Avvisi di ricognizione e individuazione
In genere, i cyberattack vengono lanciati contro qualsiasi entità accessibile, ad esempio un utente con privilegi limitati, e quindi spostarsi rapidamente in un secondo momento fino a quando l'utente malintenzionato non ottiene l'accesso a risorse preziose. Gli asset importanti possono essere account sensibili, amministratori di dominio o dati altamente sensibili. Microsoft Defender per identità identifica queste minacce avanzate all'origine nell'intera kill chain di attacco e le classifica nelle fasi seguenti:
- Ricognizione e scoperta
- Avvisi di escalation dei privilegi e persistenza
- Avvisi di accesso alle credenziali
- Avvisi di spostamento laterale
- Altri avvisi
Per altre informazioni su come comprendere la struttura e i componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza. Per informazioni su Vero positivo (TP), vero positivo non dannoso (B-TP) e Falso positivo (FP), vedere Classificazioni degli avvisi di sicurezza.
Gli avvisi di sicurezza seguenti consentono di identificare e correggere le attività sospette della fase di ricognizione e individuazione rilevate da Defender per identità nella rete.
L'esplorazione e l'individuazione sono costituite da tecniche che un antagonista può usare per acquisire informazioni sul sistema e sulla rete interna. Queste tecniche aiutano gli avversari a osservare l'ambiente e a orientarsi prima di decidere come agire. Consentono anche agli avversari di esplorare ciò che possono controllare e cosa c'è intorno al loro punto di ingresso per scoprire come potrebbe trarre vantaggio dal loro obiettivo attuale. Gli strumenti nativi del sistema operativo vengono spesso usati per questo obiettivo di raccolta delle informazioni post-compromissione. In Microsoft Defender per identità, questi avvisi in genere comportano l'enumerazione interna dell'account con tecniche diverse.
Ricognizione dell'enumerazione account (ID esterno 2003)
Nome precedente: Ricognizione tramite enumerazione account
Gravità: medio
Descrizione:
Nell'enumerazione account ricognizione, un utente malintenzionato usa un dizionario con migliaia di nomi utente o strumenti come KrbGuess nel tentativo di indovinare i nomi utente nel dominio.
Kerberos: un utente malintenzionato effettua richieste Kerberos usando questi nomi per cercare un nome utente valido nel dominio. Quando un'ipotesi determina correttamente un nome utente, l'autore dell'attacco ottiene l'errore Di preautenticazione richiesto anziché l'entità di sicurezza sconosciuta Kerberos.
NTLM: l'utente malintenzionato effettua richieste di autenticazione NTLM usando il dizionario dei nomi per provare a trovare un nome utente valido nel dominio. Se un'ipotesi determina correttamente un nome utente, l'utente malintenzionato ottiene l'errore WrongPassword (0xc000006a) anziché NoSuchUser (0xc0000064) NTLM.
In questo rilevamento degli avvisi, Defender per identità rileva la provenienza dell'attacco di enumerazione dell'account, il numero totale di tentativi di ipotesi e il numero di tentativi corrispondenti. Se sono presenti troppi utenti sconosciuti, Defender per identità lo rileva come attività sospetta. L'avviso si basa su eventi di autenticazione provenienti da sensori in esecuzione su controller di dominio e server AD FS/SERVIZI certificati Active Directory.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Tecnica secondaria di attacco MITRE | Account di dominio (T1087.002) |
Passaggi suggeriti per la prevenzione:
- Applicare password complesse e lunghe nell'organizzazione. Le password complesse e lunghe forniscono il primo livello di sicurezza necessario contro attacchi di forza bruta. Gli attacchi di forza bruta sono in genere il passaggio successivo della kill chain di attacchi informatici dopo l'enumerazione .
Ricognizione dell'enumerazione account (LDAP) (ID esterno 2437) (anteprima)
Gravità: medio
Descrizione:
Nell'enumerazione account ricognizione, un utente malintenzionato usa un dizionario con migliaia di nomi utente o strumenti come Ldapnomnom nel tentativo di indovinare i nomi utente nel dominio.
LDAP: un utente malintenzionato effettua richieste ping LDAP (cLDAP) usando questi nomi per provare a trovare un nome utente valido nel dominio. Se un'ipotesi determina correttamente un nome utente, l'utente malintenzionato può ricevere una risposta che indica che l'utente esiste nel dominio.
In questo rilevamento degli avvisi, Defender per identità rileva la provenienza dell'attacco di enumerazione dell'account, il numero totale di tentativi di ipotesi e il numero di tentativi corrispondenti. Se sono presenti troppi utenti sconosciuti, Defender per identità lo rileva come attività sospetta. L'avviso si basa sulle attività di ricerca LDAP dei sensori in esecuzione nei server controller di dominio.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Tecnica secondaria di attacco MITRE | Account di dominio (T1087.002) |
Ricognizione con mapping di rete (DNS) (ID esterno 2007)
Nome precedente: Ricognizione tramite DNS
Gravità: medio
Descrizione:
Il server DNS contiene una mappa di tutti i computer, gli indirizzi IP e i servizi nella rete. Queste informazioni vengono usate dagli utenti malintenzionati per mappare la struttura di rete e individuare computer interessanti per i passaggi successivi dell'attacco.
Esistono diversi tipi di query nel protocollo DNS. Questo avviso di sicurezza di Defender per identità rileva richieste sospette, richieste che usano un AXFR (trasferimento) proveniente da server non DNS o che usano un numero eccessivo di richieste.
Periodo di apprendimento:
Questo avviso ha un periodo di apprendimento di otto giorni dall'inizio del monitoraggio del controller di dominio.
