Tutorial: Warnungen zu DomänendominanzTutorial: Domain dominance alerts

Cyberangriffe werden üblicherweise auf alle zugänglichen Entitäten wie etwa Benutzer mit geringen Rechten durchgeführt. Anschließend dringt der Angreifer schnell im internen Netzwerk vor (Lateral Movement), um Zugriff auf wertvolle Ressourcen zu erhalten.Typically, cyberattacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets. Dabei kann es sich um sensible Konten, Konten von Domänenadministratoren oder streng vertrauliche Daten handeln.Valuable assets can be sensitive accounts, domain administrators, or highly sensitive data. Microsoft Defender for IdentityMicrosoft Defender for Identity identifiziert diese komplexen Bedrohungen an der Quelle über die gesamte Kette der Angriffsabwehr hinweg und ordnet sie in die folgenden Phasen ein:Microsoft Defender for IdentityMicrosoft Defender for Identity identifies these advanced threats at the source throughout the entire attack kill chain and classifies them into the following phases:

  1. ReconnaissanceReconnaissance
  2. Kompromittierte AnmeldeinformationenCompromised credentials
  3. Seitliche VerschiebungLateral Movements
  4. Warnungen zu DomänendominanzDomain dominance
  5. ExfiltrationExfiltration

Weitere Informationen zur Struktur und zu gängigen Komponenten aller Microsoft Defender for IdentityDefender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen.To learn more about how to understand the structure, and common components of all Microsoft Defender for IdentityDefender for Identity security alerts, see Understanding security alerts. Weitere Informationen zu True Positive (TP) , Benign True Positive (B-TP) (unschädlich richtig positiv) und False Positive (FP) finden Sie unter Klassifizierungen der Sicherheitswarnungen.For information about True positive (TP), Benign true positive (B-TP), and False positive (FP), see security alert classifications.

Mit den folgenden Sicherheitswarnungen können Sie verdächtige Aktivitäten der Phase Domänendominanz identifizieren und beheben, die von Microsoft Defender for IdentityDefender for Identity in Ihrem Netzwerk erkannt wurden.The following security alerts help you identify and remediate Domain dominance phase suspicious activities detected by Microsoft Defender for IdentityDefender for Identity in your network. In diesem Tutorial machen Sie sich mit den folgenden Angriffstypen vertraut und erfahren, wie Sie diese klassifizieren, unterbinden und im Vorfeld verhindern:In this tutorial, learn how to understand, classify, prevent, and remediate the following attacks:

  • Böswillige Anforderung des Datenschutz-API-Hauptschlüssels (externe ID 2020)Malicious request of Data Protection API master key (external ID 2020)
  • Versuch der Remotecodeausführung (externe ID 2019)Remote code execution attempt (external ID 2019)
  • Vermuteter DCShadow-Angriff (Höherstufung eines Domänencontrollers) (externe ID 2028)Suspected DCShadow attack (domain controller promotion) (external ID 2028)
  • Vermuteter DCShadow-Angriff (Replikationsanforderung an Domänencontroller) (externe ID 2029)Suspected DCShadow attack (domain controller replication request) (external ID 2029)
  • Vermuteter DCSync-Angriff (Replikation der Verzeichnisdienste) (externe ID 2006)Suspected DCSync attack (replication of directory services) (external ID 2006)
  • Vermutete Golden Ticket-Verwendung (Herabstufung der Verschlüsselung) (externe ID 2009)Suspected Golden Ticket usage (encryption downgrade) (external ID 2009)
  • Vermutete Golden Ticket-Verwendung (gefälschte Autorisierungsdaten) (externe ID 2013)Suspected Golden Ticket usage (forged authorization data) (external ID 2013)
  • Vermutete Golden Ticket-Verwendung (nicht vorhandenes Konto) (externe ID 2027)Suspected Golden Ticket usage (nonexistent account) (external ID 2027)
  • Vermutete Golden Ticket-Verwendung (Ticketanomalie) (externe ID 2032)Suspected Golden Ticket usage (ticket anomaly) (external ID 2032)
  • Vermutete Golden Ticket-Verwendung (Ticketanomalie mithilfe von RBCD) (externe ID 2040)Suspected Golden Ticket usage (ticket anomaly using RBCD) (external ID 2040)
  • Vermutete Golden Ticket-Verwendung (Zeitanomalie) (externe ID 2022)Suspected Golden Ticket usage (time anomaly) (external ID 2022)
  • Vermuteter Skeleton Key-Angriff (Herabstufung der Verschlüsselung) (externe ID 2010)Suspected Skeleton Key attack (encryption downgrade) (external ID 2010)
  • Verdächtige Hinzufügungen sensibler Gruppen (externe ID 2024)Suspicious additions to sensitive groups (external ID 2024)
  • Verdächtige Diensterstellung (externe ID 2026)Suspicious service creation (external ID 2026)

Böswillige Anforderung des Datenschutz-API-Hauptschlüssels (externe ID 2020)Malicious request of Data Protection API master key (external ID 2020)

Vorheriger Name: Böswillige Anforderung privater Informationen im Rahmen der DatensicherheitPrevious name: Malicious Data Protection Private Information Request

BeschreibungDescription

Die Datenschutz-API (DPAPI) wird von Windows verwendet, um von Browsern gespeicherte Kennwörter, verschlüsselte Dateien und andere sensible Daten sicher zu schützen.The Data Protection API (DPAPI) is used by Windows to securely protect passwords saved by browsers, encrypted files, and other sensitive data. Domänencontroller enthalten einen Hauptschlüssel zur Sicherung, der verwendet werden kann, um alle mit der DPAPI verschlüsselten Geheimnisse auf mit einer Domäne verbundenen Windows-Computern zu entschlüsseln.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI on domain-joined Windows machines. Angreifer können den Hauptschlüssel verwenden, um sämtliche von der DPAPI geschützten Geheimnisse auf allen Computern zu entschlüsseln, die mit einer Domäne verbunden sind.Attackers can use the master key to decrypt any secrets protected by DPAPI on all domain-joined machines. In dieser Erkennung wird eine Microsoft Defender for IdentityDefender for Identity-Warnung ausgelöst, wenn die DPAPI zum Abrufen des Sicherungshauptschlüssels verwendet wird.In this detection, a Microsoft Defender for IdentityDefender for Identity alert is triggered when the DPAPI is used to retrieve the backup master key.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP?

Diese Aktivitäten werden möglicherweise von erweiterten Sicherheitsscannern für Active Directory Domain Services ausgeführt und sind in diesem Fall unbedenklich.Advanced security scanners may legitimately generate this type of activity against Active Directory.

  1. Überprüfen Sie, ob auf dem Quellcomputer ein von der Organisation genehmigter erweiterter Sicherheitsscanner für Active Directory Domain Services ausgeführt wird.Check if the source computer is running an organization-approved advanced security scanner against Active Directory?

    • Wenn die Antwort Ja lautet und der Scanner nicht ausgeführt werden sollte, beheben Sie die Anwendungskonfiguration.If the answer is yes, and it should not be running, fix the application configuration. Die Warnung ist eine B-TP-Aktivität und kann geschlossen werden.This alert is a B-TP and can be Closed.
    • Wenn die Antwort Ja lautet und der Scanner immer ausgeführt werden sollte, schließen Sie die Warnung, und schließen Sie diesen Computer aus. Es handelt sich wahrscheinlich um eine B-TP-Aktivität.If the answer is yes, and it should always do this, Close the alert, and exclude that computer, it is probably a B-TP activity.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer.Investigate the source computer.
  2. Wenn ein Quellbenutzer vorhanden ist, untersuchen Sie diesen.If a source user exists, investigate.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

  1. Setzen Sie das Kennwort des Quellbenutzers zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Kontrollieren Sie den Quellcomputer.Contain the source computer.
    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch kompromittiert sind.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Der gestohlene private Schlüssel wird nie geändert.The stolen private key is never changed. Dies bedeutet, dass der Akteur mit dem gestohlenen Schlüssel jederzeit geschützte Daten in der Zieldomäne entschlüsseln kann.Meaning the actor can always use the stolen key to decrypt protected data in the target domain. Eine methodische Vorgehensweise zum Ändern des privaten Schlüssels gibt es nicht.A methodological way to change this private key does not exist.
    • Verwenden Sie stattdessen den aktuellen privaten Schlüssel, erstellen Sie einen Schlüssel, und verschlüsseln Sie jeden Domänenhauptschlüssel noch einmal mit dem neuen privaten Schlüssel, um einen Schlüssel zu erstellen.To create a key, use the current private key, create a key, and re-encrypt every domain master key with the new private key.

