Recuperando-se do comprometimento sistêmico da identidade
Este artigo descreve os recursos e recomendações da Microsoft para a recuperação de um ataque de comprometimento de identidade sistêmico contra sua organização que pode ocorrer durante um ataque de ransomware.
O conteúdo deste artigo baseia-se nas orientações fornecidas pela equipa de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP), que trabalha para responder a compromissos e ajudar os clientes a tornarem-se ciber-resilientes. Para obter mais orientações da equipe de Resposta a Incidentes da Microsoft, consulte a série de blogs de segurança da Microsoft.
Muitas organizações fizeram a transição para uma abordagem baseada na nuvem para maior segurança em seu gerenciamento de identidade e acesso. No entanto, sua organização também pode ter sistemas locais instalados e usar métodos variados de arquitetura híbrida. Este artigo reconhece que os ataques de identidade sistémica afetam a nuvem, os sistemas locais e híbridos e fornece recomendações e referências para todos estes ambientes.
Importante
Esta informação é fornecida no estado em que se encontra e constitui uma orientação generalizada; a determinação final sobre como aplicar essa orientação ao seu ambiente de TI e ao(s) locatário(s) deve considerar seu ambiente e necessidades exclusivos, que cada Cliente está na melhor posição para determinar.
Sobre o comprometimento sistêmico da identidade
Um ataque de comprometimento de identidade sistêmico em uma organização ocorre quando um invasor obtém com êxito uma posição na administração da infraestrutura de identidade de uma organização.
Se isso aconteceu com sua organização, você está em uma corrida contra o invasor para proteger seu ambiente antes que mais danos possam ser feitos.
Os invasores com controle administrativo da infraestrutura de identidade de um ambiente podem usar esse controle para criar, modificar ou excluir identidades e permissões de identidade nesse ambiente.
Em um comprometimento local, se certificados confiáveis de assinatura de token SAML não forem armazenados em um HSM, o ataque incluirá acesso a esse certificado de assinatura de token SAML confiável.
Os invasores podem usar o certificado para forjar tokens SAML para representar qualquer um dos usuários e contas existentes da organização sem exigir acesso às credenciais da conta e sem deixar vestígios.
O acesso altamente privilegiado à conta também pode ser usado para adicionar credenciais controladas por invasores a aplicativos existentes, permitindo que os invasores acessem seu sistema sem serem detetados, como chamar APIs, usando essas permissões.
Resposta ao ataque
A resposta a comprometimentos de identidade sistémica deve incluir os passos mostrados na imagem e tabela seguintes:
Passo | Description |
---|---|
Estabeleça comunicações seguras | Uma organização que tenha experimentado um comprometimento sistêmico de identidade deve assumir que toda a comunicação é afetada. Antes de tomar qualquer ação de recuperação, você deve garantir que os membros da sua equipe que são fundamentais para sua investigação e esforço de resposta possam se comunicar com segurança. Proteger as comunicações deve ser o seu primeiro passo para que possa prosseguir sem o conhecimento do atacante. |
Investigue o seu ambiente | Depois de proteger as comunicações em sua equipe de investigação principal, você pode começar a procurar pontos de acesso iniciais e técnicas de persistência. Identifique seus indícios de comprometimento e, em seguida, procure pontos de acesso iniciais e persistência. Ao mesmo tempo, comece a estabelecer operações de monitoramento contínuo durante seus esforços de recuperação. |
Melhorar a postura de segurança | Habilite os recursos e capacidades de segurança seguindo as recomendações de práticas recomendadas para melhorar a segurança do sistema no futuro. Certifique-se de continuar seus esforços de monitoramento contínuo à medida que o tempo passa e o cenário de segurança muda. |
Recupere/mantenha o controlo | Você deve recuperar o controle administrativo do seu ambiente do invasor. Depois de ter o controle novamente e ter atualizado a postura de segurança do seu sistema, certifique-se de corrigir ou bloquear todas as técnicas de persistência possíveis e novas explorações de acesso inicial. |
Estabeleça comunicações seguras
Antes de começar a responder, você deve ter certeza de que pode se comunicar com segurança sem que o invasor faça escutas. Certifique-se de isolar todas as comunicações relacionadas ao incidente para que o invasor não seja denunciado à sua investigação e seja pego de surpresa com suas ações de resposta.
