其他安全性警示
一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權用戶,然後稍後快速移動,直到攻擊者取得寶貴的資產存取權為止。 寶貴的資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 會識別整個攻擊殺傷鏈中來源的這些進階威脅,並將其分類為下列階段:
若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需真陽性 (TP)、良性真陽性 (B-TP) 和誤判 (FP)的相關信息,請參閱安全性警示分類。
下列安全性警示可協助您識別並補救 網路中適用於身分識別的 Defender 偵測到的其他 階段可疑活動。
可疑的DCShadow攻擊 (域控制器升級) (外部標識碼 2028)
舊名稱: 可疑的域控制器升級(潛在的DCShadow攻擊)
嚴重性:高
描述:
域控制器陰影 (DCShadow) 攻擊是一種攻擊,其設計目的是使用惡意復寫來變更目錄物件。 使用複寫程式建立 Rogue 域控制器,即可從任何電腦執行此攻擊。
在DCShadow攻擊中,RPC和LDAP可用來:
- 將電腦帳戶註冊為域控制器(使用網域管理員許可權)。
- 透過DRSUAPI執行複寫(使用授與的複寫許可權),並將變更傳送至目錄物件。
在此適用於身分識別的 Defender 偵測中,當網路中的計算機嘗試註冊為 Rogue 域控制器時,就會觸發安全性警示。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| MITRE 攻擊技術 | 流氓域控制器 (T1207) |
| MITRE 攻擊子技術 | N/A |
預防的建議步驟:
驗證下列權限:
- 複寫目錄變更。
- 複寫目錄變更全部。
- 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與配置檔同步處理 Active Directory 網域服務 許可權。 您可以使用 AD ACL 掃描器 或建立 Windows PowerShell 腳本來判斷網域中具有這些許可權的人員。
注意
只有適用於身分識別的 Defender 感測器才支援可疑域控制器升級(潛在的 DCShadow 攻擊)警示。
可疑的DCShadow攻擊 (域控制器複寫要求) (外部標識碼 2029)
先前的名稱: 可疑的複寫要求(潛在的DCShadow攻擊)
嚴重性:高
描述:
Active Directory 複寫是一個域控制器上所做的變更與其他域控制器同步處理的程式。 鑒於必要的許可權,攻擊者可以授與其計算機帳戶的許可權,讓他們模擬域控制器。 攻擊者會努力起始惡意復寫要求,讓他們變更正版域控制器上的 Active Directory 物件,這可讓攻擊者在網域中保持持續性。 在此偵測中,當針對 Defender for Identity 保護的真正域控制器產生可疑的復寫要求時,就會觸發警示。 行為表示域控制器陰影攻擊中使用的技術。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| MITRE 攻擊技術 | 流氓域控制器 (T1207) |
| MITRE 攻擊子技術 | N/A |
建議的補救和預防步驟:
驗證下列權限:
- 複寫目錄變更。
- 複寫目錄變更全部。
- 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與配置檔同步處理 Active Directory 網域服務 許可權。 您可以使用 AD ACL 掃描器 或建立 Windows PowerShell 腳本來判斷網域中誰具有這些許可權。
注意
只有適用於身分識別的 Defender 感測器支援可疑的複寫要求(潛在的 DCShadow 攻擊)警示。
可疑的 VPN 連線(外部識別碼 2025)
先前的名稱: 可疑的 VPN 連線
嚴重性:中
描述:
適用於身分識別的 Defender 會了解使用者 VPN 連線在一個月滑動期間內的實體行為。
VPN 行為模型是以使用者登入的計算機和使用者所連線的位置為基礎。
當以機器學習演算法為基礎的用戶行為有偏差時,就會開啟警示。
學習期間:
從第一個 VPN 連線起 30 天,以及過去 30 天內至少 5 個 VPN 連線,每位使用者。
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| 次要 MITRE 策略 | 持續性 (TA0003) |
| MITRE 攻擊技術 | 外部遠端服務 (T1133) |
| MITRE 攻擊子技術 | N/A |
遠端程式代碼執行嘗試 (外部識別碼 2019)
舊名稱: 遠端程式代碼執行嘗試
嚴重性:中
描述:
入侵系統管理認證或使用零時差惡意探索的攻擊者,可以在域控制器或 AD FS / AD CS 伺服器上執行遠端命令。 這可用於取得持續性、收集資訊、阻斷服務 (DOS) 攻擊或任何其他原因。 適用於身分識別的 Defender 會偵測 PSexec、遠端 WMI 和 PowerShell 連線。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 執行 (TA0002) |
|---|---|
| 次要 MITRE 策略 | 橫向運動 (TA0008) |
| MITRE 攻擊技術 | 命令和文稿解釋器 (T1059),遠端服務 (T1021) |
| MITRE 攻擊子技術 | PowerShell (T1059.001)、 Windows 遠端管理 (T1021.006) |
預防的建議步驟:
- 限制從非第0層機器遠端存取域控制器。
- 實 作特殊許可權存取,只允許強化的計算機連線到系統管理員的域控制器。
- 在網域機器上實作較不具特殊許可權的存取權,以允許特定使用者建立服務。
注意
只有適用於身分識別的 Defender 感測器才支持嘗試使用 Powershell 命令時的遠端程式代碼執行嘗試警示。
可疑的服務建立 (外部標識碼 2026)
上一個名稱: 可疑的服務建立
嚴重性:中
描述:
已在您組織中的域控制器或AD FS / AD CS 伺服器上建立可疑的服務。 此警示依賴事件 7045 來識別此可疑活動。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 執行 (TA0002) |
