Alertas de reconhecimento e descoberta

Normalmente, os ataques cibernéticos são lançados contra qualquer entidade acessível, como um usuário com poucos privilégios, e depois se movem rapidamente lateralmente até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender for Identity identifica essas ameaças avançadas na origem em toda a cadeia de destruição de ataques e as classifica nas seguintes fases:

  1. Reconhecimento e descoberta
  2. Alertas de persistência e escalonamento de privilégios
  3. Alertas de acesso a credenciais
  4. Alertas de movimento lateral
  5. Outros alertas

Para saber mais sobre como entender a estrutura e os componentes comuns de todos os alertas de segurança do Defender for Identity, consulte Noções básicas sobre alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP), Benigno verdadeiro positivo (B-TP) e Falso positivo (FP), consulte as classificações de alerta de segurança.

Os alertas de segurança a seguir ajudam a identificar e corrigir atividades suspeitas da fase de reconhecimento e descoberta detetadas pelo Defender for Identity em sua rede.

O reconhecimento e a descoberta consistem em técnicas que um adversário pode usar para obter conhecimento sobre o sistema e a rede interna. Estas técnicas ajudam os adversários a observar o ambiente e a orientarem-se antes de decidirem como agir. Eles também permitem que os adversários explorem o que podem controlar e o que está ao redor de seu ponto de entrada para descobrir como isso pode beneficiar seu objetivo atual. As ferramentas nativas do sistema operacional são frequentemente usadas para esse objetivo de coleta de informações pós-comprometimento. No Microsoft Defender for Identity, esses alertas geralmente envolvem enumeração de conta interna com técnicas diferentes.

Reconhecimento de enumeração de conta (ID externo 2003)

Nome anterior: Reconhecimento usando enumeração de conta

Gravidade: Média

Description:

No reconhecimento de enumeração de conta, um invasor usa um dicionário com milhares de nomes de usuário ou ferramentas como KrbGuess na tentativa de adivinhar nomes de usuário no domínio.

Kerberos: O invasor faz solicitações Kerberos usando esses nomes para tentar encontrar um nome de usuário válido no domínio. Quando uma suposição determina com êxito um nome de usuário, o invasor obtém a Pré-autenticação necessária em vez do erro Kerberos desconhecido da entidade de segurança.

NTLM: O invasor faz solicitações de autenticação NTLM usando o dicionário de nomes para tentar encontrar um nome de usuário válido no domínio. Se uma suposição determinar com êxito um nome de usuário, o invasor receberá o erro NTLM WrongPassword (0xc000006a) em vez de NoSuchUser (0xc0000064 ).

Nessa deteção de alerta, o Defender for Identity deteta de onde veio o ataque de enumeração de conta, o número total de tentativas de adivinhação e quantas tentativas foram correspondidas. Se houver muitos usuários desconhecidos, o Defender for Identity detetará como uma atividade suspeita. O alerta é baseado em eventos de autenticação de sensores em execução no controlador de domínio e servidores AD FS / AD CS.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE Conta de Domínio (T1087.002)

Passos sugeridos para prevenção:

  1. Impor senhas complexas e longas na organização. Senhas complexas e longas fornecem o primeiro nível necessário de segurança contra ataques de força bruta. Os ataques de força bruta são normalmente o próximo passo na cadeia de abate de ciberataques após a enumeração.

Reconhecimento de enumeração de conta (LDAP) (ID externo 2437) (Visualização)

Gravidade: Média

Description:

No reconhecimento de enumeração de contas, um invasor usa um dicionário com milhares de nomes de usuário ou ferramentas como Ldapnomnom na tentativa de adivinhar nomes de usuário no domínio.

LDAP: O invasor faz solicitações de ping LDAP (cLDAP) usando esses nomes para tentar encontrar um nome de usuário válido no domínio. Se uma suposição determinar com êxito um nome de usuário, o invasor poderá receber uma resposta indicando que o usuário existe no domínio.

Nessa deteção de alerta, o Defender for Identity deteta de onde veio o ataque de enumeração de conta, o número total de tentativas de adivinhação e quantas tentativas foram correspondidas. Se houver muitos usuários desconhecidos, o Defender for Identity detetará como uma atividade suspeita. O alerta é baseado em atividades de pesquisa LDAP de sensores em execução em servidores de controlador de domínio.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE Conta de Domínio (T1087.002)

Reconhecimento de mapeamento de rede (DNS) (ID externo 2007)

Nome anterior: Reconhecimento usando DNS

Gravidade: Média

Description:

O seu servidor DNS contém um mapa de todos os computadores, endereços IP e serviços na sua rede. Essas informações são usadas por invasores para mapear sua estrutura de rede e direcionar computadores interessantes para etapas posteriores em seu ataque.

Existem vários tipos de consulta no protocolo DNS. Este alerta de segurança do Defender for Identity deteta pedidos suspeitos, quer pedidos que utilizem um AXFR (transferência) proveniente de servidores não DNS, quer pedidos que utilizem um número excessivo de pedidos.

Período de aprendizagem:

Este alerta tem um período de aprendizagem de oito dias a partir do início da monitorização do controlador de domínio.

