Verkennings- en detectiewaarschuwingen
Cyberaanvallen worden doorgaans gestart tegen elke toegankelijke entiteit, zoals een gebruiker met beperkte bevoegdheden, en verplaatst zich lateraal totdat de aanvaller toegang krijgt tot waardevolle assets. Waardevolle assets kunnen gevoelige accounts, domeinbeheerders of zeer gevoelige gegevens zijn. Microsoft Defender for Identity identificeert deze geavanceerde bedreigingen bij de bron in de hele kill chain voor aanvallen en classificeert deze in de volgende fasen:
- Reconnaissance en detectie
- Waarschuwingen voor escalatie van persistentie en bevoegdheden
- Waarschuwingen voor toegang tot referenties
- Waarschuwingen voor laterale verplaatsing
- Andere waarschuwingen
Zie Beveiligingswaarschuwingen begrijpen voor meer informatie over de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen. Zie beveiligingswaarschuwingsclassificaties voor informatie over Terecht-positief (TP) en Goedaardig terecht-positief (B-TP) en Fout-positief (FP).
De volgende beveiligingswaarschuwingen helpen u bij het identificeren en herstellen van reconnaissance en detectiefase verdachte activiteiten die door Defender for Identity in uw netwerk zijn gedetecteerd.
Reconnaissance en detectie bestaan uit technieken die een aanvaller kan gebruiken om kennis te krijgen over het systeem en het interne netwerk. Deze technieken helpen kwaadwillenden om de omgeving te observeren en zich te richten voordat ze beslissen hoe ze moeten handelen. Ze stellen kwaadwillende personen ook in staat om te ontdekken wat ze kunnen beheren en wat er rond hun ingangspunt staat om te ontdekken hoe het hun huidige doelstelling kan opleveren. Systeemeigen hulpprogramma's voor besturingssystemen worden vaak gebruikt voor deze doel voor het verzamelen van informatie na inbreuk. In Microsoft Defender for Identity hebben deze waarschuwingen meestal betrekking op interne accountumeratie met verschillende technieken.
Verkenning van account (externe id 2003)
Vorige naam: Reconnaissance met behulp van account-inventarisatie
Ernst: gemiddeld
Beschrijving:
In reconnaissance voor accountinventarisatie gebruikt een aanvaller een woordenlijst met duizenden gebruikersnamen of hulpprogramma's zoals KrbGuess in een poging om gebruikersnamen in het domein te raden.
Kerberos: Aanvaller doet Kerberos-aanvragen met behulp van deze namen om een geldige gebruikersnaam in het domein te vinden. Wanneer een schatting een gebruikersnaam bepaalt, krijgt de aanvaller de vereiste verificatie vooraf in plaats van een onbekende Kerberos-fout van de beveiligingsprincipal.
NTLM: Aanvaller doet NTLM-verificatieaanvragen met behulp van de woordenlijst met namen om een geldige gebruikersnaam in het domein te zoeken. Als een schatting een gebruikersnaam heeft bepaald, krijgt de aanvaller de FoutePassword (0xc000006a) in plaats van de NTLM-fout NoSuchUser (0xc0000064 ).
In deze waarschuwingsdetectie detecteert Defender for Identity waar de opsommingsaanval van het account afkomstig is, het totale aantal schattingspogingen en het aantal pogingen dat is vergeleken. Als er te veel onbekende gebruikers zijn, detecteert Defender for Identity deze als verdachte activiteit. De waarschuwing is gebaseerd op verificatie-gebeurtenissen van sensoren die worden uitgevoerd op de domeincontroller en AD FS/AD CS-servers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002) |
Voorgestelde stappen voor preventie:
- Complexe en lange wachtwoorden in de organisatie afdwingen. Complexe en lange wachtwoorden bieden het benodigde eerste beveiligingsniveau tegen beveiligingsaanvallen. Beveiligingsaanvallen zijn doorgaans de volgende stap in de kill chain voor cyberaanvallen na inventarisatie.