Versuch der Remotecodeausführung (externe ID 2019)Remote code execution attempt (external ID 2019)

Vorheriger Name: Versuchte Remote-CodeausführungPrevious name: Remote code execution attempt

BeschreibungDescription

Angreifer, die Administratoranmeldeinformationen kompromittiert haben oder einen Zero-Day-Exploit verwenden, können Remotebefehle auf Ihrem Domänencontroller oder AD FS-Server ausführen.Attackers who compromise administrative credentials or use a zero-day exploit can execute remote commands on your domain controller or AD FS server. Damit können sie Beständigkeit erhalten, Informationen sammeln, oder DOS-Attacken (Denial of Service) ausführen usw.This can be used for gaining persistency, collecting information, denial of service (DOS) attacks or any other reason. Microsoft Defender for IdentityDefender for Identity erkennt PSexec- und PowerShell-Verbindungen sowie WMI-Remoteverbindungen.Microsoft Defender for IdentityDefender for Identity detects PSexec, Remote WMI, and PowerShell connections.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Zulässige administrative Aufgaben auf Domänencontrollern können von Arbeitsstationen für Administratoren, IT-Teammitgliedern und Dienstkonten durchgeführt werden.Administrative workstations, IT team members, and service accounts can all perform legitimate administrative tasks against domain controllers.

  1. Überprüfen Sie, ob diese Befehle tatsächlich vom Quellcomputer oder Benutzer auf Ihrem Domänencontroller ausgeführt werden sollen.Check if the source computer or user is supposed to run those types of commands on your domain controller?
    • Wenn der Quellcomputer oder Benutzer diese Befehle ausführen darf, schließen Sie die Sicherheitswarnung als B-TP-Aktivität.If the source computer or user is supposed to run those types of commands, Close the security alert as a B-TP activity.
    • Wenn der Quellcomputer oder Benutzer diese Befehle jetzt und in Zukunft auf Ihrem lokalen Domänencontroller ausführen darf, handelt es sich um eine B-TP-Aktivität.If the source computer or user is supposed to run those commands on your domain controller, and will continue to do so, it is a B-TP activity. Schließen Sie die Sicherheitswarnung, und schließen Sie den Computer aus.Close the security alert and exclude the computer.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer und den Benutzer.Investigate the source computer and user.
  2. Untersuchen Sie den Domänencontroller.Investigate the domain controller.

Empfohlene Abhilfemaßnahmen und Schritte zur Vorbeugung:Suggested remediation and steps for prevention:

WartungRemediation

  1. Setzen Sie das Kennwort der Quellbenutzer zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the password of the source users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Isolieren Sie die Domänencontroller durch folgende Maßnahmen:Contain the domain controllers by:
    • Unterbinden Sie die versuchte Remotecodeausführung.Remediate the remote code execution attempt.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der verdächtigen Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Kontrollieren Sie den Quellcomputer.Contain the source computer.
    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der verdächtigen Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

VorbeugungPrevention

  1. Schränken Sie den Remotezugriff auf Domänencontroller von Computern ein, die nicht den Tier 0 aufweisen.Restrict remote access to domain controllers from non-Tier 0 machines.
  2. Implementieren Sie Zugriffseinschränkungen für Konten mit weitreichenden Rechten.Implement privileged access. Dadurch wird sichergestellt, dass nur abgesicherte Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.allowing only hardened machines to connect to domain controllers for admins.
  3. Implementieren Sie weniger restriktive Zugriffseinschränkungen auf Domänencomputern, um bestimmten Benutzern die Erstellung von Diensten zu erlauben.Implement less-privileged access on domain machines to allow specific users the right to create services.

Hinweis

Warnungen zur versuchten Remotecodeausführung durch Powershell-Befehle werden nur von Microsoft Defender for IdentityDefender for Identity-Sensoren unterstützt.Remote code execution attempt alerts on attempted use of Powershell commands are only supported by Microsoft Defender for IdentityDefender for Identity sensors.

Vermuteter DCShadow-Angriff (Höherstufung eines Domänencontrollers) (externe ID 2028)Suspected DCShadow attack (domain controller promotion) (external ID 2028)

Vorheriger Name: Verdächtige Heraufstufung zu Domänencontrollern (potenzieller DcShadow-Angriff)Previous name: Suspicious domain controller promotion (potential DCShadow attack)

BeschreibungDescription

Bei einem DCShadow-Angriff (Domain Controller Shadow) handelt es sich um einen Angriff, bei dem mithilfe einer schädlichen Replikation Verzeichnisobjekte geändert werden sollen.A domain controller shadow (DCShadow) attack is an attack designed to change directory objects using malicious replication. Ein solcher Angriff kann von jedem Computer aus erfolgen, indem mithilfe eines Replikationsvorgangs ein nicht autorisierter Domänencontroller erstellt wird.This attack can be performed from any machine by creating a rogue domain controller using a replication process.

Bei einem DCShadow-Angriff werden RPC und LDAP für folgende Vorgänge verwendet:In a DCShadow attack, RPC, and LDAP are used to:

  1. Das Computerkonto wird (mithilfe von Domänenadministratorrechten) als Domänencontroller registriert.Register the machine account as a domain controller (using domain admin rights).
  2. Die Replikation wird (unter Verwendung der gewährten Replikationsrechte) über DRSUAPI durchgeführt, und Änderungen werden an Verzeichnisobjekte gesendet.Perform replication (using the granted replication rights) over DRSUAPI and send changes to directory objects.

Bei dieser Microsoft Defender for IdentityDefender for Identity-Erkennung wird eine Sicherheitswarnung ausgelöst, wenn ein Computer im Netzwerk versucht, sich als nicht autorisierter Domänencontroller zu registrieren.In this Microsoft Defender for IdentityDefender for Identity detection, a security alert is triggered when a machine in the network tries to register as a rogue domain controller.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Wenn der Quellcomputer ein Domänencontroller ist, wird Microsoft Defender for IdentityDefender for Identity möglicherweise aufgrund fehlender Entscheidungssicherheit an der Identifikation gehindert.If the source computer is a domain controller, failed or low certainty resolution can prevent Microsoft Defender for IdentityDefender for Identity from being able to confirm identification.

  1. Überprüfen Sie, ob der Quellcomputer ein Domänencontroller ist.Check if the source computer is a domain controller? Wenn die Antwort Ja lautet, schließen Sie die Warnung als B-TP-Aktivität.If the answer is yes, Close the alert as a B-TP activity.

Die Synchronisierung von Änderungen in Active Directory Domain Services kann etwas Zeit in Anspruch nehmen.Changes in your Active Directory can take time to synchronize.

  1. Ist der Quellcomputer ein Domänencontroller, der kürzlich höher gestuft wurde?Is the source computer a newly promoted domain controller? Wenn die Antwort Ja lautet, schließen Sie die Warnung als B-TP-Aktivität.If the answer is yes, Close the alert as a B-TP activity.

Server und Anwendungen wie Azure AD Connect oder Geräte zur Leistungsüberwachung im Netzwerk können möglicherweise Daten aus Active Directory Domain Services replizieren.Servers and applications might replicate data from Active Directory, such as Azure AD Connect or network performance monitoring devices.

  1. Überprüfen Sie, ob diese Aktivitäten tatsächlich vom Quellcomputer ausgeführt werden sollen.Check if this source computer is supposed to generate this type of activity?

    • Wenn die Antwort Ja lautet, diese Aktivität aber in Zukunft nicht mehr vom Quellcomputer ausgeführt werden soll, beheben Sie die Konfiguration des Servers oder der Anwendung.If the answer is yes, but the source computer should not continue generating this type of activity in the future, fix the configuration of the server/application. Schließen Sie die Sicherheitswarnung als B-TP-Aktivität.Close the security alert as a B-TP activity.

    • Wenn die Antwort Ja lautet und diese Aktivität in der Zukunft weiterhin vom Quellcomputer ausgeführt werden soll, schließen Sie die Sicherheitswarnung als B-TP-Aktivität, und schließen Sie den Computer aus, um zusätzliche B-TP-Warnungen zu vermeiden.If the answer is yes and the source computer should continue generating this type of activity in the future, Close the security alert as a B-TP activity, and exclude the computer to avoid additional benign alerts.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer.Investigate the source computer.
  2. Sehen Sie sich in der Ereignisanzeige Active Directory-Ereignisse an, die im Protokoll der Verzeichnisdienste aufgezeichnet wurden.Look at the Event Viewer to see Active Directory events that it records in the directory services log. Sie können das Protokoll verwenden, um Änderungen in Active Directory zu überwachen.You can use the log to monitor changes in Active Directory. Standardmäßig zeichnet Active Directory nur kritische Fehlerereignisse auf. Wenn diese Warnung aber wiederholt auftritt, aktivieren Sie diese Überwachung auf dem entsprechenden Domänencontroller, um eine weitere Untersuchung zu ermöglichen.By default, Active Directory only records critical error events, but if this alert recurs, enable this audit on the relevant domain controller for further investigation.