Por exemplo:
Para comunicações individuais e em grupo iniciais, convém usar chamadas PSTN, pontes de conferência que não estão conectadas à infraestrutura corporativa e soluções de mensagens criptografadas de ponta a ponta.
As comunicações fora destes quadros devem ser tratadas como comprometidas e não fidedignas, a menos que sejam verificadas através de um canal seguro.
Após essas conversas iniciais, convém criar um locatário do Microsoft 365 totalmente novo, isolado do locatário de produção da organização. Crie contas apenas para o pessoal-chave que precisa fazer parte da resposta.
Se você criar um novo locatário do Microsoft 365, siga todas as práticas recomendadas para o locatário e, especialmente, para contas e direitos administrativos. Limite os direitos administrativos, sem relações de confiança para aplicativos ou fornecedores externos.
Importante
Certifique-se de que não comunica sobre o seu novo inquilino nas suas contas de e-mail existentes e potencialmente comprometidas.
Para obter mais informações, consulte Práticas recomendadas para usar o Microsoft 365 com segurança.
Identificar indícios de compromisso
Recomendamos que os clientes sigam as atualizações dos provedores de sistema, incluindo a Microsoft e quaisquer parceiros, implementem quaisquer novas deteções e proteções fornecidas e identifiquem incidentes de comprometimento (IOCs) publicados.
Verifique se há atualizações nos seguintes produtos de segurança da Microsoft e implemente as alterações recomendadas:
- Microsoft Sentinel
- Soluções e serviços de segurança do Microsoft 365
- Segurança do Windows 10 Enterprise
- Aplicativos do Microsoft Defender para Nuvem
- Microsoft Defender para IoT
A implementação de novas atualizações ajudará a identificar quaisquer campanhas anteriores e a prevenir futuras campanhas contra o seu sistema. Tenha em mente que as listas de IOCs podem não ser exaustivas e podem se expandir à medida que as investigações continuam.
Portanto, recomendamos também tomar as seguintes ações:
Certifique-se de que aplicou o benchmark de segurança na nuvem da Microsoft e está a monitorizar a conformidade através do Microsoft Defender for Cloud.
Incorpore feeds de inteligência contra ameaças em seu SIEM, por exemplo, configurando o Microsoft Purview Data Connectors no Microsoft Sentinel.
Certifique-se de que todas as ferramentas estendidas de deteção e resposta, como o Microsoft Defender para IoT, estão usando os dados de inteligência de ameaças mais recentes.
Para obter mais informações, consulte a documentação de segurança da Microsoft:
Investigue o seu ambiente
Assim que os socorristas de incidentes e o pessoal-chave tiverem um local seguro para colaborar, você poderá começar a investigar o ambiente comprometido.
Você precisará equilibrar chegar ao fundo de cada comportamento anômalo e tomar medidas rápidas para parar qualquer atividade adicional do atacante. Qualquer correção bem-sucedida requer uma compreensão do método inicial de entrada e métodos de persistência que o invasor usou, tão completo quanto possível no momento. Qualquer método de persistência perdido durante a investigação pode resultar em acesso contínuo por parte do atacante e um potencial recomprometimento.
Neste ponto, você pode querer realizar uma análise de risco para priorizar suas ações. Para obter mais informações, consulte:
- Avaliação de ameaças, vulnerabilidades e riscos de datacenter
- Rastreie e responda a ameaças emergentes com análise de ameaças
- Gestão de ameaças e vulnerabilidades
Os serviços de segurança da Microsoft fornecem amplos recursos para investigações detalhadas. As seções a seguir descrevem as principais ações recomendadas.
Nota
Se você achar que uma ou mais das fontes de log listadas não fazem parte do seu programa de segurança, recomendamos configurá-las o mais rápido possível para habilitar deteções e futuras revisões de log.
