Andere beveiligingswaarschuwingen
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en verplaatst zich lateraal totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele kill chain voor aanvallen en classificeert deze in de volgende fasen:
- Verkennings- en detectiewaarschuwingen
- Waarschuwingen voor escalatie van persistentie en bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Overig
Zie Beveiligingswaarschuwingen begrijpen voor meer informatie over de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie beveiligingswaarschuwingsclassificaties voor informatie over Terecht-positief (TP) en Goedaardig terecht-positief (B-TP) en Fout-positief (FP).
De volgende beveiligingswaarschuwingen helpen u bij het identificeren en herstellen van andere verdachte activiteiten die door Defender for Identity in uw netwerk zijn gedetecteerd.
Verdachte DCShadow-aanval (promotie van domeincontroller) (externe id 2028)
Vorige naam: Verdachte domeincontrollerpromotie (mogelijke DCShadow-aanval)
Ernst: Hoog
Beschrijving:
Een domeincontrollerschaduwaanval (DCShadow) is een aanval die is ontworpen om mapobjecten te wijzigen met behulp van schadelijke replicatie. Deze aanval kan vanaf elke computer worden uitgevoerd door een rogue domeincontroller te maken met behulp van een replicatieproces.
In een DCShadow-aanval worden RPC en LDAP gebruikt om:
- Registreer het computeraccount als een domeincontroller (met behulp van domeinbeheerdersrechten).
- Voer replicatie uit (met behulp van de verleende replicatierechten) via DRSUAPI en verzend wijzigingen naar mapobjecten.
In deze Defender for Identity-detectie wordt een beveiligingswaarschuwing geactiveerd wanneer een computer in het netwerk probeert te registreren als een rogue domeincontroller.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Defense Evasion (TA0005) |
---|---|
MITRE-aanvalstechniek | Rogue domeincontroller (T1207) |
Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
Valideer de volgende machtigingen:
- Mapwijzigingen repliceren.
- Alle mapwijzigingen repliceren.
- Zie Machtigingen voor Active Directory-domein Services verlenen voor profielsynchronisatie in SharePoint Server 2013 voor meer informatie. U kunt AD ACL Scanner gebruiken of een Windows PowerShell-script maken om te bepalen wie deze machtigingen heeft in het domein.
Notitie
Suspicious domain controller promotion (potential DCShadow attack) alerts are supported by Defender for Identity sensors only.
Verdachte DCShadow-aanval (replicatieaanvraag voor domeincontroller) (externe id 2029)
Vorige naam: Verdachte replicatieaanvraag (mogelijke DCShadow-aanval)
Ernst: Hoog
Beschrijving:
Active Directory-replicatie is het proces waarbij wijzigingen die op de ene domeincontroller worden aangebracht, worden gesynchroniseerd met andere domeincontrollers. Met de benodigde machtigingen kunnen aanvallers rechten verlenen voor hun computeraccount, zodat ze een domeincontroller kunnen imiteren. Aanvallers streven ernaar om een kwaadwillende replicatieaanvraag te starten, zodat ze Active Directory-objecten kunnen wijzigen op een legitieme domeincontroller, die de aanvallers persistentie in het domein kan geven. In deze detectie wordt een waarschuwing geactiveerd wanneer er een verdachte replicatieaanvraag wordt gegenereerd op basis van een legitieme domeincontroller die wordt beveiligd door Defender for Identity. Het gedrag wijst op technieken die worden gebruikt bij schaduwaanvallen van domeincontrollers.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Defense Evasion (TA0005) |
---|---|
MITRE-aanvalstechniek | Rogue domeincontroller (T1207) |
Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde herstel en stappen voor preventie:
Valideer de volgende machtigingen:
- Mapwijzigingen repliceren.
- Alle mapwijzigingen repliceren.
- Zie Machtigingen voor Active Directory-domein Services verlenen voor profielsynchronisatie in SharePoint Server 2013 voor meer informatie. U kunt AD ACL Scanner gebruiken of een Windows PowerShell-script maken om te bepalen wie in het domein deze machtigingen heeft.
Notitie
Suspicious replication request (potential DCShadow attack) alerts are supported by Defender for Identity sensors only.
Verdachte VPN-verbinding (externe id 2025)
Vorige naam: Verdachte VPN-verbinding
Ernst: gemiddeld
Beschrijving:
Defender for Identity leert het gedrag van de entiteit voor VPN-verbindingen van gebruikers gedurende een glijdende periode van één maand.
Het VPN-gedragsmodel is gebaseerd op de computers waarop gebruikers zich aanmelden en de locaties waar de gebruikers verbinding mee maken.
Er wordt een waarschuwing geopend wanneer er een afwijking is van het gedrag van de gebruiker op basis van een machine learning-algoritme.
Leerperiode:
30 dagen vanaf de eerste VPN-verbinding en ten minste 5 VPN-verbindingen in de afgelopen 30 dagen per gebruiker.
