Pemberitahuan pengintaian

Biasanya, serangan cyber diluncurkan terhadap entitas yang dapat diakses, seperti pengguna dengan hak istimewa rendah, dan kemudian dengan cepat bergerak secara lateral sampai penyerang mendapatkan akses ke aset berharga. Aset berharga dapat berupa akun sensitif, administrator domain, atau data yang sangat sensitif. Pertahanan Microsoft untuk Identitas mengidentifikasi ancaman lanjutan ini di sumber di seluruh rantai pembunuhan serangan dan mengklasifikasikannya ke dalam fase berikut:

1. Pengintaian
2. Kredensial yang disusupi
3. Gerakan Lateral
4. Dominasi domain
5. Penyelundupan

Untuk mempelajari selengkapnya tentang cara memahami struktur, dan komponen umum dari semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan. Untuk informasi tentang True positive (TP), Benign true positive (B-TP), dan False positive (FP), lihat klasifikasi pemberitahuan keamanan.

Pemberitahuan keamanan berikut membantu Anda mengidentifikasi dan memulihkan fase Pengintaian aktivitas mencurigakan yang terdeteksi oleh Defender for Identity di jaringan Anda.

Dalam artikel ini, Anda akan mempelajari cara memahami, mengklasifikasikan, memulihkan, dan mencegah jenis serangan berikut:

• Pengintaian enumerasi akun (ID eksternal 2003)
• Pengintaian atribut Direktori Aktif (LDAP) (ID eksternal 2210)
• Pengintaian pemetaan jaringan (DNS) (ID eksternal 2007)
• Pengintaian perwakilan keamanan (LDAP) (ID eksternal 2038)
• Pengintaian keanggotaan Pengguna dan Grup (SAMR) (ID eksternal 2021)
• Pengintaian alamat PENGGUNA dan IP (SMB) (ID eksternal 2012)

Pengintaian enumerasi akun (ID eksternal 2003)

Nama sebelumnya: Pengintaian menggunakan enumerasi akun

Deskripsi

Dalam pengintaian enumerasi akun, penyerang menggunakan kamus dengan ribuan nama pengguna, atau alat seperti KrbGuess dalam upaya untuk menebak nama pengguna di domain.

Kerberos: Penyerang membuat permintaan Kerberos menggunakan nama-nama ini untuk mencoba menemukan nama pengguna yang valid di domain. Ketika tebakan berhasil menentukan nama pengguna, penyerang mendapatkan Praauthentikasi yang diperlukan alih-alih kesalahan Kerberos yang tidak diketahui perwakilan keamanan .

NTLM: Penyerang membuat permintaan autentikasi NTLM menggunakan kamus nama untuk mencoba menemukan nama pengguna yang valid di domain. Jika tebakan berhasil menentukan nama pengguna, penyerang mendapatkan kesalahan NTLM WrongPassword (0xc000006a) alih-alih NoSuchUser (0xc0000064).

Dalam deteksi pemberitahuan ini, Defender for Identity mendeteksi dari mana serangan enumerasi akun berasal, jumlah total upaya tebakan, dan berapa banyak upaya yang cocok. Jika ada terlalu banyak pengguna yang tidak diketahui, Defender for Identity mendeteksinya sebagai aktivitas yang mencurigakan. Pemberitahuan didasarkan pada peristiwa autentikasi dari sensor yang berjalan pada pengontrol domain dan server AD FS.

MITRE

Taktik MITRE utama	Penemuan (TA0007)
Teknik serangan MITRE	Penemuan Akun (T1087)
Sub-teknik serangan MITRE	Akun Domain (T1087.002)

Periode pembelajaran

Tidak ada

TP, B-TP, atau FP

Beberapa server dan aplikasi mengkueri pengendali domain untuk menentukan apakah akun ada dalam skenario penggunaan yang sah.

Untuk menentukan apakah kueri ini adalah TP, BTP, atau FP, pilih pemberitahuan untuk masuk ke halaman detailnya:

1. Periksa apakah komputer sumber seharusnya melakukan tipe kueri ini. Contoh B-TP dalam hal ini bisa berupa server Microsoft Exchange atau sistem sumber daya manusia.