Certifique-se de configurar a retenção de logs para dar suporte às metas de investigação da sua organização no futuro. Reter provas conforme necessário para fins legais, regulamentares ou de seguros.
Investigue e analise os logs do ambiente de nuvem
Investigue e analise os logs do ambiente de nuvem em busca de ações suspeitas e indícios de comprometimento de invasores. Por exemplo, verifique os seguintes logs:
- Logs de auditoria unificados (UAL)
- Registos do Microsoft Entra
- Logs locais do Microsoft Exchange
- Logs de VPN, como do Gateway de VPN
- Logs do sistema de engenharia
- Logs de deteção de antivírus e endpoint
Revisar logs de auditoria de ponto final
Analise seus logs de auditoria de ponto de extremidade para verificar se há alterações locais, como os seguintes tipos de ações:
- Alterações na associação ao grupo
- Criação de nova conta de utilizador
- Delegações no Ative Directory
Considere especialmente qualquer uma dessas mudanças que ocorrem juntamente com outros sinais típicos de comprometimento ou atividade.
Revisar direitos administrativos em seus ambientes
Analise os direitos administrativos em seus ambientes locais e na nuvem. Por exemplo:
Environment | Description |
---|---|
Todos os ambientes na nuvem | - Revise quaisquer direitos de acesso privilegiados na nuvem e remova quaisquer permissões desnecessárias - Implementar Gestão de Identidade Privilegiada (PIM) - Configurar políticas de Acesso Condicional para limitar o acesso administrativo durante a proteção |
Todos os ambientes locais | - Revise o acesso privilegiado no local e remova permissões desnecessárias - Reduzir a participação em grupos integrados - Verificar delegações do Ative Directory - Proteja seu ambiente de Nível 0 e limite quem tem acesso a ativos de Nível 0 |
Todas as aplicações empresariais | Analise se há permissões delegadas e concessões de consentimento que permitam qualquer uma das seguintes ações: - Modificação de usuários e funções privilegiadas - Ler ou aceder a todas as caixas de correio - Envio ou encaminhamento de e-mails em nome de outros usuários - Aceder a todo o conteúdo do site do OneDrive ou SharePoint - Adicionar entidades de serviço que podem ler/gravar no diretório |
Ambientes Microsoft 365 | Reveja as definições de acesso e configuração para o seu ambiente Microsoft 365, incluindo: - Compartilhamento do SharePoint Online - Microsoft Teams - Aplicativos de energia - Microsoft OneDrive para Empresas |
Revisar contas de usuário em seus ambientes | - Revise e remova contas de usuário convidado que não são mais necessárias. - Revise as configurações de e-mail para delegados, permissões de pasta de caixa de correio, registros de dispositivos móveis ActiveSync, regras da Caixa de Entrada e opções do Outlook na Web. - Revise os direitos de representação do aplicativo e reduza ao máximo qualquer uso de autenticação herdada. - Valide se a MFA é aplicada e se as informações de contato de MFA e redefinição de senha de autoatendimento (SSPR) para todos os usuários estão corretas. |
Estabeleça um monitoramento contínuo
A deteção do comportamento do invasor inclui vários métodos e depende das ferramentas de segurança que sua organização tem disponíveis para responder ao ataque.
Por exemplo, os serviços de segurança da Microsoft podem ter recursos e orientações específicos relevantes para o ataque, conforme descrito nas seções abaixo.
Importante
Se a investigação encontrar evidências de permissões administrativas adquiridas por meio do comprometimento em seu sistema, que forneceram acesso à conta de administrador global da sua organização e/ou certificado de assinatura de token SAML confiável, recomendamos tomar medidas para corrigir e manter o controle administrativo.
Monitoramento com o Microsoft Sentinel
O Microsoft Sentinel tem muitos recursos internos para ajudar na sua investigação, como pastas de trabalho de busca e regras de análise que podem ajudar a detetar ataques em áreas relevantes do seu ambiente.
