Megosztás a következőn keresztül:


Felderítési és felderítési riasztások

A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:

  1. Felderítés és felderítés
  2. Adatmegőrzési és jogosultság-eszkalációs riasztások
  3. Hitelesítőadat-hozzáférési riasztások
  4. Oldalirányú mozgásra vonatkozó riasztások
  5. Egyéb riasztások

Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.

Az alábbi biztonsági riasztások segítenek azonosítani és orvosolni a Defender for Identity által a hálózatban észlelt felderítési és felderítési fázis gyanús tevékenységeit.

A felderítés és a felderítés olyan technikákból áll, amelyek segítségével a támadók ismereteket szerezhetnek a rendszerről és a belső hálózatról. Ezek a technikák segítenek a támadóknak megfigyelni a környezetet és tájékozódni, mielőtt eldöntik, hogyan kell cselekedni. Azt is lehetővé teszik a támadók számára, hogy felfedezzék, mit szabályozhatnak, és mi van a belépési pontjuk körül, hogy felfedezzék, hogyan tudnák kihasználni a jelenlegi célkitűzésüket. A natív operációsrendszer-eszközöket gyakran használják a kompromittálás utáni információgyűjtési célkitűzéshez. A Microsoft Defender for Identity esetében ezek a riasztások általában belső fiókok számbavételét foglalják magukban különböző technikákkal.

Fiók számbavételének felderítése (külső azonosító: 2003)

Előző név: Felderítés fiókszámozással

Súlyosság: Közepes

Leírás:

A fiókok számbavételének felderítése során a támadó egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközt használ, mint a KrbGuess, amely megpróbálja kitalálni a tartománybeli felhasználóneveket.

Kerberos: A támadó kerberos-kéréseket küld ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó az ismeretlen Kerberos-hiba helyett megkapja a szükséges előhitelesítést.

NTLM: A támadó az NTLM hitelesítési kéréseit a nevek szótárával kéri, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó a NoSuchUser (0xc0000064) NTLM-hiba helyett a WrongPasswordt (0xc000006a) kapja meg.

Ebben a riasztásészlelésben a Defender for Identity észleli, hogy honnan származik a fiók számbavételi támadása, a találgatási kísérletek teljes száma és a kísérletek száma. Ha túl sok ismeretlen felhasználó van, a Defender for Identity gyanús tevékenységként észleli. A riasztás a tartományvezérlőn és az AD FS/AD CS-kiszolgálókon futó érzékelők hitelesítési eseményein alapul.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087)
MITRE támadási altechnika Tartományi fiók (T1087.002)

Javasolt lépések a megelőzéshez:

  1. Összetett és hosszú jelszavak kényszerítése a szervezetben. Az összetett és hosszú jelszavak biztosítják a szükséges első szintű biztonságot a találgatásos támadások ellen. A találgatásos támadás általában a következő lépés a kibertámadások ölési láncában az enumerálást követően.

Fiók számbavételi felderítése (LDAP) (külső azonosító: 2437) (előzetes verzió)

Súlyosság: Közepes

Leírás:

A fiókok számbavételének felderítése során a támadó egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközt használ, mint például az Ldapnom, amely megpróbálja kitalálni a tartománybeli felhasználóneveket.

LDAP: A támadó ldAP pingelési kéréseket (cLDAP) készít ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó olyan választ kaphat, amely jelzi, hogy a felhasználó létezik a tartományban.

Ebben a riasztásészlelésben a Defender for Identity észleli, hogy honnan származik a fiók számbavételi támadása, a találgatási kísérletek teljes száma és a kísérletek száma. Ha túl sok ismeretlen felhasználó van, a Defender for Identity gyanús tevékenységként észleli. A riasztás a tartományvezérlő-kiszolgálókon futó érzékelők LDAP-keresési tevékenységein alapul.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087)
MITRE támadási altechnika Tartományi fiók (T1087.002)

Hálózatleképezési felderítés (DNS) (külső azonosító: 2007)

Előző név: Felderítés DNS használatával

Súlyosság: Közepes

Leírás:

A DNS-kiszolgáló térképet tartalmaz a hálózat összes számítógépéről, IP-címéről és szolgáltatásáról. Ezeket az információkat a támadók a hálózati struktúra leképezésére és érdekes számítógépek megcélzására használják a támadás későbbi lépéseihez.

A DNS-protokoll több lekérdezéstípust is tartalmaz. Ez a Defender for Identity biztonsági riasztás gyanús kéréseket észlel, vagy nem DNS-kiszolgálókról származó AXFR -t (átvitelt) használó kéréseket, vagy túl sok kérést használó kéréseket.

Tanulás időszak:

Ez a riasztás a tartományvezérlő monitorozásának kezdetétől számított nyolc napos tanulási időszak.

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087), Hálózati szolgáltatás vizsgálata (T1046), Távoli rendszerfelderítés (T1018)
MITRE támadási altechnika n/a

Javasolt lépések a megelőzéshez:

Fontos, hogy a belső DNS-kiszolgáló biztonságossá tételével megakadályozza az AXFR-lekérdezések használatával történő jövőbeli támadásokat.

