Udostępnij za pośrednictwem


Inne alerty zabezpieczeń

Zazwyczaj cyberataki są uruchamiane względem każdej dostępnej jednostki, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, aż atakujący uzyska dostęp do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Usługa Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabić ataków i klasyfikuje je w następujących fazach:

  1. Alerty rekonesansu i odnajdywania
  2. Alerty dotyczące trwałości i eskalacji uprawnień
  3. Alerty dostępu do poświadczeń
  4. Alerty dotyczące przenoszenia bocznego
  5. Inne

Aby dowiedzieć się więcej o sposobie zrozumienia struktury i typowych składników wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat prawdziwie dodatnich (TP), łagodnych wyników prawdziwie dodatnich (B-TP) i Fałszywie dodatnich (FP), zobacz Klasyfikacje alertów zabezpieczeń.

Poniższe alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie innych podejrzanych działań fazy wykrytych przez usługę Defender for Identity w sieci.

Podejrzany atak DCShadow (podwyższanie poziomu kontrolera domeny) (identyfikator zewnętrzny 2028)

Poprzednia nazwa: Podejrzana promocja kontrolera domeny (potencjalny atak DCShadow)

Ważność: Wysoka

Opis rozwiązania:

Atak w tle kontrolera domeny (DCShadow) jest atakiem przeznaczonym do zmiany obiektów katalogu przy użyciu złośliwej replikacji. Ten atak można wykonać z dowolnej maszyny, tworząc nieautoryzowany kontroler domeny przy użyciu procesu replikacji.

W ataku DCShadow, RPC i LDAP są używane do:

  1. Zarejestruj konto maszyny jako kontroler domeny (przy użyciu praw administratora domeny).
  2. Przeprowadź replikację (przy użyciu przyznanych praw replikacji) za pośrednictwem interfejsu DRSUAPI i wyślij zmiany do obiektów katalogu.

W tym wykrywaniu tożsamości w usłudze Defender jest wyzwalany alert zabezpieczeń, gdy maszyna w sieci próbuje zarejestrować się jako nieautoryzowany kontroler domeny.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Uchylanie się od obrony (TA0005)
Technika ataku MITRE Nieuczciwy kontroler domeny (T1207)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane kroki zapobiegania:

Zweryfikuj następujące uprawnienia:

  1. Replikowanie zmian katalogu.
  2. Replikuj wszystkie zmiany katalogu.
  3. Aby uzyskać więcej informacji, zobacz Udzielanie uprawnień usług domena usługi Active Directory na potrzeby synchronizacji profilów w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt programu Windows PowerShell, aby określić, kto ma te uprawnienia w domenie.

Uwaga

Podejrzane podwyższanie poziomu kontrolera domeny (potencjalny atak DCShadow) są obsługiwane tylko przez czujniki usługi Defender for Identity.

Podejrzany atak DCShadow (żądanie replikacji kontrolera domeny) (identyfikator zewnętrzny 2029)

Poprzednia nazwa: Podejrzane żądanie replikacji (potencjalny atak DCShadow)

Ważność: Wysoka

Opis rozwiązania:

Replikacja usługi Active Directory to proces, w którym zmiany wprowadzone na jednym kontrolerze domeny są synchronizowane z innymi kontrolerami domeny. Biorąc pod uwagę niezbędne uprawnienia, osoby atakujące mogą udzielać praw do konta komputera, umożliwiając im personifikację kontrolera domeny. Osoby atakujące dążą do zainicjowania złośliwego żądania replikacji, umożliwiając im zmianę obiektów usługi Active Directory na oryginalnym kontrolerze domeny, co może zapewnić osobom atakującym trwałość w domenie. W tym wykryciu alert jest wyzwalany po wygenerowaniu podejrzanego żądania replikacji względem rzeczywistego kontrolera domeny chronionego przez usługę Defender for Identity. Zachowanie wskazuje na techniki stosowane w atakach w tle kontrolera domeny.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Uchylanie się od obrony (TA0005)
Technika ataku MITRE Nieuczciwy kontroler domeny (T1207)
Sub-technika ataku MITRE Nie dotyczy

Sugerowane korygowanie i kroki zapobiegania:

Zweryfikuj następujące uprawnienia:

  1. Replikowanie zmian katalogu.
  2. Replikuj wszystkie zmiany katalogu.
  3. Aby uzyskać więcej informacji, zobacz Udzielanie uprawnień usług domena usługi Active Directory na potrzeby synchronizacji profilów w programie SharePoint Server 2013. Możesz użyć skanera listy ACL usługi AD lub utworzyć skrypt programu Windows PowerShell, aby określić, kto w domenie ma te uprawnienia.