Use o hub de conteúdo do Microsoft Sentinel para instalar soluções de segurança estendidas e conectores de dados que transmitem conteúdo de outros serviços em seu ambiente. Para obter mais informações, consulte:
- Visualize e analise seu ambiente
- Detete ameaças prontas para uso
- Descubra e implante soluções prontas para uso
Monitoramento com o Microsoft Defender para IoT
Se o seu ambiente também incluir recursos de Tecnologia Operacional (OT), você pode ter dispositivos que usam protocolos especializados, que priorizam desafios operacionais em vez de segurança.
Implante o Microsoft Defender for IoT para monitorar e proteger esses dispositivos, especialmente aqueles que não estão protegidos por sistemas tradicionais de monitoramento de segurança. Instale sensores de rede do Defender for IoT em pontos de interesse específicos em seu ambiente para detetar ameaças na atividade contínua da rede usando monitoramento sem agente e inteligência dinâmica de ameaças.
Para obter mais informações, consulte Introdução ao monitoramento de segurança de rede OT.
Monitoramento com o Microsoft Defender XDR
Recomendamos que você verifique o Microsoft Defender XDR for Endpoint e o Microsoft Defender Antivirus para obter orientações específicas relevantes para o seu ataque.
Verifique outros exemplos de deteções, consultas de busca e relatórios de análise de ameaças na central de segurança da Microsoft, como no Microsoft Defender XDR, Microsoft Defender XDR for Identity e Microsoft Defender for Cloud Apps. Para garantir a cobertura, certifique-se de instalar o agente do Microsoft Defender for Identity em servidores ADFS, além de todos os controladores de domínio.
Para obter mais informações, consulte:
- Rastreie e responda a ameaças emergentes com análise de ameaças
- Compreender o relatório do analista em análise de ameaças
Monitoramento com o Microsoft Entra ID
Os logs de entrada do Microsoft Entra podem mostrar se a autenticação multifator está sendo usada corretamente. Acesse os logs de entrada diretamente da área do Microsoft Entra no portal do Azure, use o cmdlet Get-MgBetaAuditLogSignIn ou visualize-os na área Logs do Microsoft Sentinel.
Por exemplo, pesquise ou filtre os resultados para quando o campo de resultados de MFA tiver um valor de requisito de MFA satisfeito por declaração no token. Se sua organização usa o ADFS e as declarações registradas não estão incluídas na configuração do ADFS, essas declarações podem indicar atividade do invasor.
Pesquise ou filtre ainda mais os resultados para excluir ruído extra. Por exemplo, talvez você queira incluir resultados somente de domínios federados. Se você encontrar entradas suspeitas, faça uma busca detalhada ainda mais com base em endereços IP, contas de usuário e assim por diante.
A tabela a seguir descreve mais métodos para usar logs do Microsoft Entra em sua investigação:
Método | Description |
---|---|
Analise eventos de entrada arriscados | O Microsoft Entra ID e sua plataforma de Proteção de Identidade podem gerar eventos de risco associados ao uso de tokens SAML gerados por invasores. Esses eventos podem ser rotulados como propriedades desconhecidas, endereço IP anônimo, viagens impossíveis e assim por diante. Recomendamos que você analise cuidadosamente todos os eventos de risco associados a contas que tenham privilégios administrativos, incluindo aqueles que possam ter sido automaticamente descartados ou corrigidos. Por exemplo, um evento de risco ou um endereço IP anônimo pode ser corrigido automaticamente porque o usuário passou MFA. Certifique-se de usar o ADFS Connect Health para que todos os eventos de autenticação estejam visíveis no Microsoft Entra ID. |
Detetar propriedades de autenticação de domínio | Qualquer tentativa do invasor de manipular as políticas de autenticação de domínio será registrada nos logs de auditoria do Microsoft Entra e refletida no log de Auditoria Unificada. Por exemplo, revise todos os eventos associados a Definir autenticação de domínio no Log de Auditoria Unificado, nos logs de auditoria do Microsoft Entra e/ou no ambiente SIEM para verificar se todas as atividades listadas eram esperadas e planejadas. |
