Outros alertas de segurança

Normalmente, os ataques cibernéticos são lançados contra qualquer entidade acessível, como um usuário com poucos privilégios, e depois se movem rapidamente lateralmente até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender for Identity identifica essas ameaças avançadas na origem em toda a cadeia de destruição de ataques e as classifica nas seguintes fases:

  1. Alertas de reconhecimento e descoberta
  2. Alertas de persistência e escalonamento de privilégios
  3. Alertas de acesso a credenciais
  4. Alertas de movimento lateral
  5. Outro

Para saber mais sobre como entender a estrutura e os componentes comuns de todos os alertas de segurança do Defender for Identity, consulte Noções básicas sobre alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP), Benigno verdadeiro positivo (B-TP) e Falso positivo (FP), consulte as classificações de alerta de segurança.

Os alertas de segurança a seguir ajudam a identificar e corrigir atividades suspeitas de outras fases detetadas pelo Defender for Identity em sua rede.

Suspeita de ataque DCShadow (promoção do controlador de domínio) (ID externo 2028)

Nome anterior: Promoção suspeita do controlador de domínio (potencial ataque DCShadow)

Gravidade: Alta

Description:

Um ataque de sombra do controlador de domínio (DCShadow) é um ataque projetado para alterar objetos de diretório usando replicação mal-intencionada. Este ataque pode ser executado a partir de qualquer máquina, criando um controlador de domínio não autorizado usando um processo de replicação.

Em um ataque DCShadow, RPC e LDAP são usados para:

  1. Registre a conta da máquina como um controlador de domínio (usando direitos de administrador de domínio).
  2. Execute a replicação (usando os direitos de replicação concedidos) sobre DRSUAPI e envie alterações para objetos de diretório.

Neste Defender for Identity detection, um alerta de segurança é acionado quando uma máquina na rede tenta se registrar como um controlador de domínio não autorizado.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Evasão de Defesa (TA0005)
Técnica de ataque MITRE Controlador de domínio não autorizado (T1207)
Subtécnica de ataque MITRE N/A

Passos sugeridos para prevenção:

Valide as seguintes permissões:

  1. Replicar alterações de diretório.
  2. Replicar alterações de diretório tudo.
  3. Para obter mais informações, consulte Conceder permissões aos Serviços de Domínio Ative Directory para sincronização de perfis no SharePoint Server 2013. Você pode usar o AD ACL Scanner ou criar um script do Windows PowerShell para determinar quem tem essas permissões no domínio.

Nota

Os alertas suspeitos de promoção do controlador de domínio (potencial ataque DCShadow) são suportados apenas pelos sensores do Defender for Identity.

Suspeita de ataque DCShadow (solicitação de replicação do controlador de domínio) (ID externo 2029)

Nome anterior: Solicitação de replicação suspeita (possível ataque DCShadow)

Gravidade: Alta

Description:

A replicação do Ative Directory é o processo pelo qual as alterações feitas em um controlador de domínio são sincronizadas com outros controladores de domínio. Dadas as permissões necessárias, os invasores podem conceder direitos para sua conta de máquina, permitindo que eles se passem por um controlador de domínio. Os invasores se esforçam para iniciar uma solicitação de replicação mal-intencionada, permitindo que alterem objetos do Ative Directory em um controlador de domínio genuíno, o que pode dar aos invasores persistência no domínio. Nessa deteção, um alerta é acionado quando uma solicitação de replicação suspeita é gerada contra um controlador de domínio genuíno protegido pelo Defender for Identity. O comportamento é indicativo de técnicas usadas em ataques de sombra do controlador de domínio.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Evasão de Defesa (TA0005)
Técnica de ataque MITRE Controlador de domínio não autorizado (T1207)
Subtécnica de ataque MITRE N/A

Sugestões de remediação e medidas de prevenção:

Valide as seguintes permissões:

  1. Replicar alterações de diretório.
  2. Replicar alterações de diretório tudo.
  3. Para obter mais informações, consulte Conceder permissões aos Serviços de Domínio Ative Directory para sincronização de perfis no SharePoint Server 2013. Você pode usar o AD ACL Scanner ou criar um script do Windows PowerShell para determinar quem no domínio tem essas permissões.

