기타 보안 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 액세스할 때까지 신속하게 이동합니다. 중요한 자산은 중요한 계정, 할 일기본 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity는 전체 공격 킬 체인에 걸쳐 원본에서 이러한 지능형 위협을 파악하고 다음 단계로 분류합니다.
모든 Defender for Identity 보안 경고의 구조 및 공통 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
다음 보안 경고는 네트워크에서 Defender for Identity에서 감지한 기타 단계 의심스러운 활동을 식별하고 수정하는 데 도움이 됩니다.
의심되는 DCShadow 공격(컨트롤러 승격 기본)(외부 ID 2028)
이전 이름: 의심스러운 do기본 컨트롤러 승격(잠재적 DCShadow 공격)
심각도: 높음
설명:
할기본 컨트롤러 섀도(DCShadow) 공격은 악의적인 복제본(replica)tion을 사용하여 디렉터리 개체를 변경하도록 설계된 공격입니다. 이 공격은 복제본(replica) 프로세스를 사용하여 rogue do기본 컨트롤러를 만들어 모든 컴퓨터에서 수행할 수 있습니다.
DCShadow 공격에서 RPC 및 LDAP는 다음을 수행합니다.
- 할 일기본 컨트롤러로 컴퓨터 계정을 등록합니다(do기본 관리자 권한 사용).
- DRSUAPI에 대해 복제본(replica)tion(부여된 복제본(replica) 권한 사용)을 수행하고 디렉터리 개체에 변경 내용을 보냅니다.
이 Defender for Identity 검색에서는 네트워크의 머신이 Rogue 도메인 컨트롤러로 등록하려고 하면 보안 경고가 트리거됩니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | Rogue Do기본 컨트롤러(T1207) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
다음 사용 권한의 유효성을 검사합니다.
- 디렉터리 변경 내용을 복제합니다.
- 디렉터리 변경 내용을 모두 복제합니다.
- 자세한 내용은 SharePoint Server 2013에서 프로필 동기화에 대한 Active Directory 도메인 Services 권한 부여를 참조하세요. AD ACL 스캐너를 사용하거나 Windows PowerShell 스크립트를 만들어 do기본 이러한 권한이 있는 사용자를 확인할 수 있습니다.
참고 항목
의심스러운 도메인 컨트롤러 승격(잠재적인 DCShadow 공격) 경고는 Defender for Identity 센서에서만 지원됩니다.
의심되는 DCShadow 공격(do기본 컨트롤러 복제본(replica)tion 요청)(외부 ID 2029)
이전 이름: 의심스러운 복제본(replica)tion 요청(잠재적 DCShadow 공격)
심각도: 높음
설명:
Active Directory 복제본(replica)1에서 수행되는 변경 내용기본 컨트롤러가 다른 do기본 컨트롤러와 동기화되는 프로세스입니다. 필요한 권한이 있는 경우 공격자는 자신의 컴퓨터 계정에 대한 권한을 부여하여 do기본 컨트롤러를 가장할 수 있습니다. 공격자는 악의적인 복제본(replica)기본 요청을 시작하여 실제 실행 컨트롤러에서 Active Directory 개체를 변경할 수 있도록 합니다기본. 이 검색에서는 Defender for Identity에서 보호하는 진짜 도메인 컨트롤러에 대해 의심스러운 복제 요청이 생성되면 경고가 트리거됩니다. 이 동작은 할 일기본 컨트롤러 섀도 공격에 사용되는 기술을 나타냅니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | Rogue Do기본 컨트롤러(T1207) |
| MITRE 공격 하위 기술 | 해당 없음 |
권장되는 수정 및 방지 단계:
다음 사용 권한의 유효성을 검사합니다.
- 디렉터리 변경 내용을 복제합니다.
- 디렉터리 변경 내용을 모두 복제합니다.
- 자세한 내용은 SharePoint Server 2013에서 프로필 동기화에 대한 Active Directory 도메인 Services 권한 부여를 참조하세요. AD ACL 스캐너를 사용하거나 Windows PowerShell 스크립트를 만들어 이러한 사용 권한이 있는 사용자를 확인할 수 있습니다기본.
참고 항목
의심스러운 복제 요청(잠재적인 DCShadow 공격) 경고는 Defender for Identity 센서에만 지원됩니다.
의심스러운 VPN 연결(외부 ID 2025)
이전 이름: 의심스러운 VPN 연결
심각도: 보통
설명:
Defender for Identity는 1개월의 슬라이딩 기간에 사용자 VPN 연결에 대한 엔터티 동작을 알아냅니다.
