Guide ATA (Advanced Threat Analytics) des activités suspectesAdvanced Threat Analytics suspicious activity guide

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Après avoir examiné une activité suspecte, vous pouvez la classer comme :Following proper investigation, any suspicious activity can be classified as:

  • Vrai positif : action malveillante détectée par ATA.True positive: A malicious action detected by ATA.

  • Vrai positif bénin : action détectée par ATA qui est réelle, mais pas malveillante, comme un test de pénétration.Benign true positive: An action detected by ATA that is real but not malicious, such as a penetration test.

  • Faux positif : fausse alerte. L’activité n’a pas eu lieu.False positive: A false alarm, meaning the activity didn’t happen.

Pour plus d’informations sur la gestion des alertes ATA, consultez Gestion des activités suspectes.For more information on how to work with ATA alerts, see Working with suspicious activities.

Si vous avez des questions ou des commentaires à ce sujet, contactez l'équipe ATA à l’adresse ATAEval@microsoft.com.For questions or feedback, contact the ATA team at ATAEval@microsoft.com.

Modification anormale de groupes sensiblesAbnormal modification of sensitive groups

DescriptionDescription

Des attaquants ajoutent des utilisateurs à des groupes avec des privilèges élevés.Attackers add users to highly privileged groups. Leur but est d’accéder à davantage de ressources et d’obtenir un accès persistant.They do so to gain access to more resources and gain persistency. Les détections s’appuient sur le profilage des activités de modification de groupes d’utilisateurs et déclenchent une alerte quand un ajout anormal à un groupe sensible est observé.Detections rely on profiling the user group modification activities, and alerting when an abnormal addition to a sensitive group is seen. ATA effectue le profilage en continu.Profiling is continuously performed by ATA. La période minimale avant le déclenchement d’une alerte est d’un mois pour chaque contrôleur de domaine.The minimum period before an alert can be triggered is one month per domain controller.

Pour avoir une définition des groupes sensibles dans ATA, consultez Utilisation de la console ATA.For a definition of sensitive groups in ATA, see Working with the ATA console.

La détection s’appuie sur les événements audités sur les contrôleurs de domaine.The detection relies on events audited on domain controllers. Pour vérifier que vos contrôleurs de domaine auditent les événements souhaités, utilisez l’outil indiqué dans le blog ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery).To make sure your domain controllers audit the needed events, use the tool referenced in ATA Auditing (AuditPol, Advanced Audit Settings Enforcement, Lightweight Gateway Service discovery).

ExamenInvestigation

  1. La modification du groupe est-elle légitime ?Is the group modification legitimate? 
    Une modification de groupe légitime qui est peu fréquente ou qui n’a pas été classée comme « normale » pendant l’apprentissage peut déclencher une alerte. Considérez cette alerte comme un vrai positif sans gravité.Legitimate group modifications that rarely occur, and were not learned as “normal”, might cause an alert, which would be considered a benign true positive.

  2. Si l’objet ajouté est un compte d’utilisateur, déterminez les actions que ce compte a effectuées après son ajout au groupe d’administration.If the added object was a user account, check which actions the user account took after being added to the admin group. Consultez la page de l’utilisateur dans ATA pour obtenir plus de contexte.Go to the user’s page in ATA to get more context. D’autres activités suspectes associées au compte ont-elles été effectuées avant ou après l’ajout ?Were there any other suspicious activities associated with the account before or after the addition took place? Téléchargez le rapport Modifications des groupes sensibles pour examiner toutes les autres modifications effectuées au cours de la même période et déterminer les auteurs de ces modifications.Download the Sensitive group modification report to see what other modifications were made and by whom during the same time period.

CorrectionRemediation

Réduisez le nombre d’utilisateurs autorisés à modifier les groupes sensibles.Minimize the number of users who are authorized to modify sensitive groups.

Installez Privileged Access Management pour les services de domaine Active Directory, si cela est approprié.Set up Privileged Access Management for Active Directory if applicable.

Relation de confiance rompue entre les ordinateurs et le domaineBroken trust between computers and domain

Notes

La relation de confiance rompue entre les ordinateurs et l’alerte du domaine a été dépréciée et apparaît uniquement dans les versions ATA antérieures à 1.9.The Broken trust between computers and domain alert was deprecated and only appears in ATA versions prior to 1.9.

DescriptionDescription

Une relation de confiance rompue signifie que les exigences de sécurité des services de domaine Active Directory ne sont pas respectées pour ces ordinateurs.Broken trust means that Active Directory security requirements may not be in effect for these computers. Considéré comme une défaillance de sécurité et de conformité élémentaire, c’est une cible facile pour les attaquants.This is considered a baseline security and compliance failure and a soft target for attackers. Cette détection déclenche une alerte si plus de cinq échecs d’authentification Kerberos ont été observés pour le même compte d’ordinateur dans un délai de 24 heures.In this detection, an alert is triggered if more than five Kerberos authentication failures are seen from a computer account within 24 hours.

ExamenInvestigation

L’ordinateur en cours d’examen permet-il aux utilisateurs du domaine de se connecter ?Is the computer being investigated allowing domain users to log on?

  • Si c’est le cas, vous pouvez ignorer cet ordinateur dans la procédure de correction.If yes, you may ignore this computer in the remediation steps.

CorrectionRemediation

Rejoignez la machine au domaine, si nécessaire, ou réinitialisez le mot de passe de la machine.Rejoin the machine back to the domain if necessary or reset the machine's password.

Attaque par force brute par le biais d’une liaison simple LDAPBrute force attack using LDAP simple bind

DescriptionDescription

Notes

La principale différence entre les échecs d’authentification suspects et cette détection est que celle-ci permet à ATA de déterminer si des mots de passe différents ont été utilisés.The main difference between Suspicious authentication failures and this detection is that in this detection, ATA can determine whether different passwords were in use.

Dans une attaque par force brute, un attaquant tente de s’authentifier en essayant plusieurs mots de passe pour différents comptes jusqu’à ce qu’il trouve le bon mot de passe de l’un des comptes.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Une fois qu’il a deviné le mot de passe d’un compte, l’attaquant utilise ce compte pour se connecter au réseau.Once found, an attacker can log in using that account.

Dans cette détection, une alerte est déclenchée quand ATA détecte un nombre massif d’authentifications de liaison simple.In this detection, an alert is triggered when ATA detects a massive number of simple bind authentications. L’attaque peut être horizontale avec un petit nombre de mots de passe possibles pour de nombreux utilisateurs, verticale avec un grand nombre de mots de passe pour seulement quelques utilisateurs, ou à la fois horizontale et verticale.This can be either horizontally with a small set of passwords across many users; or vertically” with a large set of passwords on just a few users; or any combination of these two options.

ExamenInvestigation

  1. Si de nombreux comptes sont concernés, cliquez sur Télécharger les détails pour afficher la liste complète dans une feuille de calcul Excel.If there are many accounts involved, click Download details to view the list in an Excel spreadsheet.

  2. Cliquez sur l’alerte pour accéder à la page associée.Click on the alert to go to its dedicated page. Déterminez si des tentatives de connexion ont donné lieu à une authentification.Check if any login attempts ended with a successful authentication. Les tentatives s’affichent en tant que Comptes devinés à droite des données graphiques.The attempts would appear as Guessed accounts on the right side of the infographic. Si des comptes devinés sont affichés, font-ils partie des comptes devinés normalement utilisés à partir de l’ordinateur source ?If yes, are any of the Guessed accounts normally used from the source computer? Si c’est le cas, supprimez l’activité suspecte.If yes, Suppress the suspicious activity.

  3. S’il n’y a pas de comptes devinés affichés, s’agit-il de comptes attaqués normalement utilisés à partir de l’ordinateur source ?If there are no Guessed accounts, are any of the Attacked accounts normally used from the source computer? Si c’est le cas, supprimez l’activité suspecte.If yes, Suppress the suspicious activity.

CorrectionRemediation

Les mots de passe longs et complexes assurent le niveau minimum de sécurité nécessaire contre les attaques par force brute.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Passage à une version antérieure du chiffrementEncryption downgrade activity

DescriptionDescription

Le passage à une version antérieure du chiffrement est une méthode visant à affaiblir Kerberos en abaissant le niveau de chiffrement de différents champs du protocole qui sont normalement chiffrés à l’aide du niveau de chiffrement le plus élevé.Encryption downgrade is a method of weakening Kerberos by downgrading the encryption level of different fields of the protocol that are normally encrypted using the highest level of encryption. Un champ au chiffrement affaibli peut être plus vulnérable à des attaques de force brute en mode hors connexion.A weakened encrypted field can be an easier target to offline brute force attempts. Plusieurs méthodes d’attaque exploitent les codes faibles de chiffrement Kerberos.Various attack methods utilize weak Kerberos encryption cyphers. Dans cette détection, ATA examine les types de chiffrement Kerberos utilisés par les ordinateurs et les utilisateurs, et déclenche des alertes quand un chiffrement plus faible est utilisé : (1) est inhabituel pour l’ordinateur source et/ou l’utilisateur ; et (2) correspond à des techniques d’attaque connues.In this detection, ATA learns the Kerberos encryption types used by computers and users, and alerts you when a weaker cypher is used that: (1) is unusual for the source computer and/or user; and (2) matches known attack techniques.