MITRE:
Primaire MITRE-tactiek | Defense Evasion (TA0005) |
---|---|
Secundaire MITRE-tactiek | Persistentie (TA0003) |
MITRE-aanvalstechniek | Externe externe services (T1133) |
Subtechniek miTRE-aanval | N.v.t. |
Uitvoeringspoging voor externe code (externe id 2019)
Vorige naam: Poging tot uitvoering van externe code
Ernst: gemiddeld
Beschrijving:
Aanvallers die beheerdersreferenties in gevaar brengen of een zero-day exploit gebruiken, kunnen externe opdrachten uitvoeren op uw domeincontroller of AD FS / AD CS-server. Dit kan worden gebruikt voor het verkrijgen van persistentie, het verzamelen van informatie, DOS-aanvallen (Denial of Service) of een andere reden. Defender for Identity detecteert PSexec-, externe WMI- en PowerShell-verbindingen.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Uitvoering (TA0002) |
---|---|
Secundaire MITRE-tactiek | Zijwaartse beweging (TA0008) |
MITRE-aanvalstechniek | Command and Scripting Interpreter (T1059),Remote Services (T1021) |
Subtechniek miTRE-aanval | PowerShell (T1059.001), Windows Remote Management (T1021.006) |
Voorgestelde stappen voor preventie:
- Beperk externe toegang tot domeincontrollers vanaf niet-laag 0-computers.
- Implementeer bevoegde toegang, zodat alleen beveiligde machines verbinding kunnen maken met domeincontrollers voor beheerders.
- Implementeer minder bevoorrechte toegang op domeincomputers zodat specifieke gebruikers het recht hebben om services te maken.
Notitie
Waarschuwingen voor poging tot uitvoering van externe code bij het gebruik van Powershell-opdrachten worden alleen ondersteund door Defender for Identity-sensoren.
Verdachte service maken (externe id 2026)
Vorige naam: Verdachte service maken
Ernst: gemiddeld
Beschrijving:
Er is een verdachte service gemaakt op een domeincontroller of AD FS/AD CS-server in uw organisatie. Deze waarschuwing is afhankelijk van gebeurtenis 7045 om deze verdachte activiteit te identificeren.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Uitvoering (TA0002) |
---|---|
Secundaire MITRE-tactiek | Persistentie (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
MITRE-aanvalstechniek | Remote Services (T1021), Command and Scripting Interpreter (T1059), System Services (T1569), Create or Modify System Process (T1543) |
Subtechniek miTRE-aanval | Service-uitvoering (T1569.002), Windows-service (T1543.003) |
Voorgestelde stappen voor preventie:
- Beperk externe toegang tot domeincontrollers vanaf niet-laag 0-computers.
- Implementeer bevoegde toegang zodat alleen beveiligde machines verbinding kunnen maken met domeincontrollers voor beheerders.
- Implementeer minder bevoorrechte toegang op domeincomputers om alleen specifieke gebruikers het recht te geven om services te maken.
Verdachte communicatie via DNS (externe id 2031)
Vorige naam: Verdachte communicatie via DNS
Ernst: gemiddeld
Beschrijving:
Het DNS-protocol in de meeste organisaties wordt doorgaans niet bewaakt en wordt zelden geblokkeerd voor schadelijke activiteiten. Een aanvaller op een geïnfecteerde computer inschakelen om misbruik te maken van het DNS-protocol. Schadelijke communicatie via DNS kan worden gebruikt voor gegevensexfiltratie, opdrachten en controle en/of het omzeilen van beperkingen voor bedrijfsnetwerk.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Exfiltratie (TA0010) |
---|---|
MITRE-aanvalstechniek | Exfiltratie via alternatief protocol (T1048), exfiltratie via C2-kanaal (T1041), geplande overdracht (T1029), geautomatiseerde exfiltratie (T1020), Application Layer Protocol (T1071) |
Subtechniek miTRE-aanval | DNS (T1071.004), Exfiltratie over niet-versleuteld/obfuscated Non-C2-protocol (T1048.003) |
Gegevensexfiltratie via SMB (externe id 2030)
Ernst: Hoog
Beschrijving:
Domeincontrollers bevatten de meest gevoelige organisatiegegevens. Voor de meeste aanvallers is een van hun belangrijkste prioriteiten om toegang te krijgen tot domeincontrollers, om uw meest gevoelige gegevens te stelen. Met exfiltratie van het bestand Ntds.dit, opgeslagen op de DOMEINCONTROLLER, kan een aanvaller bijvoorbeeld Kerberos-ticketverlenende tickets (TGT) vervalsen die autorisatie verlenen aan elke resource. Met vervalste Kerberos-TGT's kan de aanvaller de verlooptijd van het ticket instellen op willekeurige tijd. Een Defender for Identity Data-exfiltratie via SMB-waarschuwing wordt geactiveerd wanneer verdachte overdrachten van gegevens worden waargenomen vanaf uw bewaakte domeincontrollers.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Exfiltratie (TA0010) |
---|---|
Secundaire MITRE-tactiek | Zijwaartse beweging (TA0008),Command and Control (TA0011) |
MITRE-aanvalstechniek | Exfiltratie via alternatief protocol (T1048), laterale tooloverdracht (T1570) |
Subtechniek miTRE-aanval | Exfiltratie over niet-versleuteld/verborgen niet-C2-protocol (T1048.003) |
Verdachte verwijdering van de certificaatdatabasevermeldingen (externe id 2433)
Ernst: gemiddeld
Beschrijving:
Het verwijderen van certificaatdatabasevermeldingen is een rode vlag, waarmee potentiële schadelijke activiteiten worden aangegeven. Deze aanval kan de werking van PKI-systemen (Public Key Infrastructure) verstoren, wat van invloed is op verificatie en gegevensintegriteit.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Defense Evasion (TA0005) |
---|---|
MITRE-aanvalstechniek | Indicator verwijderen (T1070) |
Subtechniek miTRE-aanval | N.v.t. |
Notitie
Suspicious deletion of the certificate database entries alerts are only supported by Defender for Identity sensors on AD CS (Waarschuwingen voor certificaatdatabasevermeldingen worden alleen ondersteund door Defender for Identity-sensoren op AD CS).