VPN 동작 모델은 사용자가 로그인하는 컴퓨터와 사용자가 연결하는 위치를 기반으로 합니다.
기계 학습 알고리즘을 기반으로 하는 사용자의 동작과 차이가 있을 때 경고가 열립니다.
학습 기간:
첫 번째 VPN 연결로부터 30일, 사용자당 지난 30일 동안 5개 이상의 VPN 연결
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 지속성(TA0003) |
| MITRE 공격 기술 | 외부 원격 서비스(T1133) |
| MITRE 공격 하위 기술 | 해당 없음 |
원격 코드 실행 시도(외부 ID 2019)
이전 이름: 원격 코드 실행 시도
심각도: 보통
설명:
관리자 자격 증명을 손상하거나 제로 데이 익스플로잇을 사용하는 공격자는 할 일기본 컨트롤러 또는 AD FS / AD CS 서버에서 원격 명령을 실행할 수 있습니다. 지속성 확보, 정보 수집, DOS(서비스 거부) 공격 또는 기타 이유로 사용할 수 있습니다. Defender for Identity는 PSexec, 원격 WMI 및 PowerShell 연결을 검색합니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 실행(TA0002) |
|---|---|
| 보조 MITRE 전술 | 횡적 이동(TA0008) |
| MITRE 공격 기술 | 명령 및 스크립팅 인터프리터(T1059),원격 서비스(T1021) |
| MITRE 공격 하위 기술 | PowerShell(T1059.001), Windows 원격 관리(T1021.006) |
예방을 위한 제안된 단계:
- 비계층 0 컴퓨터에서 기본 컨트롤러에 대한 원격 액세스를 제한합니다.
- 권한 있는 액세스를 구현하여 관리자를 위해 강화된 컴퓨터만 연결할 수 있도록 합니다기본 컨트롤러.
- do기본 머신에서 권한이 낮은 액세스를 구현하여 특정 사용자가 서비스를 만들 수 있도록 허용합니다.
참고 항목
Powershell 명령 사용에 대한 원격 코드 실행 시도 경고는 Defender for Identity 센서에서만 지원됩니다.
의심스러운 서비스 만들기(외부 ID 2026)
이전 이름: 의심스러운 서비스 만들기
심각도: 보통
설명:
조직의 do기본 컨트롤러 또는 AD FS/AD CS 서버에 의심스러운 서비스가 생성되었습니다. 이 경고는 이벤트 7045를 사용하여 이 의심스러운 활동을 식별합니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 실행(TA0002) |
|---|---|
| 보조 MITRE 전술 | 지속성(TA0003), 권한 에스컬레이션(TA0004), 방어 회피(TA0005), 횡적 이동(TA0008) |
| MITRE 공격 기술 | 원격 서비스(T1021), 명령 및 스크립팅 인터프리터(T1059), System Services(T1569), 시스템 프로세스 만들기 또는 수정(T1543) |
| MITRE 공격 하위 기술 | 서비스 실행(T1569.002), Windows 서비스(T1543.003) |
예방을 위한 제안된 단계:
- 비계층 0 컴퓨터에서 기본 컨트롤러에 대한 원격 액세스를 제한합니다.
- 관리자를 위해 강화된 컴퓨터만 연결할 수 있도록 권한 있는 액세스를 구현합니다기본 컨트롤러.
- do기본 머신에서 권한이 낮은 액세스를 구현하여 특정 사용자만 서비스를 만들 수 있는 권한을 부여합니다.