|---|---|
| 次要 MITRE 策略 | 持續性(TA0003)、 特權提升(TA0004)、 防禦逃避(TA0005)、 橫向運動(TA0008) |
| MITRE 攻擊技術 | 遠端服務 (T1021)、 命令和腳本解釋器 (T1059)、 系統服務 (T1569)、 建立或修改系統進程 (T1543) |
| MITRE 攻擊子技術 | 服務執行 (T1569.002)、 Windows 服務 (T1543.003) |
預防的建議步驟:
- 限制從非第0層機器遠端存取域控制器。
- 實作 特殊許可權存取 ,只允許強化的計算機連線到系統管理員的域控制器。
- 在網域機器上實作較不具特殊許可權的存取權,只授與特定使用者建立服務的許可權。
透過 DNS 的可疑通訊 (外部識別碼 2031)
上一個名稱:透過 DNS 的可疑通訊
嚴重性:中
描述:
大多數組織中的 DNS 通訊協定通常不會受到監視,而且很少會封鎖惡意活動。 在遭入侵的計算機上啟用攻擊者,以濫用 DNS 通訊協定。 透過 DNS 的惡意通訊可用於數據外洩、命令和控制,以及/或逃避公司網路限制。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 外洩 (TA0010) |
|---|---|
| MITRE 攻擊技術 | 透過替代通訊協定的外洩 (T1048)、透過 C2 通道外洩 (T1041)、排程傳輸 (T1029)、自動外洩 (T1020)、應用層通訊協定 (T1071) |
| MITRE 攻擊子技術 | DNS (T1071.004)、 未加密/模糊化非 C2 通訊協定的外洩 (T1048.003) |
SMB 上的資料外流 (外部識別碼 2030)
嚴重性:高
描述:
域控制器會保存最敏感的組織數據。 對於大多數攻擊者來說,其最優先的一項是取得域控制器存取權,以竊取您最敏感的數據。 例如,儲存在 DC 上的 Ntds.dit 檔案外洩,可讓攻擊者偽造 Kerberos 票證,授與票證(TGT)以授權給任何資源。 偽造的 Kerberos TGT 可讓攻擊者將票證到期設定為任何任意時間。 從受監視的域控制器觀察到可疑的數據傳輸時,會觸發SMB警示的適用於身分識別數據的Defender外洩。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 外洩 (TA0010) |
|---|---|
| 次要 MITRE 策略 | 橫向移動 (TA0008),指揮和控制 (TA0011) |
| MITRE 攻擊技術 | 透過替代通訊協定 (T1048) 外洩, 橫向工具傳輸 (T1570) |
| MITRE 攻擊子技術 | 未加密/模糊化非 C2 通訊協定的外洩 (T1048.003) |
可疑刪除憑證資料庫專案 (外部標識碼 2433)
嚴重性:中
描述:
刪除憑證資料庫專案是紅色旗標,表示潛在的惡意活動。 此攻擊可能會中斷公鑰基礎結構 (PKI) 系統的運作,進而影響驗證和數據完整性。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| MITRE 攻擊技術 | 指標移除 (T1070) |
| MITRE 攻擊子技術 | N/A |
注意
AD CS 上的適用於身分識別的 Defender 僅支援可疑刪除憑證資料庫專案警示。
可疑停用 AD CS 的稽核篩選 (外部識別碼 2434)
嚴重性:中
描述:
停用AD CS中的稽核篩選器可讓攻擊者在不偵測到的情況下運作。 此攻擊旨在藉由停用會標幟可疑活動的篩選來逃避安全性監視。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| MITRE 攻擊技術 | 受損防禦 (T1562) |
| MITRE 攻擊子技術 | 停用 Windows 事件記錄 (T1562.002) |
目錄服務還原模式密碼變更 (外部識別碼 2438)
嚴重性:中
描述:
目錄服務還原模式 (DSRM) 是 Windows Server 操作系統中Microsoft特殊開機模式,可讓系統管理員修復或還原 Active Directory 資料庫。 當 Active Directory 發生問題且無法正常開機時,通常會使用此模式。 DSRM 密碼會在將伺服器升級至域控制器期間設定。 在此偵測中,當適用於身分識別的 Defender 偵測到 DSRM 密碼變更時,就會觸發警示。 建議您調查來源計算機和提出要求的使用者,以瞭解 DSRM 密碼變更是否從合法的系統管理動作起始,或如果它引發未經授權存取或潛在安全性威脅的擔憂。
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 持續性 (TA0003) |
|---|---|
| MITRE 攻擊技術 | 帳戶操作 (T1098) |
| MITRE 攻擊子技術 | N/A |
可能的Okta會話竊取
嚴重性:高
描述:
在會話竊取中,攻擊者會竊取合法使用者的Cookie,並從其他位置使用它。 建議您調查執行作業的來源IP,以判斷這些作業是否合法,而且該IP位址是由使用者使用。
學習期間:
2 週
MITRE:
| 主要 MITRE 策略 | 集合 (TA0009) |
|---|---|
| MITRE 攻擊技術 | 瀏覽器會話劫持 (T1185) |
| MITRE 攻擊子技術 | N/A |
組策略竄改 (外部標識碼 2440) (預覽)
嚴重性:中
描述:
組策略中偵測到可疑的變更,導致 Windows Defender 防病毒軟體停用。 此活動可能表示攻擊者具有較高許可權的安全性缺口,而攻擊者可能會設定散發勒索軟體的階段。
調查的建議步驟:
瞭解 GPO 變更是否合法
如果不是,請還原變更
瞭解組策略如何連結,以估計其影響範圍
學習期間:
無
MITRE:
| 主要 MITRE 策略 | 防禦逃避 (TA0005) |
|---|---|
| MITRE 攻擊技術 | 顛覆信任控制件 (T1553) |
| MITRE 攻擊技術 | 顛覆信任控制件 (T1553) |
| MITRE 攻擊子技術 | N/A |