偵察和探索警示

  • 文章

一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權用戶,然後稍後快速移動,直到攻擊者取得寶貴的資產存取權為止。 寶貴的資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 在整個攻擊殺傷鏈中識別來源的這些進階威脅,並將其分類為下列階段:

  1. 偵察和探索
  2. 持續性和許可權提升警示
  3. 認證存取警示
  4. 橫向移動警示
  5. 其他警示

若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需真陽性 (TP)、良性真陽性 (B-TP)誤判 (FP)的相關信息,請參閱安全性警示分類

下列安全性警示可協助您識別及補救 網路中適用於身分識別的 Defender 偵測到的偵察和探索 階段可疑活動。

偵察和探索是由敵人可用來取得系統和內部網路知識的技術所組成。 這些技術可協助敵人在決定如何採取行動之前觀察環境和定位自己。他們還允許敵人探索他們可以控制的內容,以及其進入點周圍的內容,以探索其如何有利於他們目前的目標。 原生作業系統工具通常用於此入侵后的資訊收集目標。 在 適用於身分識別的 Microsoft Defender 中,這些警示通常涉及具有不同技術的內部帳戶列舉。

帳戶列舉偵察 (外部標識碼 2003)

上一個名稱: 使用帳戶列舉偵察

嚴重性:中

描述

在帳戶列舉偵察中,攻擊者會使用具有數千個用戶名稱的字典,或嘗試猜測網域中用戶名稱的工具,例如 KrbGuess。

Kerberos:攻擊者會使用這些名稱提出 Kerberos 要求,以嘗試在網域中尋找有效的用戶名稱。 當猜測成功判斷用戶名稱時,攻擊者會取得 必要 預先驗證,而不是 安全性主體未知 的 Kerberos 錯誤。

NTLM:攻擊者會使用名稱字典發出 NTLM 驗證要求,以嘗試在網域中尋找有效的用戶名稱。 如果猜測成功判斷使用者名稱,攻擊者會取得 WrongPassword (0xc000006a), 而不是 NoSuchUser (0xc0000064) NTLM 錯誤。

在此警示偵測中,適用於身分識別的 Defender 會偵測帳戶列舉攻擊的來源、猜測嘗試總數,以及相符的嘗試次數。 如果有太多未知的使用者,適用於身分識別的 Defender 會將其偵測為可疑活動。 警示是以域控制器和AD FS / AD CS 伺服器上執行之感測器的驗證事件為基礎。

學習期間

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索 (T1087)
MITRE 攻擊子技術 網域帳戶 (T1087.002)

預防的建議步驟

  1. 在組織中強制執行 複雜且長的密碼 。 複雜且冗長的密碼提供針對暴力密碼破解攻擊的必要第一層安全性。 暴力密碼破解攻擊通常是列舉之後網路攻擊終止鏈結的下一個步驟。

帳戶列舉偵察 (LDAP) (外部識別子 2437) (預覽)

嚴重性:中

描述

在帳戶列舉偵察中,攻擊者會使用具有數千個用戶名稱的字典,或嘗試猜測網域中用戶名稱的工具,例如 Ldapnomnom。

LDAP:攻擊者會使用這些名稱發出LDAP Ping要求 (cLDAP),以嘗試在網域中尋找有效的用戶名稱。 如果猜測成功判斷使用者名稱,攻擊者可能會收到回應,指出使用者存在於網域中。

在此警示偵測中,適用於身分識別的 Defender 會偵測帳戶列舉攻擊的來源、猜測嘗試總數,以及相符的嘗試次數。 如果有太多未知的使用者,適用於身分識別的 Defender 會將其偵測為可疑活動。 警示是以域控制器伺服器上執行的感測器的LDAP搜尋活動為基礎。

學習期間

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索 (T1087)
MITRE 攻擊子技術 網域帳戶 (T1087.002)

網路對應偵察 (DNS) (外部識別碼 2007)

舊名稱: 使用 DNS 偵察

嚴重性:中

描述

您的 DNS 伺服器包含網路中所有電腦、IP 位址和服務的對應。 攻擊者會使用這項資訊來對應您的網路結構,並將目標設為感興趣的計算機,以取得後續攻擊中的步驟。

DNS 通訊協定中有數種查詢類型。 此適用於身分識別的 Defender 安全性警示會偵測可疑的要求、使用源自非 DNS 伺服器的 AXFR(傳輸)要求,或是使用過多要求的要求。

學習期間

此警示的學習期間為從域控制器監視開始的八天。

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索 (T1087)網路服務掃描 (T1046)遠端系統探索 (T1018)
MITRE 攻擊子技術 N/A

