Другие оповещения системы безопасности

Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются позже, пока злоумышленник не получит доступ к ценным ресурсам. Ценные ресурсы могут быть конфиденциальными учетными записями, администраторами домена или конфиденциальными данными. Microsoft Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку атаки, и классифицировать их по следующим этапам:

1. Оповещения о разведке и обнаружении
2. Оповещения о сохраняемости и эскалации привилегий
3. Оповещения о доступе к учетным данным
4. Оповещения бокового перемещения
5. Другое

Дополнительные сведения о структуре и общих компонентах всех оповещений системы безопасности Defender для удостоверений см. в разделе Основные сведения об оповещениях безопасности. Сведения о истинном положительном (TP), доброкачественном истинном положительном (B-TP) и ложноположительных (FP) см . в классификациях оповещений системы безопасности.

Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия других этапов, обнаруженные Defender для удостоверений в сети.

Подозреваемая атака DCShadow (повышение уровня контроллера домена) (внешний идентификатор 2028)

Предыдущее имя: повышение уровня подозрительного контроллера домена (потенциальная атака DCShadow)

Серьезность: высокий уровень

Описание.

Атака теневого контроллера домена (DCShadow) — это атака, предназначенная для изменения объектов каталога с помощью вредоносной репликации. Эту атаку можно выполнить с любого компьютера, создав изгоев контроллер домена с помощью процесса репликации.

В атаке DCShadow, RPC и LDAP используются:

1. Зарегистрируйте учетную запись компьютера в качестве контроллера домена (с правами администратора домена).
2. Выполните репликацию (используя предоставленные права репликации) через DRSUAPI и отправьте изменения в объекты каталога.

При таком обнаружении Defender для удостоверений оповещение системы безопасности активируется при попытке регистрации компьютера в сети в качестве неавторизованного контроллера домена.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Оборона Evasion (TA0005)
Метод атаки MITRE	Rogue Domain Controller (T1207)
Подтехника атаки MITRE	Н/П

Рекомендуемые шаги по предотвращению:

Проверьте следующие разрешения:

1. Репликация изменений каталога.
2. Репликация всех изменений каталога.
3. Дополнительные сведения см. в статье Предоставление разрешений домен Active Directory Services для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто имеет эти разрешения в домене.

Примечание.

Оповещения о подозрительном повышении роли контроллера домена (потенциальная атака DcShadow) доступны только для датчиков Defender для удостоверений.

Подозреваемая атака DCShadow (запрос на репликацию контроллера домена) (внешний идентификатор 2029)

Предыдущее имя: подозрительный запрос репликации (потенциальная атака DCShadow)

Серьезность: высокий уровень

Описание.

Репликация Active Directory — это процесс, с помощью которого изменения, внесенные на одном контроллере домена, синхронизируются с другими контроллерами домена. С учетом необходимых разрешений злоумышленники могут предоставить права для учетной записи компьютера, позволяя им олицетворить контроллер домена. Злоумышленники стремятся инициировать вредоносный запрос репликации, позволяя им изменять объекты Active Directory на подлинном контроллере домена, что может дать злоумышленникам сохраняемость в домене. При таком обнаружении оповещение активируется, когда инициирован подозрительный запрос на репликацию подлинного контроллера домена, защищенного с помощью службы Defender для удостоверений. Поведение свидетельствует о методах, используемых в теневых атаках контроллера домена.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Оборона Evasion (TA0005)
Метод атаки MITRE	Rogue Domain Controller (T1207)
Подтехника атаки MITRE	Н/П

Предлагаемое исправление и шаги по предотвращению:

Проверьте следующие разрешения:

1. Репликация изменений каталога.
2. Репликация всех изменений каталога.
3. Дополнительные сведения см. в статье Предоставление разрешений домен Active Directory Services для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения.

Примечание.

Оповещения о подозрительных запросах на репликацию (потенциальная атака DcShadow) доступны только для датчиков Defender для удостоверений.

Подозрительное VPN-подключение (внешний идентификатор 2025)

Предыдущее имя: подозрительное VPN-подключение

Серьезность: средний

Описание.

Defender для удостоверений изучает поведение сущности для VPN-подключений пользователя со скользящим периодом в один месяц.

Модель поведения VPN основана на компьютерах, которые входят в систему, и расположения, из из которые подключаются пользователи.

Оповещение открывается при отклонении от поведения пользователя на основе алгоритма машинного обучения.

