Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wszystkie alerty zabezpieczeń usługi Defender for Identity Extended Detection and Response (XDR). Alerty zabezpieczeń XDR są oparte na alertach wysyłanych przez usługę Defender for Identity do portalu Microsoft Defender.
Uwaga
Alerty, które nadal korzystają ze struktury klasycznej, można znaleźć w temacie Alerty zabezpieczeń klasycznej usługi Defender for Identity.
Mapowanie nazw alertów
Nazwy alertów w strukturze XDR różnią się od nazw alertów w klasycznej strukturze, ale identyfikatory alertów pozostają spójne między dwiema strukturami alertów.
Aby uzyskać więcej informacji, zobacz Alerty zabezpieczeń w Microsoft Defender XDR i Badanie alertów w Microsoft Defender XDR.
Alerty według kategorii
Alerty zabezpieczeń usługi Defender for Identity XDR są podzielone według kategorii lub fazy, jak pokazano w typowym łańcuchu ataków cybernetycznych.
Skorzystaj z linków w poniższej tabeli, aby przejść bezpośrednio do odpowiedniej kategorii i przejrzeć alerty dostępne dla każdej kategorii:
- Alerty dostępu poświadczeń
- Alerty dotyczące uchylania się od płacenia podatków
- Alerty odnajdywania
- Alerty wykonywania
- Alerty dostępu początkowego
- Alerty dotyczące ruchu bocznego
- Alerty dotyczące trwałości
- Alerty eskalacji uprawnień
- Alerty rekonesansu
- Alerty poleceń i kontroli
Alerty dostępu poświadczeń
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść nazwy kont i hasła z organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Konto użytkownika z naruszeniem zabezpieczeń zostało zalogowaneOpis: Przekazywanie poświadczeń doprowadziło do pomyślnego zalogowania się, potwierdzając, że konto zostało naruszone i uzyskać do nich dostęp nieautoryzowana strona. |
High (Wysoki) | T1078 | xdr_CredentialStuffingToolObserved |
Prażenie AS-REPOpis: Wykryto wiele prób zalogowania się bez wstępnego uwierzytelniania. To zachowanie może wskazywać na atak typu odpowiedź serwera uwierzytelniania (AS-REP), który jest przeznaczony dla protokołu uwierzytelniania Kerberos, w szczególności kont, które wyłączyły uwierzytelnianie wstępne. |
High (Wysoki) | T1558.004 | xdr_AsrepRoastingAttack |
Działanie honeytokenOpis: Użytkownik aplikacji Honeytoken próbował się zalogować. |
High (Wysoki) | T1098 | xdr_HoneytokenSignInAttempt |
Wykryto wiele nieudanych prób uwierzytelniania oktaOpis: Wykryto wiele nieudanych prób uwierzytelniania okta dla użytkownika {AccountUpn}. Łączna liczba nieudanych prób {TotalFailedRequestCounts} pochodzi z adresu IP {IPAddress} w ciągu 2 minut. Próby obejmowały akcje uwierzytelniania {ActionType}. To działanie wskazuje na atak siłowy lub próbę wypchania poświadczeń. Ciąg agenta użytkownika {UserAgent} był używany we wszystkich próbach. |
High (Wysoki) | T1110 | xdr_OktaMultipleFailedLogons |
Wiele nieudanych prób logowania okta po pomyślnym zalogowaniu się z nietypowym zachowaniem użytkownikaOpis: W krótkim czasie zaobserwowano wiele nieudanych prób logowania, po których nastąpiło pomyślne zalogowanie użytkownika {AccountUpn}. Działanie obejmowało właściwości wysokiego ryzyka {RiskyBehaviors}, sklasyfikowane przez firmę Okta jako {RiskLevel}. Wszystkie próby logowania pochodzą z jednego adresu IP {IPAddress}. |
High (Wysoki) | T1110, T1078 | xdr_OktaMultipleFailedLogonsFollowedBySignIn |
Atak przekaźnika NEGOEXOpis: Osoba atakująca użyła NEGOEX do personifikacji serwera, z którym klient chce się połączyć, aby osoba atakująca mogła następnie przekazać proces uwierzytelniania do dowolnego obiektu docelowego. Dzięki temu osoba atakująca może uzyskać dostęp do obiektu docelowego. NEGOEX to protokół uwierzytelniania przeznaczony do uwierzytelniania kont użytkowników w celu Microsoft Entra urządzeń przyłączonych. |
High (Wysoki) | T1187, T1557.001 | xdr_NegoexRelayAttack |
Wykryto atak wyłudzający informacje o aplikacji Okta FastPassOpis: Wykryto pomyślny atak wyłudzający informacje o usłudze Okta FastPass dla użytkownika {AccountUpn}. Początkowa próba wyłudzania informacji została odrzucona w witrynie {phishingAttemptTime}, ale naruszona sesja {SessionId} została później użyta do akcji uwierzytelniania o godzinie {Timestamp}. Sesja pochodzi z adresu IP {PhishingIPAddress}, a następnie została ponownie użyta z {ReuseIPAddress} z agentem użytkownika {ReuseUserAgent}. Poziom ryzyka: {SessionReuseRisk}. |
High (Wysoki) | T1539, T1550.004 | xdr_OktaFastPassPhishingAttempt |
Rola uprzywilejowana Okta przypisana do aplikacjiOpis: {ActorAliasName} przypisał rolę {RoleDisplayName} do aplikacji: {ApplicationDisplayName}. |
High (Wysoki) | T1003.006 | xdr_OktaPrivilegedRoleAssignedToApplication |
Możliwy wyciek wpisu tajnego kontaOpis: Wykryto nieudaną próbę zalogowania się do konta użytkownika za pomocą narzędzia do farszu poświadczeń. Kod błędu wskazuje, że wpis tajny był prawidłowy, ale nieprawidłowo użyty. Poświadczenia konta użytkownika mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
High (Wysoki) | T1078 | xdr_CredentialStuffingToolObserved |
Możliwy atak podczas pieczenia AS-REPOpis: Do kont, które nie wymagają wstępnego uwierzytelniania, zostało wysłane podejrzane żądanie uwierzytelniania Protokołu Kerberos. Osoba atakująca może przeprowadzać atak polegający na prażeniu AS-REP w celu kradzieży haseł i uzyskania dalszego dostępu do sieci. |
Średnie | T1558.004 | xdr_AsrepRoastingAttack |
Możliwy atak Golden SAMLOpis: Uprzywilejowane konto użytkownika uwierzytelnione z cechami, które mogą być związane z atakiem golden SAML. |
High (Wysoki) | T1071, T1606.002 | xdr_PossibleGoldenSamlAttack |