Detetar credenciais para aplicativos OAuth | Os invasores que obtiveram o controle de uma conta privilegiada podem procurar um aplicativo com a capacidade de acessar o e-mail de qualquer usuário na organização e, em seguida, adicionar credenciais controladas pelo invasor a esse aplicativo. Por exemplo, talvez você queira pesquisar qualquer uma das seguintes atividades, que seriam consistentes com o comportamento do invasor: - Adicionar ou atualizar credenciais da entidade de serviço - Atualização de certificados e segredos de aplicativos - Adicionar uma concessão de atribuição de função de aplicativo a um usuário - Adicionando Oauth2PermissionGrant |
Detetar o acesso a e-mails por aplicativos | Pesquise acesso ao e-mail por aplicativos em seu ambiente. Por exemplo, use os recursos Microsoft Purview Audit (Premium) para investigar contas comprometidas. |
Detetar entradas não interativas em entidades de serviço | Os relatórios de entrada do Microsoft Entra fornecem detalhes sobre quaisquer entradas não interativas que usaram credenciais da entidade de serviço. Por exemplo, você pode usar os relatórios de entrada para encontrar dados valiosos para sua investigação, como um endereço IP usado pelo invasor para acessar aplicativos de email. |
Melhorar a postura de segurança
Se tiver ocorrido um evento de segurança nos seus sistemas, recomendamos que reflita sobre a sua estratégia e prioridades de segurança atuais.
Os socorristas de incidentes são frequentemente solicitados a fornecer recomendações sobre quais investimentos a organização deve priorizar, agora que foi confrontada com novas ameaças.
Além das recomendações documentadas neste artigo, recomendamos que você considere priorizar as áreas de foco que respondem às técnicas de pós-exploração usadas por esse invasor e às lacunas comuns de postura de segurança que as habilitam.
As seções a seguir listam recomendações para melhorar a postura de segurança geral e de identidade.
Melhorar a postura geral de segurança
Recomendamos as seguintes ações para garantir a sua postura geral de segurança:
Consulte o Microsoft Secure Score para obter recomendações de fundamentos de segurança personalizadas para os produtos e serviços da Microsoft que você consome.
Certifique-se de que sua organização tenha soluções estendidas de deteção e resposta (XDR) e gerenciamento de eventos e informações de segurança (SIEM), como Microsoft Defender XDR for Endpoint, Microsoft Sentinel e Microsoft Defender for IoT.
Melhorar a postura de segurança de identidade
Recomendamos as seguintes ações para garantir a postura de segurança relacionada à identidade:
Analise as cinco etapas da Microsoft para proteger sua infraestrutura de identidade e priorize as etapas conforme apropriado para sua arquitetura de identidade.
Considere migrar para os Padrões de Segurança do Microsoft Entra para sua política de autenticação.
Elimine o uso de autenticação herdada pela sua organização, se os sistemas ou aplicativos ainda exigirem isso. Para obter mais informações, consulte Bloquear autenticação herdada para Microsoft Entra ID com acesso condicional.
Trate sua infraestrutura do ADFS e do AD Connect como um ativo de Nível 0.
Restrinja o acesso administrativo local ao sistema, incluindo a conta usada para executar o serviço ADFS.
O menor privilégio necessário para a conta que executa o ADFS é a Atribuição de Direito de Usuário de Logon como Serviço .
Restrinja o acesso administrativo a utilizadores limitados e a intervalos de endereços IP limitados utilizando políticas da Firewall do Windows para Ambiente de Trabalho Remoto.
Recomendamos que você configure uma caixa de salto de Nível 0 ou sistema equivalente.
Bloqueie todo o acesso SMB de entrada aos sistemas de qualquer lugar no ambiente. Para obter mais informações, consulte Além da borda: como proteger o tráfego SMB no Windows. Também recomendamos que você transmita os logs do Firewall do Windows para um SIEM para monitoramento histórico e proativo.