Период обучения:

30 дней с первого VPN-подключения и по крайней мере 5 VPN-подключений за последние 30 дней на пользователя.

MITRE:

Основная тактика MITRE	Оборона Evasion (TA0005)
Дополнительная тактика MITRE	Сохраняемость (TA0003)
Метод атаки MITRE	Внешние удаленные службы (T1133)
Подтехника атаки MITRE	Н/П

Попытка удаленного выполнения кода (внешний идентификатор 2019)

Предыдущее имя: попытка удаленного выполнения кода

Серьезность: средний

Описание.

Злоумышленники, которые компрометируют учетные данные администратора или используют эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена или сервере AD FS / AD CS. Это можно использовать для сохранения, сбора информации, атак типа "отказ в обслуживании" или других причин. Defender для удостоверений обнаруживает подключение PSexec, PowerShell и удаленные подключения WMI.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Выполнение (TA0002)
Дополнительная тактика MITRE	Боковое движение (TA0008)
Метод атаки MITRE	Интерпретатор команд и скриптов (T1059),удаленные службы (T1021)
Подтехника атаки MITRE	PowerShell (T1059.001), удаленное управление Windows (T1021.006)

Рекомендуемые шаги по предотвращению:

1. Ограничение удаленного доступа к контроллерам домена с компьютеров, отличных от уровня 0.
2. Реализуйте привилегированный доступ, позволяя только защищенным компьютерам подключаться к контроллерам домена для администраторов.
3. Реализуйте менее привилегированный доступ на компьютерах домена, чтобы разрешить определенным пользователям право создавать службы.

Примечание.

Оповещения о попытках удаленного выполнения кода для попыток использования команд PowerShell поддерживаются только датчиками Defender для удостоверений.

Создание подозрительной службы (внешний идентификатор 2026)

Предыдущее имя: подозрительное создание службы

Серьезность: средний

Описание.

Подозрительная служба была создана на контроллере домена или сервере AD FS / AD CS в вашей организации. Это оповещение использует событие 7045 для выявления этого подозрительного действия.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Выполнение (TA0002)
Дополнительная тактика MITRE	Сохраняемость (TA0003), эскалация привилегий (TA0004), оборона Evasion (TA0005), боковое движение (TA0008)
Метод атаки MITRE	Удаленные службы (T1021), интерпретатор команд и скриптов (T1059), системные службы (T1569), создание или изменение системного процесса (T1543)
Подтехника атаки MITRE	Выполнение службы (T1569.002), служба Windows (T1543.003)

Рекомендуемые шаги по предотвращению:

1. Ограничение удаленного доступа к контроллерам домена с компьютеров, отличных от уровня 0.
2. Реализуйте привилегированный доступ , чтобы разрешить только защищенным компьютерам подключаться к контроллерам домена для администраторов.
3. Реализуйте менее привилегированный доступ на компьютерах домена, чтобы предоставить только определенным пользователям право создавать службы.

Подозрительный обмен данными через DNS (внешний идентификатор 2031)

Предыдущее имя: подозрительное взаимодействие по DNS

Серьезность: средний

Описание.

Протокол DNS в большинстве организаций обычно не отслеживается и редко блокируется для вредоносных действий. Включение злоумышленника на скомпрометированном компьютере для злоупотреблений протоколом DNS. Вредоносный обмен данными через DNS можно использовать для кражи данных, команд и контроля, а также для обхода ограничений корпоративной сети.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Эксфильтрация (TA0010)
Метод атаки MITRE	Эксфильтрация по альтернативному протоколу (T1048),эксфильтрация по каналу C2 (T1041),запланированной передаче (T1029), автоматическому эксфильтрации (T1020), протоколу уровня приложений (T1071)
Подтехника атаки MITRE	DNS (T1071.004),exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003)

Утечка данных через SMB (внешний идентификатор 2030)

Серьезность: высокий уровень

Описание.