Il existe trois types de détection :There are three detection types:

  1. Skeleton Key. Ce programme malveillant s’exécute sur les contrôleurs de domaine et autorise l’authentification sur le domaine de n’importe quel compte sans connaître son mot de passe.Skeleton Key – is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Il utilise souvent des algorithmes de chiffrement plus faibles pour hacher les mots de passe de l’utilisateur sur le contrôleur de domaine.This malware often uses weaker encryption algorithms to hash the user's passwords on the domain controller. Dans le cadre de cette détection, la méthode de chiffrement du message KRB_ERR adressé par le contrôleur de domaine au compte demandant un ticket a été passée à une version antérieure par rapport au comportement appris.In this detection, the encryption method of the KRB_ERR message from the domain controller to the account asking for a ticket was downgraded compared to the previously learned behavior.

  2. Golden Ticket. Dans une alerte Golden Ticket, la méthode de chiffrement du champ TGT du message TGS_REQ (demande de service) reçu de l’ordinateur source a été passée à une version antérieure par rapport au comportement appris.Golden Ticket – In a Golden Ticket alert, the encryption method of the TGT field of TGS_REQ (service request) message from the source computer was downgraded compared to the previously learned behavior. Cette détection n’est pas basée sur une anomalie de temps (contrairement à l’autre détection Golden Ticket).This is not based on a time anomaly (as in the other Golden Ticket detection). De plus, ATA n’a pas détecté de demande d’authentification Kerberos associée à la demande de service précédente.In addition, there was no Kerberos authentication request associated with the previous service request detected by ATA.

  3. Overpass-the-Hash. Un intrus peut utiliser un code de hachage faible dérobé pour créer un ticket fort via une demande Kerberos AS.Overpass-the-Hash – An attacker can use a weak stolen hash in order to create a strong ticket, with a Kerberos AS request. Dans le cadre de cette détection, le type de chiffrement du message AS_REQ reçu de l’ordinateur source a été passé à une version antérieure par rapport au comportement appris (l’ordinateur utilisait l’algorithme AES).In this detection, the AS_REQ message encryption type from the source computer was downgraded compared to the previously learned behavior (that is, the computer was using AES).

ExamenInvestigation

Lisez d’abord la description de l’alerte pour déterminer de quel type de détection il s’agit entre les trois types de détection ci-dessus.First check the description of the alert to see which of the above three detection types you’re dealing with. Pour plus d’informations, téléchargez la feuille de calcul Excel.For further information, download the Excel spreadsheet.

  1. Skeleton Key : Déterminez si Skeleton Key a affecté vos contrôleurs de domaine à l’aide de l’analyseur écrit par l’équipe ATA.Skeleton Key – You can check if Skeleton Key has affected your domain controllers by using the the scanner written by the ATA team. Si l’analyseur détecte la présence d’un logiciel malveillant sur un ou plusieurs de vos contrôleurs de domaine, l’alerte est un vrai positif.If the scanner finds malware on 1 or more of your domain controllers, it is a true positive.
  2. Golden Ticket : Dans la feuille de calcul Excel, accédez à l’onglet Activité réseau. Vous voyez que le champ qui a changé de version concerne la demande du type de chiffrement du ticket et que le champ des types de chiffrement pris en charge par les ordinateurs sources liste des méthodes de chiffrement plus poussé.Golden Ticket – In the Excel spreadsheet, go to the Network activity tab. You will see that the relevant downgraded field is Request Ticket Encryption Type, and Source Computer Supported Encryption Types lists stronger encryption methods. a.a. Vérifiez l’ordinateur source et le compte, ou s’il en existe plusieurs, vérifiez qu’ils ont bien quelque chose en commun (par exemple, tout le personnel marketing utilise une application spécifique susceptible d’être à l’origine du déclenchement de l’alerte).Check the source computer and account, or if there are multiple source computers and accounts check if they have something in common (for example, all the marketing personnel use a specific app that might be causing the alert to be triggered). Il peut arriver qu’une application personnalisée rarement utilisée s’authentifie à l’aide d’un code de chiffrement plus faible.There are cases in which a custom application that is rarely used is authenticating using a lower encryption cipher. Déterminez si de telles applications personnalisées sont installées sur l’ordinateur source.Check if there are any such custom apps on the source computer. Si c’est le cas, l’alerte est probablement un vrai positif sans gravité que vous pouvez supprimer.If so, it is probably a benign true positive and you can Suppress it. b.b. Vérifiez la ressource accessible par ces tickets, s’il existe une seule ressource à laquelle ils accèdent tous, validez-la, vérifiez qu’il s’agit d’une ressource valide, à laquelle ils sont censés accéder.Check the resource accessed by those tickets, if there is one resource they are all accessing, validate it, make sure it is a valid resource they supposed to access. De plus, vérifiez si la ressource cible prend en charge des méthodes de chiffrement renforcé.In addition, verify if the target resource supports strong encryption methods. Vous pouvez le vérifier dans Active Directory en consultant l’attribut msDS-SupportedEncryptionTypes du compte de service de la ressource.You can check this in Active Directory by checking the attribute msDS-SupportedEncryptionTypes, of the resource service account.
  3. Overpass-the-Hash : Dans la feuille de calcul Excel, accédez à l’onglet Activité réseau. Vous voyez que le champ qui a changé de version concerne le type de chiffrement d’horodateur chiffré et que le champ des types de chiffrement pris en charge par les ordinateurs sources contient des méthodes de chiffrement plus poussé.Overpass-the-Hash – In the Excel spreadsheet, go to the Network activity tab. You will see that the relevant downgraded field is Encrypted Timestamp Encryption Type and Source Computer Supported Encryption Types contains stronger encryption methods. a.a. Dans certains cas, cette alerte peut se déclencher quand des utilisateurs se connectent à l’aide de cartes à puce dont la configuration a récemment été modifiée.There are cases in which this alert might be triggered when users log in using smartcards if the smartcard configuration was changed recently. Vérifiez si des changements de ce type ont été apportés pour les comptes concernés.Check if there were changes like this for the account(s) involved. Si c’est le cas, l’alerte est probablement un vrai positif sans gravité que vous pouvez supprimer.If so, this is probably a benign true positive and you can Suppress it. b.b. Vérifiez la ressource accessible par ces tickets, s’il existe une seule ressource à laquelle ils accèdent tous, validez-la, vérifiez qu’il s’agit d’une ressource valide, à laquelle ils sont censés accéder.Check the resource accessed by those tickets, if there is one resource they are all accessing, validate it, make sure it is a valid resource they supposed to access. De plus, vérifiez si la ressource cible prend en charge des méthodes de chiffrement renforcé.In addition, verify if the target resource supports strong encryption methods. Vous pouvez le vérifier dans Active Directory en consultant l’attribut msDS-SupportedEncryptionTypes du compte de service de la ressource.You can check this in Active Directory by checking the attribute msDS-SupportedEncryptionTypes, of the resource service account.

CorrectionRemediation

  1. Skeleton Key : supprimez le logiciel malveillant.Skeleton Key – Remove the malware. Pour plus d’informations, voir Analyse des programmes malveillants Skeleton Key.For more information, see Skeleton Key Malware Analysis.