Verkenning van accounts (LDAP) (externe id 2437) (preview)
Ernst: gemiddeld
Beschrijving:
In reconnaissance voor accountinventarisatie gebruikt een aanvaller een woordenlijst met duizenden gebruikersnamen of hulpprogramma's zoals Ldapnom in een poging om gebruikersnamen in het domein te raden.
LDAP: Aanvaller doet LDAP-pingaanvragen (cLDAP) met behulp van deze namen om een geldige gebruikersnaam in het domein te vinden. Als een schatting een gebruikersnaam bepaalt, kan de aanvaller een antwoord ontvangen dat aangeeft dat de gebruiker in het domein bestaat.
In deze waarschuwingsdetectie detecteert Defender for Identity waar de opsommingsaanval van het account afkomstig is, het totale aantal schattingspogingen en het aantal pogingen dat is vergeleken. Als er te veel onbekende gebruikers zijn, detecteert Defender for Identity deze als verdachte activiteit. De waarschuwing is gebaseerd op LDAP-zoekactiviteiten van sensoren die worden uitgevoerd op domeincontrollerservers.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002) |
Reconnaissance voor netwerktoewijzing (DNS) (externe id 2007)
Vorige naam: Reconnaissance met behulp van DNS
Ernst: gemiddeld
Beschrijving:
Uw DNS-server bevat een kaart van alle computers, IP-adressen en services in uw netwerk. Deze informatie wordt door aanvallers gebruikt om uw netwerkstructuur toe te wijzen en interessante computers te richten voor latere stappen in hun aanval.
Er zijn verschillende querytypen in het DNS-protocol. Deze Defender for Identity-beveiligingswaarschuwing detecteert verdachte aanvragen, ofwel aanvragen die gebruikmaken van een AXFR (overdracht) die afkomstig zijn van niet-DNS-servers, of aanvragen die een overmatig aantal aanvragen gebruiken.
Leerperiode:
Deze waarschuwing heeft een leerperiode van acht dagen vanaf het begin van de bewaking van de domeincontroller.
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), Network Service Scanning (T1046), Remote System Discovery (T1018) |
| Subtechniek miTRE-aanval | N.v.t. |
Voorgestelde stappen voor preventie:
Het is belangrijk om toekomstige aanvallen met AXFR-query's te voorkomen door uw interne DNS-server te beveiligen.
- Beveilig uw interne DNS-server om reconnaissance te voorkomen met behulp van DNS door zoneoverdrachten uit te schakelen of door zoneoverdrachten alleen naar opgegeven IP-adressen te beperken. Het wijzigen van zoneoverdrachten is één taak onder een controlelijst die moet worden aangepakt voor het beveiligen van uw DNS-servers tegen interne en externe aanvallen.
Reconnaissance van gebruikers- en IP-adressen (SMB) (externe id 2012)
Vorige naam: Reconnaissance met behulp van SMB Session Enumeration
Ernst: gemiddeld
Beschrijving:
Met opsomming met het SMB-protocol (Server Message Block) kunnen aanvallers informatie krijgen over waar gebruikers onlangs zijn aangemeld. Zodra aanvallers deze informatie hebben, kunnen ze zich lateraal in het netwerk verplaatsen om naar een specifiek gevoelig account te gaan.
