その他のセキュリティアラート
通常、サイバー攻撃は、権限の低いユーザーなど、アクセス可能なエンティティに対して開始され、攻撃者が貴重な資産にアクセスするまで、すばやく水平展開します。 重要なアセットには、機密性の高いアカウント、管理者メイン、機密性の高いデータがあります。 Microsoft Defender for Identity により、攻撃キル チェーン全体のソースでこのような高度な脅威が識別され、次のフェーズに分類されます。
すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントを理解する方法の詳細については、「セキュリティ アラートを理解する」を参照してください。 真陽性 (TP)、無害な真陽性 (B-TP)、および擬陽性 (FP) については、セキュリティ アラートの分類を参照してください。
次のセキュリティ アラートは、Defender for Identity によって検出された、ネットワークにおけるその他のフェーズの疑わしいアクティビティを識別し、修復するのに役立ちます。
DCShadow 攻撃の疑い (ドメイン コントローラー昇格) (外部 ID 2028)
以前の名前: 疑わしいドメイン コントローラーの昇格 (DCShadow 攻撃の可能性)
重大度: 高
説明:
ドメイン コントローラー シャドウ (DCShadow) 攻撃は、悪意のあるレプリケーションを使用してディレクトリ オブジェクトを変更するように設計された攻撃です。 この攻撃は、レプリケーション プロセスを使用して不正なドメイン コントローラーを作成することで、任意のコンピューターから実行できます。
DCShadow 攻撃では、RPC と LDAP は次の処理に使用されます。
- マシン アカウントをドメイン コントローラーとして登録します (ドメイン管理者権限を使用)。
- DRSUAPI 経由で (許可されたレプリケーション権限を使用して) レプリケーションを実行し、ディレクトリ オブジェクトに変更を送信します。
この Defender for Identity 検出では、ネットワーク内のコンピューターが非承認のドメイン コントローラーとして登録を試みると、セキュリティ アラートがトリガーされます。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 防御回避 (TA0005) |
---|---|
MITRE 攻撃手法 | ローグ ドメイン コントローラー (T1207) |
MITRE 攻撃サブ手法 | 該当なし |
防止するための推奨手順:
次のアクセス許可を検証します。
- ディレクトリ変更のレプリケート
- ディレクトリのすべての変更をレプリケート
- 詳細については、「SharePoint Server 2013 でプロファイルを同期するために Active Directory Domain Services のアクセス許可を付与する」を参照してください。 AD ACL スキャナーを使用するか、Windows PowerShell スクリプトを作成してドメインでこれらのアクセス許可を持つユーザーを特定できます。
Note
不審なドメイン コントローラーの昇格 (DCShadow 攻撃の可能性) のアラートは、Defender for Identity センサーでのみサポートされます。
DCShadow 攻撃の疑い (ドメイン コントローラー レプリケーション要求) (外部 ID 2029)
前の名前: 疑わしいレプリケーション要求 (DCShadow 攻撃の可能性)
重大度: 高
説明:
Active Directory のレプリケーションは、1つのドメイン コントローラーで行われた変更を他のドメイン コントローラーと同期するプロセスです。 必要なアクセス許可を与えられた攻撃者は、自分のマシン アカウントに対する権限を付与し、ドメイン コントローラーを偽装することができます。 攻撃者は悪意のあるレプリケーション要求を開始し、本物のドメイン コントローラー上の Active Directory オブジェクトを変更できるように努めます。これにより、攻撃者がドメインに永続化する可能性があります。 この検出では、Defender for Identity によって保護されている正規のドメイン コントローラーに対して不審なレプリケーション要求が生成されたときに、アラートがトリガーされます。 この動作は、ドメイン コントローラー シャドウ攻撃で使用される手法を示しています。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 防御回避 (TA0005) |
---|---|
MITRE 攻撃手法 | ローグ ドメイン コントローラー (T1207) |
MITRE 攻撃サブ手法 | 該当なし |
推奨される修復と防止の手順:
次のアクセス許可を検証します。
- ディレクトリ変更のレプリケート
- ディレクトリのすべての変更をレプリケート
- 詳細については、「SharePoint Server 2013 でプロファイルを同期するために Active Directory Domain Services のアクセス許可を付与する」を参照してください。 AD ACL スキャナーを使用するか、Windows PowerShell スクリプトを作成してドメインでこれらのアクセス許可を持つユーザーを特定できます。
Note
不審なレプリケーション要求 (DCShadow 攻撃の可能性) のアラートは、Defender for Identity センサーでのみサポートされます。
疑わしい VPN 接続 (外部 ID 2025)
