Оповещения о разведке и обнаружении
Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются позже, пока злоумышленник не получит доступ к ценным ресурсам. Ценные ресурсы могут быть конфиденциальными учетными записями, администраторами домена или конфиденциальными данными. Microsoft Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку атаки, и классифицировать их по следующим этапам:
- Разведка и обнаружение
- Оповещения о сохраняемости и эскалации привилегий
- Оповещения о доступе к учетным данным
- Оповещения бокового перемещения
- Другие оповещения
Дополнительные сведения о структуре и общих компонентах всех оповещений системы безопасности Defender для удостоверений см. в разделе Основные сведения об оповещениях безопасности. Сведения о истинном положительном (TP), доброкачественном истинном положительном (B-TP) и ложноположительных (FP) см . в классификациях оповещений системы безопасности.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия по разведке и обнаружению подозрительных действий, обнаруженных Defender для удостоверений в сети.
Разведка и обнаружение состоят из методов, которые злоумышленник может использовать для получения знаний о системе и внутренней сети. Эти методы помогают злоумышленникам наблюдать за окружающей средой и ориентироваться перед решением о том, как действовать. Они также позволяют злоумышленникам изучить, что они могут контролировать и что вокруг их точки входа, чтобы узнать, как это может воспользоваться их текущей целью. Средства собственной операционной системы часто используются для этой цели сбора информации после компрометации. В Microsoft Defender для удостоверений эти оповещения обычно включают перечисление внутренних учетных записей с различными методами.
Разведка перечисления учетных записей (внешний идентификатор 2003)
Предыдущее имя: разведка с помощью перечисления учетных записей
Серьезность: средний
Описание.
В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или средствами, такими как KrbGuess, в попытке угадать имена пользователей в домене.
Kerberos: злоумышленник запрашивает Kerberos с помощью этих имен, чтобы попытаться найти допустимое имя пользователя в домене. Когда предположение успешно определяет имя пользователя, злоумышленник получает требуемую предварительную проверку подлинности вместо неизвестной ошибки Kerberos субъекта безопасности.
NTLM: злоумышленник выполняет запросы на проверку подлинности NTLM с помощью словаря имен, чтобы попытаться найти допустимое имя пользователя в домене. Если предположение успешно определяет имя пользователя, злоумышленник получает ошибку WrongPassword (0xc000006a) вместо ошибки NoSuchUser (0xc0000064) NTLM.
При таком обнаружении Defender для удостоверений может определить, откуда пришла атака перечисления учетных записей, а также сколько всего попыток угадывания и успешных совпадений было. Если неизвестных пользователей слишком много, Defender для удостоверений распознает это как подозрительное действие. Оповещение основано на событиях проверки подлинности от датчиков, работающих на контроллере домена и серверах AD FS или AD CS.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002) |
Рекомендуемые шаги по предотвращению:
- Применение сложных и длинных паролей в организации. Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности для атак подбора. Атаки методом подбора обычно являются следующим шагом в цепочке кибератак после перечисления.
Разведка перечисления учетных записей (LDAP) (внешний идентификатор 2437) (предварительная версия)
Серьезность: средний
Описание.
В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или средствами, такими как Ldapnomnom, в попытке угадать имена пользователей в домене.
LDAP: злоумышленник делает запросы Ping LDAP (cLDAP) с помощью этих имен, чтобы попытаться найти допустимое имя пользователя в домене. Если предположение успешно определяет имя пользователя, злоумышленник может получить ответ, указывающий, что пользователь существует в домене.
При таком обнаружении Defender для удостоверений может определить, откуда пришла атака перечисления учетных записей, а также сколько всего попыток угадывания и успешных совпадений было. Если неизвестных пользователей слишком много, Defender для удостоверений распознает это как подозрительное действие. Это оповещение основано на действиях поиска LDAP с датчиков, работающих на серверах контроллера домена.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002) |
Рекогносцировка сетевого сопоставления (DNS) (внешний идентификатор 2007)
Предыдущее имя: рекогносцировка с помощью DNS
Серьезность: средний
Описание.
DNS-сервер содержит карту всех компьютеров, IP-адресов и служб в сети. Эта информация используется злоумышленниками для сопоставления сетевой структуры и целевых компьютеров для последующих шагов в их атаке.
В протоколе DNS существует несколько типов запросов. Это оповещение системы безопасности Defender для удостоверений обнаруживает подозрительные запросы: либо запросы с использованием AXFR (на передачу) от серверов, не использующих DNS, либо чрезмерно большое количество запросов.
Обучение период:
Это оповещение имеет период обучения восемь дней с начала мониторинга контроллера домена.
