その他のセキュリティ アラート
通常、サイバー攻撃は、低い特権のユーザーなどの任意のアクセス可能なエンティティに対して開始された後、攻撃者が貴重な資産にアクセスするまで、すばやい横断的な移動が続けられます。 貴重な資産とは、機密性の高いアカウント、ドメイン管理者、機密性の高いデータなどです。 Microsoft Defender for Identity により、攻撃キル チェーン全体のソースでこのような高度な脅威が識別され、次のフェーズに分類されます。
すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントを理解する方法の詳細については、「セキュリティ アラートを理解する」を参照してください。 真陽性 (TP) 、無害な真陽性 (B-TP) 、偽陽性 (FP) の詳細については、「セキュリティ アラートの分類」を参照してください。
次のセキュリティ アラートは、ネットワーク内の Defender for Identity によって検出された その他 のフェーズの疑わしいアクティビティを特定して修復するのに役立ちます。
DCShadow 攻撃の可能性 (ドメイン コントローラーの昇格) (外部 ID 2028)
以前の名前: 不審なドメイン コントローラーの昇格 (DCShadow 攻撃の可能性)
重大度: 高
説明:
ドメイン コントローラーのシャドウ (DCShadow) 攻撃とは、悪意のあるレプリケーションを使用してディレクトリ オブジェクトを変更するように設計された攻撃です。 この攻撃は、レプリケーションのプロセスを使用して非承認のドメイン コントローラーを作成することにより、任意のコンピューターから実行できます。
DCShadow 攻撃では、RPC や LDAP を使用して次のことが行われます。
- コンピューター アカウントをドメイン コントローラーとして登録します (ドメイン管理者の権限を使用)。
- DRSUAPI 経由でレプリケーションを実行し (付与されたレプリケーション権限を使用)、ディレクトリ オブジェクトへの変更を送信します。
この Defender for Identity 検出では、ネットワーク内のコンピューターが非承認のドメイン コントローラーとして登録を試みると、セキュリティ アラートがトリガーされます。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 防御回避 (TA0005) |
|---|---|
| MITRE 攻撃手法 | 非承認のドメイン コントローラー (T1207) |
| MITRE 攻撃のサブ手法 | 該当なし |
予防のための推奨される手順:
次のアクセス許可を検証します。
- ディレクトリの変更をレプリケートします。
- ディレクトリの変更をすべてレプリケートします。
- 詳しくは、「SharePoint Server 2013 でプロファイルを同期するために Active Directory Domain Services のアクセス許可を付与する」をご覧ください。 AD ACL スキャナーを利用するか Windows PowerShell スクリプトを作成して、どのユーザーがこのようなアクセス許可をドメイン内で持っているかを確認できます。
注意
不審なドメイン コントローラーの昇格 (DCShadow 攻撃の可能性) のアラートは、Defender for Identity センサーでのみサポートされます。
DCShadow 攻撃の可能性 (ドメイン コントローラーのレプリケーション要求) (外部 ID 2029)
以前の名前: 不審なレプリケーション要求 (DCShadow 攻撃の可能性)
重大度: 高
説明:
Active Directory のレプリケーションは、1 つのドメイン コントローラーで行われた変更を、他のドメイン コントローラーと同期するプロセスです。 必要なアクセス許可を取得した攻撃者は、各自のマシン アカウントに権限を付与して、ドメイン コントローラーを偽装できます。 攻撃者のもくろみは、悪意のあるレプリケーション要求を開始して、正規のドメイン コントローラー上の Active Directory オブジェクトを変更することです。これにより、攻撃者が永続的にドメイン内に存在できるようになる可能性があります。 この検出では、Defender for Identity によって保護されている正規のドメイン コントローラーに対して不審なレプリケーション要求が生成されたときに、アラートがトリガーされます。 この動作は、ドメイン コントローラーのシャドウ攻撃で使用される手法を示しています。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 防御回避 (TA0005) |
|---|---|
| MITRE 攻撃手法 | 非承認のドメイン コントローラー (T1207) |
| MITRE 攻撃のサブ手法 | 該当なし |
推奨される修復と防止の手順:
次のアクセス許可を検証します。
- ディレクトリの変更をレプリケートします。
- ディレクトリの変更をすべてレプリケートします。
- 詳しくは、「SharePoint Server 2013 でプロファイルを同期するために Active Directory Domain Services のアクセス許可を付与する」をご覧ください。 AD ACL スキャナーを利用するか Windows PowerShell スクリプトを作成して、ドメイン内のどのユーザーがこのようなアクセス許可を持っているかを確認できます。
注意
不審なレプリケーション要求 (DCShadow 攻撃の可能性) のアラートは、Defender for Identity センサーでのみサポートされます。
疑わしい VPN 接続 (外部 ID 2025)
以前の名前: 疑わしい VPN 接続
重大度: 中
説明:
Defender for Identity は、1 か月間のスライド期間におけるユーザーの VPN 接続のエンティティ動作を学習します。
VPN 動作モデルは、ユーザーのログイン先コンピューターと接続元の場所に基づいています。
機械学習アルゴリズムに基づくユーザーの動作からの逸脱がある場合は、アラートが作動します。
学習期間:
ユーザーごとに、最初の VPN 接続から 30 日間、かつ過去 30 日間に少なくとも 5 回の VPN 接続。
MITRE:
| プライマリ MITRE 戦術 | 防御回避 (TA0005) |
|---|---|
| 第 2 MITRE 戦術 | 永続化 (TA0003) |
| MITRE 攻撃手法 | 外部リモート サービス (T1133) |
| MITRE 攻撃のサブ手法 | 該当なし |
リモート コード実行の試行 (外部 ID 2019)
以前の名前: リモート コード実行の試行
重大度: 中
説明:
管理者の資格情報を盗み取った攻撃者またはゼロデイ攻撃を使う攻撃者は、ドメイン コントローラーまたは AD FS サーバーに対してリモート コマンドを実行できます。 そしてこの状況を、永続性の取得、情報の収集、サービス拒否 (DOS) 攻撃などに利用します。 Defender for Identity によって、PSexec、リモート WMI、および PowerShell 接続が検出されます。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 実行 (TA0002) |
|---|---|
| 第 2 MITRE 戦術 | 横移動 (TA0008) |
| MITRE 攻撃手法 | コマンドおよびスクリプト インタープリター (T1059)、リモート サービス (T1021) |
| MITRE 攻撃のサブ手法 | PowerShell (T1059.001)、Windows リモート管理 (T1021.006) |
予防のための推奨される手順:
- 階層 0 以外のコンピューターからドメイン コントローラーへのリモート アクセスを制限します。
- 特権アクセスを実装し、強化されたマシンのみが管理者のドメイン コントローラーに接続できるようにします。
- より権限の少ないアクセス許可をドメイン マシンに実装して、サービスを作成する権限を特定のユーザーに許可します。
注意
PowerShell コマンド使用の試みに関するリモート コード実行の試行のアラートは、Defender for Identity センサーのみでサポートされています。
疑わしいサービスの作成 (外部 ID 2026)
以前の名前: 悪意のあるサービスの作成
重大度: 中
説明:
疑わしいサービスが、組織のドメイン コントローラーまたは AD FS サーバー上で作成されました。 このアラートは、この疑わしいアクティビティを識別するために、イベント 7045 を利用します。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 実行 (TA0002) |
|---|---|
| 第 2 MITRE 戦術 | 永続化 (TA0003)、特権エスカレーション (TA0004)、防衛回避 (TA0005)、横移動 (TA0008) |
| MITRE 攻撃手法 | リモート サービス (T1021)、コマンドおよびスクリプト インタープリター (T1059)、システム サービス (T1569)、システム プロセスの作成または変更 (T1543) |
| MITRE 攻撃のサブ手法 | サービスの実行 (T1569.002)、Windows サービス (T1543.003) |
予防のための推奨される手順:
- 階層 0 以外のコンピューターからドメイン コントローラーへのリモート アクセスを制限します。
- 特権アクセスを実装して、強化されたコンピューターのみに、管理者用のドメイン コントローラーへの接続を許可します。
- より権限の少ないアクセス許可をドメイン マシンに実装して、サービスを作成する権限を特定のユーザーだけに許可します。
DNS を介した疑わしい通信 (外部 ID 2031)
以前の名前:DNS を介した疑わしい通信
重大度: 中
説明:
ほとんどの組織内の DNS プロトコルは、通常、監視されていないため、悪意のあるアクティビティに対してブロックされることはほとんどありません。 セキュリティが侵害されたコンピューター上の攻撃者は、DNS プロトコルを不正に使用できるようになります。 DNS を介した悪意のある通信は、データの持ち出し、コマンドと制御、および/または企業ネットワーク制限の回避に使用される可能性があります。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 流出 (TA0010) |
|---|---|
| MITRE 攻撃手法 | 代替プロトコルを介した流出 (T1048)、C2 チャネルを介した流出 (T1041)、スケジュールされた転送 (T1029)、自動流出 (T1020)、アプリケーション レイヤー プロトコル (T1071) |
| MITRE 攻撃のサブ手法 | DNS (T1071.004)、暗号化されていないまたは難読化された非 C2 プールを介した流出 (T1048.003) |
SMB を介したデータ流出 (外部 ID 2030)
重大度: 高
説明:
ドメイン コントローラーには、最も機密性の高い組織のデータが保持されています。 ほとんどの攻撃者にとって、ドメイン コントローラーにアクセスし、最も機密性の高いデータを盗むことが、最も優先度が高いことの 1 つです。 たとえば、DC に格納された Ntds.dit ファイルを持ち出すと、攻撃者は任意のリソースに承認を与える Kerberos チケット保証チケット (TGT) を偽造できます。 偽造された Kerberos TGT によって、攻撃者はチケットの有効期限を任意の時間に設定できるようになります。 Defender for Identity の SMB を介したデータ流出アラートは、データの不審な転送が監視対象のドメイン コントローラーから検出されたときにトリガーされます。
学習期間:
なし
MITRE:
| プライマリ MITRE 戦術 | 流出 (TA0010) |
|---|---|
| 第 2 MITRE 戦術 | 横移動 (TA0008)、コマンドとコントロール (TA0011) |
| MITRE 攻撃手法 | 代替プロトコル上の流出 (T1048)、 横ツール転送 (T1570) |
| MITRE 攻撃のサブ手法 | 暗号化されていないまたは難読化された非 C2 プールを介した流出 (T1048.003) |