Nota

Os alertas de solicitação de replicação suspeita (potencial ataque DCShadow) são suportados apenas pelos sensores do Defender for Identity.

Conexão VPN suspeita (ID externo 2025)

Nome anterior: Conexão VPN suspeita

Gravidade: Média

Description:

O Defender for Identity aprende o comportamento da entidade para conexões VPN de usuários durante um período deslizante de um mês.

O modelo de comportamento VPN é baseado nas máquinas nas quais os usuários fazem login e nos locais dos quais os usuários se conectam.

Um alerta é aberto quando há um desvio do comportamento do usuário com base em um algoritmo de aprendizado de máquina.

Período de aprendizagem:

30 dias a partir da primeira conexão VPN e pelo menos 5 conexões VPN nos últimos 30 dias, por usuário.

MITRE:

Tática MITRE primária Evasão de Defesa (TA0005)
Tática MITRE secundária Persistência (TA0003)
Técnica de ataque MITRE Serviços remotos externos (T1133)
Subtécnica de ataque MITRE N/A

Tentativa de execução remota de código (ID externo 2019)

Nome anterior: Tentativa de execução remota de código

Gravidade: Média

Description:

Os invasores que comprometem credenciais administrativas ou usam uma exploração de dia zero podem executar comandos remotos no controlador de domínio ou no servidor AD FS / AD CS. Isso pode ser usado para ganhar persistência, coletar informações, ataques de negação de serviço (DOS) ou qualquer outro motivo. O Defender for Identity deteta conexões PSexec, WMI remoto e PowerShell.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Execução (TA0002)
Tática MITRE secundária Movimento Lateral (TA0008)
Técnica de ataque MITRE Interpretador de Comandos e Scripts (T1059),Serviços Remotos (T1021)
Subtécnica de ataque MITRE PowerShell (T1059.001), Gerenciamento Remoto do Windows (T1021.006)

Passos sugeridos para prevenção:

  1. Restrinja o acesso remoto a controladores de domínio de máquinas que não sejam de Nível 0.
  2. Implemente acesso privilegiado, permitindo que apenas máquinas protegidas se conectem a controladores de domínio para administradores.
  3. Implemente acesso menos privilegiado em máquinas de domínio para permitir que usuários específicos tenham o direito de criar serviços.

Nota

Os alertas de tentativa de execução remota de código sobre tentativas de uso de comandos Powershell são suportados apenas pelos sensores do Defender for Identity.

Criação de serviço suspeito (ID externo 2026)

Nome anterior: Criação de serviço suspeito

Gravidade: Média

Description:

Um serviço suspeito foi criado em um controlador de domínio ou servidor AD FS / AD CS em sua organização. Este alerta baseia-se no evento 7045 para identificar esta atividade suspeita.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Execução (TA0002)
Tática MITRE secundária Persistência (TA0003), Escalonamento de Privilégios (TA0004), Evasão de Defesa (TA0005), Movimento Lateral (TA0008)
Técnica de ataque MITRE Serviços Remotos (T1021), Interpretador de Comandos e Scripts (T1059), Serviços do Sistema (T1569), Criar ou Modificar Processo do Sistema (T1543)
Subtécnica de ataque MITRE Execução de Serviço (T1569.002), Serviço Windows (T1543.003)

Passos sugeridos para prevenção:

  1. Restrinja o acesso remoto a controladores de domínio de máquinas que não sejam de Nível 0.
  2. Implemente acesso privilegiado para permitir que apenas máquinas protegidas se conectem a controladores de domínio para administradores.
  3. Implemente acesso menos privilegiado em máquinas de domínio para dar a apenas usuários específicos o direito de criar serviços.

Comunicação suspeita através de DNS (ID externo 2031)

Nome anterior: Comunicação suspeita através de DNS

Gravidade: Média

Description:

O protocolo DNS na maioria das organizações normalmente não é monitorado e raramente é bloqueado por atividades maliciosas. Permitir que um invasor em uma máquina comprometida abuse do protocolo DNS. A comunicação maliciosa através de DNS pode ser utilizada para exfiltração, comando e controlo de dados e/ou para contornar restrições da rede empresarial.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Exfiltração (TA0010)
Técnica de ataque MITRE Exfiltração sobre protocolo alternativo (T1048), exfiltração sobre canal C2 (T1041), transferência programada (T1029), exfiltração automatizada (T1020), protocolo de camada de aplicação (T1071)
Subtécnica de ataque MITRE DNS (T1071.004), Exfiltração através do protocolo não-C2 não encriptado/ofuscado (T1048.003)