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Deteção de Conta (T1087), Análise de Serviço de Rede (T1046), Deteção Remota de Sistema (T1018)
Subtécnica de ataque MITRE N/A

Passos sugeridos para prevenção:

É importante prevenir ataques futuros usando consultas AXFR protegendo seu servidor DNS interno.

  • Proteja seu servidor DNS interno para impedir o reconhecimento usando DNS desativando as transferências de zona ou restringindo as transferências de zona apenas para endereços IP especificados. Modificar transferências de zona é uma tarefa entre uma lista de verificação que deve ser abordada para proteger seus servidores DNS contra ataques internos e externos.

Reconhecimento de usuários e endereços IP (SMB) (ID externo 2012)

Nome anterior: Reconhecimento usando enumeração de sessão SMB

Gravidade: Média

Description:

A enumeração usando o protocolo SMB (Server Message Block) permite que os invasores obtenham informações sobre onde os usuários fizeram logon recentemente. Uma vez que os invasores tenham essas informações, eles podem se mover lateralmente na rede para chegar a uma conta confidencial específica.

Nessa deteção, um alerta é acionado quando uma enumeração de sessão SMB é executada em um controlador de domínio.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Deteção de Conta (T1087), Deteção de Ligações de Rede do Sistema (T1049)
Subtécnica de ataque MITRE Conta de Domínio (T1087.002)

Reconhecimento de membros de usuários e grupos (SAMR) (ID externo 2021)

Nome anterior: Reconhecimento usando consultas de serviços de diretório

Gravidade: Média

Description:

O reconhecimento de membros de usuários e grupos é usado por invasores para mapear a estrutura de diretórios e direcionar contas privilegiadas para etapas posteriores de seu ataque. O protocolo SAM-R (Security Account Manager Remote) é um dos métodos usados para consultar o diretório para executar esse tipo de mapeamento. Nessa deteção, nenhum alerta é acionado no primeiro mês após a implantação do Defender for Identity (período de aprendizagem). Durante o período de aprendizagem, o Defender for Identity perfila quais consultas SAM-R são feitas a partir de quais computadores, tanto a enumeração quanto as consultas individuais de contas confidenciais.

Período de aprendizagem:

Quatro semanas por controlador de domínio a partir da primeira atividade de rede do SAMR em relação ao DC específico.

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Deteção de Conta (T1087), Deteção de Grupos de Permissões (T1069)
Subtécnica de ataque MITRE Conta de Domínio (T1087.002), Grupo de Domínio (T1069.002)

Passos sugeridos para prevenção:

  1. Aplique o acesso à rede e restrinja os clientes autorizados a fazer chamadas remotas para a diretiva de grupo SAM.

Reconhecimento de atributos do Ative Directory (LDAP) (ID externo 2210)

Gravidade: Média

Description:

O reconhecimento LDAP do Ative Directory é usado por invasores para obter informações críticas sobre o ambiente de domínio. Essas informações podem ajudar os invasores a mapear a estrutura do domínio, bem como identificar contas privilegiadas para uso em etapas posteriores em sua cadeia de eliminação de ataque. O protocolo LDAP (Lightweight Directory Access Protocol) é um dos métodos mais populares usados para fins legítimos e maliciosos para consultar o Ative Directory.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de Conta (T1087), Execução de Comando Indireto (T1202), Descoberta de Grupos de Permissão (T1069)
Subtécnica de ataque MITRE Conta de Domínio (T1087.002), Grupos de Domínio (T1069.002)

O Honeytoken foi consultado via SAM-R (ID externo 2439)

Gravidade: Baixa

Description:

O reconhecimento de usuários é usado por invasores para mapear a estrutura de diretórios e direcionar contas privilegiadas para etapas posteriores de seu ataque. O protocolo SAM-R (Security Account Manager Remote) é um dos métodos usados para consultar o diretório para executar esse tipo de mapeamento. Nessa deteção, o Microsoft Defender for Identity disparará esse alerta para quaisquer atividades de reconhecimento contra um usuário honeytoken pré-configurado

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE Conta de Domínio (T1087.002)

O Honeytoken foi consultado via LDAP (ID externo 2429)

Gravidade: Baixa

Description:

O reconhecimento de usuários é usado por invasores para mapear a estrutura de diretórios e direcionar contas privilegiadas para etapas posteriores de seu ataque. O protocolo LDAP (Lightweight Directory Access Protocol) é um dos métodos mais populares usados para fins legítimos e maliciosos para consultar o Ative Directory.

Nessa deteção, o Microsoft Defender for Identity disparará esse alerta para quaisquer atividades de reconhecimento contra um usuário honeytoken pré-configurado.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE Conta de Domínio (T1087.002)

Enumeração de conta Okta suspeita

Gravidade: Alta

Description:

Na enumeração de contas, os invasores tentarão adivinhar nomes de usuários executando logins no Okta com usuários que não pertencem à organização. Recomendamos investigar o IP de origem executando as tentativas fracassadas e determinar se elas são legítimas ou não.

Período de aprendizagem:

Nenhuma

MITRE:

Tática MITRE primária Acesso Inicial (TA0001), Evasão de Defesa (TA0005), Persistência (TA0003), Escalonamento de Privilégios (TA0004)
Técnica de ataque MITRE Contas válidas (T1078)
Subtécnica de ataque MITRE Contas na nuvem (T1078.004)

Consulte também