  2. Golden Ticket : suivez les instructions pour les activités suspectes Golden TicketGolden Ticket – Follow the instructions of the Golden Ticket suspicious activities. 
    De plus, comme la création d’un Golden Ticket nécessite des droits d’administrateur de domaine, suivez les  recommandations pour Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

  3. Overpass-the-Hash : si le compte concerné n’est pas un compte sensible, réinitialisez son mot de passe.Overpass-the-Hash – If the involved account is not sensitive, then reset the password of that account. Cela empêche l’attaquant de créer d’autres tickets Kerberos à partir du hachage de mot de passe. Toutefois, les tickets existants resteront utilisables jusqu’à leur expiration.This prevents the attacker from creating new Kerberos tickets from the password hash, although the existing tickets can still be used until they expire. S’il s’agit d’un compte sensible, réinitialisez deux fois le compte KRBTGT comme dans l’activité suspecte Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Cette double réinitialisation de KRBTGT invalide tous les tickets Kerberos dans ce domaine. Nous vous recommandons donc de planifier cette opération.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Consultez les conseils fournis dans l’article KRBTGT Account Password Reset Scripts now available for customers (Scripts de réinitialisation du mot de passe du compte KRBTGT maintenant disponibles pour les clients).See guidance in KRBTGT Account Password Reset Scripts now available for customers. Utilisez également  l’outil de réinitialisation du mot de passe/des clés du compte KRBTGT.Also see using the Reset the KRBTGT account password/keys tool. Dans la mesure où il s’agit d’une technique de mouvement latéral, suivez les bonnes pratiques indiquées dans Recommandations pour Pass-the-Hash.Since this is a lateral movement technique, follow the best practices of Pass the hash recommendations.

Activité HoneytokenHoneytoken activity

DescriptionDescription

Les comptes Honeytoken sont des comptes servant de leurre pour identifier et suivre l’activité malveillante qui implique ces comptes.Honeytoken accounts are decoy accounts set up to identify and track malicious activity that involves these accounts. Les comptes Honeytoken doivent rester inutilisés, et avoir un nom évocateur pour attirer et leurrer les attaquants (par exemple, SQL-Admin).Honeytoken accounts should be left unused, while having an attractive name to lure attackers (for example, SQL-Admin). Toute activité observée sur ces comptes peut être le signe d’un comportement malveillant.Any activity from them might indicate malicious behavior.

Pour plus d’informations sur les comptes Honeytoken, consultez Installer ATA - Étape 7.For more information on honey token accounts, see Install ATA - Step 7.

ExamenInvestigation

  1. Vérifiez si le propriétaire de l’ordinateur source a utilisé le compte Honeytoken pour s’authentifier, à l’aide de la méthode décrite dans la page de l’activité suspecte (par exemple, Kerberos, LDAP, NTLM).Check whether the owner of the source computer used the Honeytoken account to authenticate, using the method described in the suspicious activity page (for example, Kerberos, LDAP, NTLM).

  2. Accédez à la page du profil de chaque ordinateur source et vérifiez si d’autres comptes se sont authentifiés à partir de ces ordinateurs.Browse to the source computer(s) profile page(s) and check which other accounts authenticated from them. Vérifiez auprès des propriétaires de ces comptes s’ils ont utilisé le compte Honeytoken.Check with the owners of those accounts if they used the Honeytoken account.

  3. Il peut s’agir d’une connexion non interactive. Vous devez donc vérifier si des applications ou des scripts s’exécutent sur les ordinateurs sources.This could be a non-interactive login, so make sure to check for applications or scripts that are running on the source computer.

Si, après avoir effectué les étapes 1 à 3, vous ne pouvez pas déterminer avec certitude que l’attaque est sans gravité, considérez qu’il s’agit d’une attaque malveillante.If after performing steps 1 through 3, if there’s no evidence of benign use, assume this is malicious.

CorrectionRemediation

Assurez-vous que les comptes Honeytoken sont utilisés uniquement pour leur rôle prévu afin d’éviter la génération de nombreuses alertes.Make sure Honeytoken accounts are used only for their intended purpose, otherwise they might generate many alerts.

Usurpation d’identité par attaque Pass-the-HashIdentity theft using Pass-the-Hash attack

DescriptionDescription

Pass-the-Hash est une technique de mouvement latéral par laquelle les attaquants volent le code de hachage NTLM d’un utilisateur sur un ordinateur et utilisent ensuite ce code pour accéder à un autre ordinateur.Pass-the-Hash is a lateral movement technique in which attackers steal a user’s NTLM hash from one computer and use it to gain access to another computer.

ExamenInvestigation

Le code de hachage volé d’un ordinateur est-il détenu ou régulièrement utilisé par l’utilisateur ciblé ?Was the hash used from a computer owned or used regularly by the targeted user? Si oui, l’alerte est un faux positif, si non, c’est probablement un vrai positif.If yes, the alert is a false positive, if not, it is probably a true positive.

CorrectionRemediation

  1. Si le compte concerné n’est pas un compte sensible, réinitialisez le mot de passe de ce compte.If the involved account is not sensitive, reset the password of that account. La réinitialisation du mot de passe empêche les attaquants de créer de nouveaux tickets Kerberos à partir du hachage de mot de passe.Resetting the password prevents the attacker from creating new Kerberos tickets from the password hash. Les tickets existants restent utilisables jusqu’à leur expiration.Existing tickets are still usable until they expire.

  2. Si le compte impliqué est sensible, réinitialisez deux fois le compte KRBTGT comme dans l’activité suspecte Golden Ticket.If the involved account is sensitive, consider resetting the KRBTGT account twice, as in the Golden Ticket suspicious activity. Cette double réinitialisation de KRBTGT invalide tous les tickets Kerberos de domaine, donc prévoyez son impact avant de procéder à cette opération.Resetting the KRBTGT twice invalidates all domain Kerberos tickets, so plan around the impact before doing so. Consultez les conseils fournis dans l’article KRBTGT Account Password Reset Scripts now available for customers et utilisez  l’outil de réinitialisation du mot de passe/des clés du compte KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also refer to using the Reset the KRBTGT account password/keys tool. Comme il s’agit typiquement d’une technique de mouvement latéral, suivez les bonnes pratiques indiquées dans Recommandations pour Pass-the-Hash.As this is typically a lateral movement technique, follow the best practices of Pass the hash recommendations.

Usurpation d’identité par attaque Pass-the-TicketIdentity theft using Pass-the-Ticket attack

DescriptionDescription

Pass-the-Ticket est une technique de mouvement latéral par laquelle les attaquants volent un ticket Kerberos sur un ordinateur et réutilisent ensuite ce ticket pour accéder à un autre ordinateur.Pass-the-Ticket is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by reusing the stolen ticket. Cette détection vérifie si un ticket Kerberos a été utilisé sur plusieurs ordinateurs différents.In this detection, a Kerberos ticket is seen used on two (or more) different computers.

ExamenInvestigation

  1. Cliquez sur le bouton Télécharger les détails pour afficher la liste complète des adresses IP impliquées.Click the Download details button to view the full list of IP addresses involved. L’adresse IP de l’un ou des deux ordinateurs fait-elle partie d’un sous-réseau alloué à partir d’un pool DHCP de taille insuffisante, par exemple, VPN ou WiFi ?Is the IP address of one or both computers part of a subnet allocated from an undersized DHCP pool, for example, VPN or WiFi? L’adresse IP est-elle partagée ?Is the IP address shared? Par exemple, par un appareil NAT ?For example, by a NAT device? Si vous répondez par l’affirmative à l’une de ces questions, l’alerte est un faux positif.If the answer to any of these questions is yes, the alert is a false positive.

  2. Y a-t-il une application personnalisée qui transfère les tickets pour le compte d’utilisateurs ?Is there a custom application that forwards tickets on behalf of users? Si c’est le cas, il s’agit d’un vrai positif.If so, it is a benign true positive.

CorrectionRemediation

  1. Si le compte concerné n’est pas un compte sensible, réinitialisez le mot de passe de ce compte.If the involved account is not sensitive, then reset the password of that account. La réinitialisation du mot de passe empêche les attaquants de créer de nouveaux tickets Kerberos à partir du hachage de mot de passe.Password resent prevents the attacker from creating new Kerberos tickets from the password hash. Les tickets existants restent utilisables jusqu’à leur expiration.Any existing tickets remain usable until expired.

  2. S’il s’agit d’un compte sensible, réinitialisez deux fois le compte KRBTGT comme dans l’activité suspecte Golden Ticket.If it’s a sensitive account, you should consider resetting the KRBTGT account twice as in the Golden Ticket suspicious activity. Cette double réinitialisation de KRBTGT invalide tous les tickets Kerberos dans ce domaine. Nous vous recommandons donc de planifier cette opération.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Consultez les conseils fournis dans l’article KRBTGT Account Password Reset Scripts now available for customers (Scripts de réinitialisation du mot de passe du compte KRBTGT maintenant disponibles pour les clients) et utilisez  l’outil de réinitialisation du mot de passe/des clés du compte KRBTGT.See the guidance in KRBTGT Account Password Reset Scripts now available for customers, also see using the Reset the KRBTGT account password/keys tool. Dans la mesure où il s’agit d’une technique de mouvement latéral, suivez les bonnes pratiques indiquées dans Recommandations pour Pass-the-Hash.Since this is a lateral movement technique, follow the best practices in Pass the hash recommendations.