Możliwy atak złotego biletuOpis: Zaobserwowano podejrzane żądanie usługi przyznawania biletów protokołu Kerberos (TGS). Osoba atakująca może użyć skradzionych poświadczeń konta KRBTGT do próby ataku na złoty bilet. |
High (Wysoki) | T1558, T1558.001 | xdr_PossibleGoldenTicketAttacks |
Możliwy atak złotego biletu (CVE-2021-42287 exploit)Opis: Zaobserwowano podejrzany bilet przyznawania biletu protokołu Kerberos (TGT) zawierający nietypowy certyfikat atrybutu uprawnień protokołu Kerberos (PAC). Osoba atakująca może użyć skradzionych poświadczeń konta KRBTGT w celu podjęcia próby ataku ze złotym biletem. Ten alert jest wyzwalany, gdy osoba atakująca fałszuje lub modyfikuje pac protokołu Kerberos, próbując wykorzystać lukę w zabezpieczeniach CVE-2021-42287. Pomyślne wykorzystanie umożliwia osobom atakującym eskalowanie uprawnień i personifikowanie kont o wysokim poziomie uprawnień, powodując utworzenie biletu usługi o wyższym poziomie uprawnień przez centrum dystrybucji kluczy (KDC) z wyższym poziomem uprawnień niż konto, które zostało naruszone. Docelowy kontroler domeny jest łatany za pomocą KB5008380, co eliminuje tę lukę w zabezpieczeniach obejścia zabezpieczeń. |
High (Wysoki) | T1558, T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousPac |
Możliwy atak protokołu KerberoastingOpis: Wykryto co najmniej jedno podejrzane żądanie usługi przyznawania biletów protokołu Kerberos (TGS-REQ) pochodzące z adresu IP {SourceIpAddress}. To działanie może wskazywać na potencjalny atak protokołu Kerberoasting, w którym osoba atakująca żąda biletów usługi Kerberos dla kont z nazwami jednostki usługi (SPN) w usłudze Active Directory. Następnie osoba atakująca wyodrębnia i próbuje złamać zaszyfrowane bilety w trybie offline w celu uzyskania haseł w postaci zwykłego tekstu tych kont. Te konta docelowe mogły zostać naruszone, umożliwiając atakującemu późniejsze przenoszenie w organizacji, eskalowanie uprawnień, kradzież danych lub konfigurowanie tylnych drzwi na potrzeby przyszłego dostępu i trwałości. |
High (Wysoki) | T1558, T1558.003 | xdr_PossibleKerberoastingAttack |
Możliwy atak Kerberoasting po podejrzanym zapytaniu LDAPOpis: Po ostatnim alercie dotyczącym podejrzanego zapytania protokołu LDAP (Lightweight Directory Access Protocol) związanego z protokołem Kerberoasting wykryto co najmniej jedno podejrzane żądanie usługi przyznawania biletów protokołu Kerberos (TGS-REQ) pochodzące z adresu IP {SourceIpAddress}. To działanie może wskazywać na potencjalny atak protokołu Kerberoasting, w którym osoba atakująca wylicza konta z nazwami jednostki usługi (tj. kontami kerberoastable) w usłudze Active Directory, a następnie żąda biletów usługi Kerberos dla tych kont. Następnie osoba atakująca wyodrębnia i próbuje złamać zaszyfrowane bilety w trybie offline w celu uzyskania haseł w postaci zwykłego tekstu tych kont. |
High (Wysoki) | T1558, T1558.003, T1087, T1087.002 | xdr_PossibleKerberoastingFollowingSuspiciousLdapQuery |
Możliwy atak Kerberoasting przy użyciu niewidzialnego wyszukiwania LDAPOpis: Wykryto co najmniej jedno niewidoczne zapytanie protokołu LDAP (Lightweight Directory Access Protocol), a następnie podejrzane żądania usługi przyznawania biletów protokołu Kerberos (TGS-REQ) pochodzące z adresu IP {SourceIpAddress}. To działanie może wskazywać na próbę ataku ™kerberoasting stealthier przez uniknięcie użycia filtru zapytania LDAP "(servicePrincipalName=*)". |
High (Wysoki) | T1558, T1558.003, T1087, T1087.002 | xdr_PossibleStealthyLdapKerberoastingAttack |
Możliwy atak NetSyncOpis: NetSync to moduł w programie Mimikatz, narzędziu po eksploatacji, który żąda skrótu hasła hasła urządzenia docelowego, udając kontrolera domeny. Osoba atakująca może wykonywać złośliwe działania w sieci przy użyciu tej funkcji w celu uzyskania dostępu do zasobów organizacji. |
High (Wysoki) | T1003.006 | xdr_PossibleNetsyncAttack |
Możliwy atak wiadukt-the-hashOpis: Wykryto możliwy atak typu overpass-the-hash. W przypadku tego typu ataku osoba atakująca używa skrótu NT konta użytkownika lub innych kluczy Kerberos do uzyskania biletów protokołu Kerberos, co umożliwia nieautoryzowany dostęp do zasobów sieciowych. |
High (Wysoki) | T1550.002 | xdr_PossibleOverPassTheHash |
Możliwy wyciek wpisu tajnego konta jednostki usługiOpis: Wykryto nieudaną próbę zalogowania się do konta jednostki usługi za pomocą narzędzia do farszu poświadczeń. Kod błędu wskazuje, że wpis tajny był prawidłowy, ale nieprawidłowo użyty. Poświadczenia konta jednostki usługi mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
Średnie | T1078 | xdr_CredentialStuffingToolObserved |
Prawdopodobnie naruszone konto jednostki usługi zostało zalogowaneOpis: Prawdopodobnie naruszone konto jednostki usługi zostało zalogowane. Zautomatyzowane narzędzie używane do rekonesansu pomyślnie zalogowało się na koncie jednostki usługi, co wskazuje, że poświadczenia konta jednostki usługi mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
High (Wysoki) | T1078 | xdr_ReconnaissanceToolObsereved |
Prawdopodobnie naruszone konto jednostki usługi zostało zalogowaneOpis: Prawdopodobnie naruszone konto jednostki usługi zostało zalogowane. Próba wypchania poświadczeń została pomyślnie uwierzytelniona, co wskazuje, że poświadczenia konta jednostki usługi mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
High (Wysoki) | T1078 | xdr_CredentialStuffingToolObserved |