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087), сканирование сетевых служб (T1046), удаленное обнаружение систем (T1018) |
| Подтехника атаки MITRE | Н/П |
Рекомендуемые шаги по предотвращению:
Важно предотвратить будущие атаки с помощью запросов AXFR путем защиты внутреннего DNS-сервера.
- Защитите внутренний DNS-сервер, чтобы предотвратить разведку с помощью DNS путем отключения передачи зоны или ограничения передачи зоны только указанным IP-адресам. Изменение передачи зоны — это одна задача из списка проверка, который следует устранить для защиты DNS-серверов как от внутренних, так и от внешних атак.
Рекогносцировка пользователей и IP-адресов (S МБ) (внешний идентификатор 2012)
Предыдущее имя: рекогносцировка с помощью перечисления сеансов S МБ
Серьезность: средний
Описание.
Перечисление с помощью протокола "Блок сообщений сервера" (S МБ) позволяет злоумышленникам получать сведения о том, где пользователи недавно вошли в систему. После того как злоумышленники получат эти сведения, они могут перемещаться позже в сети, чтобы перейти к определенной конфиденциальной учетной записи.
В этом обнаружении оповещение активируется при выполнении перечисления сеансов S МБ для контроллера домена.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087), обнаружение системных Подключение ions (T1049) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002) |
Разведка членства пользователей и групп (SAMR) (внешний идентификатор 2021)
Предыдущее имя: разведка с помощью запросов служб каталогов
Серьезность: средний
Описание.
Рекогносцировка пользователей и членства в группах применяется злоумышленниками с целью определения структуры каталогов и выявления привилегированных учетных записей для дальнейших этапов атаки. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения этого типа сопоставления. При таком обнаружении в течение первого месяца после развертывания Defender для удостоверений оповещения будут отсутствовать (период обучения). Во время периода обучения Defender для удостоверений определяет, какие запросы SAM-R соответствуют каждому компьютеру. Это могут быть групповые или отдельные запросы конфиденциальной учетной записи.
Обучение период:
Четыре недели на контроллер домена, начиная с первого сетевого действия SAMR в отношении конкретного контроллера домена.
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087), обнаружение групп разрешений (T1069) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002), группа доменов (T1069.002) |
Рекомендуемые шаги по предотвращению:
- Применение сетевого доступа и ограничение клиентов для удаленного вызова групповой политики SAM.
Рекогносцировка атрибутов Active Directory (LDAP) (внешний идентификатор 2210)
Серьезность: средний
Описание.
Разведка LDAP Active Directory используется злоумышленниками для получения критически важных сведений о среде домена. Эта информация может помочь злоумышленникам сопоставить структуру домена, а также определить привилегированные учетные записи для использования в последующих шагах в цепочке убийств атак. Протокол LDAP является одним из самых популярных методов, используемых как для законных, так и вредоносных целей для запроса Active Directory.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087),непрямое выполнение команд (T1202), обнаружение групп разрешений (T1069) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002), группы домена (T1069.002) |
Honeytoken был запрошен через SAM-R (внешний идентификатор 2439)
Серьезность: низкая
Описание.
Разведка пользователей используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих шагов в их атаке. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения этого типа сопоставления. В этом обнаружении Microsoft Defender для удостоверений активирует это оповещение для любых действий рекогносцировки для предварительно настроенного пользователя honeytoken
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002) |
Honeytoken был запрошен через LDAP (внешний идентификатор 2429)
Серьезность: низкая
Описание.
Разведка пользователей используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих шагов в их атаке. Протокол LDAP является одним из самых популярных методов, используемых как для законных, так и вредоносных целей для запроса Active Directory.
В этом обнаружении Microsoft Defender для удостоверений активирует это оповещение для любых действий рекогносцировки для предварительно настроенного пользователя honeytoken.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Обнаружение (TA0007) |
|---|---|
| Метод атаки MITRE | Обнаружение учетных записей (T1087) |
| Подтехника атаки MITRE | Учетная запись домена (T1087.002) |
Перечисление подозрительной учетной записи Okta
Серьезность: высокий уровень
Описание.
В перечислении учетных записей злоумышленники попытаются угадать имена пользователей, выполнив входы в Okta с пользователями, которые не принадлежат организации. Мы рекомендуем исследовать исходный IP-адрес, выполняющий неудачные попытки, и определить, являются ли они законными или нет.
Обучение период:
нет
MITRE:
| Основная тактика MITRE | Первоначальный доступ (TA0001),Оборона Evasion (TA0005), сохраняемость (TA0003), эскалация привилегий (TA0004) |
|---|---|
| Метод атаки MITRE | Допустимые учетные записи (T1078) |
| Подтехника атаки MITRE | Облачные учетные записи (T1078.004) |