Se você estiver usando uma Conta de Serviço e seu ambiente oferecer suporte a ela, migre de uma Conta de Serviço para uma Conta de Serviço Gerenciado por Grupo (gMSA). Se não for possível mover para um gMSA, gire a senha na Conta de Serviço para uma senha complexa.
Verifique se o registro detalhado está habilitado em seus sistemas ADFS.
Remediar e manter o controlo administrativo
Se a investigação identificar que o invasor tem controle administrativo na nuvem ou no ambiente local da organização, você deverá recuperar o controle de forma a garantir que o invasor não seja persistente.
Esta seção fornece possíveis métodos e etapas a serem considerados ao criar seu plano de recuperação de controle administrativo.
Importante
As etapas exatas necessárias em sua organização dependerão da persistência que você descobriu em sua investigação e de quão confiante você está de que sua investigação foi concluída e descobriu todos os métodos de entrada e persistência possíveis.
Certifique-se de que todas as ações tomadas são executadas a partir de um dispositivo confiável, construído a partir de uma fonte limpa. Por exemplo, use uma estação de trabalho de acesso novo e privilegiado.
As seções a seguir incluem os seguintes tipos de recomendações para remediar e manter o controle administrativo:
- Removendo a confiança em seus servidores atuais
- Rotação do certificado de assinatura de token SAML ou substituição dos servidores ADFS, se necessário
- Atividades de correção específicas para ambientes na nuvem ou no local
Remover a confiança nos servidores atuais
Se sua organização perdeu o controle dos certificados de assinatura de token ou da confiança federada, a abordagem mais segura é remover a confiança e alternar para a identidade dominada pela nuvem durante a correção local.
Remover a confiança e mudar para a identidade dominada pela nuvem requer um planejamento cuidadoso e uma compreensão profunda dos efeitos da operação de negócios do isolamento da identidade. Para obter mais informações, consulte Protegendo o Microsoft 365 contra ataques locais.
Gire seu certificado de assinatura de token SAML
Se sua organização decidir não remover a confiança enquanto recupera o controle administrativo local, você terá que alternar seu certificado de assinatura de token SAML depois de ter recuperado o controle administrativo local e bloqueado a capacidade dos invasores de acessar o certificado de assinatura novamente.
Girar o certificado de assinatura de token uma única vez ainda permite que o certificado de assinatura de token anterior funcione. Continuar a permitir que os certificados anteriores funcionem é uma funcionalidade interna para rotações normais de certificados, que permite um período de carência para que as organizações atualizem quaisquer relações de confiança de terceira parte confiável antes que o certificado expire.
Se houve um ataque, você não quer que o invasor mantenha o acesso. Certifique-se de que o invasor não mantém a capacidade de forjar tokens para o seu domínio.
Para obter mais informações, consulte:
Substitua os servidores ADFS
Se, em vez de girar seu certificado de assinatura de token SAML, você decidir substituir os servidores ADFS por sistemas limpos, precisará remover o ADFS existente do seu ambiente e, em seguida, criar um novo.
Para obter mais informações, consulte Remover uma configuração.