Контроллеры домена содержат наиболее конфиденциальные данные организации. Для большинства злоумышленников одним из основных приоритетов является получение доступа к контроллеру домена, чтобы украсть ваши самые конфиденциальные данные. Например, эксфильтрация файла Ntds.dit, хранящегося на контроллере домена, позволяет злоумышленнику зажигать билет Kerberos, предоставляющий билеты (TGT), предоставляющий авторизацию любому ресурсу. Когтированные TGT Kerberos позволяют злоумышленнику задать срок действия билета произвольным временем. Оповещение Microsoft Defender для удостоверений Кража данных по SMB активируется при наблюдаемой подозрительной передаче данных с отслеживаемых контроллеров домена.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Эксфильтрация (TA0010)
Дополнительная тактика MITRE	Боковое движение (TA0008),команда и управление (TA0011)
Метод атаки MITRE	Эксфильтрация по альтернативному протоколу (T1048), передача бокового инструмента (T1570)
Подтехника атаки MITRE	Эксфильтрация по протоколу Unencrypted/Obfuscated non-C2 (T1048.003)

Подозрительное удаление записей базы данных сертификата (внешний идентификатор 2433)

Серьезность: средний

Описание.

Удаление записей базы данных сертификата — это красный флаг, указывающий на потенциально вредоносное действие. Эта атака может нарушить функционирование систем инфраструктуры открытых ключей (PKI), влияя на проверку подлинности и целостность данных.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Оборона Evasion (TA0005)
Метод атаки MITRE	Удаление индикатора (T1070)
Подтехника атаки MITRE	Неприменимо

Примечание.

Подозрительное удаление оповещений базы данных сертификатов поддерживается только датчиками Defender для удостоверений в AD CS.

Подозрительный отключение фильтров аудита AD CS (внешний идентификатор 2434)

Серьезность: средний

Описание.

Отключение фильтров аудита в AD CS позволяет злоумышленникам работать без обнаружения. Эта атака направлена на уклонение от мониторинга безопасности путем отключения фильтров, которые в противном случае помечают подозрительные действия.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Оборона Evasion (TA0005)
Метод атаки MITRE	Impair Defenses (T1562)
Подтехника атаки MITRE	Отключение ведения журнала событий Windows (T1562.002)

Изменение пароля в режиме восстановления служб каталогов (внешний идентификатор 2438)

Серьезность: средний

Описание.

Режим восстановления служб каталогов (DSRM) — это специальный режим загрузки в операционных системах Microsoft Windows Server, позволяющий администратору восстановить или восстановить базу данных Active Directory. Этот режим обычно используется, когда возникают проблемы с Active Directory и обычная загрузка невозможна. Пароль DSRM задается во время продвижения сервера на контроллер домена. В этом обнаружении оповещение активируется при изменении пароля DSRM в Defender для удостоверений. Мы рекомендуем исследовать исходный компьютер и пользователя, который сделал запрос, чтобы понять, было ли инициировано изменение пароля DSRM из законного административного действия или возникает проблема с несанкционированным доступом или потенциальными угрозами безопасности.

Период обучения:

нет

MITRE:

Основная тактика MITRE	Сохраняемость (TA0003)
Метод атаки MITRE	Обработка учетных записей (T1098)
Подтехника атаки MITRE	Н/П

Возможные кражи сеансов Okta

Серьезность: высокий уровень

Описание.

В случае кражи сеансов злоумышленники украдут файлы cookie законного пользователя и используют его из других расположений. Мы рекомендуем исследовать исходный IP-адрес, выполняющий операции, чтобы определить, являются ли эти операции законными или нет, и что IP-адрес используется пользователем.

Период обучения:

2 недели

MITRE:

Основная тактика MITRE	Коллекция (TA0009)
Метод атаки MITRE	Перехват сеансов браузера (T1185)
Подтехника атаки MITRE	Н/П

Изменение групповой политики (внешний идентификатор 2440) (предварительная версия)

Серьезность: средний

Описание.

Подозрительное изменение обнаружено в групповой политике, что приводит к деактивации антивирусной программы Защитника Windows. Это действие может указывать на нарушение безопасности злоумышленником с повышенными привилегиями, которые могут устанавливать этап распространения программ-шантажистов. 

Предлагаемые шаги для исследования:

1. Сведения о том, является ли изменение групповой политики законным

2. Если это не так, отмените изменение

3. Узнайте, как связана групповая политика, чтобы оценить ее область влияния

Период обучения:

нет

MITRE:

Основная тактика MITRE	Оборона Evasion (TA0005)
Метод атаки MITRE	Subvert Trust Controls (T1553)
Метод атаки MITRE	Subvert Trust Controls (T1553)
Подтехника атаки MITRE	Н/П

См. также

• Изучение ресурсов
• Общие сведения о оповещениях системы безопасности
• Управление оповещениями системы безопасности
• Справочник по журналу SIEM Defender для удостоверений
• Работа с путями бокового смещения
• Ознакомьтесь с форумом по Defender для удостоверений.