Aviseringar om rekognosering och identifiering
Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i sidled tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender for Identity identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:
- Rekognosering och identifiering
- Aviseringar om beständighet och behörighetseskalering
- Åtkomstaviseringar för autentiseringsuppgifter
- Aviseringar om lateral förflyttning
- Andra aviseringar
Mer information om hur du förstår strukturen och vanliga komponenter i alla Säkerhetsaviseringar för Defender för identiteter finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP) och Falskt positiv (FP) finns i klassificeringar av säkerhetsaviseringar.
Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda misstänkta aktiviteter i spanings- och identifieringsfasen som identifierats av Defender för identitet i nätverket.
Rekognosering och identifiering består av tekniker som en angripare kan använda för att få kunskap om systemet och det interna nätverket. Dessa tekniker hjälper angripare att observera miljön och orientera sig innan de bestämmer sig för hur de ska agera. De gör det också möjligt för angripare att utforska vad de kan kontrollera och vad som finns runt deras startpunkt för att upptäcka hur det kan gynna deras nuvarande mål. Interna operativsystemverktyg används ofta mot det här informationsinsamlingsmålet efter kompromissen. I Microsoft Defender för identitet omfattar dessa aviseringar vanligtvis intern kontouppräkning med olika tekniker.
Kontouppräkningsspaning (externt ID 2003)
Tidigare namn: Rekognosering med kontouppräkning
Allvarlighetsgrad: Medel
Beskrivning:
I kontouppräkningsspaning använder en angripare en ordlista med tusentals användarnamn eller verktyg som KrbGuess i ett försök att gissa användarnamn i domänen.
Kerberos: Angriparen gör Kerberos-begäranden med hjälp av dessa namn för att försöka hitta ett giltigt användarnamn i domänen. När en gissning har fastställt ett användarnamn får angriparen den förautentisering som krävs i stället för säkerhetsobjektets okända Kerberos-fel.
NTLM: Angriparen gör NTLM-autentiseringsbegäranden med hjälp av ordlistan med namn för att försöka hitta ett giltigt användarnamn i domänen. Om en gissning avgör ett användarnamn får angriparen Felet WrongPassword (0xc000006a) i stället för NoSuchUser (0xc0000064) NTLM.If a guess successfully determines a username, the attacker gets the WrongPassword (0xc000006a) instead of NoSuchUser (0xc0000064) NTLM error.
I den här aviseringsidentifieringen identifierar Defender for Identity var kontouppräkningsattacken kom ifrån, det totala antalet gissningsförsök och hur många försök som matchades. Om det finns för många okända användare identifierar Defender for Identity det som en misstänkt aktivitet. Aviseringen baseras på autentiseringshändelser från sensorer som körs på domänkontrollant och AD FS/AD CS-servrar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Föreslagna steg för förebyggande:
- Framtvinga komplexa och långa lösenord i organisationen. Komplexa och långa lösenord ger den nödvändiga första säkerhetsnivån mot råstyrkeattacker. Brute force-attacker är vanligtvis nästa steg i kedjan för cyberattacker efter uppräkning.
Kontouppräkningsspaning (LDAP) (externt ID 2437) (förhandsversion)
Allvarlighetsgrad: Medel
Beskrivning:
I kontouppräkningsspaning använder en angripare en ordlista med tusentals användarnamn eller verktyg som Ldapnomnom i ett försök att gissa användarnamn i domänen.
LDAP: Angriparen gör LDAP Ping-begäranden (cLDAP) med hjälp av dessa namn för att försöka hitta ett giltigt användarnamn i domänen. Om en gissning avgör ett användarnamn kan angriparen få ett svar som anger att användaren finns i domänen.
I den här aviseringsidentifieringen identifierar Defender for Identity var kontouppräkningsattacken kom ifrån, det totala antalet gissningsförsök och hur många försök som matchades. Om det finns för många okända användare identifierar Defender for Identity det som en misstänkt aktivitet. Aviseringen baseras på LDAP-sökaktiviteter från sensorer som körs på domänkontrollantservrar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Rekognosering av nätverksmappning (DNS) (externt ID 2007)
Tidigare namn: Rekognosering med DNS
Allvarlighetsgrad: Medel
Beskrivning:
DNS-servern innehåller en karta över alla datorer, IP-adresser och tjänster i nätverket. Den här informationen används av angripare för att mappa nätverksstrukturen och rikta in sig på intressanta datorer för senare steg i attacken.
Det finns flera frågetyper i DNS-protokollet. Den här defender for Identity-säkerhetsaviseringen identifierar misstänkta begäranden, antingen begäranden som använder en AXFR (överföring) som kommer från icke-DNS-servrar eller de som använder ett överdrivet antal begäranden.
Utbildningsperiod:
Den här aviseringen har en inlärningsperiod på åtta dagar från början av övervakningen av domänkontrollanten.