2. Periksa domain akun.

   • Apakah Anda melihat pengguna tambahan yang termasuk dalam domain lain?
     Kesalahan konfigurasi server seperti Exchange/Skype atau ADSF dapat menyebabkan pengguna tambahan milik domain yang berbeda.
   • Lihat konfigurasi layanan bermasalah untuk memperbaiki kesalahan konfigurasi.

   Jika Anda menjawab ya untuk pertanyaan di atas, itu adalah aktivitas B-TP . Tutup pemberitahuan keamanan.

Sebagai langkah berikutnya, lihat komputer sumber:

1. Apakah ada skrip atau aplikasi yang berjalan di komputer sumber yang dapat menghasilkan perilaku ini?

   • Apakah skrip adalah skrip lama yang berjalan dengan kredensial lama?
     Jika ya, hentikan dan edit atau hapus skrip.

   • Apakah aplikasi adalah skrip/aplikasi administratif atau keamanan yang seharusnya berjalan di lingkungan?

     Jika Anda menjawab ya untuk pertanyaan sebelumnya, Tutup pemberitahuan keamanan dan kecualikan komputer tersebut. Ini mungkin aktivitas B-TP .

Sekarang, lihat akunnya:

Penyerang diketahui menggunakan kamus nama akun acak untuk menemukan nama akun yang ada di organisasi.

1. Apakah akun yang tidak ada terlihat akrab?

   • Jika akun yang tidak ada terlihat akrab, akun tersebut mungkin dinonaktifkan atau milik karyawan yang meninggalkan perusahaan.

   • Periksa aplikasi atau skrip yang memeriksa untuk menentukan akun mana yang masih ada di Direktori Aktif.

     Jika Anda menjawab ya untuk salah satu pertanyaan sebelumnya, Tutup pemberitahuan keamanan, itu mungkin aktivitas B-TP .

2. Jika salah satu upaya tebakan cocok dengan nama akun yang ada, penyerang mengetahui keberadaan akun di lingkungan Anda dan dapat mencoba menggunakan brute force untuk mengakses domain Anda menggunakan nama pengguna yang ditemukan.

   • Periksa nama akun yang ditebak untuk aktivitas mencurigakan tambahan.
   • Periksa untuk melihat apakah salah satu akun yang cocok adalah akun sensitif.

Memahami ruang lingkup pelanggaran

1. Menyelidiki komputer sumber

2. Jika salah satu upaya tebakan cocok dengan nama akun yang ada, penyerang mengetahui keberadaan akun di lingkungan Anda, dan dapat menggunakan brute force untuk mencoba mengakses domain Anda menggunakan nama pengguna yang ditemukan. Selidiki akun yang ada menggunakan panduan investigasi pengguna.

   Catatan

   Periksa bukti untuk mempelajari protokol autentikasi yang digunakan. Jika autentikasi NTLM digunakan, aktifkan audit NTLM Windows Event 8004 pada pengendali domain untuk menentukan server sumber daya yang coba diakses pengguna.
   Windows Event 8004 adalah peristiwa autentikasi NTLM yang menyertakan informasi tentang komputer sumber, akun pengguna, dan server yang coba diakses oleh akun pengguna sumber.
   Defender for Identity menangkap data komputer sumber berdasarkan Windows Event 4776, yang berisi nama komputer sumber yang ditentukan komputer. Menggunakan Windows Event 4776 untuk mengambil informasi ini, bidang sumber informasi kadang-kadang ditimpa oleh perangkat atau perangkat lunak dan hanya menampilkan Workstation atau MSTSC sebagai sumber informasi. Selain itu, komputer sumber mungkin tidak benar-benar ada di jaringan Anda. Ini dimungkinkan karena iklan biasanya menargetkan server terbuka yang dapat diakses internet dari luar jaringan dan kemudian menggunakannya untuk menghitung pengguna Anda. Jika Anda sering memiliki perangkat yang ditampilkan sebagai Workstation atau MSTSC, pastikan untuk mengaktifkan audit NTLM pada pengendali domain untuk mendapatkan nama server sumber daya yang diakses. Anda juga harus menyelidiki server ini, memeriksa apakah server dibuka ke internet, dan jika Anda bisa, tutuplah.