Empfohlene Abhilfemaßnahmen und Schritte zur Vorbeugung:Suggested remediation and steps for prevention:

Abhilfemaßnahmen:Remediation:

  1. Kontrollieren Sie den Quellcomputer.Contain the source computer.
    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch kompromittiert sind.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Vorbeugung:Prevention:

Überprüfen Sie die folgenden Berechtigungen:Validate the following permissions:

  1. Replizieren von Verzeichnisänderungen.Replicate directory changes.
  2. Replizieren von allen Verzeichnisänderungen.Replicate directory changes all.
  3. Weitere Informationen finden Sie unter Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013 (Erteilen von AD DS-Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013).For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. Nutzen Sie den AD-ACL-Scanner, oder erstellen Sie ein Windows PowerShell-Skript, um festzustellen, wer in der Domäne über diese Berechtigungen verfügt.You can use AD ACL Scanner or create a Windows PowerShell script to determine who has these permissions in the domain.

Hinweis

Warnungen vor verdächtigen Höherstufungen von Domänencontrollern (potenzieller DCShadow-Angriff) werden nur von Microsoft Defender for IdentityDefender for Identity-Sensoren unterstützt.Suspicious domain controller promotion (potential DCShadow attack) alerts are supported by Microsoft Defender for IdentityDefender for Identity sensors only.

Vermuteter DCShadow-Angriff (Replikationsanforderung an Domänencontroller) (externe ID 2029)Suspected DCShadow attack (domain controller replication request) (external ID 2029)

Vorheriger Name: Verdächtige Replikationsanforderung (potenzieller DCShadow-Angriff)Previous name: Suspicious replication request (potential DCShadow attack)

BeschreibungDescription

Bei der Active Directory-Replikation werden Änderungen, die auf einem Domänencontroller durchgeführt wurden, mit anderen Domänencontrollern synchronisiert.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with other domain controllers. Wenn Angreifer über die erforderlichen Berechtigungen verfügen, können sie ihren Computerkonten Rechte gewähren, die es ihnen ermöglichen, die Identität eines Domänencontrollers anzunehmen.Given necessary permissions, attackers can grant rights for their machine account, allowing them to impersonate a domain controller. Angreifer versuchen, eine schädliche Replikationsanforderung zu initiieren, die es ihnen ermöglicht, Active Directory Domain Services-Objekte auf einem echten Domänencontroller zu ändern und so dauerhaft die Kontrolle über die Domäne zu erhalten.Attackers strive to initiate a malicious replication request, allowing them to change Active Directory objects on a genuine domain controller, which can give the attackers persistence in the domain. Bei dieser Erkennungsfunktion wird eine Warnung ausgelöst, wenn eine verdächtige Replikationsanforderung für einen echten Domänencontroller generiert wird, der durch Microsoft Defender for IdentityDefender for Identity geschützt ist.In this detection, an alert is triggered when a suspicious replication request is generated against a genuine domain controller protected by Microsoft Defender for IdentityDefender for Identity. Dieses Verhalten weist auf Techniken hin, die bei DCShadow-Angriffen verwendet werden.The behavior is indicative of techniques used in domain controller shadow attacks.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Wenn der Quellcomputer ein Domänencontroller ist, wird Microsoft Defender for IdentityDefender for Identity möglicherweise aufgrund fehlender Entscheidungssicherheit an der Identifikation gehindert.If the source computer is a domain controller, failed or low certainty resolution can prevent Microsoft Defender for IdentityDefender for Identity from identification.

  1. Überprüfen Sie, ob der Quellcomputer ein Domänencontroller ist.Check if the source computer is a domain controller? Wenn die Antwort Ja lautet, schließen Sie die Warnung als B-TP-Aktivität.If the answer is yes, Close the alert as a B-TP activity.

Die Synchronisierung von Änderungen in Active Directory Domain Services kann etwas Zeit in Anspruch nehmen.Changes in your Active Directory can take time to synchronize.

  1. Ist der Quellcomputer ein Domänencontroller, der kürzlich höher gestuft wurde?Is the source computer a newly promoted domain controller? Wenn die Antwort Ja lautet, schließen Sie die Warnung als B-TP-Aktivität.If the answer is yes, Close the alert as a B-TP activity.

Server und Anwendungen wie Azure AD Connect oder Geräte zur Leistungsüberwachung im Netzwerk können möglicherweise Daten aus Active Directory Domain Services replizieren.Servers and applications might replicate data from Active Directory, such as Azure AD Connect or network performance monitoring devices.

  1. Sollten diese Aktivitäten tatsächlich vom Quellcomputer ausgeführt werden?Was this source computer supposed to generate this type of activity?

    • Wenn die Antwort Ja lautet, diese Aktivität aber in Zukunft nicht mehr vom Quellcomputer ausgeführt werden soll, beheben Sie die Konfiguration des Servers oder der Anwendung.If the answer is yes, but the source computer should not continue generating this type of activity in the future, fix the configuration of the server/application. Schließen Sie die Sicherheitswarnung als B-TP-Aktivität.Close the security alert as a B-TP activity.

    • Wenn die Antwort Ja lautet und diese Aktivität in der Zukunft weiterhin vom Quellcomputer ausgeführt werden soll, schließen Sie die Sicherheitswarnung als B-TP-Aktivität, und schließen Sie den Computer aus, um zusätzliche B-TP-Warnungen zu vermeiden.If the answer is yes, and the source computer should continue generating this type of activity in the future, Close the security alert as a B-TP activity, and exclude the computer to avoid additional B-TP alerts.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer.Investigate the source computer.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

Abhilfemaßnahmen:Remediation:

  1. Kontrollieren Sie den Quellcomputer.Contain the source computer.
    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch kompromittiert sind.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Korrigieren Sie die Daten, die auf den Domänencontrollern repliziert wurden.Remediate the data that was replicated on the domain controllers.

Vorbeugung:Prevention:

Überprüfen Sie die folgenden Berechtigungen:Validate the following permissions:

  1. Replizieren von Verzeichnisänderungen.Replicate directory changes.
  2. Replizieren von allen Verzeichnisänderungen.Replicate directory changes all.
  3. Weitere Informationen finden Sie unter Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013 (Erteilen von AD DS-Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013).For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. Nutzen Sie den AD-ACL-Scanner, oder erstellen Sie ein Windows PowerShell-Skript, um festzustellen, wer in der Domäne über diese Berechtigungen verfügt.You can use AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Hinweis

Warnungen vor verdächtigen Replikationsanforderungen (potenzieller DCShadow-Angriff) werden nur von Microsoft Defender for IdentityDefender for Identity-Sensoren unterstützt.Suspicious replication request (potential DCShadow attack) alerts are supported by Microsoft Defender for IdentityDefender for Identity sensors only.

Vermuteter DCSync-Angriff (Replikation der Verzeichnisdienste) (externe ID 2006)Suspected DCSync attack (replication of directory services) (external ID 2006)

Vorheriger Name: Böswillige Replikation von VerzeichnisdienstenPrevious name: Malicious replication of directory services

BeschreibungDescription

Bei der Replikation mit Active Directory werden Änderungen eines Domänencontrollers mit allen anderen Domänencontrollern synchronisiert.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with all other domain controllers. Mit den erforderlichen Berechtigungen können Angreifer eine Replikationsanforderung initiieren, die ihnen das Abrufen der in Active Directory gespeicherten Daten ermöglicht, einschließlich der Kennworthashes.Given necessary permissions, attackers can initiate a replication request, allowing them to retrieve the data stored in Active Directory, including password hashes.

In dieser Erkennung wird eine Warnung ausgelöst, wenn eine Replikationsanforderung von einem Computer initiiert wird, der kein Domänencontroller ist.In this detection, an alert is triggered when a replication request is initiated from a computer that is not a domain controller.

Hinweis

Falls Sie über Domänencontroller verfügen, auf denen keine Microsoft Defender for IdentityDefender for Identity-Sensoren installiert sind, werden diese nicht von Microsoft Defender for IdentityDefender for Identity abgedeckt.If you have domain controllers on which Microsoft Defender for IdentityDefender for Identity sensors are not installed, those domain controllers are not covered by Microsoft Defender for IdentityDefender for Identity. Wenn Sie einen neuen Domänencontroller auf einem nicht registrierten oder ungeschützten Domänencontroller bereitstellen, wird dieser möglicherweise nicht unmittelbar von Microsoft Defender for IdentityDefender for Identity als Domänencontroller erkannt.When deploying a new domain controller on an unregistered or unprotected domain controller, it may not immediately be identified by Microsoft Defender for IdentityDefender for Identity as a domain controller. Es wird dringend empfohlen, den Microsoft Defender for IdentityDefender for Identity-Sensor für eine vollständige Abdeckung auf jedem Domänencontroller zu installieren.It is highly recommended to install the Microsoft Defender for IdentityDefender for Identity sensor on every domain controller to get full coverage.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Wenn der Quellcomputer ein Domänencontroller ist, wird Microsoft Defender for IdentityDefender for Identity möglicherweise aufgrund fehlender Entscheidungssicherheit an der Identifikation gehindert.If the source computer is a domain controller, failed or low certainty resolution can prevent Microsoft Defender for IdentityDefender for Identity from identification.