Uwaga

Podejrzane żądania replikacji (potencjalny atak DCShadow) są obsługiwane tylko przez czujniki usługi Defender for Identity.

Podejrzane połączenie sieci VPN (identyfikator zewnętrzny 2025)

Poprzednia nazwa: Podejrzane połączenie sieci VPN

Ważność: średni rozmiar

Opis rozwiązania:

Usługa Defender for Identity uczy się zachowania jednostki dla połączeń sieci VPN użytkowników w okresie kroczącym jednego miesiąca.

Model zachowania sieci VPN jest oparty na maszynach, z których logują się użytkownicy, a lokalizacje, z których użytkownicy się łączą.

Alert jest otwierany, gdy występuje odchylenie od zachowania użytkownika na podstawie algorytmu uczenia maszynowego.

Okres nauki:

30 dni od pierwszego połączenia sieci VPN i co najmniej 5 połączeń sieci VPN w ciągu ostatnich 30 dni na użytkownika.

MITRE:

Podstawowa taktyka MITRE Uchylanie się od obrony (TA0005)
Dodatkowa taktyka MITRE Trwałość (TA0003)
Technika ataku MITRE Zewnętrzne usługi zdalne (T1133)
Sub-technika ataku MITRE Nie dotyczy

Próba wykonania kodu zdalnego (identyfikator zewnętrzny 2019)

Poprzednia nazwa: Zdalna próba wykonania kodu

Ważność: średni rozmiar

Opis rozwiązania:

Osoby atakujące, które naruszyją poświadczenia administracyjne lub używają luki zero-dniowej, mogą wykonywać polecenia zdalne na kontrolerze domeny lub serwerze usług AD FS/AD CS. Może to służyć do uzyskiwania trwałości, zbierania informacji, ataków typu "odmowa usługi" lub innych przyczyn. Usługa Defender for Identity wykrywa połączenia PSexec, Remote WMI i PowerShell.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Wykonanie (TA0002)
Dodatkowa taktyka MITRE Ruch poprzeczny (TA0008)
Technika ataku MITRE Interpreter poleceń i skryptów (T1059),Usługi zdalne (T1021)
Sub-technika ataku MITRE PowerShell (T1059.001), Zdalne zarządzanie systemem Windows (T1021.006)

Sugerowane kroki zapobiegania:

  1. Ogranicz dostęp zdalny do kontrolerów domeny z maszyn innych niż warstwa 0.
  2. Zaimplementuj uprzywilejowany dostęp, zezwalając tylko maszynom ze wzmocnionymi zabezpieczeniami na łączenie się z kontrolerami domeny dla administratorów.
  3. Zaimplementuj mniej uprzywilejowany dostęp na maszynach domeny, aby umożliwić określonym użytkownikom prawo do tworzenia usług.

Uwaga

Zdalne próby wykonania kodu alerty dotyczące próby użycia poleceń programu PowerShell są obsługiwane tylko przez czujniki usługi Defender for Identity.