3. Ketika Anda mempelajari server mana yang mengirim validasi autentikasi, selidiki server dengan memeriksa peristiwa, seperti Windows Event 4624, untuk lebih memahami proses autentikasi.

4. Periksa apakah server ini terekspos ke internet menggunakan port terbuka apa pun. Misalnya, apakah server terbuka menggunakan RDP ke internet?

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Berisi komputer sumber.
   1. Temukan alat yang melakukan serangan dan hapus.
   2. Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi.
   3. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Menerapkan kata sandi yang kompleks dan panjang dalam organisasi. Kata sandi yang kompleks dan panjang memberikan tingkat keamanan pertama yang diperlukan terhadap serangan brute-force. Serangan brute force biasanya merupakan langkah selanjutnya dalam rantai pembunuhan serangan cyber setelah enumerasi.

Pengintaian atribut Direktori Aktif (LDAP) (ID eksternal 2210)

Deskripsi

Pengintaian LDAP Direktori Aktif digunakan oleh penyerang untuk mendapatkan informasi penting tentang lingkungan domain. Informasi ini dapat membantu penyerang memetakan struktur domain, serta mengidentifikasi akun istimewa untuk digunakan dalam langkah-langkah selanjutnya dalam rantai pembunuhan serangan mereka. Lightweight Directory Access Protocol (LDAP) adalah salah satu metode paling populer yang digunakan untuk tujuan yang sah dan berbahaya untuk mengkueri Direktori Aktif.

MITRE

Taktik MITRE utama	Penemuan (TA0007)
Teknik serangan MITRE	Penemuan Akun (T1087), Eksekusi Perintah Tidak Langsung (T1202), Penemuan Grup Izin (T1069)
Sub-teknik serangan MITRE	Akun Domain (T1087.002), Grup Domain (T1069.002)

Periode pembelajaran

Tidak ada

TP, B-TP, atau FP

1. Pilih pemberitahuan untuk melihat kueri yang dilakukan.
   • Periksa apakah komputer sumber seharusnya membuat kueri ini
     • Jika ya, tutup pemberitahuan keamanan sebagai FP. Jika ini adalah aktivitas yang sedang berlangsung, kecualikan aktivitas yang mencurigakan.
2. Pilih komputer sumber dan buka halaman profilnya.
   • Cari aktivitas tidak biasa yang terjadi di sekitar waktu kueri seperti jenis pencarian berikut: pengguna yang masuk, sumber daya yang diakses, dan kueri pemeriksaan lainnya.
   • Jika integrasi Pertahanan Microsoft untuk Titik Akhir diaktifkan, pilih ikonnya untuk menyelidiki mesin lebih lanjut.
     • Cari proses dan pemberitahuan yang tidak biasa yang terjadi di sekitar waktu kueri
3. Periksa akun yang diekspos.
   • Cari aktivitas yang tidak biasa.

Jika Anda menjawab ya untuk pertanyaan 2 atau 3, pertimbangkan peringatan ini sebagai TP dan ikuti instruksi dalam Memahami cakupan pelanggaran.

Memahami ruang lingkup pelanggaran

1. Selidiki komputer sumber.
2. Apakah komputer menjalankan alat pemindaian yang melakukan berbagai kueri LDAP?
   • Selidiki apakah pengguna dan grup tertentu yang dikueri dalam serangan memiliki hak istimewa atau akun bernilai tinggi (yaitu, CEO, CFO, manajemen TI, dll.). Jika demikian, lihat aktivitas lain di titik akhir juga dan pantau komputer tempat akun yang dikueri masuk, karena mungkin menjadi target untuk gerakan lateral.
3. Periksa kueri dan atributnya, dan tentukan apakah kueri berhasil. Selidiki setiap grup yang diekspos, cari aktivitas mencurigakan yang dibuat di grup atau oleh pengguna anggota grup.
4. Bisakah Anda melihat perilaku pengintaian SAM-R, DNS, atau SMB di komputer sumber?

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Berisi komputer sumber
   1. Temukan alat yang melakukan serangan dan hapus.
   2. Jika komputer menjalankan alat pemindaian yang melakukan berbagai kueri LDAP, cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Atur ulang kata sandi jika akses sumber daya SPN dibuat yang berjalan di bawah akun pengguna (bukan akun komputer).