Activité de Golden Ticket KerberosKerberos Golden Ticket activity

DescriptionDescription

Les attaquants ayant des droits d’administrateur de domaine peuvent compromettre votre compte KRBTGT.Attackers with domain admin rights can compromise your KRBTGT account. Les attaquants peuvent utiliser le compte KRBTGT pour créer un ticket TGT Kerberos qui leur fournit une autorisation sur n’importe quelle ressource.Attackers can use the KRBTGT account to create a Kerberos ticket granting ticket (TGT) providing authorization to any resource. L’expiration du ticket peut être définie à tout moment.The ticket expiration can be set to any arbitrary time. Ce faux ticket TGT appelé « Golden Ticket » permet aux attaquants d’obtenir et de garder un accès persistant sur votre réseau.This fake TGT is called a "Golden Ticket" and allows attackers to achieve and maintain persistency in your network.

Cette détection déclenche une alerte quand un ticket TGT Kerberos est utilisé depuis plus longtemps que la durée autorisée définie dans la stratégie de sécurité Durée de vie maximale du ticket utilisateur.In this detection, an alert is triggered when a Kerberos ticket granting ticket (TGT) is used for more than the allowed time permitted as specified in the Maximum lifetime for user ticket security policy.

ExamenInvestigation

  1. Le paramètre Durée de vie maximale du ticket utilisateur défini dans la stratégie de sécurité a-t-il été modifié récemment (au cours des dernières heures) ?Was there any recent (within the last few hours) change made to the Maximum lifetime for user ticket setting in group policy? Si c’est le cas, fermez l’alerte, car il s’agit d’un faux positif.If yes, then Close the alert (it was a false positive).

  2. La passerelle ATA impliquée dans cette alerte est-elle une machine virtuelle ?Is the ATA Gateway involved in this alert a virtual machine? Si c’est le cas, son exécution a-t-elle repris à partir d’un état de mise en mémoire ?If yes, did it recently resume from a saved state? Si c’est le cas, fermez l’alerte.If yes, then Close this alert.

  3. Si vous avez répondu non aux deux questions ci-dessus, considérez l’alerte comme une attaque malveillante.If the answer to the above questions is no, assume this is malicious.

CorrectionRemediation

Changez deux fois le mot de passe du compte KRBTGT en suivant les conseils de l’article KRBTGT Account Password Reset Scripts now available for customers (Scripts de réinitialisation du mot de passe du compte KRBTGT maintenant disponibles pour les clients) et en utilisant  l’outil de réinitialisation du mot de passe/des clés du compte KRBTGT.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool. Cette double réinitialisation de KRBTGT invalide tous les tickets Kerberos dans ce domaine. Nous vous recommandons donc de planifier cette opération.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so.
De plus, comme la création d’un Golden Ticket nécessite des droits d’administrateur de domaine, suivez les  recommandations pour Pass-the-Hash.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

Demande d’information privée de protection contre les données malveillantesMalicious data protection private information request

DescriptionDescription

L’API de protection des données (DPAPI) est utilisée par Windows pour protéger les mots de passe enregistrés par les navigateurs, les clés de chiffrement et d’autres données sensibles.The Data Protection API (DPAPI) is used by Windows to securely protect passwords saved by browsers, encrypted files, and other sensitive data. Les contrôleurs de domaine détiennent une clé principale de sauvegarde qui peut être utilisée pour déchiffrer tous les secrets chiffrés avec DPAPI sur des machines Windows jointes au domaine.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI on domain-joined Windows machines. Des attaquants peuvent utiliser cette clé principale pour déchiffrer les secrets protégés avec DPAPI sur toutes les machines jointes au domaine.Attackers can use that master key to decrypt any secrets protected by DPAPI on all domain-joined machines. Cette détection déclenche une alerte quand DPAPI est utilisé pour récupérer la clé principale de sauvegarde.In this detection, an alert is triggered when the DPAPI is used to retrieve the backup master key.

ExamenInvestigation

  1. L’ordinateur source exécute-t-il un scanner de sécurité approuvé par l’organisation dans Active Directory ?Is the source computer running an organization-approved advanced security scanner against Active Directory?

  2. Si c’est le cas et si ce comportement est normal, fermez et excluez l’activité suspecte.If yes and it should always be doing so,Close and exclude the suspicious activity.

  3. Si c’est le cas, mais que ce comportement n’est pas normal, **fermez l’activité suspecte.If yes and it should not do this,**Close the suspicious activity.

CorrectionRemediation

Pour pouvoir utiliser DPAPI, un attaquant doit avoir les droits d’administrateur de domaine.To use DPAPI, an attacker needs domain admin rights. Suivez les  recommandations pour Pass-the-Hash.Implement Pass the hash recommendations.

Réplication malveillante de services d’annuaireMalicious replication of Directory Services

DescriptionDescription

La réplication Active Directory est le processus par lequel les modifications apportées à un contrôleur de domaine sont synchronisées avec tous les autres contrôleurs de domaine.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with all other domain controllers. Quand les attaquants ont les autorisations nécessaires, ils peuvent lancer une demande de réplication dans le but de récupérer ensuite les données stockées dans Active Directory, y compris les hachages de mot de passe.Given necessary permissions, attackers can initiate a replication request, allowing them to retrieve the data stored in Active Directory, including password hashes.

Dans cette détection, une alerte est déclenchée quand une demande de réplication est lancée à partir d’un ordinateur qui n’est pas un contrôleur de domaine.In this detection, an alert is triggered when a replication request is initiated from a computer that is not a domain controller.

ExamenInvestigation

  1. L’ordinateur en question est-il un contrôleur de domaine ?Is the computer in question a domain controller? Par exemple, un contrôleur de domaine récemment promu ayant rencontré des problèmes de réplication.For example, a newly promoted domain controller that had replication issues. Si c’est le cas, fermez l’activité suspecte.If yes, Close the suspicious activity.
  2. L’ordinateur en question est-il supposé répliquer des données à partir d’Active Directory ?Is the computer in question supposed to be replicating data from Active Directory? Par exemple, Azure AD Connect.For example, Azure AD Connect. Si c’est le cas, fermez et excluez l’activité suspecte.If yes, Close and exclude the suspicious activity.
  3. Cliquez sur l’ordinateur source ou le compte pour accéder à sa page de profil.Click on the source computer or account to go to its profile page. Vérifiez ce qui s’est passé à peu près au même moment que la réplication, en recherchant d’éventuelles activités inhabituelles, notamment : qui s’est connecté et a accédé à quelles ressources.Check what happened around the time of the replication, searching for unusual activities, such as: who was logged in, which resources where accessed.

CorrectionRemediation

Vérifiez les autorisations suivantes :Validate the following permissions:

  • Répliquer les changements d’annuaireReplicate directory changes 

  • Répliquer tous les changements d’annuaireReplicate directory changes all

Pour plus d’informations, consultez  Accorder des autorisations Active Directory Domain Services pour la synchronisation de profils dans SharePoint Server 2013.For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. Vous pouvez utiliser l’ analyseur AD ACL  ou créer un script Windows PowerShell pour savoir qui possède ces autorisations dans le domaine.You can leverage AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Suppression massive d’objetsMassive object deletion

DescriptionDescription

Dans certains scénarios, les attaquants effectuent des attaque par déni de service (DoS) au lieu de seulement voler des informations.In some scenarios, attackers perform denial of service (DoS) attacks rather than only stealing information. La suppression d’un grand nombre de comptes est une méthode de tentative d’une attaque DoS.Deleting a large number of accounts is one method of attempting a DoS attack.

Dans cette détection, une alerte est déclenchée quand plus de 5 % de l’ensemble des comptes sont supprimés.In this detection, an alert is triggered any time more than 5% of all accounts are deleted. La détection nécessite un accès en lecture sur le conteneur d’objets supprimés.The detection requires read access to the deleted object container.
Pour plus d’informations sur la configuration des autorisations en lecture seule sur le conteneur d’objets supprimés, consultez la section Changing permissions on a deleted object container (Modifier les autorisations sur un conteneur d’objets supprimés) dans View or Set Permissions on a Directory Object (Afficher ou définir des autorisations sur un objet répertoire).For information about configuring read-only permissions on the deleted object container, see Changing permissions on a deleted object container in View or Set Permissions on a Directory Object.

ExamenInvestigation

Passez en revue la liste des comptes supprimés et déterminez si un modèle ou un motif particulier justifie cette suppression à grande échelle.Review the list of deleted accounts and determine if there is a pattern or a business reason that justifies a large-scale deletion.

