Diğer güvenlik uyarıları
Normalde siber saldırılar düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla ileriye doğru hareket eder. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:
- Keşif ve bulma uyarıları
- Kalıcılık ve ayrıcalık yükseltme uyarıları
- Kimlik bilgisi erişim uyarıları
- Yanal hareket uyarıları
- Diğer
Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz . Güvenlik uyarılarını anlama. Gerçek pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.
Aşağıdaki güvenlik uyarıları ağınızdaki Kimlik için Defender tarafından algılanan diğer aşama şüpheli etkinlikleri belirlemenize ve düzeltmenize yardımcı olur.
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi yükseltme) (dış kimlik 2028)
Önceki ad: Şüpheli etki alanı denetleyicisi yükseltme (olası DCShadow saldırısı)
Önem Derecesi: Yüksek
Açıklama:
Etki alanı denetleyicisi gölgesi (DCShadow) saldırısı, kötü amaçlı çoğaltma kullanarak dizin nesnelerini değiştirmek için tasarlanmış bir saldırıdır. Bu saldırı, çoğaltma işlemi kullanılarak bir sahte etki alanı denetleyicisi oluşturularak herhangi bir makineden gerçekleştirilebilir.
DCShadow saldırısında, RPC ve LDAP şunları yapmak için kullanılır:
- Makine hesabını etki alanı denetleyicisi olarak kaydedin (etki alanı yönetici haklarını kullanarak).
- DRSUAPI üzerinden çoğaltma gerçekleştirin (verilen çoğaltma haklarını kullanarak) ve dizin nesnelerine değişiklikler gönderin.
Bu Kimlik için Defender algılamasında, ağdaki bir makine sahte etki alanı denetleyicisi olarak kaydolmaya çalıştığında bir güvenlik uyarısı tetikleniyor.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçamak (TA0005) |
|---|---|
| MITRE saldırı tekniği | Rogue Etki Alanı Denetleyicisi (T1207) |
| MITRE saldırısı alt tekniği | Yok |
Önleme için önerilen adımlar:
Aşağıdaki izinleri doğrulayın:
- Dizin değişikliklerini çoğaltma.
- Dizin değişikliklerini çoğaltma.
- Daha fazla bilgi için bkz. SharePoint Server 2013'te profil eşitlemesi için Active Directory Etki Alanı Hizmetleri izinleri verme. Ad ACL Tarayıcısı'nı kullanabilir veya etki alanında bu izinlere sahip olan kişileri belirlemek için bir Windows PowerShell betiği oluşturabilirsiniz.
Not
Şüpheli etki alanı denetleyicisi yükseltme (olası DCShadow saldırısı) uyarıları yalnızca Kimlik için Defender algılayıcıları tarafından desteklenir.
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi çoğaltma isteği) (dış kimlik 2029)
Önceki ad: Şüpheli çoğaltma isteği (olası DCShadow saldırısı)
Önem Derecesi: Yüksek
Açıklama:
Active Directory çoğaltması, bir etki alanı denetleyicisinde yapılan değişikliklerin diğer etki alanı denetleyicileriyle eşitlenmesi işlemidir. Gerekli izinler verilip saldırganlar, makine hesapları için haklar verebilir ve bir etki alanı denetleyicisinin kimliğine bürünmelerine izin verebilir. Saldırganlar, saldırganlara etki alanında kalıcılık kazandırabilecek orijinal bir etki alanı denetleyicisindeki Active Directory nesnelerini değiştirmelerine olanak tanıyarak kötü amaçlı bir çoğaltma isteği başlatmaya çalışır. Bu algılamada, Kimlik için Defender tarafından korunan bir orijinal etki alanı denetleyicisinde şüpheli bir çoğaltma isteği oluşturulduğunda bir uyarı tetikleniyor. Davranış, etki alanı denetleyicisi gölge saldırılarında kullanılan teknikleri gösterir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçamak (TA0005) |
|---|---|
| MITRE saldırı tekniği | Rogue Etki Alanı Denetleyicisi (T1207) |
| MITRE saldırısı alt tekniği | Yok |
Önerilen düzeltme ve önleme adımları:
Aşağıdaki izinleri doğrulayın:
- Dizin değişikliklerini çoğaltma.
- Dizin değişikliklerini çoğaltma.
- Daha fazla bilgi için bkz. SharePoint Server 2013'te profil eşitlemesi için Active Directory Etki Alanı Hizmetleri izinleri verme. Ad ACL Tarayıcısı'nı kullanabilir veya etki alanında kimlerin bu izinlere sahip olduğunu belirlemek için bir Windows PowerShell betiği oluşturabilirsiniz.
Not
Şüpheli çoğaltma isteği (olası DCShadow saldırısı) uyarıları yalnızca Kimlik için Defender algılayıcıları tarafından desteklenir.
Şüpheli VPN bağlantısı (dış kimlik 2025)
Önceki ad: Şüpheli VPN bağlantısı
Önem Derecesi: Orta
Açıklama:
Kimlik için Defender, bir aylık kayan bir süre boyunca kullanıcıların VPN bağlantıları için varlık davranışını öğrenir.
VPN davranış modeli, kullanıcıların oturum açtığı makineleri ve kullanıcıların bağlandığı konumları temel alır.
Kullanıcının makine öğrenmesi algoritmasına göre davranışından sapma olduğunda bir uyarı açılır.
Öğrenme dönemi:
İlk VPN bağlantısından 30 gün sonra ve kullanıcı başına son 30 gün içinde en az 5 VPN bağlantısı.
MITRE:
| Birincil MITRE taktiği | Savunma Kaçamak (TA0005) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003) |
| MITRE saldırı tekniği | Dış Uzak Hizmetler (T1133) |
| MITRE saldırısı alt tekniği | Yok |
Uzaktan kod yürütme girişimi (dış kimlik 2019)
Önceki ad: Uzaktan kod yürütme girişimi
Önem Derecesi: Orta
Açıklama:
Yönetici kimlik bilgilerini tehlikeye atan veya sıfır gün açıklarından yararlanan saldırganlar, etki alanı denetleyicinizde veya AD FS /AD CS sunucunuzda uzak komutlar yürütebilir. Bu, kalıcılık kazanmak, bilgi toplamak, hizmet reddi (DOS) saldırıları veya başka bir nedenden dolayı kullanılabilir. Kimlik için Defender PSexec, Uzak WMI ve PowerShell bağlantılarını algılar.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Yürütme (TA0002) |
|---|---|
| İkincil MITRE taktiği | YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Komut ve Betik Yorumlayıcısı (T1059),Uzak Hizmetler (T1021) |
| MITRE saldırısı alt tekniği | PowerShell (T1059.001), Windows Uzaktan Yönetimi (T1021.006) |
Önleme için önerilen adımlar:
- Katman 0 olmayan makinelerden etki alanı denetleyicilerine uzaktan erişimi kısıtlayın.
- Ayrıcalıklı erişim uygulayarak yalnızca sağlamlaştırılmış makinelerin yöneticiler için etki alanı denetleyicilerine bağlanmasına izin verin.
- Belirli kullanıcılara hizmet oluşturma hakkı vermek için etki alanı makinelerinde daha az ayrıcalıklı erişim uygulayın.
Not
PowerShell komutlarının kullanılmaya çalışıldığında uzaktan kod yürütme girişimi uyarıları yalnızca Kimlik için Defender algılayıcıları tarafından desteklenir.
Şüpheli hizmet oluşturma (dış kimlik 2026)
Önceki ad: Şüpheli hizmet oluşturma
Önem Derecesi: Orta
Açıklama:
Kuruluşunuzdaki bir etki alanı denetleyicisinde veya AD FS / AD CS sunucusunda şüpheli bir hizmet oluşturuldu. Bu uyarı, bu şüpheli etkinliği tanımlamak için olay 7045'e dayanır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Yürütme (TA0002) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003), Ayrıcalık Yükseltme (TA0004), Savunma Kaçaması (TA0005), YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Uzak Hizmetler (T1021), Komut ve Betik Yorumlayıcısı (T1059), Sistem Hizmetleri (T1569), Sistem İşlemi Oluşturma veya Değiştirme (T1543) |
| MITRE saldırısı alt tekniği | Hizmet Yürütme (T1569.002), Windows Hizmeti (T1543.003) |
Önleme için önerilen adımlar:
- Katman 0 olmayan makinelerden etki alanı denetleyicilerine uzaktan erişimi kısıtlayın.
- Yalnızca sağlamlaştırılmış makinelerin yöneticiler için etki alanı denetleyicilerine bağlanmasına izin vermek için ayrıcalıklı erişim uygulayın.
- Yalnızca belirli kullanıcılara hizmet oluşturma hakkı vermek için etki alanı makinelerinde daha az ayrıcalıklı erişim uygulayın.
DNS üzerinden şüpheli iletişim (dış kimlik 2031)
Önceki ad: DNS üzerinden şüpheli iletişim
Önem Derecesi: Orta
Açıklama:
Çoğu kuruluşta DNS protokolü genellikle izlenmez ve kötü amaçlı etkinlikler için nadiren engellenir. Güvenliği aşılmış bir makinede bir saldırganın DNS protokollerini kötüye kullanmasına olanak sağlama. DNS üzerinden kötü amaçlı iletişim, veri sızdırma, komut ve denetim ve/veya kurumsal ağ kısıtlamalarından kaçınma için kullanılabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Sızdırma (TA0010) |
|---|---|
| MITRE saldırı tekniği | Alternatif Protokol (T1048), C2 Kanalı Üzerinden Sızdırma (T1041), Zamanlanmış Aktarım (T1029), Otomatik Sızdırma (T1020), Uygulama Katmanı Protokolü (T1071) |
| MITRE saldırısı alt tekniği | DNS (T1071.004), Şifrelenmemiş/Gizlenen C2 Dışı Protokol Üzerinden Sızdırma (T1048.003) |
SMB üzerinden veri sızdırma (dış kimlik 2030)
Önem Derecesi: Yüksek
Açıklama:
Etki alanı denetleyicileri en hassas kuruluş verilerini barındırıyor. Çoğu saldırgan için en önemli önceliklerinden biri etki alanı denetleyicisi erişimi elde etmek ve en hassas verilerinizi çalmaktır. Örneğin, DC'de depolanan Ntds.dit dosyasının sızdırması, bir saldırganın herhangi bir kaynağa yetkilendirme sağlayan biletler (TGT) veren Kerberos bileti oluşturmasına izin verir. Sahte Kerberos TGT'leri, saldırganın anahtar süre sonunu rastgele bir zamana ayarlamasına olanak tanır. İzlenen etki alanı denetleyicilerinizden şüpheli veri aktarımları gözlemlendiğinde SMB üzerinden Kimlik için Defender Veri sızdırma uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Sızdırma (TA0010) |
|---|---|
| İkincil MITRE taktiği | YanAl Hareket (TA0008),Komuta ve Kontrol (TA0011) |
| MITRE saldırı tekniği | Alternatif Protokol Üzerinde Sızdırma (T1048), YanAl Takım Aktarımı (T1570) |
| MITRE saldırısı alt tekniği | Şifrelenmemiş/Gizlenen C2 Olmayan Protokol Üzerinden Sızdırma (T1048.003) |
Sertifika veritabanı girdilerinin şüpheli silinmesi (dış kimlik 2433)
Önem Derecesi: Orta
Açıklama:
Sertifika veritabanı girdilerinin silinmesi, olası kötü amaçlı etkinlikleri gösteren kırmızı bir bayraktır. Bu saldırı, Ortak Anahtar Altyapısı (PKI) sistemlerinin çalışmasını kesintiye uğratarak kimlik doğrulamasını ve veri bütünlüğünü etkileyebilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçamak (TA0005) |
|---|---|
| MITRE saldırı tekniği | Gösterge Kaldırma (T1070) |
| MITRE saldırısı alt tekniği | Yok |
Not
Sertifika veritabanı girişlerinin şüpheli silinmesi uyarıları yalnızca AD CS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
AD CS denetim filtrelerinin şüpheli devre dışı bırakılması (dış kimlik 2434)
Önem Derecesi: Orta
Açıklama:
AD CS'de denetim filtrelerinin devre dışı bırakılması, saldırganların algılanmadan çalışmasına izin verebilir. Bu saldırı, şüpheli etkinliklere bayrak ekleyebilecek filtreleri devre dışı bırakarak güvenlik izlemeden kaçınmayı amaçlar.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçamak (TA0005) |
|---|---|
| MITRE saldırı tekniği | Engelli Savunma (T1562) |
| MITRE saldırısı alt tekniği | Windows Olay Günlüğünü Devre Dışı Bırakma (T1562.002) |
Dizin Hizmetleri Geri Yükleme Modu Parola Değişikliği (dış kimlik 2438) (Önizleme)
Önem Derecesi: Orta
Açıklama:
Dizin Hizmetleri Geri Yükleme Modu (DSRM), Microsoft Windows Server işletim sistemlerinde yöneticinin Active Directory veritabanını onarmasına veya geri yüklemesine olanak tanıyan özel bir önyükleme modudur. Bu mod genellikle Active Directory ile ilgili sorunlar olduğunda ve normal önyükleme mümkün olmadığında kullanılır. DSRM parolası, sunucunun etki alanı denetleyicisine yükseltilirken ayarlanır. Bu algılamada, Kimlik için Defender bir DSRM parolası değiştirildiğini algıladığında bir uyarı tetikleniyor. DSRM parola değişikliğinin meşru bir yönetim eyleminden başlatılıp başlatılmadığını veya yetkisiz erişim veya olası güvenlik tehditleriyle ilgili endişeler oluşturup oluşturmadığını anlamak için kaynak bilgisayarı ve isteği gönderen kullanıcıyı araştırmanızı öneririz.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| MITRE saldırı tekniği | Hesap Düzenleme (T1098) |
| MITRE saldırısı alt tekniği | Yok |
Olası Okta oturumu hırsızlığı
Önem Derecesi: Yüksek
Açıklama:
Oturum hırsızlığında saldırganlar meşru kullanıcının tanımlama bilgilerini çalar ve diğer konumlardan kullanır. Bu işlemlerin meşru olup olmadığını ve IP adresinin kullanıcı tarafından kullanılıp kullanılmadığını belirlemek için işlemleri gerçekleştiren kaynak IP'yi araştırmanızı öneririz.
Öğrenme dönemi:
2 hafta
MITRE:
| Birincil MITRE taktiği | Koleksiyon (TA0009) |
|---|---|
| MITRE saldırı tekniği | Tarayıcı Oturumu Ele Geçirme (T1185) |
| MITRE saldırısı alt tekniği | Yok |