Pemberitahuan keamanan lainnya
Biasanya, serangan cyber diluncurkan terhadap entitas yang dapat diakses, seperti pengguna dengan hak istimewa rendah, dan kemudian dengan cepat bergerak secara lateral sampai penyerang mendapatkan akses ke aset berharga. Aset berharga dapat berupa akun sensitif, administrator domain, atau data yang sangat sensitif. Microsoft Defender untuk Identitas mengidentifikasi ancaman lanjutan ini di sumber di seluruh rantai pembunuhan serangan dan mengklasifikasikannya ke dalam fase berikut:
- Pemberitahuan pengintaian dan penemuan
- Peringatan persistensi dan eskalasi hak istimewa
- Pemberitahuan akses kredensial
- Pemberitahuan gerakan lateral
- Lainnya
Untuk mempelajari selengkapnya tentang cara memahami struktur, dan komponen umum dari semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan. Untuk informasi tentang True positive (TP), Benign true positive (B-TP), dan False positive (FP), lihat klasifikasi pemberitahuan keamanan.
Pemberitahuan keamanan berikut membantu Anda mengidentifikasi dan memulihkan aktivitas mencurigakan fase lain yang terdeteksi oleh Defender for Identity di jaringan Anda.
Dugaan serangan DCShadow (promosi pengendali domain) (ID eksternal 2028)
Nama sebelumnya: Promosi pengendali domain yang mencurigakan (potensi serangan DCShadow)
Tingkat keparahan: Tinggi
Deskripsi:
Serangan bayangan pengendali domain (DCShadow) adalah serangan yang dirancang untuk mengubah objek direktori menggunakan replikasi berbahaya. Serangan ini dapat dilakukan dari mesin apa pun dengan membuat pengendali domain nakal menggunakan proses replikasi.
Dalam serangan DCShadow, RPC, dan LDAP digunakan untuk:
- Daftarkan akun komputer sebagai pengendali domain (menggunakan hak admin domain).
- Lakukan replikasi (menggunakan hak replikasi yang diberikan) melalui DRSUAPI dan kirim perubahan ke objek direktori.
Dalam deteksi Defender for Identity ini, pemberitahuan keamanan dipicu ketika komputer di jaringan mencoba mendaftar sebagai pengendali domain nakal.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Teknik serangan MITRE | Pengendali Domain Nakal (T1207) |
| Sub-teknik serangan MITRE | T/A |
Langkah-langkah yang disarankan untuk pencegahan:
Validasi izin berikut:
- Replikasi perubahan direktori.
- Replikasi perubahan direktori semua.
- Untuk informasi selengkapnya, lihat Memberikan izin Active Directory Domain Services untuk sinkronisasi profil di SharePoint Server 2013. Anda dapat menggunakan Pemindai AD ACL atau membuat skrip Windows PowerShell untuk menentukan siapa yang memiliki izin ini di domain.
Catatan
Pemberitahuan promosi pengendali domain yang mencurigakan (potensi serangan DCShadow) hanya didukung oleh sensor Defender for Identity.
Dugaan serangan DCShadow (permintaan replikasi pengendali domain) (ID eksternal 2029)
Nama sebelumnya: Permintaan replikasi mencurigakan (potensi serangan DCShadow)
Tingkat keparahan: Tinggi
Deskripsi:
Replikasi Direktori Aktif adalah proses di mana perubahan yang dilakukan pada satu pengontrol domain disinkronkan dengan pengendali domain lain. Mengingat izin yang diperlukan, penyerang dapat memberikan hak untuk akun komputer mereka, memungkinkan mereka untuk meniru pengontrol domain. Penyerang berusaha untuk memulai permintaan replikasi berbahaya, memungkinkan mereka mengubah objek Direktori Aktif pada pengendali domain asli, yang dapat memberikan persistensi penyerang di domain. Dalam deteksi ini, pemberitahuan dipicu ketika permintaan replikasi yang mencurigakan dihasilkan terhadap pengendali domain asli yang dilindungi oleh Defender for Identity. Perilaku ini menunjukkan teknik yang digunakan dalam serangan bayangan pengendali domain.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Teknik serangan MITRE | Pengendali Domain Nakal (T1207) |
| Sub-teknik serangan MITRE | T/A |
Remediasi dan langkah-langkah yang disarankan untuk pencegahan:
Validasi izin berikut:
- Replikasi perubahan direktori.