  1. Überprüfen Sie, ob der Quellcomputer ein Domänencontroller ist.Check if the source computer is a domain controller? Wenn die Antwort Ja lautet, schließen Sie die Warnung als B-TP-Aktivität.If the answer is yes, Close the alert as a B-TP activity.

Die Synchronisierung von Änderungen in Active Directory Domain Services kann etwas Zeit in Anspruch nehmen.Changes in your Active Directory can take time to synchronize.

  1. Ist der Quellcomputer ein Domänencontroller, der kürzlich höher gestuft wurde?Is the source computer a newly promoted domain controller? Wenn die Antwort Ja lautet, schließen Sie die Warnung als B-TP-Aktivität.If the answer is yes, Close the alert as a B-TP activity.

Server und Anwendungen wie Azure AD Connect oder Geräte zur Leistungsüberwachung im Netzwerk können möglicherweise Daten aus Active Directory Domain Services replizieren.Servers and applications might replicate data from Active Directory, such as Azure AD Connect or network performance monitoring devices.

  1. Sollten diese Aktivitäten tatsächlich vom Quellcomputer ausgeführt werden?Was this source computer was supposed to generate this type of activity?

    • Wenn die Antwort Ja lautet, diese Aktivitäten aber in Zukunft nicht mehr vom Quellcomputer ausgeführt werden sollen, beheben Sie die Konfiguration des Servers oder der Anwendung.If the answer is yes, but the source computer should not continue to generate this type of activity in the future, fix the configuration of the server/application. Schließen Sie die Sicherheitswarnung als B-TP-Aktivität.Close the security alert as a B-TP activity.

    • Wenn die Antwort Ja lautet und diese Aktivität in der Zukunft weiterhin vom Quellcomputer ausgeführt werden soll, schließen Sie die Sicherheitswarnung als B-TP-Aktivität, und schließen Sie den Computer aus, um zusätzliche B-TP-Warnungen zu vermeiden.If the answer is yes, and the source computer should continue to generate this type of activity in the future, Close the security alert as a B-TP activity, and exclude the computer to avoid additional benign alerts.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer und den Benutzer.Investigate the source computer and user.

Empfohlene Abhilfemaßnahmen und Schritte zur Vorbeugung:Suggested remediation and steps for prevention:

Abhilfemaßnahmen:Remediation:

  1. Setzen Sie das Kennwort der Quellbenutzer zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the password of the source users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Kontrollieren Sie den Quellcomputer.Contain the source computer.
    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch kompromittiert sind.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Vorbeugung:Prevention:

Überprüfen Sie die folgenden Berechtigungen:Validate the following permissions:

  1. Replizieren von Verzeichnisänderungen.Replicate directory changes.
  2. Replizieren von allen Verzeichnisänderungen.Replicate directory changes all.
  3. Weitere Informationen finden Sie unter Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013 (Erteilen von AD DS-Berechtigungen für die Profilsynchronisierung in SharePoint Server 2013).For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. Nutzen Sie den AD-ACL-Scanner, oder erstellen Sie ein Windows PowerShell-Skript, um festzustellen, wer in der Domäne über diese Berechtigungen verfügt.You can use AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Vermutete Golden Ticket-Verwendung (Herabstufung der Verschlüsselung) (externe ID 2009)Suspected Golden Ticket usage (encryption downgrade) (external ID 2009)

Vorheriger Name: Aktivität zur Herabstufung der VerschlüsselungPrevious name: Encryption downgrade activity

BeschreibungDescription

Die Herabstufung der Verschlüsselung ist eine Methode, die dazu dient, Kerberos zu schwächen, indem die Verschlüsselungsstufe von verschiedenen Protokollfeldern herabgestuft wird, die normalerweise mit der höchsten Verschlüsselungsstufe verschlüsselt werden.Encryption downgrade is a method of weakening Kerberos by downgrading the encryption level of different protocol fields that normally have the highest level of encryption. Ein abgeschwächtes verschlüsseltes Feld ist ein leichteres Ziel für versuchte Brute-Force-Angriffe offline.A weakened encrypted field can be an easier target to offline brute force attempts. Verschiedene Angriffsmethoden nutzen schwache Kerberos-Verschlüsselungsverfahren.Various attack methods utilize weak Kerberos encryption cyphers. Bei dieser Erkennung lernt Microsoft Defender for IdentityDefender for Identity die Kerberos-Verschlüsselungsverfahren, die von Computern und Benutzern verwendet werden, und benachrichtigt Sie, wenn ein schwächeres Verschlüsselungsverfahren verwendet wird, das unüblich für den Quellcomputer und/oder den Benutzer ist und mit bekannten Angriffstechniken übereinstimmt.In this detection, Microsoft Defender for IdentityDefender for Identity learns the Kerberos encryption types used by computers and users, and alerts you when a weaker cypher is used that is unusual for the source computer and/or user and matches known attack techniques.

Bei einer Golden Ticket-Warnung wurde die Verschlüsselungsmethode des TGT-Felds der TGS_REQ-Nachricht (Dienstanforderung) vom Quellcomputer im Vergleich zum zuvor gelernten Verhalten als herabgestuft erkannt.In a Golden Ticket alert, the encryption method of the TGT field of TGS_REQ (service request) message from the source computer was detected as downgraded compared to the previously learned behavior. Dies basiert nicht auf einer Zeitanomalie (wie bei der anderen Golden Ticket-Erkennung).This is not based on a time anomaly (as in the other Golden Ticket detection). Zusätzlich wurde bei dieser Warnung der vorherigen von Microsoft Defender for IdentityDefender for Identity erkannten Dienstanforderung keine Kerberos-Authentifizierungsanforderung zugeordnet.In addition, in the case of this alert, there was no Kerberos authentication request associated with the previous service request, detected by Microsoft Defender for IdentityDefender for Identity.

LernphaseLearning period

Für diese Warnung gilt eine Lernphase von 5 Tagen ab dem Start der Domänencontrollerüberwachung.This alert has a learning period of 5 days from the start of domain controller monitoring.

TP, B-TP oder FP?TP, B-TP, or FP

Einige zulässige Ressourcen unterstützen keine starken Verschlüsselungsverfahren und können diese Warnung auslösen.Some legitimate resources don't support strong encryption ciphers and may trigger this alert.

  1. Greifen Quellbenutzer auf gemeinsam verwendete Ressourcen zu?Do all of the source users share something in common?
    1. Beispielsweise können Sie überprüfen, ob alle Mitarbeiter des Marketingteams auf eine bestimmte Ressource zugreifen und dadurch eine Warnung auslösen.For example, are all of your marketing personnel accessing a specific resource that could cause the alert to be triggered?

    2. Überprüfen Sie die Ressourcen, auf die mit diesen Tickets zugegriffen wurde.Check the resources accessed by those tickets.

      • Verwenden Sie dafür das msDS-SupportedEncryptionTypes-Attribut des Ressourcendienstkontos in Azure Active Directory.Check this in Active Directory by checking the attribute msDS-SupportedEncryptionTypes, of the resource service account.
    3. Wenn nur auf eine Ressource zugegriffen wird, überprüfen Sie, ob die Benutzer tatsächlich auf diese zugreifen sollten.If there is only one resource being accessed, check if is a valid resource these users are supposed to access.

      Wenn die Antwort auf eine der vorherigen Fragen Ja lautet, handelt es sich vermutlich um eine B-TP-Aktivität.If the answer to one of the previous questions is yes, it is likely to be a T-BP activity. Überprüfen Sie, ob von der Ressource ein starkes Verschlüsselungsverfahren unterstützt wird, implementieren Sie es nach Möglichkeit, und schließen Sie die Sicherheitswarnung.Check if the resource can support a strong encryption cipher, implement a stronger encryption cipher where possible, and Close the security alert.

Bei Anwendungen wird möglicherweise ein schwächeres Verschlüsselungsverfahren für die Authentifizierung verwendet.Applications might authenticate using a lower encryption cipher. Einige dieser Anwendungen wie IIS und SQL Server melden sich im Auftrag von Benutzern an.Some are authenticating on behalf of users, such as IIS and SQL servers.

  1. Lassen sich bei Quellbenutzern Gemeinsamkeiten feststellen?Check if the source users have something in common.

    • Beispielsweise können Sie überprüfen, ob alle Vertriebsmitarbeiter eine bestimmte App nutzen und dadurch eine Warnung auslösen.For example, do all of your sales personnel use a specific app that might trigger the alert?
    • Überprüfen Sie, ob Anwendungen dieses Typs auf dem Quellcomputer vorhanden sind.Check if there are applications of this type on the source computer.
    • Überprüfen Sie die Rollen der Computer.Check the computer roles. Handelt es sich um Server, die diese Anwendungen nutzen?Are they servers that work with these types of applications?