Podejrzane tworzenie usługi (identyfikator zewnętrzny 2026)

Poprzednia nazwa: Podejrzane tworzenie usługi

Ważność: średni rozmiar

Opis rozwiązania:

W organizacji utworzono podejrzaną usługę na kontrolerze domeny lub serwerze usług AD FS/AD CS. Ten alert opiera się na zdarzeniu 7045 w celu zidentyfikowania tego podejrzanego działania.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Wykonanie (TA0002)
Dodatkowa taktyka MITRE Trwałość (TA0003), eskalacja uprawnień (TA0004), uchylanie się od obrony (TA0005), ruch boczny (TA0008)
Technika ataku MITRE Usługi zdalne (T1021), interpreter poleceń i skryptów (T1059), usługi systemowe (T1569), tworzenie lub modyfikowanie procesu systemowego (T1543)
Sub-technika ataku MITRE Wykonywanie usługi (T1569.002), Usługa systemu Windows (T1543.003)

Sugerowane kroki zapobiegania:

  1. Ogranicz dostęp zdalny do kontrolerów domeny z maszyn innych niż warstwa 0.
  2. Zaimplementuj uprzywilejowany dostęp , aby zezwolić tylko maszynom ze wzmocnionym zabezpieczeniami na łączenie się z kontrolerami domeny dla administratorów.
  3. Zaimplementuj mniej uprzywilejowany dostęp na maszynach domeny, aby dać tylko określonym użytkownikom prawo do tworzenia usług.

Podejrzana komunikacja za pośrednictwem systemu DNS (identyfikator zewnętrzny 2031)

Poprzednia nazwa: Podejrzana komunikacja za pośrednictwem systemu DNS

Ważność: średni rozmiar

Opis rozwiązania:

Protokół DNS w większości organizacji zwykle nie jest monitorowany i rzadko blokowany pod kątem złośliwych działań. Włączenie osoby atakującej na naruszonej maszynie w celu nadużywania protokołu DNS. Złośliwa komunikacja za pośrednictwem systemu DNS może służyć do eksfiltracji danych, polecenia i kontroli oraz/lub unikania ograniczeń sieci firmowych.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Eksfiltracja (TA0010)
Technika ataku MITRE Eksfiltracja za pośrednictwem protokołu alternatywnego (T1048), eksfiltracja przez kanał C2 (T1041), zaplanowany transfer (T1029), automatyczna eksfiltracja (T1020), protokół warstwy aplikacji (T1071)
Sub-technika ataku MITRE DNS (T1071.004), eksfiltracja za pośrednictwem niezaszyfrowanego/zaciemnionego protokołu innego niż C2 (T1048.003)

Eksfiltracja danych za pośrednictwem protokołu SMB (identyfikator zewnętrzny 2030)

Ważność: Wysoka

Opis rozwiązania:

Kontrolery domeny przechowują najbardziej poufne dane organizacyjne. W przypadku większości osób atakujących jednym z ich najważniejszych priorytetów jest uzyskanie dostępu do kontrolera domeny w celu kradzieży najbardziej poufnych danych. Na przykład eksfiltracja pliku Ntds.dit przechowywanego na kontrolerze domeny umożliwia osobie atakującej utworzenie biletu przyznawania biletów protokołu Kerberos (TGT) zapewniającej autoryzację dla dowolnego zasobu. Sfałszowane TGT protokołu Kerberos umożliwiają osobie atakującej ustawienie wygaśnięcia biletu na dowolny czas. Eksfiltracja danych usługi Defender for Identity za pośrednictwem alertu protokołu SMB jest wyzwalana po obserwowaniu podejrzanych transferów danych z monitorowanych kontrolerów domeny.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Eksfiltracja (TA0010)
Dodatkowa taktyka MITRE Ruch poprzeczny (TA0008),Command and Control (TA0011)
Technika ataku MITRE Eksfiltracja za pośrednictwem protokołu alternatywnego (T1048), transfer narzędzi bocznych (T1570)
Sub-technika ataku MITRE Eksfiltracja za pośrednictwem niezaszyfrowanego/zaciemnionego protokołu innego niż C2 (T1048.003)

Podejrzane usunięcie wpisów bazy danych certyfikatów (identyfikator zewnętrzny 2433)

Ważność: średni rozmiar

Opis rozwiązania:

Usunięcie wpisów bazy danych certyfikatów jest czerwoną flagą wskazującą potencjalne złośliwe działanie. Ten atak może zakłócić funkcjonowanie systemów infrastruktury kluczy publicznych (PKI), wpływających na uwierzytelnianie i integralność danych.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Uchylanie się od obrony (TA0005)
Technika ataku MITRE Usuwanie wskaźnika (T1070)
Sub-technika ataku MITRE Brak

Uwaga

Podejrzane usunięcie alertów wpisów bazy danych certyfikatów jest obsługiwane tylko przez czujniki usługi Defender for Identity w usługach AD CS.

