Egyéb biztonsági riasztások
A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan, oldalirányúan haladnak, amíg a támadó értékes eszközökhöz nem fér hozzá. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. Microsoft Defender for Identity azonosítja ezeket a fejlett fenyegetéseket a forrásnál a teljes támadási leölési láncban, és a következő fázisokba sorolja őket:
- Felderítési és felderítési riasztások
- Adatmegőrzési és jogosultságeszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgással kapcsolatos riasztások
- Egyéb
Ha többet szeretne megtudni arról, hogyan ismerheti meg az identitáshoz készült Defender összes biztonsági riasztásának struktúráját és gyakori összetevőit, olvassa el a Biztonsági riasztások ismertetése című témakört. Az Igaz pozitív (TP), a Jóindulatú igaz pozitív (B-TP) és a Hamis pozitív (FP) információkért lásd: biztonsági riasztások besorolása.
Az alábbi biztonsági riasztások segítenek azonosítani és orvosolni a Defender for Identity által a hálózatban észlelt egyéb fázisgyanús tevékenységeket.
DcShadow-támadás gyanúja (tartományvezérlő előléptetése) (külső azonosító: 2028)
Előző név: Gyanús tartományvezérlő-előléptetés (lehetséges DCShadow-támadás)
Súlyosság: Magas
Leírás:
A tartományvezérlő árnyékának (DCShadow) támadása olyan támadás, amelynek célja a címtárobjektumok rosszindulatú replikációval történő módosítása. Ez a támadás bármely gépről végrehajtható, ha replikációs folyamattal hoz létre egy rosszindulatú tartományvezérlőt.
DCShadow-támadás esetén az RPC és az LDAP a következőkre szolgál:
- Regisztrálja a számítógépfiókot tartományvezérlőként (tartományi rendszergazdai jogosultságokkal).
- Végezze el a replikációt (a megadott replikációs jogosultságokkal) a DRSUAPI-ra vonatkozóan, és küldje el a módosításokat a címtárobjektumoknak.
Ebben az identitáshoz készült Defender-észlelésben egy biztonsági riasztás akkor aktiválódik, ha egy hálózatban lévő gép megpróbál tartományvezérlőként regisztrálni.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| MITRE támadási technika | Rogue tartományvezérlő (T1207) |
| MITRE támadási altechnika | N/A |
Javasolt lépések a megelőzéshez:
Ellenőrizze a következő engedélyeket:
- Címtármódosítások replikálása.
- Címtármódosítások replikálása.
- További információ: Active Directory tartományi szolgáltatások-engedélyek megadása profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy ki rendelkezik ezekkel az engedélyekkel a tartományban.
Megjegyzés
A gyanús tartományvezérlő-előléptetési (lehetséges DCShadow-támadás) riasztásokat csak a Defender for Identity érzékelői támogatják.
DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) (külső azonosító: 2029)
Előző név: Gyanús replikációs kérelem (lehetséges DCShadow-támadás)
Súlyosság: Magas
Leírás:
Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak más tartományvezérlőkkel. A szükséges engedélyek birtokában a támadók jogosultságokat adhatnak a számítógépfiókjukhoz, így megszemélyesíthetnek egy tartományvezérlőt. A támadók rosszindulatú replikációs kérést kezdeményeznek, amely lehetővé teszi számukra, hogy egy eredeti tartományvezérlőn módosítsák az Active Directory-objektumokat, ami állandóságot biztosíthat a támadóknak a tartományban. Ebben az észlelésben riasztás aktiválódik, ha gyanús replikációs kérés jön létre egy, az identitáshoz készült Defender által védett eredeti tartományvezérlőn. A viselkedés a tartományvezérlő árnyékrohamaiban használt technikákra utal.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| MITRE támadási technika | Rogue tartományvezérlő (T1207) |
| MITRE támadási altechnika | N/A |
Javasolt szervizelés és megelőzési lépések:
Ellenőrizze a következő engedélyeket:
- Címtármódosítások replikálása.
- Címtármódosítások replikálása.
- További információ: Active Directory tartományi szolgáltatások-engedélyek megadása profilszinkronizáláshoz a SharePoint Server 2013-ban. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell szkriptet annak meghatározásához, hogy ki rendelkezik ezekkel az engedélyekkel a tartományban.
Megjegyzés
A gyanús replikációs kérések (lehetséges DCShadow-támadás) riasztásait csak a Defender for Identity érzékelői támogatják.
Gyanús VPN-kapcsolat (külső azonosító: 2025)
Előző név: Gyanús VPN-kapcsolat
Súlyosság: Közepes
Leírás:
Az Identitáshoz készült Defender egy hónap csúsztatási időszakon keresztül tanulja meg a felhasználók VPN-kapcsolatainak entitás-viselkedését.
A VPN-viselkedési modell azon gépeken alapul, ahová a felhasználók bejelentkeznek, és azok a helyek, ahonnan a felhasználók csatlakoznak.
A rendszer riasztást nyit meg, ha eltér a felhasználó viselkedésétől egy gépi tanulási algoritmus alapján.
Képzési időszak:
Az első VPN-kapcsolattól számított 30 nap, és felhasználónként legalább 5 VPN-kapcsolat az elmúlt 30 napban.