In deze detectie wordt een waarschuwing geactiveerd wanneer een SMB-sessie-inventarisatie wordt uitgevoerd op een domeincontroller.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), System Network Verbinding maken ions Discovery (T1049) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002) |
Reconnaissance voor gebruikers- en groepslidmaatschappen (SAMR) (externe id 2021)
Vorige naam: Reconnaissance met behulp van query's voor directoryservices
Ernst: gemiddeld
Beschrijving:
Reconnaissance van gebruikers- en groepslidmaatschappen wordt gebruikt door aanvallers om de mapstructuur en doelaccounts toe te wijzen voor latere stappen in hun aanval. Het Protocol Security Account Manager Remote (SAM-R) is een van de methoden die worden gebruikt om een query uit te voeren op de map om dit type toewijzing uit te voeren. In deze detectie worden er geen waarschuwingen geactiveerd in de eerste maand nadat Defender for Identity is geïmplementeerd (leerperiode). Tijdens de leerperiode worden Defender for Identity-profielen gemaakt op basis waarvan SAM-R-query's worden gemaakt op welke computers, zowel opsomming als afzonderlijke query's van gevoelige accounts.
Leerperiode:
Vier weken per domeincontroller vanaf de eerste netwerkactiviteit van SAMR op basis van de specifieke DC.
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), Detectie van machtigingsgroepen (T1069) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002), domeingroep (T1069.002) |
Voorgestelde stappen voor preventie:
- Pas netwerktoegang toe en beperk clients die externe aanroepen naar SAM-groepsbeleid mogen uitvoeren.
Active Directory-kenmerken reconnaissance (LDAP) (externe id 2210)
Ernst: gemiddeld
Beschrijving:
Active Directory LDAP-reconnaissance wordt gebruikt door aanvallers om essentiële informatie over de domeinomgeving te verkrijgen. Deze informatie kan aanvallers helpen bij het toewijzen van de domeinstructuur, en het identificeren van bevoegde accounts voor gebruik in latere stappen in hun kill chain voor aanvallen. Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om een query uit te voeren op Active Directory.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087), uitvoering van indirecte opdrachten (T1202), detectie van machtigingsgroepen (T1069) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002), Domeingroepen (T1069.002) |
Honeytoken is opgevraagd via SAM-R (externe id 2439)
Ernst: Laag
Beschrijving:
Gebruikers reconnaissance wordt gebruikt door aanvallers om de mapstructuur en doelaccounts toe te wijzen voor latere stappen in hun aanval. Het Protocol Security Account Manager Remote (SAM-R) is een van de methoden die worden gebruikt om een query uit te voeren op de map om dit type toewijzing uit te voeren. In deze detectie activeert Microsoft Defender for Identity deze waarschuwing voor reconnaissance-activiteiten tegen een vooraf geconfigureerde honeytokengebruiker
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002) |
Honeytoken is opgevraagd via LDAP (externe id 2429)
Ernst: Laag
Beschrijving:
Gebruikers reconnaissance wordt gebruikt door aanvallers om de mapstructuur en doelaccounts toe te wijzen voor latere stappen in hun aanval. Lightweight Directory Access Protocol (LDAP) is een van de populairste methoden die worden gebruikt voor zowel legitieme als schadelijke doeleinden om een query uit te voeren op Active Directory.
In deze detectie activeert Microsoft Defender for Identity deze waarschuwing voor reconnaissance-activiteiten voor een vooraf geconfigureerde honeytokengebruiker.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Detectie (TA0007) |
|---|---|
| MITRE-aanvalstechniek | Accountdetectie (T1087) |
| Subtechniek miTRE-aanval | Domeinaccount (T1087.002) |
Verdachte Opsomming okta-account
Ernst: Hoog
Beschrijving:
In accountinventarisatie proberen aanvallers gebruikersnamen te raden door aanmeldingen uit te voeren bij Okta met gebruikers die niet tot de organisatie behoren. We raden u aan om te onderzoeken naar het bron-IP-adres dat de mislukte pogingen uitvoert en te bepalen of ze legitiem of niet zijn.
Leerperiode:
Geen
MITRE:
| Primaire MITRE-tactiek | Eerste toegang (TA0001), Defense Evasion (TA0005), Persistentie (TA0003), Escalatie van bevoegdheden (TA0004) |
|---|---|
| MITRE-aanvalstechniek | Geldige accounts (T1078) |
| Subtechniek miTRE-aanval | Cloudaccounts (T1078.004) |