CorrectionRemediation

Supprimez les autorisations des utilisateurs qui peuvent supprimer des comptes dans Active Directory.Remove permissions for users who can delete accounts in Active Directory. Pour plus d’informations, consultez View or Set Permissions on a Directory Object (Afficher ou définir des autorisations sur un objet répertoire).For more information, see View or Set Permissions on a Directory Object.

Réaffectation de privilèges à l’aide de données d’autorisation falsifiéesPrivilege escalation using forged authorization data

DescriptionDescription

Des vulnérabilités connues dans les versions antérieures de Windows Server permettent aux attaquants de manipuler le certificat PAC (Privileged Attribute Certificate).Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC). PAC est un champ du ticket Kerberos qui contient des données d’autorisation utilisateur (dans Active Directory, il s’agit de l’appartenance au groupe) et accorde des privilèges supplémentaires aux attaquants.PAC is a field in the Kerberos ticket that has user authorization data (in Active Directory this is group membership) and grants attackers additional privileges.

ExamenInvestigation

  1. Cliquez sur l’alerte pour accéder à la page de détails correspondante.Click on the alert to access the details page.

  2. Le correctif MS14-068 (contrôleur de domaine) ou MS11-013 (serveur) a-t-il été installé sur l’ordinateur de destination (sous la colonne ACCESSED) ?Is the destination computer (under the ACCESSED column) patched with MS14-068 (domain controller) or MS11-013 (server)? Si c’est le cas, fermez l’activité suspecte (c’est un faux positif).If yes, Close the suspicious activity (it is a false positive).

  3. Si l’ordinateur de destination n’est pas corrigé, l’ordinateur source s’exécute (sous la colonne FROM) exécute-t-il un système d’exploitation ou une application connu pour modifier le certificat PAC ?If the destination computer is not patched, does the source computer run (under the FROM column) an OS/application known to modify the PAC? Si c’est le cas, supprimez l’activité suspecte (c’est un vrai positif sans gravité).If yes, Suppress the suspicious activity (it is a benign true positive).

  4. Si la réponse à ces deux questions est non, considérez que cette activité est malveillante.If the answer to the two previous questions was no, assume this activity is malicious.

CorrectionRemediation

Vérifiez que tous les contrôleurs de domaine dotés du système d’exploitation Windows Server 2012 R2 ou version antérieure sont installés avec  withKB3011780and  et que tous les serveurs et contrôleurs de domaine membres avec 2012 R2 ou version antérieure sont à jour avec KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Pour plus d’informations, consultez  Silver PAC  et  Faux PAC.For more information, see Silver PAC and Forged PAC.

Reconnaissance à l’aide de l’énumération de compteReconnaissance using account enumeration

DescriptionDescription

Lors d’une reconnaissance à l’aide de l’énumération de comptes, un attaquant utilise un dictionnaire contenant des milliers de noms d’utilisateurs ou des outils comme KrbGuess pour essayer de deviner des noms d’utilisateur de votre domaine.In account enumeration reconnaissance, an attacker uses a dictionary with thousands of user names, or tools such as KrbGuess to attempt to guess user names in your domain. Il procède à des demandes Kerberos en utilisant ces noms afin de tenter de trouver un nom d’utilisateur valide dans votre domaine.The attacker makes Kerberos requests using these names in order to try to find a valid username in your domain. Si l’attaquant arrive à trouver un nom d’utilisateur, il reçoit l’erreur Kerberos Pré-authentification requise au lieu de Principal de sécurité inconnu.If a guess successfully determines a username, the attacker will get the Kerberos error Preauthentication required instead of Security principal unknown.

Dans cette détection, ATA peut détecter d'où vient l’attaque, le nombre total de tentatives et combien ont abouti.In this detection, ATA can detect where the attack came from, the total number of guess attempts and how many were matched. Si le nombre d’utilisateurs inconnus est trop élevé, ATA le détecte comme une activité suspecte.If there are too many unknown users, ATA will detect it as a suspicious activity.

ExamenInvestigation

  1. Cliquez sur l’alerte pour accéder à la page de détails correspondante.Click on the alert to get to its details page.

  2. Cet ordinateur hôte doit-il interroger le contrôleur de domaine pour savoir si des comptes existent (par exemple, des serveurs Exchange) ?Should this host machine query the domain controller as to whether accounts exist (for example, Exchange servers)?
    Est-ce qu’un script ou une application s’exécutant sur l’hôte pourrait générer ce comportement ?Is there a script or application running on the host that could generate this behavior?
    Si la réponse à l’une de ces questions est oui, fermez l’activité suspecte (c’est un vrai positif sans incidence) et excluez cet hôte de l’activité suspecte.If the answer to either of these questions is yes, Close the suspicious activity (it is a benign true positive) and exclude that host from the suspicious activity.

  3. Téléchargez les détails de l’alerte dans une feuille de calcul Excel pour voir clairement la liste des tentatives de comptes, avec d’un côté les comptes qui existent et de l’autre ceux qui n’existent pas.Download the details of the alert in an Excel spreadsheet to conveniently see the list of account attempts, divided into existing and non-existing accounts. Si vous examinez la feuille des comptes qui n’existent pas et que vous pensez les connaître, il s’agit peut-être de comptes désactivés ou d’employés ayant quitté l’entreprise.If you look at the non-existing accounts sheet in the spreadsheet and the accounts look familiar, they may be disabled accounts or employees who left the company. Dans ce cas, il est peu probable que la tentative provienne d’un dictionnaire.In this case, it is unlikely that the attempt is coming from a dictionary. Il s’agit très certainement d’une application ou d’un script qui vérifie les comptes qui existent toujours dans Active Directory, c’est donc un vrai positif sans incidence.Most likely, it's an application or script that is checking to see which accounts still exist in Active Directory, meaning that it's a benign true positive.

  4. Si les noms sont en grande partie inconnus, des tentatives ont-elle abouti à une correspondance à des noms de comptes existants dans Active Directory ?If the names are largely unfamiliar, did any of the guess attempts match existing account names in Active Directory? S’il n’y a aucune correspondance, la tentative n’a servi à rien, mais vous devez surveiller l’alerte pour voir si elle est mise à jour au fil du temps.If there are no matches, the attempt was futile, but you should pay attention to the alert to see if it gets updated over time.

  5. Si des tentatives correspondent à des noms de compte existants, l’attaquant connaît l’existence de comptes dans votre environnement et peut essayer d’utiliser des attaques par force brute pour accéder à votre domaine en utilisant les noms d’utilisateur découverts.If any of the guess attempts match existing account names, the attacker knows of the existence of accounts in your environment and can attempt to use brute force to access your domain using the discovered user names. Vérifiez les noms de compte trouvés en recherchant d’autres activités suspectes.Check the guessed account names for additional suspicious activities. Regardez si des comptes sensibles se trouvent parmi les comptes trouvés.Check to see if any of the matched accounts are sensitive accounts.

CorrectionRemediation

Les mots de passe longs et complexes assurent le niveau minimum de sécurité nécessaire contre les attaques par force brute.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Reconnaissance à l’aide de requêtes de services d’annuaireReconnaissance using Directory Services queries

DescriptionDescription

La reconnaissance des services d’annuaire permet aux attaquants de mapper la structure d’annuaire et de cibler des comptes privilégiés pour les étapes suivantes d’une attaque.Directory services reconnaissance is used by attackers to map the directory structure and target privileged accounts for later steps in an attack. Le protocole SAM-R (Security Account Manager Remote) est l’une des méthodes utilisées pour interroger l’annuaire et effectuer ce type de mappage.The Security Account Manager Remote (SAM-R) protocol is one of the methods used to query the directory to perform such mapping.

Dans cette détection, aucune alerte n’est déclenchée durant le premier mois après le déploiement d’ATA.In this detection, no alerts would be triggered in the first month after ATA is deployed. Pendant cette période d’apprentissage, ATA effectue un profilage des requêtes SAM-R effectuées à partir des ordinateurs, qu’il s’agisse de requêtes d’énumération ou de requêtes individuelles sur des comptes sensibles.During the learning period, ATA profiles which SAM-R queries are made from which computers, both enumeration and individual queries of sensitive accounts.

ExamenInvestigation

  1. Cliquez sur l’alerte pour accéder à la page de détails correspondante.Click on the alert to get to its details page. Examinez quels types de requêtes ont été effectuées (par exemple, des requêtes Administrateur entreprise ou Administrateur) et si elles ont réussi ou échoué.Check which queries were performed (for example, Enterprise admins, or Administrator) and whether or not they were successful.

