Felderítési és felderítési riasztások
A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:
- Felderítés és felderítés
- Adatmegőrzési és jogosultság-eszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgásra vonatkozó riasztások
- Egyéb riasztások
Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.
Az alábbi biztonsági riasztások segítenek azonosítani és orvosolni a Defender for Identity által a hálózatban észlelt felderítési és felderítési fázis gyanús tevékenységeit.
A felderítés és a felderítés olyan technikákból áll, amelyek segítségével a támadók ismereteket szerezhetnek a rendszerről és a belső hálózatról. Ezek a technikák segítenek a támadóknak megfigyelni a környezetet és tájékozódni, mielőtt eldöntik, hogyan kell cselekedni. Azt is lehetővé teszik a támadók számára, hogy felfedezzék, mit szabályozhatnak, és mi van a belépési pontjuk körül, hogy felfedezzék, hogyan tudnák kihasználni a jelenlegi célkitűzésüket. A natív operációsrendszer-eszközöket gyakran használják a kompromittálás utáni információgyűjtési célkitűzéshez. A Microsoft Defender for Identity esetében ezek a riasztások általában belső fiókok számbavételét foglalják magukban különböző technikákkal.
Fiók számbavételének felderítése (külső azonosító: 2003)
Előző név: Felderítés fiókszámozással
Súlyosság: Közepes
Leírás:
A fiókok számbavételének felderítése során a támadó egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközt használ, mint a KrbGuess, amely megpróbálja kitalálni a tartománybeli felhasználóneveket.
Kerberos: A támadó kerberos-kéréseket küld ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó az ismeretlen Kerberos-hiba helyett megkapja a szükséges előhitelesítést.
NTLM: A támadó az NTLM hitelesítési kéréseit a nevek szótárával kéri, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó a NoSuchUser (0xc0000064) NTLM-hiba helyett a WrongPasswordt (0xc000006a) kapja meg.
Ebben a riasztásészlelésben a Defender for Identity észleli, hogy honnan származik a fiók számbavételi támadása, a találgatási kísérletek teljes száma és a kísérletek száma. Ha túl sok ismeretlen felhasználó van, a Defender for Identity gyanús tevékenységként észleli. A riasztás a tartományvezérlőn és az AD FS/AD CS-kiszolgálókon futó érzékelők hitelesítési eseményein alapul.
Tanulás időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a találgatásos támadások ellen. A találgatásos támadás általában a következő lépés a kibertámadások ölési láncában az enumerálást követően.
Fiók számbavételi felderítése (LDAP) (külső azonosító: 2437) (előzetes verzió)
Súlyosság: Közepes
Leírás:
A fiókok számbavételének felderítése során a támadó egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközt használ, mint például az Ldapnom, amely megpróbálja kitalálni a tartománybeli felhasználóneveket.
LDAP: A támadó ldAP pingelési kéréseket (cLDAP) készít ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó olyan választ kaphat, amely jelzi, hogy a felhasználó létezik a tartományban.
Ebben a riasztásészlelésben a Defender for Identity észleli, hogy honnan származik a fiók számbavételi támadása, a találgatási kísérletek teljes száma és a kísérletek száma. Ha túl sok ismeretlen felhasználó van, a Defender for Identity gyanús tevékenységként észleli. A riasztás a tartományvezérlő-kiszolgálókon futó érzékelők LDAP-keresési tevékenységein alapul.
Tanulás időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002) |
Hálózatleképezési felderítés (DNS) (külső azonosító: 2007)
Előző név: Felderítés DNS használatával
Súlyosság: Közepes
Leírás:
A DNS-kiszolgáló térképet tartalmaz a hálózat összes számítógépéről, IP-címéről és szolgáltatásáról. Ezeket az információkat a támadók a hálózati struktúra leképezésére és érdekes számítógépek megcélzására használják a támadás későbbi lépéseihez.
A DNS-protokoll több lekérdezéstípust is tartalmaz. Ez a Defender for Identity biztonsági riasztás gyanús kéréseket észlel, vagy nem DNS-kiszolgálókról származó AXFR -t (átvitelt) használó kéréseket, vagy túl sok kérést használó kéréseket.
Tanulás időszak:
Ez a riasztás a tartományvezérlő monitorozásának kezdetétől számított nyolc napos tanulási időszak.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087), Hálózati szolgáltatás vizsgálata (T1046), Távoli rendszerfelderítés (T1018) |
| MITRE támadási altechnika | n/a |
Javasolt lépések a megelőzéshez:
Fontos, hogy a belső DNS-kiszolgáló biztonságossá tételével megakadályozza az AXFR-lekérdezések használatával történő jövőbeli támadásokat.
- Biztonságossá teheti a belső DNS-kiszolgálót, hogy megakadályozza a DNS-sel való felderítést a zónaátvitelek letiltásával vagy a zónaátvitelek csak a megadott IP-címekre való korlátozásával. A zónaátvitelek módosítása az ellenőrzőlista egyik feladata, amelyet meg kell oldani a DNS-kiszolgálók belső és külső támadások elleni védelmének biztosításához.