MITRE:
| Elsődleges MITRE-taktika | Védelmi kijátszás (TA0005) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003) |
| MITRE támadási technika | Külső távoli szolgáltatások (T1133) |
| MITRE támadási altechnika | N/A |
Távoli kódvégrehajtási kísérlet (külső azonosító: 2019)
Előző név: Távoli kódvégrehajtási kísérlet
Súlyosság: Közepes
Leírás:
Azok a támadók, akik feltörik a rendszergazdai hitelesítő adatokat, vagy nulla napos biztonsági rést használnak, távoli parancsokat hajthatnak végre a tartományvezérlőn vagy az AD FS-kiszolgálón. Ezáltal állandó jelenlétre tehetnek szert, információt gyűjthetnek, szolgáltatás-megtagadási támadásokat hajthatnak végre stb. Az Identitáshoz készült Defender észleli a PSexec-, távoli WMI- és PowerShell-kapcsolatokat.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Végrehajtás (TA0002) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Parancs- és parancsfájl-értelmező (T1059),Távoli szolgáltatások (T1021) |
| MITRE támadási altechnika | PowerShell (T1059.001), Windows Távfelügyelet (T1021.006) |
Javasolt lépések a megelőzéshez:
- Korlátozza a 0. rétegtől különböző számítógépek távoli hozzáférését a tartományvezérlőkhöz.
- Emelt szintű hozzáférés implementálása, amely csak a tartományvezérlőkhöz való csatlakozást teszi lehetővé a rendszergazdák számára.
- A tartományi gépeken kevesebb jogosultsággal rendelkező hozzáférést valósíthat meg, hogy bizonyos felhasználók számára lehetővé tegye a szolgáltatások létrehozására vonatkozó jogosultságot.
Megjegyzés
A PowerShell-parancsok megkísérelt használatával kapcsolatos távoli kódvégrehajtási kísérletekre vonatkozó riasztásokat csak a Defender for Identity érzékelői támogatják.
Gyanús szolgáltatás létrehozása (külső azonosító: 2026)
Előző név: Gyanús szolgáltatás létrehozása
Súlyosság: Közepes
Leírás:
Gyanús szolgáltatás lett létrehozva a szervezet egyik tartományvezérlőjén vagy AD FS-kiszolgálóján. Ez a riasztás a 7045-ös eseményre támaszkodik a gyanús tevékenység azonosításához.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Végrehajtás (TA0002) |
|---|---|
| Másodlagos MITRE-taktika | Adatmegőrzés (TA0003), jogosultságeszkaláció (TA0004), védelmi kijátszás (TA0005), oldalirányú mozgás (TA0008) |
| MITRE támadási technika | Távoli szolgáltatások (T1021), parancs- és parancsfájl-értelmező (T1059), Rendszerszolgáltatások (T1569), Rendszerfolyamat létrehozása vagy módosítása (T1543) |
| MITRE támadási altechnika | Szolgáltatás végrehajtása (T1569.002), Windows-szolgáltatás (T1543.003) |
Javasolt lépések a megelőzéshez:
- Korlátozza a 0. rétegtől különböző számítógépek távoli hozzáférését a tartományvezérlőkhöz.
- Emelt szintű hozzáférés implementálása, amely lehetővé teszi, hogy csak a tartományvezérlőkhöz a rendszergazdák által edzett gépek csatlakozzanak.
- A tartományi gépeken kisebb jogosultságú hozzáférést valósíthat meg, így csak bizonyos felhasználók hozhatnak létre szolgáltatásokat.
Gyanús kommunikáció DNS-en keresztül (külső azonosító: 2031)
Előző név: Gyanús kommunikáció DNS-en keresztül
Súlyosság: Közepes
Leírás:
A legtöbb szervezet DNS-protokollját általában nem figyelik, és ritkán blokkolják rosszindulatú tevékenységek esetén. Támadó engedélyezése egy feltört gépen, hogy visszaéljen a DNS-protokollal. A DNS-en keresztüli rosszindulatú kommunikáció adatkiszivárgáshoz, parancsokhoz és vezérléshez és/vagy a vállalati hálózati korlátozások megkerülésére használható.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Exfiltráció (TA0010) |
|---|---|
| MITRE támadási technika | Exfiltration over Alternative Protocol (T1048), Exfiltration over C2 Channel (T1041), Ütemezett átvitel (T1029), Automatikus kiszivárgás (T1020), Application Layer Protocol (T1071) |
| MITRE támadási altechnika | DNS (T1071.004), kiszivárgás titkosítatlan/nem C2 protokollon keresztül (T1048.003) |
Adatkiszivárgás SMB-n keresztül (külső azonosító: 2030)
Súlyosság: Magas
Leírás:
A tartományvezérlők a legérzékenyebb szervezeti adatokat tartják. A legtöbb támadó számára az egyik legfontosabb prioritás a tartományvezérlői hozzáférés megszerzése, a legérzékenyebb adatok ellopása. Például a tartományvezérlőn tárolt Ntds.dit fájl kiszivárgása lehetővé teszi a támadó számára, hogy kerberos jegykiadó jegyeket (TGT) adjon meg, amelyek bármilyen erőforrás számára engedélyezik az engedélyezést. A hamisított Kerberos TGT-k lehetővé teszik, hogy a támadó tetszőleges időpontra állítsa a jegy lejáratát. A Defender for Identity Data SMB-riasztáson keresztüli kiszivárgása akkor aktiválódik, ha gyanús adatátvitelt figyelnek meg a figyelt tartományvezérlőkről.
Képzési időszak:
None
MITRE:
| Elsődleges MITRE-taktika | Exfiltráció (TA0010) |
|---|---|
| Másodlagos MITRE-taktika | Oldalirányú mozgás (TA0008),Parancs és vezérlés (TA0011) |
| MITRE támadási technika | Exfiltration Over Alternative Protocol (T1048), Lateral Tool Transfer (T1570) |
| MITRE támadási altechnika | Kiszivárgás titkosítatlan/nem C2 protokollon keresztül (T1048.003) |