    Wenn die Antwort auf eine der vorherigen Fragen Ja lautet, handelt es sich vermutlich um eine B-TP-Aktivität.If the answer to one of the previous questions is yes, it is likely to be a T-BP activity. Überprüfen Sie, ob von der Ressource ein starkes Verschlüsselungsverfahren unterstützt wird, implementieren Sie es nach Möglichkeit, und schließen Sie die Sicherheitswarnung.Check if the resource can support a strong encryption cipher,implement a stronger encryption cipher where possible, and Close the security alert.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer und die Ressourcen, auf die zugegriffen wurde.Investigate the source computer and resources that were accessed.
  2. Untersuchen Sie die Benutzer.Investigate the users.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

WartungRemediation

  1. Setzen Sie das Kennwort des Quellbenutzers zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

  2. Kontrollieren Sie den Quellcomputer.Contain the source computer.

    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the time of the activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Wenn Microsoft Defender für Endpunkt installiert ist, nutzen Sie klist.exe purge, um alle Tickets der angegebenen Anmeldesitzung endgültig zu löschen und zu verhindern, dass die Tickets in Zukunft verwendet werden.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  3. Isolieren Sie die Ressourcen, auf die über das Ticket zugegriffen wurde.Contain the resources that were accessed by this ticket.

  4. Ändern Sie das Kennwort für das Kerberos Ticket Granting Ticket (KRBTGT) zweimal gemäß den Anweisungen unter KRBTGT Account Password Reset Scripts now available for customers (Skripts zum Zurücksetzen von Kennwörtern des KRBTGT-Kontos stehen Kunden jetzt zur Verfügung) mithilfe des Reset the KRBTGT account password/keys tool (Tools zum Zurücksetzen des Kennworts/Schlüssels eines KRBTGT-Kontos).Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.

    • Durch zweimaliges Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Dies bedeutet, dass alle Dienste außer Kraft gesetzt werden und erst wieder funktionieren, wenn sie erneuert werden. In einigen Fällen muss der Dienst neu gestartet werden.Invalidating all Kerberos tickets in the domain means all services will be broken and they will not work again until they are renewed or in some cases, the service is restarted.
    • Planen Sie daher das zweimalige Zurücksetzen von KRBTGT genau. Das zweimalige Zurücksetzen von KRBTGT wirkt sich auf alle Computer, Server und Benutzer in der Umgebung aus.Plan carefully before performing the KRBTGT double reset. The KRBTGT double reset impacts all computers, servers, and users in the environment.
  5. Stellen Sie sicher, dass auf allen Domänencontrollern mit Betriebssystemen bis Windows Server 2012 R2 das Sicherheitsupdate KB3011780 und auf allen Mitgliedsservern und Domänencontrollern bis 2012 R2 das aktuelle Sicherheitsupdate KB2496930 installiert ist.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Weitere Informationen finden Sie unter Silver PAC und Gefälschte PAC-Datei.For more information, see Silver PAC and Forged PAC.

Vermutete Golden Ticket-Verwendung (gefälschte Autorisierungsdaten) (externe ID 2013)Suspected Golden Ticket usage (forged authorization data) (external ID 2013)

Alter Name: Berechtigungsausweitung mithilfe von gefälschten AutorisierungsdatenPrevious name: Privilege escalation using forged authorization data

BeschreibungDescription

Durch bekannte Sicherheitslücken in älteren Versionen von Windows Server können Angreifer das Privileged Attribute Certificate (PAC) manipulieren. Dabei handelt es sich um ein Feld im Kerberos-Ticket, das die Autorisierungsdaten eines Benutzer enthält (in Active Directory ist dies die Gruppenmitgliedschaft) und Angreifern zusätzliche Berechtigungen erteilt.Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC), a field in the Kerberos ticket that contains a user authorization data (in Active Directory this is group membership), granting attackers additional privileges.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Bei Computern mit dem Sicherheitspatch MS14-068 (für Domänencontroller) oder MS11-013 (für Server) schlagen Angriffsversuche fehl und führen zu einem Kerberos-Fehler.For computers that are patched with MS14-068 (domain controller) or MS11-013 (server) attempted attacks will not succeed, and will generate Kerberos error.

  1. Überprüfen Sie, auf welche Ressourcen in der Beweisliste der Sicherheitswarnung zugegriffen wurde, und stellen Sie fest, ob die Versuche erfolgreich waren oder fehlschlugen.Check which resources were accessed in the security alert evidence list, and if the attempts were successful or failed.
  2. Überprüfen Sie, ob wie oben beschrieben auf den Computern, auf die zugegriffen wurde, Sicherheitspatches installiert wurden.Check if the accessed computers were patched, as described above?
    • Wenn die Computer gepatcht wurden, schließen Sie die Sicherheitswarnung als B-TP-Aktivität.If the computers were patched, Close the security alert as a B-TP activity.

Einige Betriebssysteme und Anwendungen sind dafür bekannt, dass sie die Autorisierungsdaten ändern.Some Operating Systems or applications are known to modify the authorization data. Linux- und Unix-Dienste verfügen beispielsweise über einen eigenen Autorisierungsmechanismus, der die Warnung auslösen kann.For example, Linux and Unix services have their own authorization mechanism which may trigger the alert.

  1. Wird auf dem Quellcomputer ein Betriebssystem oder eine Anwendung ausgeführt, die über einen eigenen Autorisierungsmechanismus verfügt?Is the source computer running an OS or application that has its own authorization mechanism?
    • Wenn auf dem Quellcomputer diese Art von Autorisierungsmechanismus ausgeführt wird, sollten Sie ein Upgrade des Betriebssystems erwägen oder die Anwendungskonfiguration beheben.If the source computer is running this type of authorization mechanism, consider upgrading the OS or fixing the application configuration. Schließen die Warnung als B-TP-Aktivität.Close the alert as a B-TP activity.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer.Investigate the source computer.
  2. Wenn ein Quellbenutzer vorhanden ist, untersuchen Sie diesen.If there is a source user, investigate.
  3. Überprüfen Sie, auf welche Ressourcen erfolgreich zugegriffen wurde, und untersuchen Sie diese.Check which resources were accessed successfully and investigate.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

  1. Setzen Sie das Kennwort des Quellbenutzers zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Kontrollieren Sie den Quellcomputer.Contain the source computer
    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that preformed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the same time as the activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Ändern Sie das Kennwort für das Kerberos Ticket Granting Ticket (KRBTGT) zweimal gemäß den Anweisungen unter KRBTGT Account Password Reset Scripts now available for customers (Skripts zum Zurücksetzen von Kennwörtern des KRBTGT-Kontos stehen Kunden jetzt zur Verfügung) mithilfe des Reset the KRBTGT account password/keys tool (Tools zum Zurücksetzen des Kennworts/Schlüssels eines KRBTGT-Kontos).Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.
    • Durch zweimaliges Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Dies bedeutet, dass alle Dienste außer Kraft gesetzt werden und erst wieder funktionieren, wenn sie erneuert werden. In einigen Fällen muss der Dienst neu gestartet werden.Invalidating all Kerberos tickets in the domain means all services will be broken and they will not work again until they are renewed or in some cases, the service is restarted. Planen Sie daher das zweimalige Zurücksetzen von KRBTGT genau, da hiervon alle Computer, Server und Benutzer in der Umgebung betroffen sind.Plan carefully before performing the KRBTGT double reset, because it impacts all computers, servers and users in the environment.
  4. Stellen Sie sicher, dass auf allen Domänencontrollern mit Betriebssystemen bis Windows Server 2012 R2 das Sicherheitsupdate KB3011780 und auf allen Mitgliedsservern und Domänencontrollern bis 2012 R2 das aktuelle Sicherheitsupdate KB2496930 installiert ist.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Weitere Informationen finden Sie unter Silver PAC und Gefälschte PAC-Datei.For more information, see Silver PAC and Forged PAC.

Vermutete Golden Ticket-Verwendung (nicht vorhandenes Konto) (externe ID 2027)Suspected Golden Ticket usage (nonexistent account) (external ID 2027)

Alter Name: Kerberos Golden TicketPrevious name: Kerberos golden ticket

BeschreibungDescription

Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto beeinträchtigen.Attackers with domain admin rights can compromise the KRBTGT account. Indem diese das KRBTGT-Konto verwenden, können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das die Autorisierung für jede Ressource erteilen und den Ablaufzeitpunkt des Tickets auf einen beliebigen Zeitpunkt festlegen kann.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Dieses gefälschte TGT wird als „Golden Ticket“ bezeichnet und ermöglicht es Angreifern, dauerhaft die Kontrolle über das Netzwerk zu erhalten.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. Bei dieser Erkennung wird durch ein nicht vorhandenes Konto eine Warnung ausgelöst.In this detection, an alert is triggered by a nonexistent account.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Die Synchronisierung von Änderungen in Active Directory Domain Services kann etwas Zeit in Anspruch nehmen.Changes in Active Directory can take time to synchronize.

