Altri avvisi di sicurezza
In genere, i cyberattack vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi spostarsi rapidamente in un secondo momento fino a quando l'utente malintenzionato non ottiene l'accesso a risorse preziose. Gli asset importanti possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Avvisi di ricognizione e individuazione
- Avvisi di escalation dei privilegi e persistenza
- Avvisi di accesso alle credenziali
- Avvisi di spostamento laterale
- Altro
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su Vero positivo (TP), vero positivo non dannoso (B-TP) e Falso positivo (FP), vedere Classificazioni degli avvisi di sicurezza.
Gli avvisi di sicurezza seguenti consentono di identificare e correggere altre attività sospette in fase rilevate da Defender per identità nella rete.
Sospetto attacco DCShadow (promozione del controller di dominio) (ID esterno 2028)
Nome precedente: promozione del controller di dominio sospetta (potenziale attacco DCShadow)
Gravità: alta
Descrizione:
Un attacco shadow del controller di dominio (DCShadow) è un attacco progettato per modificare gli oggetti directory usando la replica dannosa. Questo attacco può essere eseguito da qualsiasi computer creando un controller di dominio non autorizzato usando un processo di replica.
In un attacco DCShadow, RPC e LDAP vengono usati per:
- Registrare l'account del computer come controller di dominio (usando i diritti di amministratore di dominio).
- Eseguire la replica (usando i diritti di replica concessi) su DRSUAPI e inviare modifiche agli oggetti directory.
In questo rilevamento di Defender per identità viene attivato un avviso di sicurezza quando un computer nella rete tenta di eseguire la registrazione come controller di dominio non autorizzato.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Evasione della difesa (TA0005) |
---|---|
Tecnica di attacco MITRE | Controller di dominio non autorizzato (T1207) |
Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
Convalidare le autorizzazioni seguenti:
- Replicare le modifiche della directory.
- Replicare tutte le modifiche alla directory.
- Per altre informazioni, vedere Concedere le autorizzazioni di Dominio di Active Directory Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile usare lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi dispone di queste autorizzazioni nel dominio.
Nota
Gli avvisi di innalzamento di livello del controller di dominio sospetto (potenziale attacco DCShadow) sono supportati solo dai sensori defender per identità.
Sospetto attacco DCShadow (richiesta di replica del controller di dominio) (ID esterno 2029)
Nome precedente: richiesta di replica sospetta (potenziale attacco DCShadow)
Gravità: alta
Descrizione:
La replica di Active Directory è il processo in base al quale le modifiche apportate in un controller di dominio vengono sincronizzate con altri controller di dominio. Dato le autorizzazioni necessarie, gli utenti malintenzionati possono concedere diritti per il proprio account del computer, consentendo loro di rappresentare un controller di dominio. Gli utenti malintenzionati tentano di avviare una richiesta di replica dannosa, consentendo loro di modificare gli oggetti di Active Directory in un controller di dominio originale, che può fornire agli utenti malintenzionati la persistenza nel dominio. In questo rilevamento viene attivato un avviso quando viene generata una richiesta di replica sospetta su un controller di dominio originale protetto da Defender per identità. Il comportamento è indicativo di tecniche usate negli attacchi shadow del controller di dominio.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Evasione della difesa (TA0005) |
---|---|
Tecnica di attacco MITRE | Controller di dominio non autorizzato (T1207) |
Tecnica secondaria di attacco MITRE | N/D |
Correzione suggerita e passaggi per la prevenzione:
Convalidare le autorizzazioni seguenti:
- Replicare le modifiche della directory.
- Replicare tutte le modifiche alla directory.
- Per altre informazioni, vedere Concedere le autorizzazioni di Dominio di Active Directory Services per la sincronizzazione dei profili in SharePoint Server 2013. È possibile usare lo scanner ACL di Active Directory o creare uno script di Windows PowerShell per determinare chi nel dominio dispone di queste autorizzazioni.
Nota
Gli avvisi di richiesta di replica sospetta (potenziale attacco DCShadow) sono supportati solo dai sensori defender per identità.
Connessione VPN sospetta (ID esterno 2025)
Nome precedente: Connessione VPN sospetta
Gravità: medio
Descrizione:
Defender per identità apprende il comportamento delle entità per le connessioni VPN degli utenti in un periodo scorrevole di un mese.
Il modello di comportamento VPN si basa sui computer a cui gli utenti accedono e le posizioni da cui si connettono gli utenti.
Un avviso viene aperto quando si verifica una deviazione dal comportamento dell'utente in base a un algoritmo di Machine Learning.
Periodo di apprendimento:
30 giorni dalla prima connessione VPN e almeno 5 connessioni VPN negli ultimi 30 giorni, per utente.