Prawdopodobnie naruszone konto użytkownika zostało zalogowaneOpis: Prawdopodobnie naruszone konto użytkownika zostało zalogowane. Automatyczne narzędzie używane do rekonesansu pomyślnie zalogowało się do konta użytkownika, wskazujące, że poświadczenia konta użytkownika mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
High (Wysoki) | T1078 | xdr_ReconnaissanceToolObsereved |
Podejrzenie ataku siłowego (Kerberos, NTLM)Opis: Wykryto podejrzaną siłę brutalną. Aktor zagrożeń mógł przeprowadzić siłę w usłudze Active Directory i prawdopodobnie znaleźć hasła użytkowników, co może prowadzić do poważnych zagrożeń bezpieczeństwa i naruszenia danych. |
Średnie | T1110.001 | xdr_OnPremBruteforce |
Podejrzenie ataku siłowego na uwierzytelnianie za pomocą protokołu LDAP (Lightweight Directory Access Protocol)Opis: Wykryto serię podejrzanych prób logowania z jednego urządzenia na jednym koncie użytkownika. |
Średnie | T1110.001 | xdr_LdapBindBruteforce |
Podejrzenie ataku na spray haseł (Kerberos, NTLM)Opis: Wykryto podejrzane spryskiwanie haseł. Aktor zagrożeń mógł przeprowadzić spray haseł w usłudze Active Directory i prawdopodobnie znaleźć hasła użytkowników, co może prowadzić do poważnych zagrożeń bezpieczeństwa i naruszenia danych. |
Średnie | T1110.003 | xdr_OnPremPasswordSpray |
Podejrzenie ataku na spray haseł na uwierzytelnianie za pomocą protokołu Lightweight Directory Access Protocol (LDAP)Opis: Zaobserwowano pojedyncze urządzenie próbujące zalogować się na wielu kontach użytkowników, co wskazuje na złośliwy wzorzec uwierzytelniania. |
Średnie | T1110.003 | xdr_LdapBindBruteforce |
Podejrzane tworzenie grupy ESXiOpis: W domenie utworzono podejrzaną grupę VMware ESXi. Może to wskazywać, że osoba atakująca próbuje uzyskać więcej uprawnień do późniejszych kroków ataku. |
High (Wysoki) | T1098 | xdr_SuspiciousUserAdditionToEsxGroup |
Wykryto podejrzane działanie związane z usługą DMSAOpis: Wykryto podejrzane działanie związane z usługą DMSA. Może to wskazywać na naruszenie konta zarządzanego lub próbę wykorzystania konta DMSA. |
High (Wysoki) | T1555 | xdr_SuspiciousDmsaAction |
Podejrzane udzielanie zgody aplikacji poczty e-mailOpis: Wykryto podejrzane udzielanie zgody aplikacji poczty e-mail z konta użytkownika, które mogło zostać naruszone. Osoba atakująca mogła skorzystać z niedozwolonej zgody, aby użyć legalnej aplikacji poczty e-mail w celu uzyskania nieautoryzowanego dostępu do danych użytkownika, trwałości lub złośliwego wysyłania wiadomości e-mail w imieniu użytkownika. |
Średnie | T1110.004, T1110.003 | xdr_MfaTamperingAndEmailSoftwareAbuse |
Podejrzana aktywność związana z usługą Golden gMSAOpis: Wprowadzono podejrzane działanie odczytu do poufnych obiektów zarządzanego konta usługi (gMSA), które mogą być skojarzone z aktorem zagrożeń, który próbuje wykorzystać atak Golden gMSA. |
High (Wysoki) | T1555 | xdr_SuspiciousGoldenGmsaActivity |
Podejrzane uwierzytelnianie Kerberos (AP-REQ)Opis: Wykryto podejrzane żądanie aplikacji Kerberos (AP-REQ). Osoba atakująca może użyć skradzionych poświadczeń konta usługi do próby ataku na srebrny bilet. W tego rodzaju ataku osoba atakująca tworzy bilet usługi (usługa przyznawania biletów lub usługa TGS) dla określonej usługi w sieci, co umożliwia atakującemu dostęp do tej usługi bez konieczności interakcji z kontrolerem domeny po początkowym naruszeniach zabezpieczeń. |
High (Wysoki) | T1558, T1558.002 | xdr_SuspiciousKerberosApReq |
Podejrzane uwierzytelnianie Kerberos (AS-REQ)Opis: Zaobserwowano podejrzane żądanie uwierzytelniania Kerberos (AS-REQ) dla biletu udzielającego biletu (TGT). Podejrzewa się, że to nietypowe żądanie TGT zostało specjalnie spreparowane przez osobę atakującą. Osoba atakująca może używać skradzionych poświadczeń do użycia tego ataku. |
Średnie | T1550, T1558 | xdr_SusKerberosAuth_AsReq |
Podejrzane uwierzytelnianie Kerberos (TGS-REQ)Opis: Zaobserwowano podejrzane żądanie biletu usługi przyznawania biletów protokołu Kerberos (TGS). Podejrzewa się, że to nietypowe żądanie TGS zostało specjalnie spreparowane przez osobę atakującą, prawdopodobnie przy użyciu złośliwego narzędzia. Osoba atakująca może również użyć skradzionych poświadczeń do przeprowadzenia tego ataku. Nietypowe żądania protokołu TGS protokołu Kerberos są często obserwowane w różnych technikach ataku, w tym kerberoastingu, zdalnym wykonywaniu kodu (RCE), dumpingu poświadczeń, między innymi. |
Średnie | T1550, T1558 | xdr_SusKerberosAuth_TgsReq |
Podejrzane uwierzytelnianie Kerberos (żądanie TGT przy użyciu usługi TGS-REQ)Opis: Zaobserwowano podejrzane żądanie usługi przyznawania biletów protokołu Kerberos (TGS-REQ) obejmujące rozszerzenie Service for User to Self (S4U2self). Podejrzewa się, że to nietypowe żądanie TGS zostało specjalnie spreparowane przez osobę atakującą. S4U2self to rozszerzenie, które umożliwia usłudze uzyskanie biletu usługi Kerberos w imieniu innego użytkownika. Pomyślne uwierzytelnienie przy użyciu tego rozszerzenia w przypadku określania wartości docelowej usługi krbtgt może spowodować wystawienie prawidłowych TTT w imieniu użytkownika docelowego. |
Średnie | T1550, T1558 | xdr_SusKerberosAuth_S4U2selfTgsReq |
Podejrzana próba logowania przy użyciu potencjalnie naruszonego certyfikatu kontaOpis: Zaobserwowano podejrzaną próbę logowania przy użyciu certyfikatu konta, który prawdopodobnie został naruszony. Poprzednie próby najprawdopodobniej już miały miejsce w celu kradzieży lub dodania certyfikatu do jednostki usługi, aby aktor zagrożeń mógł go użyć w przyszłości. Aktor zagrożeń mógł naruszyć certyfikat konta usługi Microsoft Entra i użyć go do logowania się do konta jednostki usługi. Jeśli nie zostanie to złagodzone, naruszenie zabezpieczeń konta jednostki usługi w usłudze Microsoft Entra może prowadzić do eskalacji uprawnień, przejęcia konta, ujawnienia poświadczeń i nieautoryzowanego dostępu do zastrzeżonych danych i plików. |