Podejrzane wyłączenie filtrów inspekcji usług AD CS (identyfikator zewnętrzny 2434)

Ważność: średni rozmiar

Opis rozwiązania:

Wyłączenie filtrów inspekcji w usługach AD CS może umożliwić osobom atakującym działanie bez wykrycia. Ten atak ma na celu uniknięcie monitorowania zabezpieczeń przez wyłączenie filtrów, które w przeciwnym razie będą oznaczać podejrzane działania.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Uchylanie się od obrony (TA0005)
Technika ataku MITRE Ochrona przed upośledzeniem (T1562)
Sub-technika ataku MITRE Wyłączanie rejestrowania zdarzeń systemu Windows (T1562.002)

Zmiana hasła trybu przywracania usług katalogowych (identyfikator zewnętrzny 2438)

Ważność: średni rozmiar

Opis rozwiązania:

Tryb przywracania usług katalogowych (DSRM) to specjalny tryb rozruchu w systemach operacyjnych Microsoft Windows Server, który umożliwia administratorowi naprawianie lub przywracanie bazy danych usługi Active Directory. Ten tryb jest zwykle używany, gdy występują problemy z usługą Active Directory i normalne uruchamianie nie jest możliwe. Hasło dsRM jest ustawiane podczas podwyższania poziomu serwera na kontroler domeny. W tym wykryciu alert jest wyzwalany, gdy usługa Defender for Identity wykryje zmianę hasła modułu DSRM. Zalecamy zbadanie komputera źródłowego i użytkownika, który złożył żądanie, aby dowiedzieć się, czy zmiana hasła dsRM została zainicjowana z uzasadnionych działań administracyjnych lub jeśli zgłasza obawy dotyczące nieautoryzowanego dostępu lub potencjalnych zagrożeń bezpieczeństwa.

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Trwałość (TA0003)
Technika ataku MITRE Manipulowanie kontem (T1098)
Sub-technika ataku MITRE Nie dotyczy

Możliwa kradzież sesji Okta

Ważność: Wysoka

Opis rozwiązania:

W przypadku kradzieży sesji osoby atakujące kradną pliki cookie uzasadnionego użytkownika i używają ich z innych lokalizacji. Zalecamy zbadanie źródłowego adresu IP wykonującego operacje w celu określenia, czy te operacje są uzasadnione, czy nie, oraz że adres IP jest używany przez użytkownika.

Okres nauki:

2 tygodnie

MITRE:

Podstawowa taktyka MITRE Kolekcja (TA0009)
Technika ataku MITRE Porwanie sesji przeglądarki (T1185)
Sub-technika ataku MITRE Nie dotyczy

Manipulowanie zasadami grupy (identyfikator zewnętrzny 2440) (wersja zapoznawcza)

Ważność: średni rozmiar

Opis rozwiązania:

Wykryto podejrzaną zmianę w zasadach grupy, co powoduje dezaktywację programu antywirusowego Windows Defender. To działanie może wskazywać na naruszenie zabezpieczeń przez osobę atakującą z podwyższonym poziomem uprawnień, które mogą ustawiać etap dystrybucji oprogramowania wymuszającego okup. 

Sugerowane kroki badania:

  1. Dowiedz się, czy zmiana obiektu zasad grupy jest uzasadniona

  2. Jeśli tak nie było, przywróć zmianę

  3. Dowiedz się, jak są połączone zasady grupy, aby oszacować jej zakres wpływu

Okres nauki:

Brak

MITRE:

Podstawowa taktyka MITRE Uchylanie się od obrony (TA0005)
Technika ataku MITRE Odwróć kontrolki zaufania (T1553)
Technika ataku MITRE Odwróć kontrolki zaufania (T1553)
Sub-technika ataku MITRE Nie dotyczy

Zobacz też