MITRE:
Tattiche MITRE principali | Evasione della difesa (TA0005) |
---|---|
Tattiche MITRE secondarie | Persistenza (TA0003) |
Tecnica di attacco MITRE | Servizi remoti esterni (T1133) |
Tecnica secondaria di attacco MITRE | N/D |
Tentativo di esecuzione del codice remoto (ID esterno 2019)
Nome precedente: Tentativo di esecuzione del codice remoto
Gravità: medio
Descrizione:
Gli utenti malintenzionati che compromettono le credenziali amministrative o usano un exploit zero-day possono eseguire comandi remoti nel controller di dominio o nel server AD FS/AD CS. Questo può essere usato per ottenere persistenza, raccogliere informazioni, attacchi Denial of Service (DOS) o qualsiasi altro motivo. Defender per identità rileva connessioni PSexec, WMI remote e PowerShell.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Esecuzione (TA0002) |
---|---|
Tattiche MITRE secondarie | Spostamento laterale (TA0008) |
Tecnica di attacco MITRE | Interprete comandi e scripting (T1059),Servizi remoti (T1021) |
Tecnica secondaria di attacco MITRE | PowerShell (T1059.001),Gestione remota Windows (T1021.006) |
Passaggi suggeriti per la prevenzione:
- Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.
- Implementare l'accesso con privilegi, consentendo solo ai computer con protezione avanzata di connettersi ai controller di dominio per gli amministratori.
- Implementare l'accesso con privilegi minori nei computer di dominio per consentire a utenti specifici il diritto di creare servizi.
Nota
Gli avvisi di tentativo di esecuzione del codice remoto sull'uso dei comandi di PowerShell sono supportati solo dai sensori defender per identità.
Creazione di servizi sospetti (ID esterno 2026)
Nome precedente: Creazione di un servizio sospetto
Gravità: medio
Descrizione:
Un servizio sospetto è stato creato in un controller di dominio o in un server AD FS/AD CS nell'organizzazione. Questo avviso si basa sull'evento 7045 per identificare questa attività sospetta.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Esecuzione (TA0002) |
---|---|
Tattiche MITRE secondarie | Persistenza (TA0003),, escalation dei privilegi (TA0004), evasione della difesa (TA0005), movimento laterale (TA0008) |
Tecnica di attacco MITRE | Servizi remoti (T1021),Interprete comandi e scripting (T1059), Servizi di sistema (T1569), Crea o modifica processo di sistema (T1543) |
Tecnica secondaria di attacco MITRE | Esecuzione del servizio (T1569.002), Servizio Windows (T1543.003) |
Passaggi suggeriti per la prevenzione:
- Limitare l'accesso remoto ai controller di dominio da computer non di livello 0.
- Implementare l'accesso con privilegi per consentire solo ai computer con protezione avanzata di connettersi ai controller di dominio per gli amministratori.
- Implementare l'accesso con privilegi minori nei computer di dominio per concedere solo a utenti specifici il diritto di creare servizi.
Comunicazione sospetta tramite DNS (ID esterno 2031)
Nome precedente: Comunicazione sospetta tramite DNS
Gravità: medio
Descrizione:
Il protocollo DNS nella maggior parte delle organizzazioni in genere non viene monitorato e raramente bloccato per attività dannose. Abilitazione di un utente malintenzionato in un computer compromesso, per abusare del protocollo DNS. Le comunicazioni dannose tramite DNS possono essere usate per esfiltrazione di dati, comando e controllo e/o per esfiltrazione di reti aziendali.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Esfiltrazione (TA0010) |
---|---|
Tecnica di attacco MITRE | Esfiltrazione su protocollo alternativo (T1048),esfiltrazione su canale C2 (T1041), trasferimento pianificato (T1029), esfiltrazione automatizzata (T1020), protocollo del livello applicazione (T1071) |
Tecnica secondaria di attacco MITRE | DNS (T1071.004), esfiltrazione su protocollo non crittografato/offuscato non C2 (T1048.003) |
Esfiltrazione di dati su SMB (ID esterno 2030)
Gravità: alta
Descrizione:
I controller di dominio contengono i dati aziendali più sensibili. Per la maggior parte degli utenti malintenzionati, una delle priorità principali consiste nell'ottenere l'accesso al controller di dominio, per rubare i dati più sensibili. Ad esempio, l'esfiltrazione del file Ntds.dit, archiviata nel controller di dominio, consente a un utente malintenzionato di forgiare ticket Kerberos concedendo ticket (TGT) fornendo l'autorizzazione a qualsiasi risorsa. I TGT Kerberos contraffatti consentono all'utente malintenzionato di impostare la scadenza del ticket su qualsiasi ora arbitraria. Un avviso di esfiltrazione dei dati di Defender per identità tramite SMB viene attivato quando vengono osservati trasferimenti sospetti di dati dai controller di dominio monitorati.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Esfiltrazione (TA0010) |
---|---|
Tattiche MITRE secondarie | Spostamento laterale (TA0008),Comando e controllo (TA0011) |
Tecnica di attacco MITRE | Esfiltrazione su protocollo alternativo (T1048), trasferimento laterale degli strumenti (T1570) |
Tecnica secondaria di attacco MITRE | Esfiltrazione su protocollo non crittografato/offuscato non C2 (T1048.003) |
Eliminazione sospetta delle voci del database del certificato (ID esterno 2433)
Gravità: medio
Descrizione:
L'eliminazione delle voci del database del certificato è un flag rosso, che indica potenziali attività dannose. Questo attacco potrebbe compromettere il funzionamento dei sistemi PKI (Public Key Infrastructure), con effetti sull'autenticazione e l'integrità dei dati.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Evasione della difesa (TA0005) |
---|---|
Tecnica di attacco MITRE | Rimozione indicatore (T1070) |
Tecnica secondaria di attacco MITRE | N/D |
Nota
L'eliminazione sospetta degli avvisi delle voci del database del certificato è supportata solo dai sensori di Defender per identità in Servizi certificati Active Directory.