High (Wysoki) | T1649 | xdr_SuspiciousLoginWithExchange |
Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plikówOpis: Zaobserwowano podejrzane połączenie zdalnego protokołu EFSRPC (Encrypting File System Remote Protocol) z {SourceIpAddress}. To działanie jest skojarzone z aplikacją PetitPotam (CVE-2021-36942), gdzie osoba atakująca wykonuje wywołania EFSRPC do kontrolera domeny w celu wymuszenia uwierzytelniania NTLM. W przypadku pomyślnego wykorzystania może to umożliwić kradzież poświadczeń i przenoszenie poprzeczne. Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz https://security.microsoft.com/intel-explorer/cves/CVE-2021-36942. |
Średnie | T1187 | xdr_SuspiciousConnectionOverEFSRPC |
Podejrzana zmiana nazwy konta SAMOpis: Wykryto podejrzaną zmianę nazwy konta SAM, co może wskazywać na próbę wykorzystania uwierzytelniania Kerberos za pośrednictwem manipulowania czasem NTP (timeroasting). Ta technika może umożliwić osobom atakującym brutalne wymuszanie lub odtwarzanie biletów Kerberos, co prowadzi do naruszenia zabezpieczeń poświadczeń i przenoszenia bocznego. |
Średnie | T1110.001, T1558.003 | xdr_SuspiciousChangeOfSamName |
Alerty dotyczące uchylania się od płacenia podatków
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uniknąć wykrycia w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Pominięto uwierzytelnianie wieloskładnikowe na zapamiętanym urządzeniu z nietypowego logowania usługodawcy sieciowegoOpis: Podejrzana Microsoft Entra logowania od dostawcy usług internetowych (ISP), którego konto nie używało w ciągu ostatnich 30 dni, pomijało uwierzytelnianie wieloskładnikowe (MFA) na zapamiętanym urządzeniu. Oznacza to, że osoba atakująca mogła użyć skradzionego trwałego pliku cookie, który odtworzył infrastrukturę osoby atakującej zamiast normalnej sieci user’s. Ważne jest, aby zbadać i rozwiązać ten problem, ponieważ pominięta uwierzytelnianie wieloskładnikowe może prowadzić do potencjalnych zagrożeń bezpieczeństwa, takich jak nieautoryzowany dostęp, przejęcie sesji i naruszenie danych. |
Średnie | T1550.004, T1078.004 | xdr_SuspiciousMfaSkip |
Podejrzane odmowy dostępu w celu wyświetlenia podstawowego identyfikatora grupy obiektuOpis: Lista kontroli dostępu (ACL) odmówiła dostępu w celu wyświetlenia identyfikatora grupy podstawowej obiektu. Osoba atakująca mogła naruszyć konto użytkownika i chce ukryć grupę użytkownika backdoor. |
Średnie | T1564.002 | xdr_SuspiciousDenyAccessToPrimaryGroupId |
Link podejrzanego kontaOpis: Konto zostało połączone za pomocą akcji administracyjnej między dzierżawami. Akcja została wykonana w podejrzany sposób, który może wskazywać, że konto może być używane w celu obejścia uwierzytelniania wieloskładnikowego. |
Średnie | T1556 | xdr_SuspiciousAccountLink |
Podejrzana blokada właściwości dezaktywowana w aplikacji Microsoft EntraOpis: Właściwość servicePrincipalLockConfiguration.isEnabled aplikacji Microsoft Entra lub jednej ze skojarzonych z nią jednostek usługi została zmodyfikowana. Wyłączenie tej blokady powoduje usunięcie podstawowych wbudowanych zabezpieczeń chroniących przed nieautoryzowanym rotacją poświadczeń, manipulowaniem identyfikatorem URI przekierowania i niedozwolonym przyznawaniem uprawnień. Zmiany tego ustawienia są rzadkie podczas standardowych operacji administracyjnych i często sygnalizują podejrzane działania. Aktorzy zagrożeń mogą celowo wyłączyć blokadę, aby osłabić stan zabezpieczeń aplikacji, tworząc otwarcie dla eskalacji ruchu bocznego lub uprawnień w środowisku. |
Średnie | T1562.001, T1671 | xdr_SuspiciousPropertyLockEntra |
Alerty odnajdywania
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać informacje o organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Nietypowe działanie samr (wersja zapoznawcza)Opis: Wykryto nietypowe działanie protokołu zdalnego menedżera kont zabezpieczeń (SAMR), co wskazuje na potencjalne próby odnajdywania w sieci. Osoba atakująca może próbować obejść mechanizmy kontroli zabezpieczeń na potrzeby odnajdywania. |
Średnie | T1069, T1087 | xdr_SamrReconnaissanceSecurityAlert |
Atrybuty rekonesansu LDAP w usłudze Active DirectoryOpis: W usłudze Active Directory wykryto atrybuty rekonesansu protokołu LDAP (Lightweight Directory Access Protocol). Zapytania LDAP używane przez osoby atakujące zawierały atrybuty poufne, które są nietypowe dla urządzenia źródłowego. Osoby atakujące mogą próbować określić i zaplanować ruch boczny w domenie. Rekonesans LDAP usługi Active Directory jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. |
Średnie | T1087, T1069, T1087.002, T1069.002 | xdr_LdapSensitiveAttributeReconnaissance |
Wyliczona jednostka usługi synchronizacji oktaOpis: Wykryto podejrzane wyliczenie protokołu LDAP (Lightweight Directory Access Protocol) w celu znalezienia konta usługi synchronizacji okta. To zachowanie może wskazywać, że konto użytkownika zostało naruszone, a osoba atakująca używa go do wykonywania złośliwych działań. |
High (Wysoki) | T1087.002 | xdr_OktaSyncServicePrincipalEnumeration |
Możliwe wyliczenie usługi Active Directory za pośrednictwem usługi ADWSOpis: Wykryto co najmniej jedno potencjalne działania wyliczenia usługi Active Directory (AD) za pośrednictwem usług sieci Web Active Directory (ADWS). To wyliczenie może wskazywać na rekonesans osoby atakującej ™w organizacji, potencjalnie umożliwiając kolejne etapy ataków. |