- Replikasi perubahan direktori semua.
- Untuk informasi selengkapnya, lihat Memberikan izin Active Directory Domain Services untuk sinkronisasi profil di SharePoint Server 2013. Anda dapat menggunakan Pemindai AD ACL atau membuat skrip Windows PowerShell untuk menentukan siapa di domain yang memiliki izin ini.
Catatan
Pemberitahuan permintaan replikasi yang mencurigakan (potensi serangan DCShadow) hanya didukung oleh sensor Defender for Identity.
Koneksi VPN yang mencurigakan (ID eksternal 2025)
Nama sebelumnya: Koneksi VPN yang mencurigakan
Tingkat keparahan: Sedang
Deskripsi:
Defender for Identity mempelajari perilaku entitas untuk koneksi VPN pengguna selama periode geser satu bulan.
Model perilaku VPN didasarkan pada mesin yang masuk pengguna dan lokasi tempat pengguna terhubung.
Pemberitahuan dibuka ketika ada penyimpangan dari perilaku pengguna berdasarkan algoritma pembelajaran mesin.
periode Pembelajaran:
30 hari dari koneksi VPN pertama, dan setidaknya 5 koneksi VPN dalam 30 hari terakhir, per pengguna.
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Taktik MITRE sekunder | Persistensi (TA0003) |
| Teknik serangan MITRE | Layanan Jarak Jauh Eksternal (T1133) |
| Sub-teknik serangan MITRE | T/A |
Upaya eksekusi kode jarak jauh (ID eksternal 2019)
Nama sebelumnya: Upaya eksekusi kode jarak jauh
Tingkat keparahan: Sedang
Deskripsi:
Penyerang yang membahayakan kredensial administratif atau menggunakan eksploitasi nol hari dapat menjalankan perintah jarak jauh pada pengontrol domain Anda atau server AD FS / AD CS. Ini dapat digunakan untuk mendapatkan persistensi, mengumpulkan informasi, serangan penolakan layanan (DOS), atau alasan lainnya. Pertahanan untuk Identitas mendeteksi koneksi PSexec, WMI Jarak Jauh, dan PowerShell.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Eksekusi (TA0002) |
|---|---|
| Taktik MITRE sekunder | Gerakan Lateral (TA0008) |
| Teknik serangan MITRE | Penerjemah Perintah dan Skrip (T1059),Layanan Jarak Jauh (T1021) |
| Sub-teknik serangan MITRE | PowerShell (T1059.001), Manajemen Jarak Jauh Windows (T1021.006) |
Langkah-langkah yang disarankan untuk pencegahan:
- Batasi akses jarak jauh ke pengendali domain dari komputer non-Tingkat 0.
- Terapkan akses istimewa, yang hanya memungkinkan komputer yang diperkeras untuk terhubung ke pengendali domain untuk admin.
- Terapkan akses yang kurang istimewa pada komputer domain untuk memungkinkan pengguna tertentu berhak membuat layanan.
Catatan
Pemberitahuan upaya upaya eksekusi kode jarak jauh tentang upaya penggunaan perintah Powershell hanya didukung oleh sensor Defender for Identity.