  2. Des requêtes de ce type sont-elles censées être effectuées à partir de l’ordinateur source en question ?Are such queries supposed to be made from the source computer in question?

  3. Si c’est le cas et que l’alerte a été mise à jour, supprimez l’activité suspecte.If yes and the alert gets updated, Suppress the suspicious activity.

  4. Si c’est le cas, mais que cela ne devrait plus se produire, fermez l’activité suspecte.If yes and it should not do this anymore, Close the suspicious activity.

  5. Si vous avez des informations sur le compte impliqué : de telles requêtes sont-elles censées être effectuées par ce compte ou ce compte se connecte-t-il normalement à l’ordinateur source ?If there’s information on the involved account: are such queries supposed to be made by that account or does that account normally log in to the source computer?

    • Si c’est le cas et que l’alerte a été mise à jour, supprimez l’activité suspecte.If yes and the alert gets updated, Suppress the suspicious activity.

    • Si c’est le cas, mais que cela ne devrait plus se produire, fermez l’activité suspecte.If yes and it should not do this anymore, Close the suspicious activity.

    • Si vous avez répondu non à toutes les questions ci-dessus, considérez l’alerte comme une attaque malveillante.If the answer was no to all of the above, assume this is malicious.

  6. En l’absence d’informations sur le compte impliqué, vous pouvez accéder au point de terminaison et vérifier quel compte était connecté au moment de l’alerte.If there is no information about the account that was involved, you can go to the endpoint and check which account was logged in at the time of the alert.

CorrectionRemediation

Utilisez l’outil SAMRi10 pour mieux protéger votre environnement contre cette technique d’attaque.Use the SAMRi10 tool to harden your environment against this technique. Si l’outil n’est pas applicable à votre contrôleur de domaine :If the tool is not applicable to your domain controller:

  1. L’ordinateur exécute-t-il un outil d’analyse des vulnérabilités ?Is the computer running a vulnerability scanning tool?
  2. Vérifiez si les utilisateurs et groupes spécifiques interrogés dans l’attaque sont des comptes avec privilèges ou sensibles (par ex., PDG, directeur financier, direction informatique, etc.).Investigate whether the specific queried users and groups in the attack are privileged or high value accounts (that is, CEO, CFO, IT management, etc.). Si c’est le cas, examinez aussi les autres activités sur le point de terminaison et surveillez les ordinateurs auxquels les comptes interrogés sont connectés, car ils sont probablement la cible d’un mouvement latéral.If so, look at other activity on the endpoint as well and monitor computers that the queried accounts are logged into, as they are probably targets for lateral movement.

Reconnaissance à l’aide de DNSReconnaissance using DNS

DescriptionDescription

Votre serveur DNS contient une carte de l’ensemble des ordinateurs, adresses IP et services de votre réseau.Your DNS server contains a map of all the computers, IP addresses, and services in your network. Ces informations sont utilisées par les attaquants pour mapper la structure de votre réseau et cibler les ordinateurs intéressants pour les étapes suivantes de l’attaque.This information is used by attackers to map your network structure and target interesting computers for later steps in their attack.

Il existe plusieurs types de requêtes dans le protocole DNS.There are several query types in the DNS protocol. ATA détecte les demandes de transfert AXFR qui ne proviennent pas de serveurs DNS.ATA detects the AXFR (Transfer) request originating from non-DNS servers.

ExamenInvestigation

  1. La machine source (En provenance de…) est-elle un serveur DNS ?Is the source machine (Originating from…) a DNS server? Si c’est le cas, il s’agit probablement d’un faux positif.If yes, then this is probably a false positive. Pour le vérifier, cliquez sur l’alerte pour accéder à la page de détails correspondante.To validate, click on the alert to get to its details page. Dans le tableau, sous Requête, vérifiez quels domaines ont été interrogés.In the table, under Query, check which domains were queried. S’agit-il de domaines existants ?Are these existing domains? Si c’est le cas, fermez l’activité suspecte (c’est un faux positif).If yes, then Close the suspicious activity (it is a false positive). De plus, vérifiez que le port UDP 53 est ouvert entre la passerelle ATA et l’ordinateur source pour éviter les futurs faux positifs.In addition, make sure UDP port 53 is open between the ATA Gateway and the source computer to prevent future false positives.
  2. L’ordinateur source exécute-t-il un scanner de sécurité ?Is the source machine running a security scanner? Si c’est le cas, excluez les entités dans ATA, soit directement en choisissant Fermer et exclure, soit via la page Exclusion, sous Configuration (disponible pour les administrateurs d’ATA).If yes, Exclude the entities in ATA, either directly with Close and exclude or via the Exclusion page (under Configuration – available for ATA admins).
  3. Si la réponse à toutes les questions précédentes est non, continuez à chercher en vous concentrant sur l’ordinateur source.If the answer to all the preceding questions is no, keep investigating focusing on the source computer. Cliquez sur l’ordinateur source pour accéder à sa page de profil.Click on the source computer to go to its profile page. Vérifiez ce qui s’est passé à peu près au même moment que la requête, en recherchant d’éventuelles activités inhabituelles, notamment : qui s’est connecté et a accédé à quelles ressources.Check what happened around the time of the request, searching for unusual activities, such as: who was logged in, which resources where accessed.

CorrectionRemediation

La sécurisation d’un serveur DNS interne pour éviter la reconnaissance à l’aide de DNS est possible en désactivant les transferts de zone ou en les limitant uniquement aux adresses IP spécifiées.Securing an internal DNS server to prevent reconnaissance using DNS from occurring can be accomplished by disabling or restricting zone transfers only to specified IP addresses. Pour plus d’informations sur la limitation des transferts de zone, consultez Restrict Zone Transfers (Limiter les transferts de zone).For more information on restricting zone transfers, see Restrict Zone Transfers. La modification des transferts de zone est l’une des tâches de la liste de contrôle que vous devez suivre pour  sécuriser vos serveurs DNS contre les attaques internes et externes.Modifying zone transfers is one task among a checklist that should be addressed for securing your DNS servers from both internal and external attacks.

Reconnaissance à l’aide de l’énumération de sessions SMBReconnaissance using SMB session enumeration

DescriptionDescription

L’énumération SMB (Server Message Block) permet aux attaquants d’obtenir des informations sur les emplacements de connexion récents des utilisateurs.Server Message Block (SMB) enumeration enables attackers to get information about where users recently logged on. Une fois qu’ils connaissent ces informations, les attaquants peuvent se déplacer de façon latérale dans le réseau pour accéder à un compte sensible spécifique.Once attackers have this information, they can move laterally in the network to get to a specific sensitive account.

Dans cette détection, une alerte est déclenchée quand une énumération de sessions SMB est effectuée sur un contrôleur de domaine.In this detection, an alert is triggered when an SMB session enumeration is performed against a domain controller.

ExamenInvestigation

  1. Cliquez sur l’alerte pour accéder à la page de détails correspondante.Click on the alert to get to its details page. Déterminez le ou les comptes qui ont effectué l’opération et ceux qui ont été exposés, le cas échéant.Check the account/s that performed the operation and which accounts were exposed, if any.

    • L’ordinateur source exécute-t-il un scanner de sécurité ?Is there some kind of security scanner running on the source computer? Si c’est le cas, fermez et excluez l’activité suspecte.If yes, Close and exclude the suspicious activity.
  2. Déterminez quels utilisateurs ont effectué l’opération.Check which involved user/s performed the operation. Sont-ils des utilisateurs qui se connectent normalement à l’ordinateur source ou des administrateurs autorisés à effectuer des actions de ce type ?Do they normally log into the source computer or are they administrators who should perform such actions?

  3. Si c’est le cas et que l’alerte a été mise à jour, supprimez l’activité suspecte.If yes and the alert gets updated, Suppress the suspicious activity.

  4. Si c’est le cas et qu’elle ne devrait pas être mise à jour, fermez l’activité suspecte.If yes and it should not get updated, Close the suspicious activity.

  5. Si vous avez répondu non à toutes les questions ci-dessus, considérez l’activité comme une attaque malveillante.If the answer to all the above is no, assume the activity is malicious.

CorrectionRemediation

Utilisez l’outil Net Cease pour renforcer votre environnement contre ce type d’attaque.Use the Net Cease tool to harden your environment against this type of attack.

Tentative d’exécution à distance détectéeRemote execution attempt detected

DescriptionDescription

Les attaquants qui compromettent les informations d’identification d’administration ou qui exploitent une faille de sécurité de type zero-day peuvent exécuter des commandes à distance sur votre contrôleur de domaine.Attackers who compromise administrative credentials or use a zero-day exploit can execute remote commands on your domain controller. Ils peuvent ainsi obtenir une persistance, collecter des informations, lancer des attaques par déni de service (DOS), etc.This can be used for gaining persistence, collecting information, denial of service (DOS) attacks or any other reason. ATA détecte les connexions PSexec et les connexions WMI à distance.ATA detects PSexec and Remote WMI connections.