Średnie | T1087, T1087.002, T1069, T1069.002, T1615 | xdr_PossibleActiveDirectoryEnumerationAdws |
Możliwe rekonesans Protokołu Kerberoasting LDAPOpis: Wykryto co najmniej jedno podejrzane działania odnajdywania protokołu LDAP (Lightweight Directory Access Protocol) związane z protokołem Kerberoasting pochodzące z adresu IP {SourceIpAddress}. To działanie może wskazywać na potencjalny atak protokołu Kerberoasting, w którym osoba atakująca wylicza konta z nazwami jednostki usługi (tj. kontami kerberoastable) w usłudze Active Directory, a następnie żąda biletów usługi Kerberos dla tych kont. Następnie osoba atakująca wyodrębnia i próbuje złamać zaszyfrowane bilety w trybie offline w celu uzyskania haseł w postaci zwykłego tekstu tych kont. Te konta docelowe mogły zostać naruszone, umożliwiając atakującemu późniejsze przenoszenie w organizacji, eskalowanie uprawnień, kradzież danych lub konfigurowanie tylnych drzwi na potrzeby przyszłego dostępu i trwałości. Zbadaj natychmiast, aby wyeliminować związane z tym zagrożenia bezpieczeństwa. |
High (Wysoki) | T1087, T1087.002, T1558.003 | xdr_PossibleKerberoastingLdapRecon |
Możliwe wyliczenie nazwy SPN za pośrednictwem usługi ADWSOpis: Wykryto co najmniej jedno potencjalne działanie skanowania nazwy głównej usługi (SPN) za pośrednictwem usług sieci Web Active Directory (ADWS). To wyliczenie może wskazywać na rekonesans osoby atakującej w organizacji i może być używane w atakach, takich jak kerberoasting. |
Średnie | T1087, T1087.002 | xdr_PossibleSpnEnumerationAdws |
Możliwe wyliczenie nazwy SPN za pośrednictwem protokołu LDAPOpis: Wykryto co najmniej jedno potencjalne działanie skanowania nazwy głównej usługi (SPN) za pośrednictwem protokołu LDAP (Lightweight Directory Access Protocol) pochodzącego z adresu IP {SourceIpAddress}. To wyliczenie może wskazywać na rekonesans osoby atakującej w organizacji i może być używane w atakach, takich jak kerberoasting. |
Średnie | T1087, T1087.002 | xdr_PossibleSpnEnumerationLdap |
Podejrzane wyliczenie konta (Kerberos, NTLM, AD FS)Opis: Wykryto podejrzane wyliczenie konta. Aktor zagrożeń mógł wyliczyć konta w usłudze Active Directory w celu identyfikowania i mapowania słabych punktów lub luk w zabezpieczeniach. Jeśli to działanie nie zostanie złagodzone, może to prowadzić do poważnych zagrożeń bezpieczeństwa i naruszenia danych. |
Średnie | T1087, T1087.002 | xdr_SuspectedAccountEnumeration |
Podejrzane dodawanie lokalnego urządzeniaOpis: Zaobserwowano podejrzane dodawanie lokalnego urządzenia. Może to stanowić kilka zagrożeń, takich jak problemy ze zgodnością, nieautoryzowany dostęp do poufnych lub poufnych danych związanych z pracą, własność intelektualna, złośliwe oprogramowanie lub atak wyłudzający informacje lub naruszenie ochrony danych. Zbadaj natychmiast, aby wyeliminować skojarzone zagrożenia bezpieczeństwa. |
High (Wysoki) | T1098.005 | xdr_SuspiciousAdditionOfOnPremDevice |
Podejrzane Microsoft Entra dołączanie lub rejestracja urządzeniaOpis: Użytkownik został podejrzanie zarejestrowany lub przyłączony do nowego urządzenia w celu Microsoft Entra, pochodzący z adresu IP zidentyfikowanego przez usługę Microsoft Threat Intelligence. Osoba atakująca mogła naruszyć bezpieczeństwo konta użytkownika w celu przeprowadzenia trwałości i przenoszenia bocznego. Zbadaj natychmiast, aby wyeliminować skojarzone zagrożenia bezpieczeństwa. |
High (Wysoki) | T1098.005 | xdr_SuspiciousDeviceRegistration |
Podejrzane zapytanie LDAPOpis: Wykryto podejrzane zapytanie protokołu LDAP (Lightweight Directory Access Protocol) skojarzone ze znanym narzędziem ataku. Osoba atakująca może przeprowadzać rekonesans w kolejnych krokach. |
High (Wysoki) | T1087.002 | xdr_SuspiciousLdapQuery |
Podejrzane wyliczenie bloku komunikatów serwera (SMB) z niezaufanego hostaOpis: Podejrzane wyliczenie sesji SMB przeznaczone dla czujnika MDI. Oznacza to rekonesans osoby atakującej mający na celu zidentyfikowanie aktywnych sesji użytkowników na hoście. |
Średnie | T1049 | xdr_SmbSessionEnumeration |
Alerty wykonywania
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uruchomić złośliwy kod w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Podejrzana instalacja usługi zdalnejOpis: Wykryto podejrzaną instalację usługi. Ta usługa została utworzona w celu wykonania potencjalnie złośliwych poleceń. Osoba atakująca może używać skradzionych poświadczeń do użycia tego ataku. Może to również wskazywać, że użyto ataku typu pass-the-hash. |
Średnie | T1569.002 | xdr_SuspiciousRemoteServiceInstallation |
Alerty dostępu początkowego
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać początkowy dostęp do organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Dostęp użytkownika anonimowego oktaOpis: Wykryto dostęp użytkownika anonimowego. |
High (Wysoki) | T1078 | xdr_OktaAnonymousUserAccess |
Spray hasła względem usługi OneLoginOpis: Podejrzany adres IP próbował uwierzytelnić się w usłudze OneLogin przy użyciu wielu prawidłowych kont. Osoba atakująca może próbować znaleźć prawidłowe poświadczenia konta użytkownika w celu późniejszego zachowania. |
Średnie | T1110.003 | xdr_OneLoginPasswordSpray |
Potencjalne nadużycie poświadczeń w uwierzytelnianiu Microsoft Entra IDOpis: Wykryto próbę uwierzytelniania, która jest zgodna z wzorcami często skojarzonymi z nadużyciami poświadczeń lub atakami tożsamości. To działanie może wskazywać na próbę zaawansowanych technik ataku ukierunkowanych na infrastrukturę tożsamości. |