Pembuatan layanan mencurigakan (ID eksternal 2026)
Nama sebelumnya: Pembuatan layanan yang mencurigakan
Tingkat keparahan: Sedang
Deskripsi:
Layanan mencurigakan telah dibuat di pengontrol domain atau server AD FS / AD CS di organisasi Anda. Pemberitahuan ini bergantung pada peristiwa 7045 untuk mengidentifikasi aktivitas mencurigakan ini.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Eksekusi (TA0002) |
|---|---|
| Taktik MITRE sekunder | Persistensi (TA0003), Eskalasi Hak Istimewa (TA0004), Penghindarian Pertahanan (TA0005), Gerakan Lateral (TA0008) |
| Teknik serangan MITRE | Layanan Jarak Jauh (T1021), Penerjemah Perintah dan Skrip (T1059), Layanan Sistem (T1569), Membuat atau Mengubah Proses Sistem (T1543) |
| Sub-teknik serangan MITRE | Eksekusi Layanan (T1569.002), Layanan Windows (T1543.003) |
Langkah-langkah yang disarankan untuk pencegahan:
- Batasi akses jarak jauh ke pengendali domain dari komputer non-Tingkat 0.
- Terapkan akses istimewa untuk memungkinkan hanya komputer yang diperkeras untuk terhubung ke pengontrol domain untuk administrator.
- Terapkan akses yang kurang istimewa pada komputer domain untuk hanya memberi pengguna tertentu hak untuk membuat layanan.
Komunikasi mencurigakan melalui DNS (ID eksternal 2031)
Nama sebelumnya: Komunikasi mencurigakan melalui DNS
Tingkat keparahan: Sedang
Deskripsi:
Protokol DNS di sebagian besar organisasi biasanya tidak dipantau dan jarang diblokir untuk aktivitas berbahaya. Mengaktifkan penyerang pada komputer yang disusupi, untuk menyalahgunakan protokol DNS. Komunikasi berbahaya melalui DNS dapat digunakan untuk eksfiltrasi, perintah, dan kontrol data, dan/atau menghindari pembatasan jaringan perusahaan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Eksfiltrasi (TA0010) |
|---|---|
| Teknik serangan MITRE | Eksfiltrasi Melalui Protokol Alternatif (T1048), Eksfiltrasi Melalui Saluran C2 (T1041), Transfer Terjadwal (T1029), Eksfiltrasi Otomatis (T1020), Protokol Lapisan Aplikasi (T1071) |
| Sub-teknik serangan MITRE | DNS (T1071.004), Eksfiltrasi melalui Protokol Non-C2 Yang Tidak Terenkripsi/Dikaburkan (T1048.003) |
Penyelundupan data melalui SMB (ID eksternal 2030)
Tingkat keparahan: Tinggi
Deskripsi:
Pengendali domain menyimpan data organisasi yang paling sensitif. Bagi sebagian besar penyerang, salah satu prioritas utama mereka adalah mendapatkan akses pengendali domain, untuk mencuri data Anda yang paling sensitif. Misalnya, eksfiltrasi file Ntds.dit, yang disimpan di DC, memungkinkan penyerang untuk menempa tiket Kerberos yang memberikan otorisasi ke sumber daya apa pun. TGT Kerberos yang dipalsukan memungkinkan penyerang untuk mengatur kedaluwarsa tiket ke waktu yang segan-segan. Penyelundupan Defender for Identity Data melalui pemberitahuan SMB dipicu ketika transfer data yang mencurigakan diamati dari pengendali domain yang dipantau.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Eksfiltrasi (TA0010) |
|---|---|
| Taktik MITRE sekunder | Gerakan Lateral (TA0008),Perintah dan Kontrol (TA0011) |
| Teknik serangan MITRE | Eksfiltrasi Melalui Protokol Alternatif (T1048), Transfer Alat Lateral (T1570) |
| Sub-teknik serangan MITRE | Eksfiltrasi Melalui Protokol Non-C2 Yang Tidak Terenkripsi/Dikaburkan (T1048.003) |
Penghapusan mencurigakan entri database sertifikat (ID eksternal 2433)
Tingkat keparahan: Sedang
Deskripsi:
Penghapusan entri database sertifikat adalah bendera merah, menunjukkan potensi aktivitas berbahaya. Serangan ini dapat mengganggu fungsi sistem Public Key Infrastructure (PKI), yang berdampak pada autentikasi dan integritas data.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Teknik serangan MITRE | Penghapusan Indikator (T1070) |
| Sub-teknik serangan MITRE | T/A |
Catatan
Penghapusan mencurigakan dari pemberitahuan entri database sertifikat hanya didukung oleh sensor Defender for Identity pada AD CS.