Disabilitazione sospetta dei filtri di controllo di Servizi certificati Active Directory (ID esterno 2434)
Gravità: medio
Descrizione:
La disabilitazione dei filtri di controllo in Servizi certificati Active Directory può consentire agli utenti malintenzionati di funzionare senza essere rilevati. Questo attacco mira a evitare il monitoraggio della sicurezza disabilitando filtri che altrimenti contrassegnerebbero attività sospette.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Evasione della difesa (TA0005) |
---|---|
Tecnica di attacco MITRE | Difesa compromessa (T1562) |
Tecnica secondaria di attacco MITRE | Disabilitare la registrazione eventi di Windows (T1562.002) |
Modifica della password in modalità ripristino servizi directory (ID esterno 2438)
Gravità: medio
Descrizione:
La modalità di ripristino dei servizi directory (DSRM) è una modalità di avvio speciale nei sistemi operativi Microsoft Windows Server che consente a un amministratore di ripristinare o ripristinare il database di Active Directory. Questa modalità viene in genere usata quando si verificano problemi con Active Directory e l'avvio normale non è possibile. La password DSRM viene impostata durante l'innalzamento di livello di un server a un controller di dominio. In questo rilevamento viene attivato un avviso quando Defender per identità rileva che viene modificata una password DSRM. È consigliabile analizzare il computer di origine e l'utente che ha effettuato la richiesta di comprendere se la modifica della password DSRM è stata avviata da un'azione amministrativa legittima o se genera preoccupazioni sull'accesso non autorizzato o sulle potenziali minacce alla sicurezza.
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Persistenza (TA0003) |
---|---|
Tecnica di attacco MITRE | Manipolazione dell'account (T1098) |
Tecnica secondaria di attacco MITRE | N/D |
Possibile furto di sessione okta
Gravità: alta
Descrizione:
Nel furto di sessione, gli utenti malintenzionati rubano i cookie di un utente legittimo e lo usano da altre posizioni. È consigliabile analizzare l'indirizzo IP di origine che esegue le operazioni per determinare se tali operazioni sono legittime o meno e che l'indirizzo IP viene usato dall'utente.
Periodo di apprendimento:
2 settimane
MITRE:
Tattiche MITRE principali | Raccolta (TA0009) |
---|---|
Tecnica di attacco MITRE | Hijacking sessione browser (T1185) |
Tecnica secondaria di attacco MITRE | N/D |
Manomissione di Criteri di gruppo (ID esterno 2440) (anteprima)
Gravità: medio
Descrizione:
È stata rilevata una modifica sospetta in Criteri di gruppo, con conseguente disattivazione di Windows Defender Antivirus. Questa attività può indicare una violazione della sicurezza da parte di un utente malintenzionato con privilegi elevati che potrebbero impostare la fase per la distribuzione di ransomware.
Passaggi suggeriti per l'analisi:
Comprendere se la modifica dell'oggetto Criteri di gruppo è legittima
In caso contrario, ripristinare la modifica
Comprendere in che modo i criteri di gruppo sono collegati per stimare l'ambito di impatto
Periodo di apprendimento:
None
MITRE:
Tattiche MITRE principali | Evasione della difesa (TA0005) |
---|---|
Tecnica di attacco MITRE | Subvert Trust Controls (T1553) |
Tecnica di attacco MITRE | Subvert Trust Controls (T1553) |
Tecnica secondaria di attacco MITRE | N/D |