Другие оповещения системы безопасности
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются позже, пока злоумышленник не получит доступ к ценным ресурсам. Ценные ресурсы могут быть конфиденциальными учетными записями, администраторами домена или конфиденциальными данными. Microsoft Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку атаки, и классифицировать их по следующим этапам:
- Оповещения о разведке и обнаружении
- Оповещения о сохраняемости и эскалации привилегий
- Оповещения о доступе к учетным данным
- Оповещения бокового перемещения
- Другое
Дополнительные сведения о структуре и общих компонентах всех оповещений системы безопасности Defender для удостоверений см. в разделе Основные сведения об оповещениях безопасности. Сведения о истинном положительном (TP), доброкачественном истинном положительном (B-TP) и ложноположительных (FP) см . в классификациях оповещений системы безопасности.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия других этапов, обнаруженные Defender для удостоверений в сети.
Подозреваемая атака DCShadow (повышение уровня контроллера домена) (внешний идентификатор 2028)
Предыдущее имя: повышение уровня подозрительного контроллера домена (потенциальная атака DCShadow)
Серьезность: высокий уровень
Описание.
Атака теневого контроллера домена (DCShadow) — это атака, предназначенная для изменения объектов каталога с помощью вредоносных реплика. Эту атаку можно выполнить с любого компьютера, создав изгоев контроллер домена с помощью процесса реплика.
В атаке DCShadow, RPC и LDAP используются:
- Зарегистрируйте учетную запись компьютера в качестве контроллера домена (с правами администратора домена).
- Выполните реплика tion (используя предоставленные права реплика tion) через DRSUAPI и отправьте изменения в объекты каталога.
При таком обнаружении Defender для удостоверений оповещение системы безопасности активируется при попытке регистрации компьютера в сети в качестве неавторизованного контроллера домена.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Метод атаки MITRE | Rogue Domain Controller (T1207) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
Проверьте следующие разрешения:
- Репликация изменений каталога.
- Репликация всех изменений каталога.
- Дополнительные сведения см. в статье Предоставление разрешений домен Active Directory Services для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто имеет эти разрешения в домене.
Примечание.
Оповещения о подозрительном повышении роли контроллера домена (потенциальная атака DcShadow) доступны только для датчиков Defender для удостоверений.
Подозреваемая атака DCShadow (запрос реплика tion контроллера домена) (внешний идентификатор 2029)
Предыдущее имя: подозрительный запрос реплика tion (потенциальная атака DCShadow)
Серьезность: высокий уровень
Описание.
Реплика active Directory — это процесс, с помощью которого изменения, внесенные на одном контроллере домена, синхронизируются с другими контроллерами домена. С учетом необходимых разрешений злоумышленники могут предоставить права для учетной записи компьютера, позволяя им олицетворить контроллер домена. Злоумышленники стремятся инициировать вредоносный запрос реплика tion, что позволяет им изменять объекты Active Directory на подлинном контроллере домена, что может дать злоумышленникам сохраняемость в домене. При таком обнаружении оповещение активируется, когда инициирован подозрительный запрос на репликацию подлинного контроллера домена, защищенного с помощью службы Defender для удостоверений. Поведение свидетельствует о методах, используемых в теневых атаках контроллера домена.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Метод атаки MITRE | Rogue Domain Controller (T1207) |
| Подтехника атаки MITRE | Н/П |
Предлагаемое исправление и шаги по предотвращению:
Проверьте следующие разрешения:
- Репликация изменений каталога.
- Репликация всех изменений каталога.
- Дополнительные сведения см. в статье Предоставление разрешений домен Active Directory Services для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения.
Примечание.
Оповещения о подозрительных запросах на репликацию (потенциальная атака DcShadow) доступны только для датчиков Defender для удостоверений.
Подозрительное VPN-подключение (внешний идентификатор 2025)
Предыдущее имя: подозрительное VPN-подключение
Серьезность: средний
Описание.
Defender для удостоверений изучает поведение сущности для VPN-подключений пользователя со скользящим периодом в один месяц.
Модель поведения VPN основана на компьютерах, которые входят в систему, и расположения, из из которые подключаются пользователи.