Nonaktifkan filter audit AD CS yang mencurigakan (ID eksternal 2434)
Tingkat keparahan: Sedang
Deskripsi:
Menonaktifkan filter audit di AD CS dapat memungkinkan penyerang beroperasi tanpa terdeteksi. Serangan ini bertujuan untuk menghindari pemantauan keamanan dengan menonaktifkan filter yang jika tidak akan menandai aktivitas yang mencurigakan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Teknik serangan MITRE | Pertahanan Gangguan (T1562) |
| Sub-teknik serangan MITRE | Nonaktifkan Pengelogan Peristiwa Windows (T1562.002) |
Perubahan Kata Sandi Mode Pemulihan Layanan Direktori (ID eksternal 2438)
Tingkat keparahan: Sedang
Deskripsi:
Mode Pemulihan Layanan Direktori (DSRM) adalah mode boot khusus di sistem operasi Microsoft Windows Server yang memungkinkan administrator memperbaiki atau memulihkan database Direktori Aktif. Mode ini biasanya digunakan ketika ada masalah dengan Direktori Aktif dan booting normal tidak dimungkinkan. Kata sandi DSRM diatur selama promosi server ke pengendali domain. Dalam deteksi ini, pemberitahuan dipicu ketika Defender for Identity mendeteksi kata sandi DSRM diubah. Sebaiknya selidiki komputer sumber dan pengguna yang membuat permintaan untuk memahami apakah perubahan kata sandi DSRM dimulai dari tindakan administratif yang sah atau jika menimbulkan kekhawatiran tentang akses yang tidak sah atau potensi ancaman keamanan.
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Persistensi (TA0003) |
|---|---|
| Teknik serangan MITRE | Manipulasi Akun (T1098) |
| Sub-teknik serangan MITRE | T/A |
Kemungkinan pencurian sesi Okta
Tingkat keparahan: Tinggi
Deskripsi:
Dalam pencurian sesi, penyerang mencuri cookie pengguna yang sah dan menggunakannya dari lokasi lain. Sebaiknya selidiki IP sumber yang melakukan operasi untuk menentukan apakah operasi tersebut sah atau tidak, dan bahwa alamat IP digunakan oleh pengguna.
periode Pembelajaran:
2 minggu
Mitre:
| Taktik MITRE utama | Koleksi (TA0009) |
|---|---|
| Teknik serangan MITRE | Pembajakan Sesi Browser (T1185) |
| Sub-teknik serangan MITRE | T/A |
Perubahan Kebijakan Grup (ID eksternal 2439) (Pratinjau)
Tingkat keparahan: Sedang
Deskripsi:
Perubahan mencurigakan telah terdeteksi dalam Kebijakan Grup, yang mengakibatkan penonaktifan Antivirus Pertahanan Windows. Aktivitas ini dapat menunjukkan pelanggaran keamanan oleh penyerang dengan hak istimewa yang ditingkatkan yang dapat mengatur tahap untuk mendistribusikan ransomware.
Langkah-langkah yang disarankan untuk penyelidikan:
Pahami apakah perubahan GPO sah
Jika tidak, kembalikan perubahan
Pahami bagaimana kebijakan grup ditautkan, untuk memperkirakan cakupan dampaknya
periode Pembelajaran:
Tidak
Mitre:
| Taktik MITRE utama | Penghancutan Pertahanan (TA0005) |
|---|---|
| Teknik serangan MITRE | Kontrol Kepercayaan Subvert (T1553) |
| Teknik serangan MITRE | Kontrol Kepercayaan Subvert (T1553) |
| Sub-teknik serangan MITRE | T/A |
Lihat juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk