Keşif ve bulma uyarıları
Normalde siber saldırılar düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla ileriye doğru hareket eder. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:
- Keşif ve bulma
- Kalıcılık ve ayrıcalık yükseltme uyarıları
- Kimlik bilgisi erişim uyarıları
- Yanal hareket uyarıları
- Diğer uyarılar
Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz . Güvenlik uyarılarını anlama. Gerçek pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.
Aşağıdaki güvenlik uyarıları, ağınızdaki Kimlik için Defender tarafından algılanan Keşif ve bulma aşaması şüpheli etkinliklerini tanımlamanıza ve düzeltmenize yardımcı olur.
Keşif ve keşif, bir saldırganın sistem ve iç ağ hakkında bilgi edinmek için kullanabileceği tekniklerden oluşur. Bu teknikler, saldırganların nasıl davranacaklarına karar vermeden önce ortamı gözlemlemelerine ve kendilerini yönlendirmelerine yardımcı olur. Ayrıca saldırganların, geçerli hedeflerine nasıl fayda sağlayabileceğinizi keşfetmek için giriş noktalarının neleri denetleyebileceğini ve neleri denetleyebileceğini keşfetmelerine de olanak sağlar. Yerel işletim sistemi araçları genellikle bu ödün verme sonrası bilgi toplama hedefi için kullanılır. Kimlik için Microsoft Defender bu uyarılar genellikle farklı tekniklerle iç hesap numaralandırması içerir.
Hesap numaralandırma keşfi (dış kimlik 2003)
Önceki ad: Hesap numaralandırması kullanarak keşif
Önem Derecesi: Orta
Açıklama:
Hesap numaralandırma keşfinde saldırgan, etki alanındaki kullanıcı adlarını tahmin etmek için binlerce kullanıcı adı veya KrbGuess gibi araçlar içeren bir sözlük kullanır.
Kerberos: Saldırgan, etki alanında geçerli bir kullanıcı adı bulmaya çalışmak için bu adları kullanarak Kerberos isteklerinde bulunur. Tahmin bir kullanıcı adını başarıyla belirlediğinde, saldırgan Güvenlik sorumlusu bilinmeyen Kerberos hatası yerine gereken Ön Kimlik Doğrulamasını alır.
NTLM: Saldırgan, etki alanında geçerli bir kullanıcı adı bulmaya çalışmak için ad sözlüğü kullanarak NTLM kimlik doğrulama isteklerinde bulunur. Tahmin bir kullanıcı adını başarıyla belirlerse, saldırgan NoSuchUser (0xc0000064) NTLM hatası yerine WrongPassword (0xc000006a) hatası alır.
Bu uyarı algılamada, Kimlik için Defender hesap numaralandırma saldırısının nereden geldiğini, toplam tahmin denemesi sayısını ve kaç denemenin eşleştirildiğini algılar. Çok fazla bilinmeyen kullanıcı varsa, Kimlik için Defender bunu şüpheli bir etkinlik olarak algılar. Uyarı, etki alanı denetleyicisi ve AD FS / AD CS sunucularında çalışan algılayıcılardan gelen kimlik doğrulama olaylarını temel alır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002) |
Önleme için önerilen adımlar:
- Kuruluşta Karmaşık ve uzun parolaları zorunlu kılma. Karmaşık ve uzun parolalar deneme yanılma saldırılarına karşı gerekli ilk güvenlik düzeyini sağlar. Deneme yanılma saldırıları genellikle sabit listesi sonrasında siber saldırı sonlandırma zincirinin bir sonraki adımıdır.
Hesap Numaralandırması keşfi (LDAP) (dış kimlik 2437) (Önizleme)
Önem Derecesi: Orta
Açıklama:
Hesap numaralandırma keşfinde, saldırgan etki alanındaki kullanıcı adlarını tahmin etmek için binlerce kullanıcı adı veya Ldapnomnom gibi araçlar içeren bir sözlük kullanır.
LDAP: Saldırgan, etki alanında geçerli bir kullanıcı adı bulmaya çalışmak için bu adları kullanarak LDAP Ping istekleri (cLDAP) yapar. Tahmin bir kullanıcı adını başarıyla belirlerse, saldırgan kullanıcının etki alanında var olduğunu belirten bir yanıt alabilir.
Bu uyarı algılamada, Kimlik için Defender hesap numaralandırma saldırısının nereden geldiğini, toplam tahmin denemesi sayısını ve kaç denemenin eşleştirildiğini algılar. Çok fazla bilinmeyen kullanıcı varsa, Kimlik için Defender bunu şüpheli bir etkinlik olarak algılar. Uyarı, etki alanı denetleyicisi sunucularında çalışan algılayıcılardan gelen LDAP arama etkinliklerini temel alır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002) |
Ağ eşleme keşfi (DNS) (dış kimlik 2007)
Önceki ad: DNS kullanarak keşif
Önem Derecesi: Orta
Açıklama:
DNS sunucunuz ağınızdaki tüm bilgisayarların, IP adreslerinin ve hizmetlerin bir haritasını içerir. Bu bilgiler saldırganlar tarafından ağ yapınızı eşlemek ve saldırılarının sonraki adımları için ilginç bilgisayarları hedeflemek için kullanılır.
DNS protokolünde birkaç sorgu türü vardır. Bu Kimlik için Defender güvenlik uyarısı, DNS dışı sunuculardan kaynaklanan AXFR (aktarım) kullanan veya aşırı sayıda istek kullanan şüpheli istekleri algılar.
Öğrenme dönemi:
Bu uyarı, etki alanı denetleyicisi izlemesinin başlangıcından itibaren sekiz günlük bir öğrenme süresine sahiptir.
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087), Ağ Hizmeti Tarama (T1046), Uzak Sistem Bulma (T1018) |
| MITRE saldırısı alt tekniği | Yok |
Önleme için önerilen adımlar:
İç DNS sunucunuzun güvenliğini sağlayarak AXFR sorgularını kullanarak gelecekteki saldırıları önlemek önemlidir.
- Bölge aktarımlarını devre dışı bırakarak veya bölge aktarımlarını yalnızca belirtilen IP adresleriyle kısıtlayarak DNS kullanarak keşfi önlemek için iç DNS sunucunuzun güvenliğini sağlayın. Bölge aktarımlarını değiştirmek, DNS sunucularınızın hem iç hem de dış saldırılara karşı güvenliğini sağlamak için ele alınması gereken bir denetim listesi arasında yer alan görevlerden biridir.
Kullanıcı ve IP adresi keşfi (SMB) (dış kimlik 2012)
Önceki ad: SMB Oturum Numaralandırması kullanarak keşif
Önem Derecesi: Orta
Açıklama:
Sunucu İleti Bloğu (SMB) protokolü kullanılarak numaralandırma, saldırganların kullanıcıların en son nerede oturum açtığı hakkında bilgi almasına olanak tanır. Saldırganlar bu bilgilere sahip olduktan sonra, belirli bir hassas hesaba ulaşmak için ağda yayılı olarak hareket edebilir.
Bu algılamada, bir etki alanı denetleyicisine karşı bir SMB oturumu numaralandırması gerçekleştirildiğinde bir uyarı tetikleniyor.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087), Sistem Ağı Bağlan ions Bulma (T1049) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002) |
Kullanıcı ve Grup üyeliği keşfi (SAMR) (dış kimlik 2021)
Önceki ad: Dizin hizmetleri sorgularını kullanarak keşif
Önem Derecesi: Orta
Açıklama:
Kullanıcı ve grup üyeliği keşfi, saldırganlar tarafından dizin yapısını eşlemek ve saldırılarının sonraki adımları için ayrıcalıklı hesapları hedeflemek için kullanılır. Güvenlik Hesabı Yöneticisi Uzak (SAM-R) protokolü, bu tür bir eşlemeyi gerçekleştirmek için dizini sorgulamak için kullanılan yöntemlerden biridir. Bu algılamada, Kimlik için Defender dağıtıldıktan sonraki ilk ay (öğrenme dönemi) hiçbir uyarı tetiklenemez. Öğrenme döneminde, Kimlik için Defender, sam-R sorgularının hangi bilgisayarlardan yapıldığını, hem sabit listesi hem de hassas hesapların tek tek sorgularını profiller.
Öğrenme dönemi:
SAMR'nin belirli DC'ye karşı ilk ağ etkinliğinden başlayarak etki alanı denetleyicisi başına dört hafta.
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087), İzin Grupları Bulma (T1069) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002), Etki Alanı Grubu (T1069.002) |
Önleme için önerilen adımlar:
- Ağ erişimi uygulayın ve SAM grup ilkesine uzaktan çağrı yapma izni olan istemcileri kısıtlayın.
Active Directory öznitelikleri keşfi (LDAP) (dış kimlik 2210)
Önem Derecesi: Orta
Açıklama:
Active Directory LDAP keşfi, saldırganlar tarafından etki alanı ortamı hakkında kritik bilgiler edinmek için kullanılır. Bu bilgiler saldırganların etki alanı yapısını eşlemesine ve saldırı sonlandırma zincirinin sonraki adımlarında kullanılacak ayrıcalıklı hesapları tanımlamasına yardımcı olabilir. Basit Dizin Erişim Protokolü (LDAP), Active Directory'yi sorgulamak için hem meşru hem de kötü amaçlı amaçlar için kullanılan en popüler yöntemlerden biridir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087), Dolaylı Komut Yürütme (T1202), İzin Grupları Bulma (T1069) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002), Etki Alanı Grupları (T1069.002) |
Honeytoken, SAM-R aracılığıyla sorgulandı (dış kimlik 2439)
Önem Derecesi: Düşük
Açıklama:
Kullanıcı keşfi, saldırganlar tarafından dizin yapısını eşlemek ve saldırılarının sonraki adımları için ayrıcalıklı hesapları hedeflemek için kullanılır. Güvenlik Hesabı Yöneticisi Uzak (SAM-R) protokolü, bu tür bir eşlemeyi gerçekleştirmek için dizini sorgulamak için kullanılan yöntemlerden biridir. Bu algılamada, Kimlik için Microsoft Defender önceden yapılandırılmış honeytoken kullanıcısına yönelik keşif etkinlikleri için bu uyarıyı tetikleyecektir
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002) |
Honeytoken LDAP aracılığıyla sorgulandı (dış kimlik 2429)
Önem Derecesi: Düşük
Açıklama:
Kullanıcı keşfi, saldırganlar tarafından dizin yapısını eşlemek ve saldırılarının sonraki adımları için ayrıcalıklı hesapları hedeflemek için kullanılır. Basit Dizin Erişim Protokolü (LDAP), Active Directory'yi sorgulamak için hem meşru hem de kötü amaçlı amaçlar için kullanılan en popüler yöntemlerden biridir.
Bu algılamada, Kimlik için Microsoft Defender önceden yapılandırılmış honeytoken kullanıcısına yönelik keşif etkinlikleri için bu uyarıyı tetikler.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Bulma (TA0007) |
|---|---|
| MITRE saldırı tekniği | Hesap Bulma (T1087) |
| MITRE saldırısı alt tekniği | Etki Alanı Hesabı (T1087.002) |
Şüpheli Okta hesabı Numaralandırması
Önem Derecesi: Yüksek
Açıklama:
Hesap numaralandırmasında saldırganlar, kuruluşa ait olmayan kullanıcılarla Okta'da oturum açma işlemleri gerçekleştirerek kullanıcı adlarını tahmin etmeye çalışır. Başarısız denemeleri gerçekleştiren kaynak IP'yi araştırmanızı ve bunların meşru olup olmadığını belirlemenizi öneririz.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | İlk Erişim (TA0001), Savunma Kaçaması (TA0005), Kalıcılık (TA0003), Ayrıcalık Yükseltme (TA0004) |
|---|---|
| MITRE saldırı tekniği | Geçerli Hesaplar (T1078) |
| MITRE saldırısı alt tekniği | Bulut Hesapları (T1078.004) |