정찰 및 검색 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 액세스할 때까지 신속하게 이동합니다. 중요한 자산은 중요한 계정, 할 일기본 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity는 전체 공격 킬 체인에 걸쳐 원본에서 이러한 지능형 위협을 파악하고 다음 단계로 분류합니다.
- 정찰 및 검색
- 지속성 및 권한 에스컬레이션 경고
- 자격 증명 액세스 경고
- 횡적 이동 경고
- 기타 경고
모든 Defender for Identity 보안 경고의 구조 및 공통 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
다음 보안 경고는 네트워크에서 Defender for Identity에서 검색한 의심스러운 정찰 및 검색 단계 의심스러운 활동을 식별하고 수정하는 데 도움이 됩니다.
정찰 및 검색은 악의적 사용자가 시스템 및 내부 네트워크에 대한 지식을 얻기 위해 사용할 수 있는 기술로 구성됩니다. 이러한 기술은 악의적 사용자가 작업 방법을 결정하기 전에 환경을 관찰하고 방향을 지정하는 데 도움이 됩니다. 또한 악의적 사용자가 제어할 수 있는 항목과 진입점 주변의 내용을 탐색하여 현재 목표에 어떻게 도움이 될 수 있는지 파악할 수 있습니다. 네이티브 운영 체제 도구는 종종 이 손상 후 정보 수집 목표에 사용됩니다. Microsoft Defender for Identity에서 이러한 경고에는 일반적으로 다양한 기술을 사용하는 내부 계정 열거형이 포함됩니다.
계정 열거 정찰(외부 ID 2003)
이전 이름: 계정 열거를 사용한 정찰
심각도: 보통
설명:
계정 열거 정찰에서 공격자는 수천 개의 사용자 이름이 있는 사전 또는 Do기본 사용자 이름을 추측하기 위해 KrbGuess와 같은 도구를 사용합니다.
Kerberos: 공격자는 이러한 이름을 사용하여 Kerberos 요청을 수행하여 do기본에서 유효한 사용자 이름을 찾으려고 시도합니다. 추측이 사용자 이름을 성공적으로 확인하면 공격자는 보안 주체 알 수 없는 Kerberos 오류 대신 필요한 사전 인증을 가져옵니다.
NTLM: 공격자가 이름 사전을 사용하여 NTLM 인증 요청을 수행하여 do기본에서 유효한 사용자 이름을 찾으려고 시도합니다. 추측이 사용자 이름을 성공적으로 확인하면 공격자는 NoSuchUser(0xc0000064) NTLM 오류 대신 WrongPassword(0xc000006a)를 가져옵니다.
이 경고 검색에서 Defender for Identity는 계정 열거형 공격의 출처, 총 추측 시도 횟수 및 일치 시도 수를 검색합니다. 알 수 없는 사용자가 너무 많으면 Defender for Identity는 이를 의심스러운 활동으로 탐지합니다. 경고는 do기본 컨트롤러 및 AD FS/AD CS 서버에서 실행되는 센서의 인증 이벤트를 기반으로 합니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | Do기본 계정(T1087.002) |
예방을 위한 제안된 단계:
- 조직에서 복잡하고 긴 암호를 적용 합니다 . 복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다. 무차별 암호 대입 공격은 일반적으로 열거 후 사이버 공격 킬 체인의 다음 단계입니다.
LDAP(계정 열거 정찰)(외부 ID 2437)(미리 보기)
심각도: 보통
설명:
계정 열거 정찰에서 공격자는 수천 개의 사용자 이름이 있는 사전 또는 do기본 사용자 이름을 추측하기 위해 Ldapnomnom과 같은 도구를 사용합니다.
LDAP: 공격자는 이러한 이름을 사용하여 LDAP Ping 요청(cLDAP)을 수행하여 할 일에서 유효한 사용자 이름을 찾으려고 시도합니다기본. 추측에서 사용자 이름을 확인하는 경우 공격자는 사용자가 할 일기본 있음을 나타내는 응답을 받을 수 있습니다.
이 경고 검색에서 Defender for Identity는 계정 열거형 공격의 출처, 총 추측 시도 횟수 및 일치 시도 수를 검색합니다. 알 수 없는 사용자가 너무 많으면 Defender for Identity는 이를 의심스러운 활동으로 탐지합니다. 경고는 do기본 컨트롤러 서버에서 실행되는 센서의 LDAP 검색 활동을 기반으로 합니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | Do기본 계정(T1087.002) |
DNS(네트워크 매핑 정찰)(외부 ID 2007)
이전 이름: DNS를 사용한 정찰
심각도: 보통
설명:
DNS 서버에는 네트워크의 모든 컴퓨터, IP 주소 및 서비스의 맵이 포함되어 있습니다. 이 정보는 공격자가 네트워크 구조를 매핑하고 공격의 이후 단계를 위해 관심 있는 컴퓨터를 대상으로 지정하는 데 사용됩니다.
DNS 프로토콜에는 여러 쿼리 유형이 있습니다. 이 Defender for Identity 보안 경고는 DNS가 아닌 서버에서 발생한 AXFR(전송)을 사용하거나 과도한 양을 사용하는 등의 의심스러운 요청을 탐지합니다.
학습 기간:
이 경고에는 할 일기본 컨트롤러 모니터링 시작부터 8일의 학습 기간이 있습니다.
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), 네트워크 서비스 검사(T1046), 원격 시스템 검색(T1018) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
내부 DNS 서버를 보호하여 AXFR 쿼리를 사용하여 향후 공격을 방지하는 것이 중요합니다.