ExamenInvestigation

  1. Cette situation est fréquente pour les stations de travail d’administration, ainsi que pour les membres des équipes informatiques et les comptes de service qui effectuent des tâches d’administration sur des contrôleurs de domaine.This is common for administrative workstations as well as for IT team members and service accounts that perform administrative tasks against domain controllers. Si c’est le cas et que l’alerte a été mise à jour parce que le même administrateur ou ordinateur effectue la tâche, supprimez l’alerte.If this is this the case, and the alert gets updated because the same admin or computer is performing the task, Suppress the alert.
  2. L’ordinateur en question est-il autorisé à effectuer cette exécution à distance sur votre contrôleur de domaine ?Is the computer in question allowed to perform this remote execution against your domain controller?
    • Le compte en question est-il autorisé à effectuer cette exécution à distance sur votre contrôleur de domaine ?Is the account in question allowed to perform this remote execution against your domain controller?
    • Si la réponse à ces deux questions est oui, fermez l’alerte.If the answer to both questions is yes, then Close the alert.
  3. Si la réponse à l’une de ces questions est non, considérez cette activité comme un vrai positif.If the answer to either questions is no, this activity should be considered a true positive. Essayez de rechercher la source de la tentative en vérifiant les profils d’ordinateur et de compte.Try to find the source of the attempt by checking computer and account profiles. Cliquez sur l’ordinateur source ou le compte pour accéder à sa page de profil.Click on the source computer or account to go to its profile page. Vérifiez ce qui s’est passé à peu près au même moment que ces tentatives, en recherchant d’éventuelles activités inhabituelles, notamment : qui s’est connecté et a accédé à quelles ressources.Check what happened around the time of these attempts, searching for unusual activities, such as: who was logged in, which resources where accessed.

CorrectionRemediation

  1. Limitez l’accès à distance aux contrôleurs de domaine à partir d’ordinateurs qui ne sont pas de niveau 0.Restrict remote access to domain controllers from non-Tier 0 machines.

  2. Implémentez un  accès privilégié  pour autoriser uniquement les machines avec une sécurité renforcée à se connecter aux contrôleurs de domaine pour les administrateurs.Implement privileged access to allow only hardened machines to connect to domain controllers for admins.

Informations d’identification de compte sensible exposées et services qui exposent des informations d’identification de compteSensitive account credentials exposed & Services exposing account credentials

Notes

Cette activité suspecte a été dépréciée et apparaît uniquement dans les versions d’ATA antérieures à la version 1.9.This suspicious activity was deprecated and only appears in ATA versions prior to 1.9. Pour ATA 1.9 et ultérieur, consultez Rapports.For ATA 1.9 and later, see Reports.

DescriptionDescription

Certains services envoient des informations d’identification de compte au format texte brut,Some services send account credentials in plain text. y compris pour des comptes sensibles.This can even happen for sensitive accounts. Les attaquants qui surveillent le trafic réseau peuvent intercepter ces informations d’identification et les réutiliser à des fins malveillantes.Attackers monitoring network traffic can catch and then reuse these credentials for malicious purposes. L’alerte est déclenchée dès qu’un mot de passe en texte clair est envoyé pour un compte sensible. Pour les comptes non sensibles, elle est déclenchée si les mots de passe en texte clair pour au moins cinq comptes différents sont envoyés à partir de l’ordinateur source.Any clear text password for a sensitive account triggers the alert, while for non-sensitive accounts the alert is triggered if five or more different accounts send clear text passwords from the same source computer.

ExamenInvestigation

Cliquez sur l’alerte pour accéder à la page de détails correspondante.Click on the alert to get to its details page. Déterminez quels comptes ont été exposés.See which accounts were exposed. Si de nombreux comptes sont concernés, cliquez sur Télécharger les détails pour afficher la liste complète dans une feuille de calcul Excel.If there are many such accounts, click Download details to view the list in an Excel spreadsheet.

En général, il y a une application de script ou héritée sur les ordinateurs sources qui utilise une liaison simple LDAP.Usually there’s a script or legacy application on the source computers that uses LDAP simple bind.

CorrectionRemediation

Vérifiez la configuration des ordinateurs sources et que vous n’utilisez pas de liaison simple LDAP.Verify the configuration on the source computers and make sure not to use LDAP simple bind. À la place des liaisons simples LDAP, utilisez des liaisons SALS LDAP ou LDAPS.Instead of using LDAP simple binds you can use LDAP SALS or LDAPS.

Échecs d’authentification suspectsSuspicious authentication failures

DescriptionDescription

Dans une attaque par force brute, un attaquant tente de s’authentifier en essayant plusieurs mots de passe pour différents comptes jusqu’à ce qu’il trouve le bon mot de passe de l’un des comptes.In a brute-force attack, an attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Une fois qu’il a deviné le mot de passe d’un compte, l’attaquant utilise ce compte pour se connecter au réseau.Once found, an attacker can log in using that account.

Dans cette détection, une alerte est déclenchée après l’échec de nombreuses tentatives d’authentification utilisant Kerberos ou NTLM. L’attaque peut être horizontale avec un petit nombre de mots de passe possibles pour de nombreux utilisateurs, verticale avec un grand nombre de mots de passe pour seulement quelques utilisateurs, ou à la fois horizontale et verticale.In this detection, an alert is triggered when many authentication failures using Kerberos or NTLM occurred, this can be either horizontally with a small set of passwords across many users; or vertically with a large set of passwords on just a few users; or any combination of these two options. La période minimale avant le déclenchement d’une alerte est d’une semaine.The minimum period before an alert can be triggered is one week.

ExamenInvestigation

  1. Cliquez sur Télécharger les détails pour voir toutes les informations dans une feuille de calcul Excel.Click Download details to view the full information in an Excel spreadsheet. Vous pouvez obtenir les informations suivantes :You can get the following information:
    • Liste des comptes attaquésList of the attacked accounts
    • Liste des comptes devinés dans lesquels des tentatives de connexion se sont terminées par une authentification réussieList of guessed accounts in which login attempts ended with successful authentication
    • Activités des événements concernés si les tentatives d’authentification ont été effectuées à l’aide de NTLMIf the authentication attempts were performed using NTLM, you will see relevant event activities
    • Activités réseau associées si les tentatives d’authentification ont été effectuées à l’aide de KerberosIf the authentication attempts were performed using Kerberos, you will see relevant network activities
  2. Cliquez sur l’ordinateur source pour accéder à sa page de profil.Click on the source computer to go to its profile page. Vérifiez ce qui s’est passé à peu près au même moment que ces tentatives, en recherchant d’éventuelles activités inhabituelles, notamment : qui s’est connecté et a accédé à quelles ressources.Check what happened around the time of these attempts, searching for unusual activities, such as: who was logged in, which resources where accessed.
  3. Si l’authentification a été effectuée à l’aide de NTLM, que vous voyez que l’alerte se produit de nombreuses fois et qu’il n’y a pas suffisamment d’informations disponibles sur le serveur auquel l’ordinateur source a tenté d’accéder, vous devez activer l’audit NTLM sur les contrôleurs de domaine concernés.If the authentication was performed using NTLM, and you see that the alert occurs many times, and there is not enough information available about the server that the source machine tried to access, you should enable NTLM auditing on the involved domain controllers. Pour cela, activez l’événement 8004.To do this, turn on event 8004. Il s’agit de l’événement d’authentification NTLM qui inclut des informations sur l’ordinateur source, le compte d’utilisateur et le serveur auquel l’ordinateur source a essayé d’accéder.This is the NTLM authentication event that includes information about the source computer, user account, and server that the source machine tried to access. Une fois que vous savez quel serveur a envoyé la validation de l’authentification, vous devez examiner le serveur en vérifiant ses événements tels que 4624 pour mieux comprendre le processus d’authentification.After you know which server sent the authentication validation, you should investigate the server by checking its events such as 4624 to better understand the authentication process.

CorrectionRemediation

Les mots de passe longs et complexes assurent le niveau minimum de sécurité nécessaire contre les attaques par force brute.Complex and long passwords provide the necessary first level of security against brute-force attacks.