Felhasználó és IP-cím felderítése (SMB) (külső azonosító: 2012)
Előző név: Felderítés az SMB-munkamenet számbavétele használatával
Súlyosság: Közepes
Leírás:
A Kiszolgálói üzenetblokk (SMB) protokoll használatával történő számbavétel lehetővé teszi a támadók számára, hogy információt szerezzenek arról, hogy a felhasználók hol jelentkeztek be a közelmúltban. Miután a támadók megkapták ezeket az információkat, oldalirányban mozoghatnak a hálózaton, hogy egy adott bizalmas fiókhoz jussanak.
Ebben az észlelésben egy riasztás akkor aktiválódik, ha egy SMB-munkamenet számbavétele történik egy tartományvezérlőn.
Tanulás időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087), System Network Csatlakozás ions Discovery (T1049) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002) |
Felhasználó- és csoporttagság-felderítés (SAMR) (külső azonosító: 2021)
Előző név: Felderítés címtárszolgáltatás-lekérdezésekkel
Súlyosság: Közepes
Leírás:
A felhasználók és a csoporttagságok felderítése a támadók segítségével térképezi fel a címtárstruktúrát, és megcélozza a kiemelt fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az egyik módszer, amellyel lekérdezhető a címtár az ilyen típusú leképezés végrehajtásához. Ebben az észlelésben nem aktiválódik riasztás a Defender for Identity üzembe helyezését követő első hónapban (tanulási időszak). A tanulási időszak alatt a Defender for Identity profilok, amelyek SAM-R-lekérdezések, amelyekből a számítógépek, mind az enumerálás, mind a bizalmas fiókok egyedi lekérdezései származnak.
Tanulás időszak:
Tartományvezérlőnként négy hét az SAMR első hálózati tevékenységétől kezdve az adott tartományvezérlőn.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087), engedélycsoportok felderítése (T1069) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002), Tartománycsoport (T1069.002) |
Javasolt lépések a megelőzéshez:
- Alkalmazza a hálózati hozzáférést, és korlátozza, hogy az ügyfelek távoli hívásokat kezdeményezhessenek a SAM-csoportházirend felé.
Active Directory-attribútumok felderítése (LDAP) (külső azonosító: 2210)
Súlyosság: Közepes
Leírás:
Az Active Directory LDAP-felderítést a támadók a tartományi környezettel kapcsolatos kritikus információk megszerzésére használják. Ezek az információk segíthetnek a támadóknak a tartományszerkezet feltérképezésében, valamint a támadási lánc későbbi lépéseiben használt kiemelt fiókok azonosításában. Az Lightweight Directory Access Protocol (LDAP) az Active Directory lekérdezésének egyik legnépszerűbb módszere, amely mind jogos, mind rosszindulatú célokra használható.
Tanulás időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087), közvetett parancsvégrehajtás (T1202), engedélycsoportok felderítése (T1069) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002), Tartománycsoportok (T1069.002) |
Honeytoken-t SAM-R-n keresztül kérdezték le (külső azonosító: 2439)
Súlyosság: Alacsony
Leírás:
A felhasználók felderítése a támadók segítségével térképezi fel a címtárstruktúrát és a kiemelt jogosultságú fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az egyik módszer, amellyel lekérdezhető a címtár az ilyen típusú leképezés végrehajtásához. Ebben az észlelésben a Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználóval végzett felderítési tevékenységekhez
Tanulás időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002) |
Honeytoken lekérdezett keresztül LDAP (külső azonosító: 2429)
Súlyosság: Alacsony
Leírás:
A felhasználók felderítése a támadók segítségével térképezi fel a címtárstruktúrát és a kiemelt jogosultságú fiókokat a támadás későbbi lépéseihez. Az Lightweight Directory Access Protocol (LDAP) az Active Directory lekérdezésének egyik legnépszerűbb módszere, amely mind jogos, mind rosszindulatú célokra használható.
Ebben az észlelésben a Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználóval végzett felderítési tevékenységekhez.
Tanulás időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási altechnika | Tartományi fiók (T1087.002) |
Gyanús Okta-fiók számbavétele
Súlyosság: Magas
Leírás:
A fiókok számbavétele során a támadók megpróbálják kitalálni a felhasználóneveket úgy, hogy olyan felhasználókkal végeznek bejelentkezéseket az Oktába, amelyek nem tartoznak a szervezethez. Javasoljuk, hogy vizsgálja meg a sikertelen kísérleteket végrehajtó FORRÁS IP-címet, és állapítsa meg, hogy azok jogosak-e vagy sem.
Tanulás időszak:
Egyik sem
MITRE:
| Elsődleges MITRE-taktika | Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004) |
|---|---|
| MITRE támadási technika | Érvényes fiókok (T1078) |
| MITRE támadási altechnika | Felhőbeli fiókok (T1078.004) |