預防的建議步驟

請務必藉由保護您的內部 DNS 伺服器,防止未來使用 AXFR 查詢的攻擊。

使用者和 IP 位址偵察 (SMB) (外部識別碼 2012)

舊名稱: 使用SMB會話列舉偵察

嚴重性:中

描述

使用伺服器消息塊 (SMB) 通訊協定的列舉可讓攻擊者取得使用者最近登入位置的相關信息。 攻擊者擁有這項信息之後,就可以在網路中橫向移動,以進入特定的敏感性帳戶。

在此偵測中,針對域控制器執行SMB會話列舉時,就會觸發警示。

學習期間

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索(T1087)系統網路 連線 探索 (T1049)
MITRE 攻擊子技術 網域帳戶 (T1087.002)

使用者與群組成員資格偵察 (SAMR) (外部識別碼 2021)

舊名稱: 使用目錄服務查詢偵察

嚴重性:中

描述

攻擊者會使用使用者和群組成員資格偵察來對應目錄結構和目標特殊許可權帳戶,以供後續攻擊步驟使用。 安全性帳戶管理員遠端 (SAM-R) 通訊協定是用來查詢目錄以執行這種類型的對應的方法之一。 在此偵測中,部署適用於身分識別的 Defender 後的第一個月不會觸發任何警示(學習期間)。 在學習期間,適用於身分識別的Defender配置檔會從哪些計算機進行SAM-R查詢,以及敏感性帳戶的列舉和個別查詢。

學習期間

每個域控制器四周,從 SAMR 針對特定 DC 的第一個網路活動開始。

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索(T1087)許可權群組探索 (T1069)
MITRE 攻擊子技術 網域帳戶 (T1087.002)網域群組 (T1069.002)

預防的建議步驟

  1. 套用網路存取,並限制允許對 SAM 組策略進行遠端呼叫的用戶端。

Active Directory 屬性偵察 (LDAP) (外部識別碼 2210)

嚴重性:中

描述

攻擊者會使用 Active Directory LDAP 偵察來取得網域環境的相關重要資訊。 這項資訊可協助攻擊者對應網域結構,以及識別特殊許可權帳戶,以供後續攻擊終止鏈結中的步驟使用。 輕量型目錄存取通訊協定 (LDAP) 是用於查詢 Active Directory 之合法和惡意用途的最常用方法之一。

學習期間

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索 (T1087)間接命令執行 (T1202)許可權群組探索 (T1069)
MITRE 攻擊子技術 網域帳戶 (T1087.002)網域群組 (T1069.002)

Honeytoken 透過 SAM-R 查詢 (外部識別碼 2439)

嚴重性:低

描述

攻擊者會使用使用者偵察來對應目錄結構和目標特殊許可權帳戶,以取得攻擊的後續步驟。 安全性帳戶管理員遠端 (SAM-R) 通訊協定是用來查詢目錄以執行這種類型的對應的方法之一。 在此偵測中,適用於身分識別的 Microsoft Defender 會針對預先設定的 honeytoken 使用者,針對任何偵察活動觸發此警示

學習期間

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索 (T1087)
MITRE 攻擊子技術 網域帳戶 (T1087.002)

Honeytoken 透過 LDAP 查詢 (外部識別碼 2429)

嚴重性:低

描述

攻擊者會使用使用者偵察來對應目錄結構和目標特殊許可權帳戶,以取得攻擊的後續步驟。 輕量型目錄存取通訊協定 (LDAP) 是用於查詢 Active Directory 之合法和惡意用途的最常用方法之一。

在此偵測中,適用於身分識別的 Microsoft Defender 會針對預先設定的 honeytoken 使用者,針對任何偵察活動觸發此警示。

學習期間

MITRE

主要 MITRE 策略 探索 (TA0007)
MITRE 攻擊技術 帳戶探索 (T1087)
MITRE 攻擊子技術 網域帳戶 (T1087.002)

可疑的Okta帳戶列舉

嚴重性:高

描述

在帳戶列舉中,攻擊者會嘗試使用不屬於組織的使用者登入Okta來猜測用戶名稱。 建議您調查執行失敗嘗試的來源IP,並判斷其是否合法。

學習期間

MITRE

主要 MITRE 策略 初始存取權 (TA0001)防禦逃避 (TA0005)、持續性 (TA0003)許可權提升 (TA0004)
MITRE 攻擊技術 有效帳戶 (T1078)
MITRE 攻擊子技術 雲端帳戶 (T1078.004)

另請參閱