Felhasználó és IP-cím felderítése (SMB) (külső azonosító: 2012)

Előző név: Felderítés az SMB-munkamenet számbavétele használatával

Súlyosság: Közepes

Leírás:

A Kiszolgálói üzenetblokk (SMB) protokoll használatával történő számbavétel lehetővé teszi a támadók számára, hogy információt szerezzenek arról, hogy a felhasználók hol jelentkeztek be a közelmúltban. Miután a támadók megkapták ezeket az információkat, oldalirányban mozoghatnak a hálózaton, hogy egy adott bizalmas fiókhoz jussanak.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha egy SMB-munkamenet számbavétele történik egy tartományvezérlőn.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087), System Network Csatlakozás ions Discovery (T1049)
MITRE támadási altechnika Tartományi fiók (T1087.002)

Felhasználó- és csoporttagság-felderítés (SAMR) (külső azonosító: 2021)

Előző név: Felderítés címtárszolgáltatás-lekérdezésekkel

Súlyosság: Közepes

Leírás:

A felhasználók és a csoporttagságok felderítése a támadók segítségével térképezi fel a címtárstruktúrát, és megcélozza a kiemelt fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az egyik módszer, amellyel lekérdezhető a címtár az ilyen típusú leképezés végrehajtásához. Ebben az észlelésben nem aktiválódik riasztás a Defender for Identity üzembe helyezését követő első hónapban (tanulási időszak). A tanulási időszak alatt a Defender for Identity profilok, amelyek SAM-R-lekérdezések, amelyekből a számítógépek, mind az enumerálás, mind a bizalmas fiókok egyedi lekérdezései származnak.

Tanulás időszak:

Tartományvezérlőnként négy hét az SAMR első hálózati tevékenységétől kezdve az adott tartományvezérlőn.

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087), engedélycsoportok felderítése (T1069)
MITRE támadási altechnika Tartományi fiók (T1087.002), Tartománycsoport (T1069.002)

Javasolt lépések a megelőzéshez:

  1. Alkalmazza a hálózati hozzáférést, és korlátozza, hogy az ügyfelek távoli hívásokat kezdeményezhessenek a SAM-csoportházirend felé.

Active Directory-attribútumok felderítése (LDAP) (külső azonosító: 2210)

Súlyosság: Közepes

Leírás:

Az Active Directory LDAP-felderítést a támadók a tartományi környezettel kapcsolatos kritikus információk megszerzésére használják. Ezek az információk segíthetnek a támadóknak a tartományszerkezet feltérképezésében, valamint a támadási lánc későbbi lépéseiben használt kiemelt fiókok azonosításában. Az Lightweight Directory Access Protocol (LDAP) az Active Directory lekérdezésének egyik legnépszerűbb módszere, amely mind jogos, mind rosszindulatú célokra használható.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087), közvetett parancsvégrehajtás (T1202), engedélycsoportok felderítése (T1069)
MITRE támadási altechnika Tartományi fiók (T1087.002), Tartománycsoportok (T1069.002)

Honeytoken-t SAM-R-n keresztül kérdezték le (külső azonosító: 2439)

Súlyosság: Alacsony

Leírás:

A felhasználók felderítése a támadók segítségével térképezi fel a címtárstruktúrát és a kiemelt jogosultságú fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az egyik módszer, amellyel lekérdezhető a címtár az ilyen típusú leképezés végrehajtásához. Ebben az észlelésben a Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználóval végzett felderítési tevékenységekhez

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087)
MITRE támadási altechnika Tartományi fiók (T1087.002)

Honeytoken lekérdezett keresztül LDAP (külső azonosító: 2429)

Súlyosság: Alacsony

Leírás:

A felhasználók felderítése a támadók segítségével térképezi fel a címtárstruktúrát és a kiemelt jogosultságú fiókokat a támadás későbbi lépéseihez. Az Lightweight Directory Access Protocol (LDAP) az Active Directory lekérdezésének egyik legnépszerűbb módszere, amely mind jogos, mind rosszindulatú célokra használható.

Ebben az észlelésben a Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználóval végzett felderítési tevékenységekhez.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
MITRE támadási technika Fiókfelderítés (T1087)
MITRE támadási altechnika Tartományi fiók (T1087.002)

Gyanús Okta-fiók számbavétele

Súlyosság: Magas

Leírás:

A fiókok számbavétele során a támadók megpróbálják kitalálni a felhasználóneveket úgy, hogy olyan felhasználókkal végeznek bejelentkezéseket az Oktába, amelyek nem tartoznak a szervezethez. Javasoljuk, hogy vizsgálja meg a sikertelen kísérleteket végrehajtó FORRÁS IP-címet, és állapítsa meg, hogy azok jogosak-e vagy sem.

Tanulás időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004)
MITRE támadási technika Érvényes fiókok (T1078)
MITRE támadási altechnika Felhőbeli fiókok (T1078.004)

Lásd még