  1. Ist der Benutzer ein bekannter und gültiger Domänenbenutzer?Is the user a known and valid domain user?
  2. Wurde der Benutzer kürzlich hinzugefügt?Has the user been recently added?
  3. Wurde der Benutzer kürzlich aus Active Directory Domain Services gelöscht?Was the user been recently deleted from Active Directory?

Wenn die Antwort auf alle vorherigen Fragen Ja lautet, schließen Sie die Warnung als B-TP-Aktivität.If the answer is yes to all of the previous questions, Close the alert, as a B-TP activity.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer und die Ressourcen, auf die zugegriffen wurde.Investigate the source computer and accessed resources.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

  1. Isolieren Sie die Quellcomputer.Contain the source computers
    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the same time as the activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Wenn Microsoft Defender für Endpunkt installiert ist, nutzen Sie klist.exe purge, um alle Tickets der angegebenen Anmeldesitzung endgültig zu löschen und zu verhindern, dass die Tickets in Zukunft verwendet werden.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  2. Isolieren Sie die Ressourcen, auf die über das Ticket zugegriffen wurde.Contain the resources that were accessed by this ticket.
  3. Ändern Sie das Kennwort für das Kerberos Ticket Granting Ticket (KRBTGT) zweimal gemäß den Anweisungen unter KRBTGT Account Password Reset Scripts now available for customers (Skripts zum Zurücksetzen von Kennwörtern des KRBTGT-Kontos stehen Kunden jetzt zur Verfügung) mithilfe des Reset the KRBTGT account password/keys tool (Tools zum Zurücksetzen des Kennworts/Schlüssels eines KRBTGT-Kontos).Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.
    • Durch zweimaliges Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Dies bedeutet, dass alle Dienste außer Kraft gesetzt werden und erst wieder funktionieren, wenn sie erneuert werden. In einigen Fällen muss der Dienst neu gestartet werden.Invalidating all Kerberos tickets in the domain means all services will be broken and they will not work again until they are renewed or in some cases, the service is restarted. Planen Sie daher das zweimalige Zurücksetzen von KRBTGT genau, da hiervon alle Computer, Server und Benutzer in der Umgebung betroffen sind.Plan carefully before performing the KRBTGT double reset, because it impacts all computers, servers and users in the environment.

Vermutete Golden Ticket-Verwendung (Ticketanomalie) (externe ID 2032)Suspected Golden Ticket usage (ticket anomaly) (external ID 2032)

BeschreibungDescription

Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto beeinträchtigen.Attackers with domain admin rights can compromise the KRBTGT account. Indem diese das KRBTGT-Konto verwenden, können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das die Autorisierung für jede Ressource erteilen und den Ablaufzeitpunkt des Tickets auf einen beliebigen Zeitpunkt festlegen kann.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Dieses gefälschte TGT wird als „Golden Ticket“ bezeichnet und ermöglicht es Angreifern, dauerhaft die Kontrolle über das Netzwerk zu erhalten.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. Gefälschte Golden Tickets dieses Typs haben eindeutige Merkmale, die speziell durch diese Erkennung identifiziert werden.Forged Golden Tickets of this type have unique characteristics this detection is specifically designed to identify.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Verbunddienste generieren möglicherweise Tickets, die diese Warnung auslösen.Federation services might generate tickets that will trigger this alert.

  1. Werden auf dem Quellcomputer Verbunddienste gehostet, die derartige Tickets erstellen?Does the source computer host Federation services that generate these types of tickets?
    • Wenn ja, schließen Sie die Sicherheitswarnung als B-TP-Aktivität.If the source computer hosts services that generate these types of tickets, Close the security alert as a B-TP activity.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer und die Ressourcen, auf die zugegriffen wurde.Investigate the source computer and accessed resources.
  2. Untersuchen Sie den Quellbenutzer.Investigate the source user.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

  1. Isolieren Sie die Quellcomputer.Contain the source computers

    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the same time as the activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Wenn Microsoft Defender für Endpunkt installiert ist, nutzen Sie klist.exe purge, um alle Tickets der angegebenen Anmeldesitzung endgültig zu löschen und zu verhindern, dass die Tickets in Zukunft verwendet werden.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  2. Isolieren Sie die Ressourcen, auf die über das Ticket zugegriffen wurde.Contain the resources that were accessed by this ticket.

  3. Ändern Sie das Kennwort für das Kerberos Ticket Granting Ticket (KRBTGT) zweimal gemäß den Anweisungen unter KRBTGT Account Password Reset Scripts now available for customers (Skripts zum Zurücksetzen von Kennwörtern des KRBTGT-Kontos stehen Kunden jetzt zur Verfügung) mithilfe des Reset the KRBTGT account password/keys tool (Tools zum Zurücksetzen des Kennworts/Schlüssels eines KRBTGT-Kontos).Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.

    • Durch zweimaliges Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Dies bedeutet, dass alle Dienste außer Kraft gesetzt werden und erst wieder funktionieren, wenn sie erneuert werden. In einigen Fällen muss der Dienst neu gestartet werden.Invalidating all Kerberos tickets in the domain means all services are broken and cannot work again until renewed or in some cases, the service is restarted.

    Planen Sie daher das zweimalige Zurücksetzen von KRBTGT genau. Das Zurücksetzen wirkt sich auf alle Computer, Server und Benutzer in der Umgebung aus.Plan carefully before performing a KRBTGT double reset. The reset impacts all computers, servers, and users in the environment.

Vermutete Golden Ticket-Verwendung (Ticketanomalie mithilfe von RBCD) (externe ID 2040)Suspected Golden Ticket usage (ticket anomaly using RBCD) (external ID 2040)

BeschreibungDescription

Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto beeinträchtigen.Attackers with domain admin rights can compromise the KRBTGT account. Angreifer können das KRBTGT-Konto verwenden, um ein Kerberos Ticket Granting Ticket (TGT) zu erstellen, das Autorisierung für jede beliebige Ressource bietet.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource. Dieses gefälschte TGT wird als „Golden Ticket“ bezeichnet und ermöglicht es Angreifern, dauerhaft die Kontrolle über das Netzwerk zu erhalten.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. Bei dieser Erkennung wird die Warnung durch ein Golden Ticket ausgelöst, das durch Festlegen der Berechtigungen für die ressourcenbasierte eingeschränkte Delegierung (Resource Based Constrained Delegation, RBCD) mithilfe des KRBTGT-Kontos für das Konto (user\computer) mit SPN erstellt wurde.In this detection, the alert is triggered by a golden ticket that was created by setting Resource Based Constrained Delegation (RBCD) permissions using the KRBTGT account for account (user\computer) with SPN.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

  1. Verbunddienste generieren möglicherweise Tickets, die diese Warnung auslösen.Federation services might generate tickets that will trigger this alert. Werden auf dem Quellcomputer derartige Dienste gehostet?Does the source computer host such services?
    • Falls ja, schließen Sie die Sicherheitswarnung als B-TP-Aktivität.If yes, Close the security alert as a B-TP
  2. Zeigen Sie die Profilseite des Quellbenutzers an, und überprüfen Sie, was zum Zeitpunkt der Aktivität geschehen ist.View the source user's profile page and check what happened around the time of the activity.
    1. Soll der Benutzer Zugriff auf diese Ressource haben?Is the user supposed to have access to this resource?
    2. Wird erwartet, dass der Prinzipal auf den Dienst zugreifen kann?Is the principal expected to access that service?
    3. Sollen alle Benutzer, die am Computer angemeldet waren, tatsächlich angemeldet sein?Are all the users who were logged into the computer supposed to be logged into it?
    4. Sind die Berechtigungen für das Konto geeignet?Are the privileges appropriate for the account?
  3. Sollen die angemeldeten Benutzer Zugriff auf diese Ressourcen haben?Should the users who were logged in have access to these resources?
    • Wenn Sie die Microsoft Defender für Endpunkt-Integration aktiviert haben, klicken Sie auf das Symbol, um weitere Untersuchungen anzustellen.If you enabled Microsoft Defender for Endpoint integration, click on its icon to further investigate.

Wenn die Antwort auf eine der vorherigen Fragen „Ja“ lautet, schließen Sie die Sicherheitswarnung als FP-Aktivität.If the answer to any of the previous questions is yes, Close the security alert as a FP.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer und die Ressourcen, auf die zugegriffen wurde.Investigate the source computer and resources that were accessed.
  2. Untersuchen Sie die Benutzer.Investigate the users.