DNS를 통한 의심스러운 통신(외부 ID 2031)
이전 이름: DNS를 통한 의심스러운 통신
심각도: 보통
설명:
대부분의 조직의 DNS 프로토콜은 일반적으로 모니터링되지 않으며 악의적인 활동에 대해 거의 차단되지 않습니다. 손상된 컴퓨터에서 공격자가 DNS 프로토콜을 남용할 수 있도록 합니다. DNS를 통한 악의적인 통신은 데이터 반출, 명령 및 제어 및/또는 회사 네트워크 제한을 회피하는 데 사용할 수 있습니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 반출(TA0010) |
|---|---|
| MITRE 공격 기술 | 대체 프로토콜을 통한 반출(T1048), C2 채널을 통한 반출(T1041), 예약된 전송(T1029), 자동화된 반출(T1020), 애플리케이션 계층 프로토콜(T1071) |
| MITRE 공격 하위 기술 | DNS(T1071.004), 암호화되지 않음/난독 제거 비 C2 프로토콜을 통한 반출(T1048.003) |
SMB를 통한 데이터 반출(외부 ID 2030)
심각도: 높음
설명:
기본 컨트롤러는 가장 중요한 조직 데이터를 보유합니다. 대부분의 공격자의 경우 가장 중요한 데이터를 도용하기 위해 컨트롤러 액세스를 기본 가장 중요한 우선 순위 중 하나입니다. 예를 들어 DC에 저장된 Ntds.dit 파일의 반출을 통해 공격자는 모든 리소스에 대한 권한 부여를 제공하는 티켓(TGT)을 부여하는 Kerberos 티켓을 위조할 수 있습니다. 위조된 Kerberos TGT를 사용하면 공격자가 티켓 만료를 임의의 시간으로 설정할 수 있습니다. Defender for Identity SMB를 통한 데이터 반출 경고는 모니터링된 도메인 컨트롤러에서 의심스러운 데이터 전송이 관찰될 때 트리거됩니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 반출(TA0010) |
|---|---|
| 보조 MITRE 전술 | 횡적 이동(TA0008),명령 및 제어(TA0011) |
| MITRE 공격 기술 | 대체 프로토콜을 통한 반출(T1048), 횡적 도구 전송(T1570) |
| MITRE 공격 하위 기술 | 암호화되지 않은/난독 제거된 비 C2 프로토콜을 통한 반출(T1048.003) |
인증서 데이터베이스 항목의 의심스러운 삭제(외부 ID 2433)
심각도: 보통
설명:
인증서 데이터베이스 항목의 삭제는 잠재적인 악의적인 활동을 나타내는 빨간색 플래그입니다. 이 공격은 PKI(공개 키 인프라) 시스템의 작동을 방해하여 인증 및 데이터 무결성에 영향을 미칠 수 있습니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | 표시기 제거(T1070) |
| MITRE 공격 하위 기술 | 해당 없음 |
참고 항목
인증서 데이터베이스 항목 경고의 의심스러운 삭제는 AD CS의 Defender for Identity 센서에서만 지원됩니다.
AD CS의 감사 필터의 의심스러운 사용 안 함(외부 ID 2434)
심각도: 보통
설명:
AD CS에서 감사 필터를 사용하지 않도록 설정하면 공격자가 검색되지 않고 작동할 수 있습니다. 이 공격은 의심스러운 활동에 플래그를 지정하는 필터를 사용하지 않도록 설정하여 보안 모니터링을 회피하는 것을 목표로 합니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| MITRE 공격 기술 | 방어 장애(T1562) |
| MITRE 공격 하위 기술 | Windows 이벤트 로깅 사용 안 함(T1562.002) |
디렉터리 서비스 복원 모드 암호 변경(외부 ID 2438)(미리 보기)
심각도: 보통
설명:
DSRM(디렉터리 서비스 복원 모드)은 관리자가 Active Directory 데이터베이스를 복구하거나 복원할 수 있도록 하는 Microsoft Windows Server 운영 체제의 특수 부팅 모드입니다. 이 모드는 일반적으로 Active Directory에 문제가 있고 일반 부팅이 불가능할 때 사용됩니다. DSRM 암호는 서버를 do기본 컨트롤러로 승격하는 동안 설정됩니다. 이 검색에서 Defender for Identity가 DSRM 암호가 변경되었음을 감지하면 경고가 트리거됩니다. DSRM 암호 변경이 합법적인 관리 작업에서 시작되었는지 또는 무단 액세스 또는 잠재적 보안 위협에 대한 우려가 발생하는지 이해하도록 요청한 원본 컴퓨터와 사용자를 조사하는 것이 좋습니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
가능한 Okta 세션 도난
심각도: 높음
설명:
세션 도난에서 공격자는 합법적인 사용자의 쿠키를 훔쳐 다른 위치에서 사용합니다. 작업을 수행하는 원본 IP를 조사하여 해당 작업이 합법적인지 여부와 사용자가 IP 주소를 사용하는지 여부를 확인하는 것이 좋습니다.
학습 기간:
2주
MITRE:
| 기본 MITRE 전술 | 컬렉션(TA0009) |
|---|---|
| MITRE 공격 기술 | 브라우저 세션 하이재킹(T1185) |
| MITRE 공격 하위 기술 | 해당 없음 |