Оповещение открывается при отклонении от поведения пользователя на основе алгоритма машинного обучения.
Обучение период:
30 дней с первого VPN-подключения и по крайней мере 5 VPN-подключений за последние 30 дней на пользователя.
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Дополнительная тактика MITRE | Сохраняемость (TA0003) |
| Метод атаки MITRE | Внешние удаленные службы (T1133) |
| Подтехника атаки MITRE | Н/П |
Попытка удаленного выполнения кода (внешний идентификатор 2019)
Предыдущее имя: попытка удаленного выполнения кода
Серьезность: средний
Описание.
Злоумышленники, которые компрометируют учетные данные администратора или используют эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена или сервере AD FS / AD CS. Это можно использовать для сохранения, сбора информации, атак типа "отказ в обслуживании" или других причин. Defender для удостоверений обнаруживает подключение PSexec, PowerShell и удаленные подключения WMI.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Выполнение (TA0002) |
|---|---|
| Дополнительная тактика MITRE | Боковое движение (TA0008) |
| Метод атаки MITRE | Интерпретатор команд и скриптов (T1059),удаленные службы (T1021) |
| Подтехника атаки MITRE | PowerShell (T1059.001), удаленное управление Windows (T1021.006) |
Рекомендуемые шаги по предотвращению:
- Ограничение удаленного доступа к контроллерам домена с компьютеров, отличных от уровня 0.
- Реализуйте привилегированный доступ, позволяя только защищенным компьютерам подключаться к контроллерам домена для администраторов.
- Реализуйте менее привилегированный доступ на компьютерах домена, чтобы разрешить определенным пользователям право создавать службы.
Примечание.
Оповещения о попытках удаленного выполнения кода для попыток использования команд PowerShell поддерживаются только датчиками Defender для удостоверений.
Создание подозрительной службы (внешний идентификатор 2026)
Предыдущее имя: подозрительное создание службы
Серьезность: средний
Описание.
Подозрительная служба была создана на контроллере домена или сервере AD FS / AD CS в вашей организации. Это оповещение использует событие 7045 для выявления этого подозрительного действия.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Выполнение (TA0002) |
|---|---|
| Дополнительная тактика MITRE | Сохраняемость (TA0003), эскалация привилегий (TA0004), оборона Evasion (TA0005), боковое движение (TA0008) |
| Метод атаки MITRE | Удаленные службы (T1021), интерпретатор команд и скриптов (T1059), системные службы (T1569), создание или изменение системного процесса (T1543) |
| Подтехника атаки MITRE | Выполнение службы (T1569.002), служба Windows (T1543.003) |
Рекомендуемые шаги по предотвращению:
- Ограничение удаленного доступа к контроллерам домена с компьютеров, отличных от уровня 0.
- Реализуйте привилегированный доступ , чтобы разрешить только защищенным компьютерам подключаться к контроллерам домена для администраторов.
- Реализуйте менее привилегированный доступ на компьютерах домена, чтобы предоставить только определенным пользователям право создавать службы.
Подозрительный обмен данными через DNS (внешний идентификатор 2031)
Предыдущее имя: подозрительное взаимодействие по DNS
Серьезность: средний
Описание.
Протокол DNS в большинстве организаций обычно не отслеживается и редко блокируется для вредоносных действий. Включение злоумышленника на скомпрометированном компьютере для злоупотреблений протоколом DNS. Вредоносный обмен данными через DNS можно использовать для кражи данных, команд и контроля, а также для обхода ограничений корпоративной сети.
Обучение период:
нет
MITRE:
Утечка данных через S МБ (внешний идентификатор 2030)
Серьезность: высокий уровень
Описание.