Exfiltração de dados sobre SMB (ID externo 2030)

Gravidade: Alta

Description:

Os controladores de domínio armazenam os dados organizacionais mais confidenciais. Para a maioria dos atacantes, uma das suas principais prioridades é obter acesso ao controlador de domínio, para roubar os seus dados mais sensíveis. Por exemplo, a exfiltração do arquivo Ntds.dit, armazenado no DC, permite que um invasor forje tíquetes Kerberos concedendo tíquetes (TGT) fornecendo autorização para qualquer recurso. Os TGTs Kerberos forjados permitem que o invasor defina a expiração do tíquete para qualquer momento arbitrário. Um alerta de exfiltração de dados de identidade do Defender for SMB é acionado quando transferências suspeitas de dados são observadas a partir de seus controladores de domínio monitorados.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Exfiltração (TA0010)
Tática MITRE secundária Movimento Lateral (TA0008), Comando e Controlo (TA0011)
Técnica de ataque MITRE Exfiltração sobre Protocolo Alternativo (T1048), Transferência Lateral de Ferramentas (T1570)
Subtécnica de ataque MITRE Exfiltração sobre protocolo não-C2 não criptografado/ofuscado (T1048.003)

Exclusão suspeita das entradas do banco de dados de certificados (ID externo 2433)

Gravidade: Média

Description:

A exclusão de entradas do banco de dados de certificados é um sinal de alerta, indicando potencial atividade maliciosa. Este ataque pode perturbar o funcionamento dos sistemas de Infraestrutura de Chave Pública (PKI), afetando a autenticação e a integridade dos dados.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Evasão de Defesa (TA0005)
Técnica de ataque MITRE Remoção do indicador (T1070)
Subtécnica de ataque MITRE N/A

Nota

A exclusão suspeita dos alertas de entradas do banco de dados de certificados só é suportada pelos sensores do Defender for Identity no AD CS.

Desativação suspeita de filtros de auditoria do AD CS (ID externa 2434)

Gravidade: Média

Description:

A desativação dos filtros de auditoria no AD CS pode permitir que os invasores operem sem serem detetados. Este ataque visa escapar à monitorização de segurança, desativando filtros que, de outra forma, sinalizariam atividades suspeitas.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Evasão de Defesa (TA0005)
Técnica de ataque MITRE Defesas Prejudicadas (T1562)
Subtécnica de ataque MITRE Desativar o registo de eventos do Windows (T1562.002)

Alteração de senha do modo de restauração dos serviços de diretório (ID externo 2438) (visualização)

Gravidade: Média

Description:

O Modo de Restauração dos Serviços de Diretório (DSRM) é um modo de inicialização especial nos sistemas operacionais Microsoft Windows Server que permite que um administrador repare ou restaure o banco de dados do Ative Directory. Esse modo normalmente é usado quando há problemas com o Ative Directory e a inicialização normal não é possível. A senha DSRM é definida durante a promoção de um servidor para um controlador de domínio. Nessa deteção, um alerta é acionado quando o Defender for Identity deteta que uma senha DSRM foi alterada. Recomendamos investigar o computador de origem e o usuário que fez a solicitação para entender se a alteração de senha do DSRM foi iniciada a partir de uma ação administrativa legítima ou se levanta preocupações sobre acesso não autorizado ou possíveis ameaças à segurança.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Persistência (TA0003)
Técnica de ataque MITRE Manipulação de conta (T1098)
Subtécnica de ataque MITRE N/A

Possível roubo de sessão Okta

Gravidade: Alta

Description:

No roubo de sessão, os atacantes roubam os cookies do utilizador legítimo e usam-nos de outros locais. Recomendamos investigar o IP de origem que executa as operações para determinar se essas operações são legítimas ou não, e se o endereço IP é usado pelo usuário.

Período de aprendizagem:

2 semanas

MITRE:

Tática MITRE primária Coleção (TA0009)
Técnica de ataque MITRE Sequestro de sessão do navegador (T1185)
Subtécnica de ataque MITRE N/A

Consulte também