High (Wysoki) | T1078.004 | xdr_SuspiciousEntraAuthentication |
Podejrzane zmiany logowania i konfiguracji kontaOpis: Zaobserwowano podejrzane zmiany logowania i konfiguracji z tego konta. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
Niskie | T1078.001 | xdr_SuspiciousSignInAndUserTampering |
Podejrzane żądanie pliku cookie Microsoft Entra od podejrzanego adresu IPAddressOpis: Pomyślne logowanie pochodzące z adresu IP skojarzonego z analizą zagrożeń (TI) próbowało zażądać pliku cookie podstawowego tokenu odświeżania (PRT) w Microsoft Entra. To działanie może wskazywać, że host kontrolowany przez osobę atakującą próbuje nadużywać uwierzytelniania PRT. |
Średnie | T1078.001 | xdr_SuspiciousEntraSignIn |
Podejrzane żądanie certyfikatu P2P Microsoft Entra od podejrzanego adresu IPAddressOpis: Pomyślne logowanie pochodzące z adresu IP skojarzonego z analizą zagrożeń (TI) próbowało zażądać certyfikatu równorzędnego (P2P) w Microsoft Entra. To działanie może wskazywać, że host kontrolowany przez osobę atakującą próbuje nadużywać uwierzytelniania opartego na certyfikatach. |
Średnie | T1078.001 | xdr_SuspiciousEntraSignIn |
Podejrzane wyliczenie konta OktaOpis: Podejrzany adres IP wyliczył konta okta. Osoba atakująca może próbować wykonać działania odnajdywania w celu późniejszego zachowania. |
High (Wysoki) | T1078.004 | xdr_SuspiciousOktaAccountEnumeration |
Podejrzane zmęczenie usługi OneLogin MFAOpis: Podejrzany adres IP wysłał kilka prób uwierzytelniania wieloskładnikowego (MFA) usługi OneLogin dla konta użytkownika. Osoba atakująca mogła naruszyć poświadczenia konta użytkownika i próbuje zalać mechanizm uwierzytelniania wieloskładnikowego. |
Średnie | T1110.003 | xdr_OneLoginMfaFatigue |
Podejrzane Sign-In z nietypowego agenta użytkownika i adresu IPOpis: W Microsoft Entra wykryto pomyślne logowanie przy użyciu nietypowego agenta użytkownika i potencjalnie złośliwego adresu IP. To działanie może wskazywać na atak na spray hasła lub przekazywanie poświadczeń pochodzący z adresu IP kontrolowanego przez osobę atakującą lub w rzadkich przypadkach konta, którego zabezpieczenia zostały naruszone w celu uzyskania nieautoryzowanego dostępu. |
Średnie | T1078.001 | xdr_SuspiciousEntraSignIn |
Podejrzane logowanie na koncie administratoraOpis: Logowanie do konta administratora zostało wykonane w podejrzany sposób. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
Niskie | T1078.001 | xdr_SuspiciousAdminAccountSignIn |
Podejrzane logowanie wykonane przy użyciu złośliwego certyfikatuOpis: Użytkownik zalogował się do organizacji przy użyciu złośliwego certyfikatu. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań oraz że złośliwa domena z certyfikatem AAD Internals jest zarejestrowana w organizacji. |
High (Wysoki) | T1078.001 | xdr_SignInUsingMaliciousCertificate |
Podejrzane logowanie do aplikacji internetowej po działaniu naruszenia numeru telefonu usługi MFAOpis: Zaobserwowano podejrzane logowanie do aplikacji internetowej po zmianach konfiguracji na koncie użytkownika. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
High (Wysoki) | T1078.001 | xdr_MfaPhoneNumberTamperingToSuspiciousWebAppSignIn |
Podejrzane logowanie do aplikacji Microsoft Sentinel utworzonej przy użyciu konta synchronizacji Microsoft Entra IDOpis: Konto synchronizacji Microsoft Entra ID Connect zalogowane do zasobu Microsoft Sentinel w nietypowy sposób. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
Niskie | T1078.001 | xdr_SuspiciousMicrosoftSentinelAccessByEntraIdSyncAccount |
Podejrzane narzędzie używane przez konto usługi Microsoft Entra SyncOpis: Wykryto podejrzane uwierzytelnianie na koncie Microsoft Entra ID zwykle używanym do operacji synchronizacji. To zachowanie może wskazywać, że konto użytkownika zostało naruszone, a osoba atakująca używa go do wykonywania złośliwych działań. |
High (Wysoki) | T1078.004 | xdr_SuspiciousToolSyncAccountSignIn |
Podejrzane logowanie agenta użytkownika Microsoft EntraOpis: Podejrzany agent użytkownika zalogowany na Microsoft Entra ID. Może to wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
Średnie | T1078.001 | xdr_SuspiciousEntraSignIn |
Synchronizowanie ryzykownego logowania konta z nietypową aplikacjąOpis: Konto synchronizacji Microsoft Entra ID Connect, które zalogowało się do ryzykownej sesji, wykonało nietypowe działania. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
High (Wysoki) | T1078.001 | xdr_RiskyEntraIDSyncAccount |
Alerty dotyczące ruchu bocznego
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować przenieść się między zasobami lub tożsamościami w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Możliwe obejście silosu uwierzytelnianiaOpis: Na tym urządzeniu wykryto możliwą próbę obejścia zasad silosu uwierzytelniania i uwierzytelnienia w usłudze chronionej przez silos. |
High (Wysoki) | T1550 | xdr_PossibleAuthenticationSiloBypass |
Możliwe przejęcie Microsoft Entra bezproblemowego konta logowania jednokrotnegoOpis: Obiekt konta Microsoft Entra bezproblemowego logowania jednokrotnego (logowanie jednokrotne), AZUREADSSOACC, został zmodyfikowany podejrzanie. Osoba atakująca może przenieść się później ze środowiska lokalnego do chmury. |
High (Wysoki) | T1556 | xdr_SuspectedAzureSsoAccountTakeover |
Podejrzane działanie po synchronizacji hasełOpis: Użytkownik wykonał nietypową akcję w aplikacji po ostatniej synchronizacji haseł. Osoba atakująca mogła naruszyć konto użytkownika w celu wykonania złośliwych działań w organizacji. |