Контроллеры домена содержат наиболее конфиденциальные данные организации. Для большинства злоумышленников одним из основных приоритетов является получение доступа к контроллеру домена, чтобы украсть ваши самые конфиденциальные данные. Например, эксфильтрация файла Ntds.dit, хранящегося на контроллере домена, позволяет злоумышленнику зажигать билет Kerberos, предоставляющий билеты (TGT), предоставляющий авторизацию любому ресурсу. Когтированные TGT Kerberos позволяют злоумышленнику задать срок действия билета произвольным временем. Оповещение Microsoft Defender для удостоверений Кража данных по SMB активируется при наблюдаемой подозрительной передаче данных с отслеживаемых контроллеров домена.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Эксфильтрация (TA0010) |
|---|---|
| Дополнительная тактика MITRE | Боковое движение (TA0008),команда и управление (TA0011) |
| Метод атаки MITRE | Эксфильтрация по альтернативному протоколу (T1048), передача бокового инструмента (T1570) |
| Подтехника атаки MITRE | Эксфильтрация по протоколу Unencrypted/Obfuscated non-C2 (T1048.003) |
Подозрительное удаление записей базы данных сертификата (внешний идентификатор 2433)
Серьезность: средний
Описание.
Удаление записей базы данных сертификата — это красный флаг, указывающий на потенциально вредоносное действие. Эта атака может нарушить функционирование систем инфраструктуры открытых ключей (PKI), влияя на проверку подлинности и целостность данных.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Метод атаки MITRE | Удаление индикатора (T1070) |
| Подтехника атаки MITRE | Неприменимо |
Примечание.
Подозрительное удаление оповещений базы данных сертификатов поддерживается только датчиками Defender для удостоверений в AD CS.
Подозрительный отключение фильтров аудита AD CS (внешний идентификатор 2434)
Серьезность: средний
Описание.
Отключение фильтров аудита в AD CS позволяет злоумышленникам работать без обнаружения. Эта атака направлена на уклонение от мониторинга безопасности путем отключения фильтров, которые в противном случае помечают подозрительные действия.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Метод атаки MITRE | Impair Defenses (T1562) |
| Подтехника атаки MITRE | Отключение ведения журнала событий Windows (T1562.002) |
Изменение пароля в режиме восстановления служб каталогов (внешний идентификатор 2438)
Серьезность: средний
Описание.
Режим восстановления служб каталогов (DSRM) — это специальный режим загрузки в операционных системах Microsoft Windows Server, позволяющий администратору восстановить или восстановить базу данных Active Directory. Этот режим обычно используется, когда возникают проблемы с Active Directory и обычная загрузка невозможна. Пароль DSRM задается во время продвижения сервера на контроллер домена. В этом обнаружении оповещение активируется при изменении пароля DSRM в Defender для удостоверений. Мы рекомендуем исследовать исходный компьютер и пользователя, который сделал запрос, чтобы понять, было ли инициировано изменение пароля DSRM из законного административного действия или возникает проблема с несанкционированным доступом или потенциальными угрозами безопасности.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Сохраняемость (TA0003) |
|---|---|
| Метод атаки MITRE | Обработка учетных записей (T1098) |
| Подтехника атаки MITRE | Н/П |
Возможные кражи сеансов Okta
Серьезность: высокий уровень
Описание.
В случае кражи сеансов злоумышленники украдут файлы cookie законного пользователя и используют его из других расположений. Мы рекомендуем исследовать исходный IP-адрес, выполняющий операции, чтобы определить, являются ли эти операции законными или нет, и что IP-адрес используется пользователем.
Обучение период:
2 недели
MITRE:
| Основная тактика MITRE | Коллекция (TA0009) |
|---|---|
| Метод атаки MITRE | Перехват сеансов браузера (T1185) |
| Подтехника атаки MITRE | Н/П |
Изменение групповой политики (внешний идентификатор 2439) (предварительная версия)
Серьезность: средний
Описание.
Подозрительное изменение обнаружено в групповой политике, что приводит к деактивации антивирусной программы Защитника Windows. Это действие может указывать на нарушение безопасности злоумышленником с повышенными привилегиями, которые могут устанавливать этап распространения программ-шантажистов.
Предлагаемые шаги для исследования:
Сведения о том, является ли изменение групповой политики законным
Если это не так, отменить изменения изменения
Узнайте, как связана групповая политика, чтобы оценить его область влияния
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Оборона Evasion (TA0005) |
|---|---|
| Метод атаки MITRE | Subvert Trust Controls (T1553) |
| Метод атаки MITRE | Subvert Trust Controls (T1553) |
| Подтехника атаки MITRE | Н/П |
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по