Verdachte uitschakeling van controlefilters van AD CS (externe id 2434)
Ernst: gemiddeld
Beschrijving:
Door controlefilters in AD CS uit te schakelen, kunnen aanvallers werken zonder dat ze worden gedetecteerd. Deze aanval is erop gericht om beveiligingsbewaking te omzeilen door filters uit te schakelen die anders verdachte activiteiten zouden markeren.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Defense Evasion (TA0005) |
---|---|
MITRE-aanvalstechniek | Gestoorde verdediging (T1562) |
Subtechniek miTRE-aanval | Windows-gebeurtenislogboekregistratie uitschakelen (T1562.002) |
Wachtwoordwijziging in directory services-herstelmodus (externe id 2438)
Ernst: gemiddeld
Beschrijving:
Directory Services Restore Mode (DSRM) is een speciale opstartmodus in Microsoft Windows Server-besturingssystemen waarmee een beheerder de Active Directory-database kan herstellen of herstellen. Deze modus wordt meestal gebruikt wanneer er problemen zijn met Active Directory en normaal opstarten niet mogelijk is. Het DSRM-wachtwoord wordt ingesteld tijdens de promotie van een server naar een domeincontroller. In deze detectie wordt een waarschuwing geactiveerd wanneer Defender for Identity een DSRM-wachtwoord detecteert. We raden u aan de broncomputer en de gebruiker die de aanvraag heeft ingediend te onderzoeken om te begrijpen of de wijziging van het DSRM-wachtwoord is gestart vanuit een legitieme beheeractie of als deze zorgen genereert over onbevoegde toegang of mogelijke beveiligingsrisico's.
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Persistentie (TA0003) |
---|---|
MITRE-aanvalstechniek | Accountmanipulatie (T1098) |
Subtechniek miTRE-aanval | N.v.t. |
Mogelijke Okta-sessiediefstal
Ernst: Hoog
Beschrijving:
Bij sessiediefstal stelen aanvallers de cookies van legitieme gebruiker en gebruiken ze deze vanaf andere locaties. We raden u aan om het bron-IP-adres te onderzoeken dat de bewerkingen uitvoeren om te bepalen of deze bewerkingen legitiem zijn of niet, en dat het IP-adres wordt gebruikt door de gebruiker.
Leerperiode:
2 weken
MITRE:
Primaire MITRE-tactiek | Verzameling (TA0009) |
---|---|
MITRE-aanvalstechniek | Browsersessie hijacking (T1185) |
Subtechniek miTRE-aanval | N.v.t. |
Groepsbeleid manipulatie (externe id 2440) (preview)
Ernst: gemiddeld
Beschrijving:
Er is een verdachte wijziging gedetecteerd in groepsbeleid, wat resulteert in de deactivering van Windows Defender Antivirus. Deze activiteit kan duiden op een beveiligingsschending door een aanvaller met verhoogde bevoegdheden die de fase kunnen instellen voor het distribueren van ransomware.
Voorgestelde stappen voor onderzoek:
Begrijpen of de wijziging van het groepsbeleidsobject legitiem is
Als dat niet het was, herstelt u de wijziging
Begrijpen hoe het groepsbeleid is gekoppeld, om het bereik van de impact te schatten
Leerperiode:
Geen
MITRE:
Primaire MITRE-tactiek | Defense Evasion (TA0005) |
---|---|
MITRE-aanvalstechniek | Vertrouwensbesturingselementen omkeren (T1553) |
MITRE-aanvalstechniek | Vertrouwensbesturingselementen omkeren (T1553) |
Subtechniek miTRE-aanval | N.v.t. |