Średnie | T1021.007 | xdr_SuspiciousActivityAfterPasswordSync |
Podejrzana próba uwierzytelnianiaOpis: Zaobserwowano podejrzaną próbę uwierzytelniania. Podejrzewa się, że to nietypowe żądanie uwierzytelniania zostało specjalnie spreparowane przez osobę atakującą. Osoba atakująca może używać skradzionego skrótu lub hasła zwykłego tekstu do uwierzytelniania, prawdopodobnie wykorzystując atak pass-the-hash lub over-pass-the-hash. Natychmiast zbadaj, aby chronić konto i organizację przed naruszeniem zabezpieczeń. |
Średnie | T1550.002 | xdr_SuspiciousAuthAttempt |
Podejrzane żądanie nazwy SPN protokołu KerberosOpis: Zaobserwowano podejrzane żądanie nazwy SPN protokołu Kerberos. Podejrzewa się, że to nietypowe żądanie zostało specjalnie spreparowane przez osobę atakującą. Osoba atakująca może używać skradzionych poświadczeń od użytkownika, który został naruszony, i wykorzystuje je do ataku protokołu Kerberoasting. |
Średnie | T1558.003 | xdr_SuspiciousAuthAttempt |
Podejrzana próba uwierzytelniania NTLM protokołu SMBOpis: Zaobserwowano próbę uwierzytelniania NTLM (New Technology LAN Manager) podejrzanego bloku komunikatów serwera (SMB) z adresu IP {SourceIpAddress}. Osoba atakująca mogła specjalnie spreparować to nietypowe żądanie uwierzytelniania przy użyciu skradzionych poświadczeń. Może to również wskazywać na atak typu pass-the-hash lub atak siłowy, potencjalne naruszenie zabezpieczeń lub naruszenie zabezpieczeń w sieci. |
Średnie | T1021.002 | xdr_SuspiciousSmbNtlmAuthenticationAttempt |
Alerty dotyczące trwałości
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować utrzymać przyczółek w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Aplikacja OAuth utworzyła użytkownikaOpis: Nowe konto użytkownika zostało utworzone przez aplikację OAuth. Osoba atakująca mogła naruszyć tę aplikację pod kątem trwałości w organizacji. |
Średnie | T1136.003 | xdr_OAuthAppCreatedAUser |
Utworzony token uprzywilejowanego interfejsu API oktaOpis: {ActorAliasName} utworzył token interfejsu API. W przypadku kradzieży może udzielić atakującemu dostępu z uprawnieniami użytkownika. |
High (Wysoki) | T1078.004 | xdr_OktaPrivilegedApiTokenCreated |
Zaktualizowano token uprzywilejowanego interfejsu API oktaOpis: {ActorAliasName} zaktualizował konfigurację tokenu uprzywilejowanego interfejsu API, aby była bardziej rozwiązła. W przypadku kradzieży może udzielić atakującemu dostępu z uprawnieniami użytkownika. |
High (Wysoki) | T1078.004 | xdr_OktaPrivilegedApiTokenUpdated |
Poświadczenia w tle dodane do kontaOpis: Wykryto wstrzyknięcie poświadczeń w tle na koncie. Może to wskazywać na trwałość lub ruch boczny. Osoby atakujące wstrzykują poświadczenia w tle do kont usługi Active Directory (AD), aby uzyskać lub utrzymać dostęp do konta, które atakują. |
High (Wysoki) | T1098 | xdr_ShadowCredentialsAttack |
Poświadczenia w tle dodane do konta i używane do uwierzytelnianiaOpis: Do konta wprowadzono poświadczenia w tle i zostały one użyte do uwierzytelniania. W takim przypadku osoby atakujące mogą pominąć tradycyjne metody kradzieży poświadczeń, aby uzyskać trwały dostęp do konta użytkownika. Oprócz trwałości, może to być również oznaką ruchu bocznego. |
High (Wysoki) | T1098 | xdr_ShadowCredentialsAttack |
Podejrzane dodawanie lokalnej listy ACLOpis: Zaobserwowano podejrzane dodawanie lokalnej listy ACL. Może to prowadzić między innymi do nieautoryzowanego dostępu, uzyskania podwyższonych uprawnień, naruszenia zabezpieczeń konta i zasobów, przenoszenia bocznego. Zbadaj natychmiast, aby wyeliminować skojarzone zagrożenia bezpieczeństwa. |
High (Wysoki) | T1098 | xdr_SuspiciousAdditionOfAcl |
Podejrzane dodawanie alternatywnego numeru telefonuOpis: Nowy alternatywny numer telefonu został dodany dla użytkownika lub użytkowników w podejrzany sposób. Osoba atakująca mogła to zrobić, aby manipulować uwierzytelnianiem wieloskładnikowym i wykorzystać uwierzytelnianie za pomocą telefonu komórkowego, aby oszukańczo uzyskać trwałość w organizacji. |
Średnie | T1556.006 | xdr_SuspiciousMFAAddition |
Podejrzane dodawanie wiadomości e-mailOpis: Dodano nową wiadomość e-mail dla wielu użytkowników w podejrzany sposób. Osoba atakująca mogła to zrobić, aby uzyskać trwałość w organizacji. |
Średnie | T1556.006 | xdr_SuspiciousMFAAddition |
Podejrzana zmiana na podstawowy identyfikator grupyOpis: Identyfikator grupy podstawowej użytkownika został zmodyfikowany. Osoba atakująca mogła naruszyć konto użytkownika i przypisać użytkownikowi backdoor silne uprawnienia w domenie do późniejszego użycia. |
High (Wysoki) | T1098 | xdr_SuspiciousChangeInUserPrimaryGroupId |
Podejrzane Microsoft Entra dołączanie lub rejestracja urządzeniaOpis: Użytkownik został podejrzanie zarejestrowany lub przyłączony do nowego urządzenia w celu Microsoft Entra. Osoba atakująca mogła naruszyć bezpieczeństwo konta użytkownika w celu przeprowadzenia trwałości i przenoszenia bocznego. Zbadaj natychmiast, aby wyeliminować skojarzone zagrożenia bezpieczeństwa. |
Średnie | T1098.005 | xdr_SuspiciousAdditionOfEntraDevice |
Dodawanie roli Podejrzana entraOpis: Użytkownik został podejrzanie przypisany do roli poufnej. Osoba atakująca mogła naruszyć bezpieczeństwo konta użytkownika w celu przeprowadzenia trwałości i przenoszenia bocznego. Zbadaj natychmiast, aby wyeliminować skojarzone zagrożenia bezpieczeństwa. |
Średnie | T1098.003 | xdr_SuspiciousAdditionOfRoleToUser |