Empfohlene Abhilfemaßnahmen und Schritte zur Vorbeugung:Suggested remediation and steps for prevention:

  1. Befolgen Sie die Anweisungen im Rahmen der Sicherheitsbewertung für die unsichere Kerberos-Delegierung.Follow the instructions in the unsecure Kerberos delegation security assessment.
  2. Überprüfen Sie die in der Warnung aufgeführten potenziell gefährdeten Benutzer, und entfernen Sie sie aus der Ressource.Review the sensitive users listed in the alert and remove them from the resource.
  3. Ändern Sie das Kennwort für das Kerberos Ticket Granting Ticket (KRBTGT) zweimal gemäß den Anweisungen unter KRBTGT Account Password Reset Scripts now available for customers (Skripts zum Zurücksetzen von Kennwörtern des KRBTGT-Kontos stehen Kunden jetzt zur Verfügung) mithilfe des Reset the KRBTGT account password/keys tool (Tools zum Zurücksetzen des Kennworts/Schlüssels eines KRBTGT-Kontos).Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool. Durch das zweimalige Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig. Daher sollten Sie diesen Schritt im Voraus planen.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Implementieren Sie ebenfalls die Pass-the-Hash-Empfehlungen, da für das Erstellen eines Golden Tickets Domänenadministratorrechte erforderlich sind.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

Vermutete Golden Ticket-Verwendung (Zeitanomalie) (externe ID 2022)Suspected Golden Ticket usage (time anomaly) (external ID 2022)

Alter Name: Kerberos Golden TicketPrevious name: Kerberos golden ticket

BeschreibungDescription

Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto beeinträchtigen.Attackers with domain admin rights can compromise the KRBTGT account. Indem diese das KRBTGT-Konto verwenden, können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das die Autorisierung für jede Ressource erteilen und den Ablaufzeitpunkt des Tickets auf einen beliebigen Zeitpunkt festlegen kann.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Dieses gefälschte TGT wird als „Golden Ticket“ bezeichnet und ermöglicht es Angreifern, dauerhaft die Kontrolle über das Netzwerk zu erhalten.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. Diese Warnung wird ausgelöst, wenn ein Kerberos Ticket Granting Ticket länger als erlaubt verwendet wird. Die zulässige Dauer ist in der Sicherheitsrichtlinie für die maximale Gültigkeitsdauer des Benutzertickets angegeben.This alert is triggered when a Kerberos ticket granting ticket is used for more than the allowed time permitted, as specified in the Maximum lifetime for user ticket.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

  1. Wurden in den letzten Stunden an der Einstellung Maximale Gültigkeitsdauer für Benutzerticket innerhalb der Gruppenrichtlinie Änderungen vorgenommen, die sich auf die Warnung auswirken könnten?In the last few hours, was there any change made to the Maximum lifetime for user ticket setting in group policy, that might affect the alert?
  2. Ist der eigenständige Microsoft Defender for IdentityDefender for Identity-Sensor, der am Auslösen dieser Warnung beteiligt ist, ein virtueller Computer?Is the Microsoft Defender for IdentityDefender for Identity Standalone Sensor involved in this alert a virtual machine?
    • Wenn der eigenständige Microsoft Defender for IdentityDefender for Identity-Sensor beteiligt ist, wurde dieser kürzlich aus einem gespeicherten Zustand wiederhergestellt und seine Ausführung fortgesetzt?If the Microsoft Defender for IdentityDefender for Identity standalone sensor is involved, was it recently resumed from a saved state?
  3. Gibt es ein Problem mit der Zeitsynchronisierung im Netzwerk, durch das nicht alle Computer synchronisiert werden?Is there a time synchronization problem in the network, where not all of the computers are synchronized?
    • Klicken Sie auf die Schaltfläche Details herunterladen, um die Excel-Datei für den Sicherheitswarnungsbericht anzuzeigen und zugehörige Netzwerkaktivitäten aufzurufen. Überprüfen Sie, ob sich „StartTime“ und „DomainControllerStartTime“ unterscheiden.Click the Download details button to view the Security Alert report Excel file, view the related network activities, and check if there is a difference between "StartTime" and "DomainControllerStartTime".

Wenn die Antwort auf die vorherigen Fragen Ja lautet, schließen Sie die Sicherheitswarnung als B-TP-Aktivität.If the answer to the previous questions is yes, Close the security alert as a B-TP activity.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellcomputer und die Ressourcen, auf die zugegriffen wurde.Investigate the source computer and accessed resources.
  2. Untersuchen Sie den kompromittierten Benutzer.Investigate the compromised user.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

  1. Kontrollieren Sie den Quellcomputer.Contain the source computer.

    • Suchen Sie das Tool, das den Angriff ausgeführt hat, und entfernen Sie es.Find the tool that performed the attack and remove it.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the same time as the activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Wenn Microsoft Defender für Endpunkt installiert ist, nutzen Sie klist.exe purge, um alle Tickets der angegebenen Anmeldesitzung endgültig zu löschen und zu verhindern, dass die Tickets in Zukunft verwendet werden.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  2. Isolieren Sie die Ressourcen, auf die über das Ticket zugegriffen wurde.Contain the resources accessed by this ticket.

  3. Ändern Sie das Kennwort für das Kerberos Ticket Granting Ticket (KRBTGT) zweimal gemäß den Anweisungen unter KRBTGT Account Password Reset Scripts now available for customers (Skripts zum Zurücksetzen von Kennwörtern des KRBTGT-Kontos stehen Kunden jetzt zur Verfügung) mithilfe des Reset the KRBTGT account password/keys tool (Tools zum Zurücksetzen des Kennworts/Schlüssels eines KRBTGT-Kontos).Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.

    • Durch zweimaliges Zurücksetzen von KRBTGT werden alle Kerberos-Tickets in dieser Domäne ungültig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Dies bedeutet, dass alle Dienste außer Kraft gesetzt werden und erst wieder funktionieren, wenn sie erneuert werden. In einigen Fällen muss der Dienst neu gestartet werden.Invalidating all Kerberos tickets in the domain means all services are broken, and won't work again until they are renewed or in some cases, the service is restarted.

    Planen Sie daher das zweimalige Zurücksetzen von KRBTGT genau. Das Zurücksetzen wirkt sich auf alle Computer, Server und Benutzer in der Umgebung aus.Plan carefully before performing a KRBTGT double reset. The reset impacts all computers, servers, and users in the environment.

Vermuteter Skeleton Key-Angriff (Herabstufung der Verschlüsselung) (externe ID 2010)Suspected skeleton key attack (encryption downgrade) (external ID 2010)

Vorheriger Name: Aktivität zur Herabstufung der VerschlüsselungPrevious name: Encryption downgrade activity

BeschreibungDescription

Die Herabstufung der Verschlüsselung ist eine Methode, die dazu dient, Kerberos zu schwächen, indem die Verschlüsselungsstufe von verschiedenen Protokollfeldern herabgestuft wird, die normalerweise mit der höchsten Verschlüsselungsstufe verschlüsselt werden.Encryption downgrade is a method of weakening Kerberos using a downgraded encryption level for different fields of the protocol that normally have the highest level of encryption. Ein abgeschwächtes verschlüsseltes Feld ist ein leichteres Ziel für versuchte Brute-Force-Angriffe offline.A weakened encrypted field can be an easier target to offline brute force attempts. Verschiedene Angriffsmethoden nutzen schwache Kerberos-Verschlüsselungsverfahren.Various attack methods utilize weak Kerberos encryption cyphers. Bei dieser Erkennung lernt Microsoft Defender for IdentityDefender for Identity die Kerberos-Verschlüsselungstypen, die von Computern und Benutzern verwendet werden.In this detection, Microsoft Defender for IdentityDefender for Identity learns the Kerberos encryption types used by computers and users. Die Warnung wird ausgegeben, wenn ein schwächeres Verschlüsselungsverfahren verwendet wird, das unüblich für den Quellcomputer und/oder den Benutzer ist und mit bekannten Angriffstechniken übereinstimmt.The alert is issued when a weaker cypher is used that is unusual for the source computer, and/or user, and matches known attack techniques.

Skeleton Key ist eine Schadsoftware, die auf einem Domänencontroller ausgeführt wird und mit der eine Authentifizierung bei der Domäne mit jedem Konto ohne das passende Kennwort möglich ist.Skeleton Key is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Diese Schadsoftware verwendet häufig schwächere Verschlüsselungsalgorithmen, um einen Hashwert für das Kennwort des Benutzers auf dem Domänencontroller zu erstellen.This malware often uses weaker encryption algorithms to hash the user's passwords on the domain controller. Wenn diese Warnung auftritt, wurde das gelernte Verhalten der vorherigen KRB_ERR-Nachrichtenverschlüsselung zwischen dem Domänencontroller und dem Konto, das das Ticket anfordert, herabgestuft.In this alert, the learned behavior of previous KRB_ERR message encryption from domain controller to the account requesting a ticket, was downgraded.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Domänencontroller.Investigate the domain controller.
  2. Überprüfen Sie mithilfe des vom Microsoft Defender for IdentityDefender for Identity-Team entwickelten Scanners, ob Ihre Domänencontroller von einem Skeleton Key-Angriff betroffen sind.Check if Skeleton Key has affected your domain controllers by using the scanner written by the Microsoft Defender for IdentityDefender for Identity team.
  3. Untersuchen Sie die beteiligten Benutzer und Computer.Investigate the users and computers involved.