Atividades de correção na nuvem
Além das recomendações listadas anteriormente neste artigo, também recomendamos as seguintes atividades para seus ambientes de nuvem:
Atividade | Description |
---|---|
Redefinir senhas | Redefina senhas em qualquer conta quebra-vidro e reduza o número de contas quebra-vidro para o mínimo absoluto necessário. |
Restringir contas de acesso privilegiado | Certifique-se de que as contas de serviço e de usuário com acesso privilegiado sejam contas somente na nuvem e não usem contas locais sincronizadas ou federadas com a ID do Microsoft Entra. |
Fazer cumprir a AMF | Imponha a autenticação multifator (MFA) em todos os usuários elevados no locatário. Recomendamos a imposição de MFA em todos os usuários no locatário. |
Limitar o acesso administrativo | Implemente o Gerenciamento Privilegiado de Identidades (PIM) e o acesso condicional para limitar o acesso administrativo. Para usuários do Microsoft 365, implemente o Gerenciamento de Acesso Privilegiado (PAM) para limitar o acesso a habilidades confidenciais, como Descoberta Eletrônica, Administrador Global, Administração de Conta e muito mais. |
Rever/reduzir permissões delegadas e concessões de consentimento | Analise e reduza todas as permissões delegadas ou concessões de consentimento de Aplicativos Corporativos que permitam qualquer uma das seguintes funcionalidades: - Modificação de usuários e funções privilegiadas - Leitura, envio de e-mail ou acesso a todas as caixas de correio - Aceder a conteúdos do OneDrive, Teams ou SharePoint - Adicionando Entidades de Serviço que podem ler/gravar no diretório - Permissões de aplicativos versus acesso delegado |
Atividades de remediação no local
Além das recomendações listadas anteriormente neste artigo, também recomendamos as seguintes atividades para seus ambientes locais:
Atividade | Description |
---|---|
Reconstruir sistemas afetados | Reconstrua sistemas que foram identificados como comprometidos pelo invasor durante a investigação. |
Remover usuários administradores desnecessários | Remova membros desnecessários dos grupos Administradores de Domínio, Operadores de Backup e Administradores Corporativos. Para obter mais informações, consulte Protegendo o acesso privilegiado. |
Redefinir senhas para contas privilegiadas | Redefina senhas de todas as contas privilegiadas no ambiente. Nota: As contas privilegiadas não estão limitadas a grupos internos, mas também podem ser grupos aos quais é delegado acesso à administração do servidor, administração da estação de trabalho ou outras áreas do seu ambiente. |
Redefinir a conta krbtgt | Redefina a conta krbtgt duas vezes usando o script New-KrbtgtKeys . Nota: Se estiver a utilizar Controladores de Domínio Só de Leitura, terá de executar o script separadamente para Controladores de Domínio de Leitura/Escrita e para Controladores de Domínio Só de Leitura. |
Agendar uma reinicialização do sistema | Depois de validar que nenhum mecanismo de persistência criado pelo invasor existe ou permanece no seu sistema, agende uma reinicialização do sistema para ajudar a remover malware residente na memória. |
Redefinir a senha do DSRM | Redefina a senha DSRM (Modo de Restauração dos Serviços de Diretório) de cada controlador de domínio para algo exclusivo e complexo. |
Remediar ou bloquear a persistência descoberta durante a investigação
A investigação é um processo iterativo, e você precisará equilibrar o desejo organizacional de remediar à medida que identifica anomalias e a chance de que a correção alerte o invasor sobre sua deteção e dê a ele tempo para reagir.
Por exemplo, um invasor que toma conhecimento da deteção pode alterar técnicas ou criar mais persistência.
Certifique-se de corrigir quaisquer técnicas de persistência que você identificou em estágios anteriores da investigação.
Remediar o acesso ao usuário e à conta de serviço
Além das ações recomendadas listadas acima, recomendamos que você considere as seguintes etapas para corrigir e restaurar contas de usuário:
Imponha o acesso condicional com base em dispositivos confiáveis. Se possível, recomendamos que você imponha o acesso condicional baseado em local para atender aos seus requisitos organizacionais.
Redefina as senhas após a remoção de todas as contas de usuário que possam ter sido comprometidas. Certifique-se também de implementar um plano de médio prazo para redefinir as credenciais de todas as contas em seu diretório.
Revogue os tokens de atualização imediatamente após girar suas credenciais.
Para obter mais informações, consulte:
Próximos passos
Obtenha ajuda de dentro dos produtos da Microsoft, incluindo o Portal do Microsoft Defender, o portal de conformidade do Microsoft Purview e o Centro de Conformidade do Office 365 Security & selecionando o botão Ajuda (?) na barra de navegação superior.
Para obter assistência na implantação, entre em contato conosco no FastTrack
Se você tiver necessidades relacionadas ao suporte ao produto, registre um caso de suporte da Microsoft.
Importante
Se você acredita que foi comprometido e precisa de assistência por meio de uma resposta a incidentes, abra um caso de suporte da Sev A Microsoft.