghatározásához, hogy a tartományban kik rendelkezhetnek ezekkel az engedélyekkel.
Feljegyzés
A gyanús replikációs kérelmek (lehetséges DCShadow-támadás) riasztásait csak a Defender for Identity érzékelői támogatják.
Gyanús VPN-kapcsolat (külső azonosító: 2025)
Előző név: Gyanús VPN-kapcsolat
Súlyosság: Közepes
Leírás:
A Defender for Identity egy hónap csúsztatási időszakon keresztül tanulja meg a felhasználók VPN-kapcsolatainak entitás-viselkedését.
A VPN-viselkedési modell azon gépeken alapul, ahová a felhasználók bejelentkeznek, és azok a helyek, ahonnan a felhasználók csatlakoznak.
A rendszer riasztást nyit meg, ha egy gépi tanulási algoritmus alapján eltér a felhasználó viselkedésétől.
Képzési időszak:
Az első VPN-kapcsolattól számított 30 nap, és felhasználónként legalább 5 VPN-kapcsolat az elmúlt 30 napban.
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003) |
| MITRE támadási technika | Külső távoli szolgáltatások (T1133) |
| MITRE támadási altechnika | n/a |
Távoli kódvégrehajtási kísérlet (külső azonosító: 2019)
Előző név: Távoli kódvégrehajtási kísérlet
Súlyosság: Közepes
Leírás:
Azok a támadók, akik feltörik a rendszergazdai hitelesítő adatokat, vagy nulla napos biztonsági rést használnak, távoli parancsokat hajthatnak végre a tartományvezérlőn vagy az AD FS/AD CS-kiszolgálón. Ez használható a megőrzésre, az információk gyűjtésére, a szolgáltatásmegtagadási (DOS) támadásokra vagy bármilyen más okból. A Defender for Identity PSexec-, távoli WMI- és PowerShell-kapcsolatokat észlel.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Végrehajtás (TA0002) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Parancs- és parancsfájl-értelmező (T1059),Távoli szolgáltatások (T1021) |
| MITRE támadási altechnika | PowerShell (T1059.001), Windows Remote Management (T1021.006) |
Javasolt lépések a megelőzéshez:
- Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. szintű gépekről.
- Emelt szintű hozzáférés implementálása, amely lehetővé teszi, hogy csak a edzett gépek csatlakozzanak a rendszergazdák tartományvezérlőihez.
- A tartományi gépeken kisebb jogosultságú hozzáférést valósíthat meg, hogy bizonyos felhasználók számára lehetővé tegye a szolgáltatások létrehozását.
Feljegyzés
A PowerShell-parancsok használatával kapcsolatos távoli kódvégrehajtási kísérletek riasztásait csak a Defender for Identity érzékelői támogatják.
Gyanús szolgáltatás létrehozása (külső azonosító: 2026)
Előző név: Gyanús szolgáltatás létrehozása
Súlyosság: Közepes
Leírás:
Gyanús szolgáltatás lett létrehozva egy tartományvezérlőn vagy AD FS/AD CS-kiszolgálón a szervezetben. Ez a riasztás a 7045-ös eseményre támaszkodik a gyanús tevékenység azonosításához.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Végrehajtás (TA0002) |
|---|---|
| Másodlagos MITRE-taktika | Perzisztencia (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
| MITRE támadási technika | Távoli szolgáltatások (T1021), parancs- és parancsfájl-értelmező (T1059), System Services (T1569), Rendszerfolyamat létrehozása vagy módosítása (T1543) |
| MITRE támadási altechnika | Szolgáltatás végrehajtása (T1569.002), Windows Service (T1543.003) |
Javasolt lépések a megelőzéshez:
- Korlátozza a tartományvezérlőkhöz való távoli hozzáférést a nem 0. szintű gépekről.
- Emelt szintű hozzáférés implementálása, amely lehetővé teszi, hogy csak a edzett gépek csatlakozzanak a rendszergazdák tartományvezérlőihez.
- A tartományi gépeken kisebb jogosultságú hozzáférést valósíthat meg, hogy csak bizonyos felhasználók számára biztosítson jogosultságot szolgáltatások létrehozására.