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087), analisi del servizio di rete (T1046), individuazione remota del sistema (T1018) |
| Tecnica secondaria di attacco MITRE | N/D |
Passaggi suggeriti per la prevenzione:
È importante impedire attacchi futuri usando query AXFR proteggendo il server DNS interno.
- Proteggere il server DNS interno per impedire la ricognizione tramite DNS disabilitando i trasferimenti di zona o limitando i trasferimenti di zona solo agli indirizzi IP specificati. La modifica dei trasferimenti di zona è un'attività tra un elenco di controllo che deve essere risolto per proteggere i server DNS da attacchi interni ed esterni.
Ricognizione di indirizzi IP e utente (SMB) (ID esterno 2012)
Nome precedente: Ricognizione tramite enumerazione sessione SMB
Gravità: medio
Descrizione:
L'enumerazione tramite il protocollo SMB (Server Message Block) consente agli utenti malintenzionati di ottenere informazioni sulla posizione in cui gli utenti hanno eseguito l'accesso di recente. Una volta che gli utenti malintenzionati hanno queste informazioni, possono spostarsi in un secondo momento nella rete per accedere a un account sensibile specifico.
In questo rilevamento viene attivato un avviso quando viene eseguita un'enumerazione di sessione SMB su un controller di dominio.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087), individuazione Connessione ions di rete di sistema (T1049) |
| Tecnica secondaria di attacco MITRE | Account di dominio (T1087.002) |
Ricognizione dell'appartenenza a utenti e gruppi (SAMR) (ID esterno 2021)
Nome precedente: Ricognizione tramite query di servizi directory
Gravità: medio
Descrizione:
L'esplorazione dell'appartenenza a utenti e gruppi viene usata dagli utenti malintenzionati per mappare la struttura di directory e gli account con privilegi di destinazione per i passaggi successivi dell'attacco. Il protocollo Sam-R (Security Account Manager Remote) è uno dei metodi usati per eseguire una query sulla directory per eseguire questo tipo di mapping. In questo rilevamento non vengono attivati avvisi nel primo mese dopo la distribuzione di Defender per identità (periodo di apprendimento). Durante il periodo di apprendimento, Defender per identità profili che vengono eseguite query SAM-R da cui vengono eseguite computer, enumerazione e singole query di account sensibili.
Periodo di apprendimento:
Quattro settimane per controller di dominio a partire dalla prima attività di rete di SAMR rispetto al controller di dominio specifico.
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087), individuazione gruppi di autorizzazioni (T1069) |
| Tecnica secondaria di attacco MITRE | Account di dominio (T1087.002), Gruppo di dominio (T1069.002) |
Passaggi suggeriti per la prevenzione:
- Applicare l'accesso alla rete e limitare i client autorizzati a effettuare chiamate remote a Criteri di gruppo SAM.
Ricognizione degli attributi di Active Directory (LDAP) (ID esterno 2210)
Gravità: medio
Descrizione:
La ricognizione LDAP di Active Directory viene usata dagli utenti malintenzionati per ottenere informazioni critiche sull'ambiente di dominio. Queste informazioni possono aiutare gli utenti malintenzionati a mappare la struttura del dominio, oltre a identificare gli account con privilegi da usare nei passaggi successivi della catena di attacco. Lightweight Directory Access Protocol (LDAP) è uno dei metodi più diffusi usati per scopi legittimi e dannosi per eseguire query in Active Directory.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087), esecuzione indiretta dei comandi (T1202), individuazione gruppi di autorizzazioni (T1069) |
| Tecnica secondaria di attacco MITRE | Account di dominio (T1087.002), Gruppi di dominio (T1069.002) |
Honeytoken è stato sottoposto a query tramite SAM-R (ID esterno 2439)
Gravità: Bassa
Descrizione:
L'esplorazione utente viene usata dagli utenti malintenzionati per mappare la struttura di directory e gli account con privilegi di destinazione per i passaggi successivi dell'attacco. Il protocollo Sam-R (Security Account Manager Remote) è uno dei metodi usati per eseguire una query sulla directory per eseguire questo tipo di mapping. In questo rilevamento, Microsoft Defender per identità attiverà questo avviso per eventuali attività di ricognizione su un utente preconfigurato
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Tecnica secondaria di attacco MITRE | Account di dominio (T1087.002) |
Honeytoken è stato sottoposto a query tramite LDAP (ID esterno 2429)
Gravità: Bassa
Descrizione:
L'esplorazione utente viene usata dagli utenti malintenzionati per mappare la struttura di directory e gli account con privilegi di destinazione per i passaggi successivi dell'attacco. Lightweight Directory Access Protocol (LDAP) è uno dei metodi più diffusi usati per scopi legittimi e dannosi per eseguire query in Active Directory.
In questo rilevamento, Microsoft Defender per identità attiverà questo avviso per qualsiasi attività di ricognizione su un utente preconfigurato.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Individuazione (TA0007) |
|---|---|
| Tecnica di attacco MITRE | Individuazione account (T1087) |
| Tecnica secondaria di attacco MITRE | Account di dominio (T1087.002) |
Enumerazione dell'account Okta sospetta
Gravità: alta
Descrizione:
Nell'enumerazione dell'account, gli utenti malintenzionati proveranno a indovinare i nomi utente eseguendo gli accessi in Okta con gli utenti che non appartengono all'organizzazione. È consigliabile analizzare l'indirizzo IP di origine eseguendo i tentativi non riusciti e determinare se sono legittimi o meno.
Periodo di apprendimento:
None
MITRE:
| Tattiche MITRE principali | Accesso iniziale (TA0001), Evasione della difesa (TA0005), Persistenza (TA0003), Escalation dei privilegi (TA0004) |
|---|---|
| Tecnica di attacco MITRE | Account validi (T1078) |
| Tecnica secondaria di attacco MITRE | Account cloud (T1078.004) |