Empfohlene Abhilfemaßnahmen Schritte zur VorbeugungSuggested remediation and prevention steps

  1. Setzen Sie die Kennwörter der kompromittierten Benutzer zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the passwords of the compromised users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Isolieren Sie den Domänencontroller.Contain the domain controller.
    • Entfernen Sie die Schadsoftware.Remove the malware. Weitere Informationen finden Sie in der Skeleton Key Malware Analysis (Analyse der Skeleton Key-Schadsoftware).For more information, see Skeleton Key Malware Analysis.
    • Suchen Sie nach Benutzern, die ungefähr zum Zeitpunkt der verdächtigen Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the same time as the suspicious activity occurred, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Verdächtige Hinzufügungen sensibler Gruppen (externe ID 2024)Suspicious additions to sensitive groups (external ID 2024)

BeschreibungDescription

Angreifer fügen Benutzer zu sehr privilegierten Gruppen hinzu.Attackers add users to highly privileged groups. Dadurch erhalten Angreifer Zugriff auf weitere Ressourcen und dauerhafte Kontrolle.Adding users is done to gain access to more resources, and gain persistency. Diese Erkennung basiert auf dem Erfassen der Aktivitäten von Benutzern, die Gruppen ändern, und den Warnungen, die angezeigt werden, wenn einer sensiblen Gruppe unerwartet ein Benutzer hinzugefügt wird.This detection relies on profiling the group modification activities of users, and alerting when an abnormal addition to a sensitive group is seen. Microsoft Defender for IdentityDefender for Identity führt kontinuierlich Profilerstellungen durch.Microsoft Defender for IdentityDefender for Identity profiles continuously.

Eine Definition von sensiblen Gruppen in Microsoft Defender for IdentityDefender for Identity finden Sie unter Arbeiten mit sensiblen Konten.For a definition of sensitive groups in Microsoft Defender for IdentityDefender for Identity, see Working with the sensitive accounts.

Die Erkennung basiert auf Ereignissen, die auf Domänencontrollern überwacht werden.The detection relies on events audited on domain controllers. Stellen Sie sicher, dass Ihre Domänencontroller die erforderlichen Ereignisse überwachen.Make sure your domain controllers are auditing the events needed.

LernphaseLearning period

Vier Wochen pro Domänencontroller, beginnend mit dem ersten Ereignis.Four weeks per domain controller, starting from the first event.

TP, B-TP oder FP?TP, B-TP, or FP

Zulässige Änderungen an Gruppen, die nur selten auftreten und vom System noch nicht als unbedenklich eingestuft wurden, können einen Alarm auslösen.Legitimate group modifications that occur rarely and the system didn't learn as "normal", may trigger an alert. Diese Warnungen werden als B-TP-Aktivität klassifiziert.These alerts would be considered B-TP.

  1. Ist das Ändern der Gruppe zulässig?Is the group modification legitimate?
    • Wenn das Ändern der Gruppe zulässig ist, schließen Sie die Sicherheitswarnung als B-TP-Aktivität.If the group modification is legitimate, Close the security alert as a B-TP activity.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie die Benutzer, die Gruppen hinzugefügt wurden.Investigate the users added to groups.
    • Konzentrieren Sie sich auf ihre Aktivitäten, nachdem sie den sensiblen Gruppen hinzugefügt wurden.Focus on their activities after they were added to the sensitive groups.
  2. Untersuchen Sie den Quellbenutzer.Investigate the source user.
    • Laden Sie den Bericht Sensitive Group Modification (Änderungen an sensiblen Gruppen) herunter, um festzustellen, welche Änderungen von wem im gleichen Zeitraum vorgenommen wurden.Download the Sensitive Group Modification report to see what other modifications were made an who made them in the same time period.
  3. Untersuchen Sie die Computer, bei denen Benutzer ungefähr zum Zeitpunkt der Aktivität angemeldet waren.Investigate the computers the source user was logged into, around the time of the activity.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

Abhilfemaßnahmen:Remediation:

  1. Setzen Sie das Kennwort des Quellbenutzers zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Suchen Sie nach dem Computer, auf dem der Benutzer aktiv war.Look for the computer the source user was active on.
    • Überprüfen Sie, bei welchen Computern der Benutzer ungefähr zum Zeitpunkt der Aktivität angemeldet war.Check which computers the user was logged into around the same time as the activity. Überprüfen Sie, ob diese Computer kompromittiert sind.Check if these computers are compromised.
    • Wenn die Benutzer kompromittiert wurden, setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.If the users are compromised, reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Vorbeugung:Prevention:

  1. Schränken Sie die Anzahl der Benutzer, die zu Änderungen an sensiblen Gruppen autorisiert sind, auf ein Minimum ein, um zukünftige Angriffe zu verhindern.To help prevent future attacks, minimize the number of users authorized to modify sensitive groups.
  2. Richten Sie gegebenenfalls Privileged Access Management für Active Directory Domain Services ein.Set up Privileged Access Management for Active Directory if applicable.

Verdächtige Diensterstellung (externe ID 2026)Suspicious service creation (external ID 2026)

Alter Name: Verdächtige DiensterstellungPrevious name: Suspicious service creation

BeschreibungDescription

Ein verdächtiger Dienst wurde auf einem Domänencontroller oder AD FS-Server in Ihrer Organisation erstellt.A suspicious service has been created on a domain controller or AD FS server in your organization. Diese Warnung basiert auf Ereignis 7045, um die verdächtige Aktivität zu identifizieren.This alert relies on event 7045 to identify this suspicious activity.

LernphaseLearning period

Nicht zutreffendNot applicable

TP, B-TP oder FP?TP, B-TP, or FP

Einige zulässige administrative Aufgaben auf Domänencontrollern können von Arbeitsstationen für Administratoren, IT-Teammitgliedern und Dienstkonten durchgeführt werden.Some administrative tasks are legitimately performed against domain controllers by administrative workstations, IT team members, and service accounts.

  1. Sollen diese Dienste tatsächlich auf dem Domänencontroller vom Quellbenutzer oder -computer ausgeführt werden?Is the source user/computer supposed to run these types of services on the domain controller?
    • Wenn das aktuell der Fall ist, jedoch in Zukunft nicht mehr so sein sollte, schließen Sie die Warnung als B-TP-Aktivität.If the source user or computer is supposed to run these types of services, and should not continue to, Close the alert as a B-TP activity.
    • Wenn das aktuell der Fall ist und auch in Zukunft so bleiben sollte, schließen Sie die Sicherheitswarnung als B-TP-Aktivität, und schließen Sie diesen Computer aus.If the source user or computer is supposed to run these types of services, and should continue to, Close the security alert as a B-TP activity, and exclude that computer.

Ermitteln des Umfangs der SicherheitsverletzungUnderstand the scope of the breach

  1. Untersuchen Sie den Quellbenutzer.Investigate the source user.
  2. Untersuchen Sie die Zielcomputer, auf denen die Dienste erstellt wurden.Investigate the destination computers the services were created on.

Empfohlene Abhilfemaßnahmen und Schritte zur VorbeugungSuggested remediation and steps for prevention

WartungRemediation

  1. Setzen Sie das Kennwort des Quellbenutzers zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Isolieren Sie die Domänencontroller.Contain the domain controllers.
    • Korrigieren Sie den verdächtigen Dienst.Remediate the suspicious service.
    • Suchen Sie nach Benutzern, die zum Zeitpunkt der Aktivität angemeldet waren, da diese möglicherweise auch betroffen sind.Look for users logged on around the time of the activity, as they may also be compromised. Setzen Sie ihre Kennwörter zurück, und aktivieren Sie MFA. Wenn Sie in Azure Active Directory Identity Protection die relevanten Richtlinien für Benutzer mit hohem Risiko konfiguriert haben, können Sie auch im Cloud App Security-Portal die Aktion Benutzergefährdung bestätigen verwenden.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Suchen Sie nach dem Computer, auf dem der Benutzer aktiv war.Locate the computer the source user was active on.
    • Überprüfen Sie die Computer, bei denen der Benutzer ungefähr zum Zeitpunkt der Aktivität angemeldet war. Überprüfen Sie außerdem, ob diese Computer ebenfalls kompromittiert wurden.Check the computers the user was logged into around the same time as the activity, and check if these computers are also compromised.

Vorbeugung:Prevention:

  1. Schränken Sie den Remotezugriff auf Domänencontroller von Computern ein, die nicht den Tier 0 aufweisen.Restrict remote access to domain controllers from non-Tier 0 machines.
  2. Implementieren Sie Zugriffseinschränkungen für Konten mit weitreichenden Rechten, damit nur abgesicherte Computer eine Verbindung mit Domänencontrollern für Administratoren herstellen können.Implement privileged access to allow only hardened machines to connect to domain controllers for administrators.
  3. Implementieren Sie weniger restriktive Zugriffseinschränkungen auf Domänencomputern, um nur bestimmten Benutzern die Erstellung von Diensten zu erlauben.Implement less-privileged access on domain machines to give only specific users the right to create services.

Weitere InformationenSee Also