以前の名前: 疑わしい VPN 接続
重大度: 中
説明:
Defender for Identity は、1 か月間のスライド期間におけるユーザーの VPN 接続のエンティティ動作を学習します。
VPN 動作モデルは、ユーザーがログインするマシンと、ユーザーが接続する場所に基づいています。
機械学習アルゴリズムに基づいてユーザーの動作から逸脱すると、アラートが開きます。
ラーニング期間:
ユーザーごとに、最初の VPN 接続から 30 日間、過去 30 日間に少なくとも 5 つの VPN 接続。
MITRE:
MITRE の主要な戦術 | 防御回避 (TA0005) |
---|---|
セカンダリ MITRE の戦術 | 永続化 (TA0003) |
MITRE 攻撃手法 | 外部リモート サービス (T1133) |
MITRE 攻撃サブ手法 | 該当なし |
リモート コード実行の試行 (外部 ID 2019)
以前の名前: リモート コード実行の試行
重大度: 中
説明:
管理者の資格情報を侵害したり、ゼロデイ攻撃を使用したりする攻撃者は、ドメイン コントローラーまたは AD FS/AD CS サーバーでリモート コマンドを実行できます。 これは、永続化、情報の収集、サービス拒否 (DOS) 攻撃などの理由で使用できます。 Defender for Identity によって、PSexec、リモート WMI、および PowerShell 接続が検出されます。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 実行 (TA0002) |
---|---|
セカンダリ MITRE の戦術 | ラテラル ムーブメント (TA0008) |
MITRE 攻撃手法 | コマンドおよびスクリプト インタープリター (T1059)、リモート サービス (T1021) |
MITRE 攻撃サブ手法 | PowerShell (T1059.001)、 Windows リモート管理 (T1021.006) |
防止するための推奨手順:
- 階層 0 以外のマシンからドメイン コントローラーへのリモート アクセスを制限します。
- 権限アクセスを実装し、セキュリティが強化されたマシンのみが管理者のドメイン コントローラーに接続できるようにします。
- ドメイン マシンに対して低い権限のアクセスを実装して、特定のユーザーにサービスを作成する権限を付与します。
Note
PowerShell コマンド使用の試みに関するリモート コード実行の試行のアラートは、Defender for Identity センサーのみでサポートされています。
疑わしいサービスの作成 (外部 ID 2026)
以前の名前: 疑わしいサービスの作成
重大度: 中
説明:
疑わしいサービスが組織内のドメイン コントローラーまたは AD FS/ AD CS サーバーに作成されました。 このアラートは、この疑わしいアクティビティを識別するためにイベント 7045 に依存します。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 実行 (TA0002) |
---|---|
セカンダリ MITRE の戦術 | 永続化 (TA0003)、権限エスカレーション (TA0004)、防御回避 (TA0005)、ラテラル ムーブメント (TA0008) |
MITRE 攻撃手法 | リモート サービス (T1021)、コマンドおよびスクリプト インタープリター (T1059)、システム サービス (T1569)、システム プロセスの作成または変更 (T1543) |
MITRE 攻撃サブ手法 | サービスの実行 (T1569.002)、Windows サービス (T1543.003) |
防止するための推奨手順:
- 階層 0 以外のマシンからドメイン コントローラーへのリモート アクセスを制限します。
- 権限アクセスを実装して、セキュリティが強化されたマシンのみが管理者のドメイン コントローラーに接続できるようにします。
- ドメイン マシンに対して低い権限のアクセスを実装して、特定のユーザーのみにサービスを作成する権限を付与します。
DNS 経由の疑わしい通信 (外部 ID 2031)
以前の名前: DNS 経由の疑わしい通信
重大度: 中
説明:
ほとんどの組織では DNS プロトコルの監視を通常実施していないため、悪意のあるアクティビティに対してほとんどブロックされません。 侵害されたコンピューターで攻撃者が DNS プロトコルを悪用できるようにします。 DNS 経由の悪意のある通信は、データ流出、コマンド、制御、企業ネットワークの制限を回避するために使用できます。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 流出 (TA0010) |
---|---|
MITRE 攻撃手法 | 代替プロトコル (T1048)、C2 チャネル経由の流出 (T1041)、スケジュールされた転送 (T1029)、自動流出 (T1020)、アプリケーション層プロトコル (T1071) |
MITRE 攻撃サブ手法 | DNS (T1071.004)、暗号化されていない/難読化された非 C2 プロトコル経由の流出 (T1048.003) |
SMB 経由のデータ流出 (外部 ID 2030)
重大度: 高
説明:
ドメイン コントローラは最も機密性の高い組織データを保持します。 ほとんどの攻撃者にとって、最も重要な優先事項の 1 つは、最も機密性の高いデータを盗むためにドメイン コントローラ アクセス権を取得することです。 たとえば、DC に格納されている Ntds.dit ファイルを流出すると、攻撃者は任意のリソースに承認を提供する Kerberos チケット許可チケット (TGT) を偽造できます。 偽造 Kerberos TGT を使用すると、攻撃者はチケットの有効期限を任意の時刻に設定できます。 Defender for Identity の SMB を介したデータ流出アラートは、データの不審な転送が監視対象のドメイン コントローラーから検出されたときにトリガーされます。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 流出 (TA0010) |
---|---|
セカンダリ MITRE の戦術 | ラテラル ムーブメント (TA0008)、コマンドと制御 (TA0011) |
MITRE 攻撃手法 | 代替プロトコル経由の流出 (T1048)、ラテラル ツール転送 (T1570) |
MITRE 攻撃サブ手法 | 暗号化されていない / 難読化された非 C2 プロトコルを経由した流出 (T1048.003) |
証明書データベース エントリの疑わしい削除 (外部 ID 2433)
重大度: 中
説明:
証明書データベース エントリの削除は、悪意のある可能性のあるアクティビティを示す赤いフラグです。 この攻撃により、公開キー インフラストラクチャ (PKI) システムの機能が中断され、認証とデータの整合性に影響が及びます。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 防御回避 (TA0005) |
---|---|
MITRE 攻撃手法 | インジケーターの削除 (T1070) |
MITRE 攻撃サブ手法 | 該当なし |
Note
証明書データベース エントリ アラートの疑わしい削除は、AD CS 上の Defender for Identity センサーでのみサポートされます。
AD CS の監査フィルターの疑わしい無効化 (外部 ID 2434)
重大度: 中
説明:
AD CS で監査フィルターを無効にすると、攻撃者が検出されずに動作してしまう可能性があります。 この攻撃は、疑わしいアクティビティにフラグが立てられるフィルターを無効にすることで、セキュリティ監視を回避することを目的としています。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 防御回避 (TA0005) |
---|---|
MITRE 攻撃手法 | 防御の低下 (T1562) |
MITRE 攻撃サブ手法 | Windows イベント ログを無効にする (T1562.002) |
Directory Services 復元モードのパスワード変更 (外部 ID 2438)
重大度: 中
説明:
Directory Services 復元モード (DSRM) は、管理者が Active Directory データベースを修復または復元できるようにする、Microsoft Windows Server 操作システムの特別な起動モードです。 このモードは通常、Active Directory に問題があり、通常の起動が不可能な場合に使用されます。 DSRM パスワードは、サーバーをドメイン コントローラーに昇格している時に設定されます。 この検出では、DSRM パスワードが変更されたことを Defender for Identity が検出したときにアラートがトリガーされます。 DSRM パスワードの変更が正当な管理操作から開始されたか、不正アクセスの懸念や潜在的なセキュリティ上の脅威に関する懸念がないかを把握するための要求を行ったユーザーとソース コンピューターを調査することをお勧めします。
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 永続化 (TA0003) |
---|---|
MITRE 攻撃手法 | アカウント操作 (T1098) |
MITRE 攻撃サブ手法 | 該当なし |
Okta セッションの盗難の可能性
重大度: 高
説明:
セッションの盗難では、攻撃者は正当なユーザーの Cookie を盗み、他の場所から使用します。 操作を実行しているソース IP を調査して、これらの操作が正当かどうか、および IP アドレスがユーザーによって使用されているかどうかを判断することをお勧めします。
ラーニング期間:
2 週間
MITRE:
MITRE の主要な戦術 | コレクション (TA0009) |
---|---|
MITRE 攻撃手法 | ブラウザー セッション ハイジャック (T1185) |
MITRE 攻撃サブ手法 | 該当なし |
グループ ポリシーの改ざん (外部 ID 2440) (プレビュー)
重大度: 中
説明:
グループ ポリシーで疑わしい変更が検出され、その結果、Windows Defender ウイルス対策が非アクティブ化されました。 このアクティビティは、ランサムウェアを配布するためのステージを設定する可能性がある昇格特権を持つ攻撃者によるセキュリティ侵害を示している可能性があります。
調査に推奨される手順:
GPO の変更が正当であるかどうかを理解する
正当でない場合は、変更を元に戻す
グループ ポリシーがどのようにリンクされているかを理解し、影響の範囲を見積もる
ラーニング期間:
なし
MITRE:
MITRE の主要な戦術 | 防御回避 (TA0005) |
---|---|
MITRE 攻撃手法 | 信頼制御の破壊 (T1553) |
MITRE 攻撃手法 | 信頼制御の破壊 (T1553) |
MITRE 攻撃サブ手法 | 該当なし |