Gyanús kommunikáció DNS-en keresztül (külső azonosító: 2031)
Előző név: Gyanús kommunikáció DNS-en keresztül
Súlyosság: Közepes
Leírás:
A legtöbb szervezetben a DNS protokollt általában nem figyelik, és ritkán tiltják le rosszindulatú tevékenységek esetén. Egy támadó engedélyezése egy feltört gépen, hogy visszaéljen a DNS-protokollal. A DNS-en keresztüli rosszindulatú kommunikáció használható adatkiszivárgáshoz, parancsokhoz és vezérléshez, valamint/vagy a vállalati hálózati korlátozások megkerülésére.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Exfiltration (TA0010) |
|---|---|
| MITRE támadási technika | Exfiltration over Alternative Protocol (T1048), Exfiltration over C2 Channel (T1041), Ütemezett átvitel (T1029), Automatizált exfiltration (T1020), Application Layer Protocol (T1071) |
| MITRE támadási altechnika | DNS (T1071.004), Exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Adatszűrés SMB-n keresztül (külső azonosító: 2030)
Súlyosság: Magas
Leírás:
A tartományvezérlők a legérzékenyebb szervezeti adatokat tartják. A legtöbb támadó számára az egyik legfontosabb prioritás a tartományvezérlő hozzáférésének megszerzése, a legérzékenyebb adatok ellopása. Például a DC-ben tárolt Ntds.dit fájl kiszivárgása lehetővé teszi, hogy a támadó kerberos jegykiadó jegyeket (TGT) adjon meg, amelyek bármilyen erőforrás számára engedélyezve vannak. A hamis Kerberos TGT-k lehetővé teszik, hogy a támadó tetszőleges időpontra állítsa a jegy lejáratát. A Defender for Identity Data SMB-riasztáson keresztüli kiszivárgása akkor aktiválódik, ha gyanús adattovábbítások figyelhetők meg a figyelt tartományvezérlőkről.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Exfiltration (TA0010) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008),Parancs és vezérlés (TA0011) |
| MITRE támadási technika | Exfiltration over Alternative Protocol (T1048), Lateral Tool Transfer (T1570) |
| MITRE támadási altechnika | Exfiltration over unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
A tanúsítvány-adatbázis bejegyzéseinek gyanús törlése (külső azonosító: 2433)
Súlyosság: Közepes
Leírás:
A tanúsítvány-adatbázis bejegyzéseinek törlése egy piros jelölő, amely potenciális rosszindulatú tevékenységet jelez. Ez a támadás megzavarhatja a nyilvános kulcsú infrastruktúra (PKI) rendszerek működését, ami hatással lehet a hitelesítésre és az adatok integritására.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| MITRE támadási technika | Mutató eltávolítása (T1070) |
| MITRE támadási altechnika | n/a |
Feljegyzés
A tanúsítvány-adatbázis bejegyzéseinek gyanús törlésére vonatkozó riasztásokat csak az AD CS Defender identitásérzékelői támogatják.
Az AD CS naplózási szűrőinek gyanús letiltása (külső azonosító: 2434)
Súlyosság: Közepes
Leírás:
Az AD CS naplózási szűrőinek letiltása lehetővé teszi a támadók számára, hogy észlelés nélkül működjenek. A támadás célja, hogy elkerülje a biztonsági monitorozást olyan szűrők letiltásával, amelyek egyébként gyanús tevékenységeket jelölnének.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| MITRE támadási technika | Károsító védelem (T1562) |
| MITRE támadási altechnika | Windows-eseménynaplózás letiltása (T1562.002) |
Címtárszolgáltatások visszaállítási módjának jelszómódosítása (külső azonosító: 2438)
Súlyosság: Közepes
Leírás:
A Címtárszolgáltatások visszaállítási módja (DSRM) egy speciális rendszerindítási mód a Microsoft Windows Server operációs rendszerekben, amely lehetővé teszi a rendszergazda számára az Active Directory-adatbázis helyreállítását vagy visszaállítását. Ezt a módot általában akkor használják, ha problémák merülnek fel az Active Directoryval kapcsolatban, és a normál rendszerindítás nem lehetséges. A DSRM-jelszó a kiszolgáló tartományvezérlőre való előléptetése során van beállítva. Ebben az észlelésben egy riasztás akkor aktiválódik, amikor a Defender for Identity észleli, hogy a DSRM-jelszó módosul. Javasoljuk, hogy vizsgálja meg a forrásszámítógépet és azt a felhasználót, aki a kérést intézte annak megértéséhez, hogy a DSRM jelszómódosítását egy jogos rendszergazdai művelet kezdeményezte-e, vagy aggályokat vet fel a jogosulatlan hozzáféréssel vagy a potenciális biztonsági fenyegetésekkel kapcsolatban.
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Adatmegőrzés (TA0003) |
|---|---|
| MITRE támadási technika | Fiókkezelés (T1098) |
| MITRE támadási altechnika | n/a |
Lehetséges Okta-munkamenet-lopás
Súlyosság: Magas
Leírás:
A munkamenet-lopás során a támadók ellopják a jogszerű felhasználó cookie-jait, és más helyekről használják. Javasoljuk, hogy vizsgálja meg a műveleteket végrehajtó forrás IP-címet annak megállapításához, hogy ezek a műveletek jogosak-e vagy sem, és hogy a felhasználó használja-e az IP-címet.
Képzési időszak:
2 hét
MITRE:
| Elsődleges MITRE-taktika | Gyűjtemény (TA0009) |
|---|---|
| MITRE támadási technika | Böngésző munkamenet-eltérítése (T1185) |
| MITRE támadási altechnika | n/a |
Csoportházirend-módosítás (külső azonosító: 2440) (előzetes verzió)
Súlyosság: Közepes
Leírás:
A csoportházirendben gyanús módosítást észleltek, ami a Windows Defender víruskereső inaktiválását eredményezte. Ez a tevékenység azt jelezheti, hogy egy olyan támadó biztonsági rést észlel, aki emelt szintű jogosultságokkal rendelkezik, és amely a zsarolóprogramok terjesztésének fázisát állíthatja be.
Javasolt lépések a vizsgálathoz:
Annak megértése, hogy a csoportházirend-objektum módosítása jogszerű-e
Ha nem, állítsa vissza a módosítást
A csoportházirend összekapcsolásának megismerése a hatás hatókörének becsléséhez
Képzési időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| MITRE támadási technika | Megbízhatósági vezérlők subvertálása (T1553) |
| MITRE támadási technika | Megbízhatósági vezérlők subvertálása (T1553) |
| MITRE támadási altechnika | n/a |