Création de service malveillantSuspicious service creation

DescriptionDescription

Les attaquants tentent d’exécuter des services suspects sur votre réseau.Attackers attempt to run suspicious services on your network. ATA déclenche une alerte lorsqu’un nouveau service qui semble suspect est créé sur un contrôleur de domaine.ATA raises an alert when a new service that seems suspicious has been created on a domain controller. Cette alerte s’appuie sur l’événement 7045 et est détectée sur chaque contrôleur de domaine couvert par une passerelle ATA ou la passerelle légère.This alert relies on event 7045, and it is detected from each domain controller that is covered by an ATA Gateway or Lightweight Gateway.

ExamenInvestigation

  1. Si l’ordinateur en question est une station de travail d’administration ou un ordinateur sur lequel les membres de l’équipe informatique et les comptes de service effectuent des tâches d’administration, il peut s’agir d’un faux positif et vous pouvez être amené à supprimer l’alerte et à l’ajouter à la liste des exclusions, si nécessaire.If the computer in question is an administrative workstation, or a computer on which IT team members and service accounts perform administrative tasks, this may be a false positive and you may need to Suppress the alert and add it to the Exclusions list if necessary.

  2. Reconnaissez-vous ce service sur cet ordinateur ?Is the service something you recognize on this computer?

    • Le compte en question est-il autorisé à installer ce service ?Is the account in question allowed to install this service?

    • Si la réponse à ces deux questions est oui, fermez l’alerte ou ajoutez-la à la liste des exclusions.If the answer to both questions is yes, then Close the alert or add it to the Exclusions list.

  3. Si la réponse à l’une de ces questions est non, considérez l’attaque comme un vrai positif.If the answer to either questions is no, then this should be considered a true positive.

CorrectionRemediation

  • Implémentez un accès doté de moins de privilèges sur les ordinateurs du domaine pour autoriser uniquement des utilisateurs spécifiques à créer de nouveaux services.Implement less privileged access on domain machines to allow only specific users the right to create new services.

Suspicion d’usurpation d’identité basée sur un comportement inhabituelSuspicion of identity theft based on abnormal behavior

DescriptionDescription

ATA apprend le comportement de l’entité pour les utilisateurs, les ordinateurs et les ressources sur une période glissante de trois semaines.ATA learns the entity behavior for users, computers, and resources over a sliding three-week period. Le modèle de comportement est basé sur les activités suivantes : les machines auxquelles les entités se sont connectées, les ressources pour lesquelles l’entité a demandé l’accès et la durée de ces opérations.The behavior model is based on the following activities: the machines the entities logged in to, the resources the entity requested access to, and the time these operations took place. ATA déclenche une alerte quand il y a un écart entre le comportement de l’entité et les algorithmes d’apprentissage de la machine.ATA sends an alert when there is a deviation from the entity’s behavior based on machine learning algorithms.

ExamenInvestigation

  1. L’utilisateur en question est-il supposé effectuer ces opérations normalement ?Is the user in question supposed to be performing these operations?

  2. Considérez les cas suivants comme des faux positifs potentiels : un utilisateur qui rentre de vacances, un membre du service informatique qui a besoin d’accéder à plus de ressources qu’habituellement (par exemple, pour répondre à toutes les demandes de support technique durant un jour ou une semaine donné) et les applications de bureau à distance. Si vous fermez et excluez l’alerte, l’utilisateur ne sera plus inclus dans la détection.Consider the following cases as potential false positives: a user who returned from vacation, IT personnel who perform excess access as part of their duty (for example a spike in help-desk support in a given day or week), remote desktop applications.+ If you Close and exclude the alert, the user will no longer be part of the detection

CorrectionRemediation

Différentes actions doivent être entreprises en fonction de la cause de ce comportement anormal.Different actions should be taken depending on what caused this abnormal behavior to occur. Par exemple, si le réseau a été analysé, la machine source doit être bloquée à partir du réseau (sauf si elle est approuvée).For example, if the network was scanned, the source machine should be blocked from the network (unless it is approved).

Implémentation de protocole inhabituelleUnusual protocol implementation

DescriptionDescription

Les attaquants utilisent des outils qui implémentent différents protocoles (SMB, Kerberos, NTLM) de façon inhabituelle.Attackers use tools that implement various protocols (SMB, Kerberos, NTLM) in non-standard ways. Ce type de trafic réseau est admis par Windows sans avertissement, mais ATA est capable de reconnaître une activité malveillante potentielle.While this type of network traffic is accepted by Windows without warnings, ATA is able to recognize potential malicious intent. Le comportement est révélateur de certaines techniques comme l’attaque Over-Pass-the-Hash, ou de l’exploitation des failles de sécurité par de puissants ransomwares tels que WannaCry.The behavior is indicative of techniques such as Over-Pass-the-Hash, as well as exploits used by advanced ransomware, such as WannaCry.

ExamenInvestigation

Identifiez le protocole inhabituel, à partir de la chronologie des activités suspectes, et cliquez sur l’activité suspecte pour accéder à la page de détails correspondante. Le protocole s’affiche au-dessus de la flèche : Kerberos ou NTLM.Identify the protocol that is unusual – from the suspicious activity time line, click on the suspicious activity to access the details page; the protocol appears above the arrow: Kerberos or NTLM.

  • Kerberos : Souvent déclenché si un outil de piratage comme Mimikatz a été éventuellement utilisé dans une attaque de type Overpass-the-Hash.Kerberos: Often triggered if a hacking tool such as Mimikatz was potentially used an Overpass-the-Hash attack. Vérifiez si l’ordinateur source exécute une application qui implémente sa propre pile Kerberos, qui n’est pas conforme à la RFC Kerberos.Check if the source computer is running an application that implements its own Kerberos stack, that is not in accordance with the Kerberos RFC. Si c’est le cas, il s’agit d’un vrai positif sans gravité et l’alerte peut être fermée.In that case, it is a benign true positive and the alert can be Closed. Si l’alerte continue d’être déclenchée et que c’est toujours le cas, supprimez l’alerte.If the alert keeps being triggered, and it is still the case, you can Suppress the alert.

  • NTLM : Une alerte peut être déclenchée si WannaCry ou un outil comme Metasploit, Medusa ou Hydra est utilisé.NTLM: Could be either WannaCry or tools such as Metasploit, Medusa, and Hydra.

Pour déterminer si l’activité est une attaque WannaCry, effectuez les étapes suivantes :To determine whether the activity is a WannaCry attack, perform the following steps:

  1. Vérifiez si l’ordinateur source exécute un outil d’attaque tel que Metasploit, Medusa ou Hydra.Check if the source computer is running an attack tool such as Metasploit, Medusa, or Hydra.

  2. Si vous ne trouvez aucun outil d’attaque, vérifiez si l’ordinateur source exécute une application qui implémente sa propre pile NTLM ou SMB.If no attack tools are found, check if the source computer is running an application that implements its own NTLM or SMB stack.

  3. Si ce n’est pas le cas, vérifiez si l’alerte est causée par WannaCry, en exécutant un script de scanner WannaCry, par exemple this scanner sur l’ordinateur source impliqué dans l’activité suspecte.If not, check if caused by WannaCry by running a WannaCry scanner script, for example this scanner against the source computer involved in the suspicious activity. Si le scanner identifie la machine comme infectée ou vulnérable, installez les correctifs appropriés sur la machine et supprimez/bloquez le programme malveillant sur le réseau.If the scanner finds that the machine as infected or vulnerable, work on patching the machine and removing the malware and blocking it from the network.

  4. Si le script ne détecte pas que la machine est infectée ou vulnérable, cela ne signifie pas qu’elle ne l’est pas. En effet, SMBv1 peut avoir été désactivé ou un correctif peut avoir été installé sur la machine, ce qui fausse l’analyse de l’outil.If the script didn't find that the machine is infected or vulnerable, then it could still be infected but SMBv1 might have been disabled or the machine has been patched, which would affect the scanning tool.

CorrectionRemediation

Appliquez les derniers correctifs à tous vos ordinateurs et vérifiez que toutes les mises à jour de sécurité sont appliquées.Apply the latest patches to all of your machines, and check all security updates are applied.

  1. Désactivez SMBv1.Disable SMBv1

  2. Supprimez WannaCry.Remove WannaCry

  3. Les données dans le contrôle de certains logiciels ransom peuvent parfois être déchiffrées.Data in the control of some ransom software can sometimes be decrypted. Le déchiffrement est possible seulement si l’utilisateur n’a pas redémarré ou éteint l’ordinateur.Decryption is only possible if the user hasn't restarted or turned off the computer. Pour plus d’informations, consultez Ransomware WannaCry.For more information, see Wanna Cry Ransomware

Notes

Pour désactiver une alerte d’activité suspecte, contactez le support.To disable a suspicious activity alert, contact support.

Voir aussiSee Also