Pengintaian pemetaan jaringan (DNS) (ID eksternal 2007)

Nama sebelumnya: Pengintaian menggunakan DNS

Deskripsi

Server DNS Anda berisi peta semua komputer, alamat IP, dan layanan di jaringan Anda. Informasi ini digunakan oleh penyerang untuk memetakan struktur jaringan Anda dan menargetkan komputer yang menarik untuk langkah-langkah selanjutnya dalam serangan mereka.

Ada beberapa jenis kueri dalam protokol DNS. Pemberitahuan keamanan Defender for Identity ini mendeteksi permintaan yang mencurigakan, baik permintaan menggunakan AXFR (transfer) yang berasal dari server non-DNS, atau yang menggunakan jumlah permintaan yang berlebihan.

MITRE

Taktik MITRE utama	Penemuan (TA0007)
Teknik serangan MITRE	Penemuan Akun (T1087), Pemindaian Layanan Jaringan (T1046), Penemuan Sistem Jarak Jauh (T1018)
Sub-teknik serangan MITRE	T/A

Periode pembelajaran

Pemberitahuan ini memiliki periode pembelajaran delapan hari sejak dimulainya pemantauan pengendali domain.

TP, B-TP, atau FP

1. Periksa apakah komputer sumber adalah server DNS.

   • Jika komputer sumber adalah server DNS, tutup pemberitahuan keamanan sebagai FP.
   • Untuk mencegah FP di masa mendatang, verifikasi bahwa port UDP 53 terbuka antara sensor Defender for Identity dan komputer sumber.

Pemindai keamanan dan aplikasi yang sah dapat menghasilkan kueri DNS.

1. Periksa apakah komputer sumber ini seharusnya menghasilkan jenis aktivitas ini?

   • Jika komputer sumber ini seharusnya menghasilkan jenis aktivitas ini, Tutup pemberitahuan keamanan dan kecualikan komputer sebagai aktivitas B-TP .

Memahami ruang lingkup pelanggaran

1. Selidiki komputer sumber.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

Perbaikan:

• Berisi komputer sumber.
  • Temukan alat yang melakukan serangan dan hapus.
  • Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi, karena pengguna ini juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.

Pencegahan:

Penting untuk mencegah serangan di masa mendatang menggunakan kueri AXFR dengan mengamankan server DNS internal Anda.

• Amankan server DNS internal Anda untuk mencegah pengintaian menggunakan DNS dengan menonaktifkan transfer zona atau dengan membatasi transfer zona hanya ke alamat IP tertentu. Memodifikasi transfer zona adalah salah satu tugas di antara daftar periksa yang harus ditangani untuk mengamankan server DNS Anda dari serangan internal dan eksternal.

Pengintaian perwakilan keamanan (LDAP) (ID eksternal 2038)

Deskripsi

Pengintaian utama keamanan digunakan oleh penyerang untuk mendapatkan informasi penting tentang lingkungan domain. Informasi yang membantu penyerang memetakan struktur domain, serta mengidentifikasi akun istimewa untuk digunakan dalam langkah-langkah selanjutnya dalam rantai pembunuhan serangan mereka. Lightweight Directory Access Protocol (LDAP) adalah salah satu metode paling populer yang digunakan untuk tujuan yang sah dan berbahaya untuk mengkueri Direktori Aktif. Pengintaian utama keamanan yang berfokus pada LDAP umumnya digunakan sebagai fase pertama serangan Kerberoasting. Serangan Kerberoasting digunakan untuk mendapatkan daftar target Nama Prinsipal Keamanan (SPN), yang kemudian dicoba oleh penyerang untuk mendapatkan tiket Ticket Granting Server (TGS).

Untuk memungkinkan Defender for Identity memprofilkan dan mempelajari pengguna yang sah secara akurat, tidak ada pemberitahuan jenis ini yang dipicu dalam 10 hari pertama setelah penyebaran Defender for Identity. Setelah fase pembelajaran awal Defender for Identity selesai, pemberitahuan dihasilkan pada komputer yang melakukan kueri atau kueri enumerasi LDAP yang mencurigakan yang ditargetkan ke grup sensitif yang menggunakan metode yang sebelumnya tidak diamati.