Podejrzane zaproszenie użytkownika-gościaOpis: Nowy użytkownik-gość został zaproszony i zaakceptowany w podejrzany sposób. Osoba atakująca mogła naruszyć bezpieczeństwo konta użytkownika w organizacji i używa go do dodania nieautoryzowanego użytkownika do celów trwałości. |
Średnie | T1136.003 | xdr_SuspiciousGuestUserInvitation |
Podejrzane działanie manipulowania uwierzytelnianiem wieloskładnikowym według konta administratoraOpis: Konto administratora wykonało działanie manipulowania uwierzytelnianiem wieloskładnikowym (MFA) po ryzykownym uwierzytelnieniu. Osoba atakująca mogła naruszyć konto administratora, aby manipulować ustawieniami uwierzytelniania wieloskładnikowego pod kątem możliwych działań przenoszenia bocznego. |
Niskie | T1556.006 | xdr_AdminAccountTakeover |
Użytkownik został utworzony i przypisany do roli poufnejOpis: Nowy użytkownik został utworzony i przypisany do roli poufnej. Osoba atakująca mogła naruszyć bezpieczeństwo konta użytkownika w celu przeprowadzenia trwałości i przenoszenia bocznego. |
Średnie | T1136.003, T1098.003 | xdr_SuspiciousUserCreationAndSensitiveRoleAssignment |
Alerty eskalacji uprawnień
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać uprawnienia wyższego poziomu w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Eskalacja uprawnień usługi Okta po nietypowym zalogowaniu się przez użytkownika {ActorAliasName}Opis: Anomalous Okta sign in attempt (event {AnomalousLoginEventId}) at {AnomalousLoginTime} from IP address {IPAddress} was followed by a privileged action {PrivilegedActionType} within the same session {SessionId} at {Timestamp}. Różnice czasu między zdarzeniami: {DeltaSeconds}s. |
High (Wysoki) | T1110, T1548 | xdr_OktaPrivilegeEscalationFollowingSignIn |
Personifikacja sesji okta prowadząca do uprzywilejowanej akcji dla {AccountUpn}Opis: Sesja personifikacji Okta (zdarzenie {ImpersonationStartEventId}) została zainicjowana pod adresem {ImpersonateSessionTime} z adresu IP {IPAddress}. Akcja uprzywilejowana {PrivilegedActionType} wystąpiła w tej samej sesji {SessionId} o {Sygnatura czasowa}. Czas między zdarzeniami to {DeltaSeconds}s. |
High (Wysoki) | T1548, T1134 | xdr_OktaUserSessionImpersonationPrivilegedAction |
Ryzykowne logowanie, po którym następuje przyznanie roli uprawnieńOpis: Konto użytkownika oflagowane z oceną wysokiego ryzyka Microsoft Entra logowania zostało przypisane do roli katalogu o wysokim poziomie uprawnień, takiej jak administrator globalny lub administrator ról uprzywilejowanych wkrótce po zalogowaniu się przy użyciu operacji Dodaj członka do roli. Ta sekwencja zdecydowanie sugeruje naruszenie poświadczeń, a następnie szybką eskalację uprawnień. |
Średnie | T1078.004, T1098.003 | xdr_RiskySignInFollowedByPrivilegedRoleGrant |
Podejrzane dodawanie i usuwanie podniesionych uprawnieńOpis: Rola Microsoft Entra ID o wysokim poziomie uprawnień (na przykład administrator globalny lub administrator ról uprzywilejowanych) została przyznana użytkownikowi lub jednostce usługi i została szybko odwołana. Ten wzorzec szybkiego przypisywania i usuwania ról jest nietypowy w zwykłych administracyjnych przepływach pracy i może wskazywać na próbę uniknięcia wykrycia podczas eskalacji uprawnień. Natychmiast zbadaj ten alert, aby zapobiec nieautoryzowanemu dostępowi, eskalacji uprawnień i naruszeniom zabezpieczeń lub ograniczyć ich ryzyko. |
Średnie | T1078.004 | xdr_SuspiciousAdditionAndRemovalOfPrivilegedRole |
Podejrzane luki w zabezpieczeniach rejestracji certyfikatów nadużywające esc15Opis: Certyfikat został zarejestrowany podejrzanie. Osoba atakująca może wykorzystać lukę w zabezpieczeniach (znaną jako ESC) w celu eskalowania uprawnień w lesie. |
High (Wysoki) | T1068 | xdr_SuspectedCertificateEnrollmentESC15 |
Zaobserwowano podejrzane dodawanie domeny Microsoft EntraOpis: Zaobserwowano dodanie domeny sklasyfikowanej jako podejrzane przez usługę Microsoft Threat Intelligence. |
Średnie | T1484.002 | xdr_SuspiciousEntraDomainAddition |
Podejrzana nazwa SPN została dodana do użytkownikaOpis: Podejrzana nazwa główna usługi (SPN) została dodana do poufnego użytkownika. Osoba atakująca może próbować uzyskać podwyższony poziom dostępu na potrzeby przenoszenia bocznego w organizacji. |
High (Wysoki) | T1098 | xdr_SuspiciousAdditionOfSpnToUser |
Alerty rekonesansu
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać informacje dotyczące przyszłego ataku.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Zaobserwowano narzędzie rekonesansuOpis: Wykryto nieudaną próbę zalogowania się do konta użytkownika za pomocą narzędzia używanego do rekonesansu. Osoba atakująca może wstępnie tworzyć działania rekonesansowe w ramach przygotowań do ataku. |
High (Wysoki) | T1087 | xdr_ReconnaissanceToolObsereved |
Alerty poleceń i kontroli
W tej sekcji opisano alerty wskazujące, kiedy złośliwy aktor może próbować komunikować się z systemami, których zabezpieczenia zostały już naruszone w celu ich kontrolowania.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Podejrzane zapytanie DNS z urządzenia w organizacjiOpis: Urządzenie w organizacji wykonało zapytanie DNS do nazwy domeny, która jest identyfikowana jako podejrzana przez usługę Microsoft Threat Intelligence. |
Średnie | T1024.001, T1071 | xdr_SuspiciousActiveDirectoryDnsQuery |
Zaobserwowano podejrzane zapytanie Microsoft Entra interfejs Graph APIOpis: Zaobserwowano podejrzane działanie Microsoft Entra interfejs Graph API pochodzące z adresu IP zidentyfikowanego przez usługę Microsoft Threat Intelligence. |
Średnie | T1024.001, T1071 | xdr_SuspiciousEntraGraphCall |