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Account Discovery (T1087), Network Service Scanning (T1046), Remote System Discovery (T1018) |
| MITRE-attackunderteknik | Ej tillämpligt |
Föreslagna steg för förebyggande:
Det är viktigt att förhindra framtida attacker med hjälp av AXFR-frågor genom att skydda din interna DNS-server.
- Skydda din interna DNS-server för att förhindra rekognosering med HJÄLP av DNS genom att inaktivera zonöverföringar eller genom att begränsa zonöverföringar endast till angivna IP-adresser. Att ändra zonöverföringar är en uppgift i en checklista som bör åtgärdas för att skydda DINA DNS-servrar från både interna och externa attacker.
Rekognosering av användare och IP-adresser (SMB) (externt ID 2012)
Tidigare namn: Rekognosering med SMB-sessionsuppräkning
Allvarlighetsgrad: Medel
Beskrivning:
Uppräkning med hjälp av SMB-protokollet (Server Message Block) gör det möjligt för angripare att få information om var användare nyligen har loggat in. När angripare har den här informationen kan de flytta i sidled i nätverket för att komma till ett specifikt känsligt konto.
I den här identifieringen utlöses en avisering när en SMB-sessionsuppräkning utförs mot en domänkontrollant.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Account Discovery (T1087), System Network Anslut ions Discovery (T1049) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Rekognosering av användar- och gruppmedlemskap (SAMR) (externt ID 2021)
Tidigare namn: Rekognosering med hjälp av katalogtjänstfrågor
Allvarlighetsgrad: Medel
Beskrivning:
Rekognosering av användar- och gruppmedlemskap används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i attacken. Sam-R-protokollet (Security Account Manager Remote) är en av de metoder som används för att fråga katalogen för att utföra den här typen av mappning. I den här identifieringen utlöses inga aviseringar under den första månaden efter att Defender för identitet har distribuerats (inlärningsperiod). Under inlärningsperioden görs Defender for Identity-profiler som SAM-R-frågor görs från från vilka datorer, både uppräkning och enskilda frågor för känsliga konton.
Utbildningsperiod:
Fyra veckor per domänkontrollant med början från den första nätverksaktiviteten för SAMR mot den specifika domänkontrollanten.
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087), identifiering av behörighetsgrupper (T1069) |
| MITRE-attackunderteknik | Domänkonto (T1087.002), domängrupp (T1069.002) |
Föreslagna steg för förebyggande:
- Använd Nätverksåtkomst och begränsa klienter som tillåts göra fjärranrop till SAM-grupprincip.
Rekognosering av Active Directory-attribut (LDAP) (externt ID 2210)
Allvarlighetsgrad: Medel
Beskrivning:
Active Directory LDAP-rekognosering används av angripare för att få viktig information om domänmiljön. Den här informationen kan hjälpa angripare att mappa domänstrukturen, samt identifiera privilegierade konton för användning i senare steg i deras attackattackkedja. Lightweight Directory Access Protocol (LDAP) är en av de mest populära metoderna som används för både legitima och skadliga syften för att fråga Active Directory.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087), indirekt kommandokörning (T1202), identifiering av behörighetsgrupper (T1069) |
| MITRE-attackunderteknik | Domänkonto (T1087.002), domängrupper (T1069.002) |
Honeytoken efterfrågades via SAM-R (externt ID 2439)
Allvarlighetsgrad: Låg
Beskrivning:
Användarens rekognosering används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i attacken. Sam-R-protokollet (Security Account Manager Remote) är en av de metoder som används för att fråga katalogen för att utföra den här typen av mappning. I den här identifieringen utlöser Microsoft Defender för identitet den här aviseringen för alla rekognoseringsaktiviteter mot en förkonfigurerad honeytoken-användare
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Honeytoken efterfrågades via LDAP (externt ID 2429)
Allvarlighetsgrad: Låg
Beskrivning:
Användarens rekognosering används av angripare för att mappa katalogstrukturen och målprivilegierade konton för senare steg i attacken. Lightweight Directory Access Protocol (LDAP) är en av de mest populära metoderna som används för både legitima och skadliga syften för att fråga Active Directory.
I den här identifieringen utlöser Microsoft Defender för identitet den här aviseringen för alla rekognoseringsaktiviteter mot en förkonfigurerad honeytoken-användare.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Identifiering (TA0007) |
|---|---|
| MITRE-attackteknik | Kontoidentifiering (T1087) |
| MITRE-attackunderteknik | Domänkonto (T1087.002) |
Misstänkt Okta-kontouppräkning
Allvarlighetsgrad: Hög
Beskrivning:
I kontouppräkning försöker angripare gissa användarnamn genom att utföra inloggningar i Okta med användare som inte tillhör organisationen. Vi rekommenderar att du undersöker käll-IP-adressen för att utföra misslyckade försök och avgöra om de är legitima eller inte.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004) |
|---|---|
| MITRE-attackteknik | Giltiga konton (T1078) |
| MITRE-attackunderteknik | Molnkonton (T1078.004) |