MITRE

Taktik MITRE utama	Penemuan (TA0007)
Taktik MITRE sekunder	Akses Kredensial (TA0006)
Teknik serangan MITRE	Penemuan Akun (T1087)
Sub-teknik serangan MITRE	Akun Domain (T1087.002)

Periode pembelajaran

15 hari per komputer, mulai dari hari peristiwa pertama, diamati dari komputer.

TP, B-TP, atau FP

1. Pilih komputer sumber dan buka halaman profilnya.
   1. Apakah komputer sumber ini diharapkan menghasilkan aktivitas ini?
   2. Jika komputer dan aktivitas diharapkan, Tutup pemberitahuan keamanan dan kecualikan komputer tersebut sebagai aktivitas B-TP .

Memahami ruang lingkup pelanggaran

1. Periksa kueri yang dilakukan (seperti admin Domain, atau semua pengguna dalam domain) dan tentukan apakah kueri berhasil. Selidiki setiap pencarian grup yang diekspos untuk aktivitas mencurigakan yang dibuat pada grup, atau oleh pengguna anggota grup.
2. Selidiki komputer sumber.
   • Dengan menggunakan kueri LDAP, periksa apakah ada aktivitas akses sumber daya yang terjadi pada salah satu SPN yang terekspos.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Berisi komputer sumber
   1. Temukan alat yang melakukan serangan dan hapus.
   2. Apakah komputer menjalankan alat pemindaian yang melakukan berbagai kueri LDAP?
   3. Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas yang terjadi karena mereka juga dapat disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Atur ulang kata sandi jika akses sumber daya SPN dibuat yang berjalan di bawah akun pengguna (bukan akun komputer).

Langkah-langkah spesifik yang disarankan Kerberoasting untuk pencegahan dan remediasi

1. Atur ulang kata sandi pengguna yang disusupi dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
2. Memerlukan penggunaan kata sandi yang panjang dan kompleks untuk pengguna dengan akun perwakilan layanan.
3. Ganti akun pengguna dengan Akun Layanan Terkelola Grup (gMSA).

Catatan

Pemberitahuan pengintaian utama keamanan (LDAP) hanya didukung oleh sensor Defender for Identity.

Pengintaian keanggotaan Pengguna dan Grup (SAMR) (ID eksternal 2021)

Nama sebelumnya: Pengintaian menggunakan kueri layanan direktori

Deskripsi

Pengintaian keanggotaan pengguna dan grup digunakan oleh penyerang untuk memetakan struktur direktori dan menargetkan akun istimewa untuk langkah-langkah selanjutnya dalam serangan mereka. Protokol Security Account Manager Remote (SAM-R) adalah salah satu metode yang digunakan untuk mengkueri direktori untuk melakukan jenis pemetaan ini. Dalam deteksi ini, tidak ada pemberitahuan yang dipicu pada bulan pertama setelah Pertahanan untuk Identitas disebarkan (periode pembelajaran). Selama periode pembelajaran, defender untuk profil Identitas yang kueri SAM-R dibuat dari komputer mana, baik enumerasi maupun kueri individu dari akun sensitif.

Periode pembelajaran

Empat minggu per pengendali domain mulai dari aktivitas jaringan pertama SAMR terhadap DC tertentu.

MITRE

Taktik MITRE utama	Penemuan (TA0007)
Teknik serangan MITRE	Penemuan Akun (T1087), Penemuan Grup Izin (T1069)
Sub-teknik serangan MITRE	Akun Domain (T1087.002), Grup Domain (T1069.002)

TP, B-TP, atau FP

1. Pilih komputer sumber untuk masuk ke halaman profilnya.

   • Apakah komputer sumber seharusnya menghasilkan aktivitas jenis ini?

     • Jika ya, Tutup pemberitahuan keamanan dan kecualikan komputer tersebut, sebagai aktivitas B-TP .

   • Periksa pengguna yang melakukan operasi.

     • Apakah pengguna tersebut biasanya masuk ke komputer sumber tersebut, atau apakah mereka administrator yang harus melakukan tindakan tertentu tersebut?

   • Periksa profil pengguna, dan aktivitas pengguna terkait. Pahami perilaku pengguna normal mereka dan cari aktivitas mencurigakan tambahan menggunakan panduan investigasi pengguna.

     Jika Anda menjawab ya untuk yang sebelumnya di atas, Tutup pemberitahuan sebagai aktivitas B-TP .

Memahami ruang lingkup pelanggaran

1. Periksa kueri yang dilakukan, misalnya, Admin perusahaan, atau Administrator, dan tentukan apakah kueri berhasil.
2. Selidiki setiap pengguna yang diekspos menggunakan panduan investigasi pengguna.
3. Selidiki komputer sumber.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Berisi komputer sumber.
2. Temukan dan hapus alat yang melakukan serangan.
3. Cari pengguna yang masuk sekitar waktu yang sama dengan aktivitas, karena mereka mungkin juga disusupi. Atur ulang kata sandi mereka dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
4. Atur ulang kata sandi pengguna sumber dan aktifkan MFA atau, jika Anda telah mengonfigurasi kebijakan pengguna berisiko tinggi yang relevan di Azure Active Directory Identity Protection, Anda dapat mengonfirmasi bahwa pengguna disusupi di halaman pengguna Pertahanan Microsoft 365.
5. Terapkan akses Jaringan dan batasi klien yang diizinkan untuk melakukan panggilan jarak jauh ke kebijakan grup SAM.

Pengintaian alamat PENGGUNA dan IP (SMB) (ID eksternal 2012)

Nama sebelumnya: Pengintaian menggunakan Enumerasi Sesi SMB

Deskripsi

Enumerasi menggunakan protokol Blok Pesan Server (SMB) memungkinkan penyerang untuk mendapatkan informasi tentang tempat pengguna baru-baru ini masuk. Setelah penyerang memiliki informasi ini, mereka dapat bergerak secara lateral di jaringan untuk masuk ke akun sensitif tertentu.

Dalam deteksi ini, pemberitahuan dipicu ketika enumerasi sesi SMB dilakukan terhadap pengendali domain.

MITRE

Taktik MITRE utama	Penemuan (TA0007)
Teknik serangan MITRE	Penemuan Akun (T1087), Penemuan Koneksi Jaringan Sistem (T1049)
Sub-teknik serangan MITRE	Akun Domain (T1087.002)

TP, B-TP, atau FP

Pemindai dan aplikasi keamanan dapat mengkueri pengontrol domain secara sah untuk sesi SMB terbuka.

1. Apakah komputer sumber ini seharusnya menghasilkan aktivitas jenis ini?
2. Apakah ada semacam pemindai keamanan yang berjalan di komputer sumber? Jika jawabannya adalah ya, itu mungkin aktivitas B-TP. Tutup pemberitahuan keamanan dan kecualikan komputer tersebut.
3. Periksa pengguna yang melakukan operasi. Apakah pengguna tersebut seharusnya melakukan tindakan tersebut? Jika jawabannya adalah ya, Tutup pemberitahuan keamanan sebagai aktivitas B-TP.

Memahami ruang lingkup pelanggaran

1. Selidiki komputer sumber.
2. Pada halaman pemberitahuan, periksa apakah ada pengguna yang diekspos. Untuk menyelidiki lebih lanjut setiap pengguna yang terekspos, periksa profil mereka. Kami sarankan Anda memulai penyelidikan Anda dengan pengguna prioritas investigasi sensitif dan tinggi.

Remediasi dan langkah-langkah yang disarankan untuk pencegahan

1. Berisi komputer sumber.
2. Temukan dan hapus alat yang melakukan serangan.

Catatan

Untuk menonaktifkan pemberitahuan keamanan Defender for Identity apa pun, hubungi dukungan.

Pemberitahuan kredensial yang disusupi

Lihat juga

• Menyelidiki komputer
• Menyelidiki pengguna
• Bekerja dengan pemberitahuan keamanan
• Pemberitahuan kredensial yang disusupi
• Pemberitahuan gerakan lateral
• Pemberitahuan dominasi domain
• Pemberitahuan eksfiltrasi
• Referensi log SIEM Defender for Identity
• Bekerja dengan jalur gerakan lateral
• Lihat forum Defender for Identity!