- 영역 전송을 사용하지 않도록 설정하거나 지정된 IP 주소로만 영역 전송을 제한하여 DNS를 사용하여 정찰을 방지하도록 내부 DNS 서버를 보호합니다. 영역 전송 수정은 내부 및 외부 공격으로부터 DNS 서버를 보호하기 위해 해결해야 하는 검사 목록 중 하나의 작업입니다.
사용자 및 IP 주소 정찰(SMB)(외부 ID 2012)
이전 이름: SMB 세션 열거를 사용한 정찰
심각도: 보통
설명:
SMB(서버 메시지 블록) 프로토콜을 사용하는 열거형을 사용하면 공격자가 사용자가 최근에 로그온한 위치에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다.
이 검색에서는 do기본 컨트롤러에 대해 SMB 세션 열거를 수행할 때 경고가 트리거됩니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), System Network 커넥트ions 검색(T1049) |
| MITRE 공격 하위 기술 | Do기본 계정(T1087.002) |
SAMR(사용자 및 그룹 멤버 자격 정찰)(외부 ID 2021)
이전 이름: 디렉터리 서비스 쿼리를 사용한 정찰
심각도: 보통
설명:
공격자가 사용자 및 그룹 멤버 자격 정찰을 사용하여 디렉터리 구조를 매핑하고 이후의 해당 공격 단계에서 권한 있는 계정을 대상으로 지정하는 데 사용됩니다. SAM-R(Security Account Manager Remote) 프로토콜은 이러한 유형의 매핑을 수행하기 위해 디렉터리를 쿼리하는 데 사용되는 방법 중 하나입니다. 이 검색에서는 Defender for Identity 배포 이후 첫 번째 달(학습 기간)에는 경고가 트리거되지 않습니다. 학습 기간에 SAM-R에서 쿼리하는 컴퓨터의 Defender for Identity 프로필은 중요한 계정의 열거형 쿼리와 개별 쿼리 모두를 통해 만들어집니다.
학습 기간:
특정 DC에 대한 SAMR의 첫 번째 네트워크 작업부터 시작하는 do기본 컨트롤러당 4주입니다.
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), 권한 그룹 검색(T1069) |
| MITRE 공격 하위 기술 | Do기본 Account(T1087.002), Do기본 Group(T1069.002) |
예방을 위한 제안된 단계:
- 네트워크 액세스를 적용하고 SAM 그룹 정책에 대한 원격 호출을 허용하는 클라이언트를 제한합니다.
LDAP(Active Directory 특성 정찰)(외부 ID 2210)
심각도: 보통
설명:
Active Directory LDAP 정찰은 공격자가 do기본 환경에 대한 중요한 정보를 얻는 데 사용됩니다. 이 정보는 공격자가 do기본 구조를 매핑하고 공격 킬 체인의 이후 단계에서 사용할 권한 있는 계정을 식별하는 데 도움이 될 수 있습니다. LDAP(Lightweight Directory Access Protocol)는 Active Directory를 쿼리하기 위해 합법적이고 악의적인 용도로 사용되는 가장 인기 있는 방법 중 하나입니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087), 간접 명령 실행(T1202), 권한 그룹 검색(T1069) |
| MITRE 공격 하위 기술 | Do기본 Account(T1087.002), Do기본 Groups(T1069.002) |
Honeytoken이 SAM-R(외부 ID 2439)을 통해 쿼리되었습니다.
심각도: 낮음
설명:
사용자 정찰은 공격자가 디렉터리 구조와 대상 권한 있는 계정을 매핑하여 공격의 이후 단계를 수행하는 데 사용됩니다. SAM-R(Security Account Manager Remote) 프로토콜은 이러한 유형의 매핑을 수행하기 위해 디렉터리를 쿼리하는 데 사용되는 방법 중 하나입니다. 이 검색에서 Microsoft Defender for Identity는 미리 구성된 honeytoken 사용자에 대한 모든 정찰 활동에 대해 이 경고를 트리거합니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | Do기본 계정(T1087.002) |
Honeytoken이 LDAP(외부 ID 2429)를 통해 쿼리되었습니다.
심각도: 낮음
설명:
사용자 정찰은 공격자가 디렉터리 구조와 대상 권한 있는 계정을 매핑하여 공격의 이후 단계를 수행하는 데 사용됩니다. LDAP(Lightweight Directory Access Protocol)는 Active Directory를 쿼리하기 위해 합법적이고 악의적인 용도로 사용되는 가장 인기 있는 방법 중 하나입니다.
이 검색에서 Microsoft Defender for Identity는 미리 구성된 honeytoken 사용자에 대한 모든 정찰 활동에 대해 이 경고를 트리거합니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 검색(TA0007) |
|---|---|
| MITRE 공격 기술 | 계정 검색(T1087) |
| MITRE 공격 하위 기술 | Do기본 계정(T1087.002) |
의심스러운 Okta 계정 열거형
심각도: 높음
설명:
계정 열거형에서 공격자는 조직에 속하지 않은 사용자와 함께 Okta에 로그인을 수행하여 사용자 이름을 추측하려고 합니다. 실패한 시도를 수행하는 원본 IP를 조사하고 합법적인지 여부를 확인하는 것이 좋습니다.
학습 기간:
None
MITRE:
| 기본 MITRE 전술 | 초기 액세스(TA0001), 방어 회피(TA0005), 지속성(TA0003), 권한 에스컬레이션(TA0004) |
|---|---|
| MITRE 공격 기술 | 유효한 계정(T1078) |
| MITRE 공격 하위 기술 | 클라우드 계정(T1078.004) |