Zelf studie: aanmeldings waarschuwingen met een aanvalTutorial: Compromised credential alerts

Meestal worden Cyber aanvallen gestart op basis van een toegankelijke entiteit, zoals een gebruiker met beperkte rechten, en kunt u deze vervolgens later snel verplaatsen totdat de aanvaller toegang krijgt tot waardevolle activa, zoals gevoelige accounts, domein beheerders en zeer gevoelige gegevens.Typically, cyber-attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Micro soft Defender voor identiteitMicrosoft Defender for Identity identificeert deze geavanceerde dreigingen bij de bron gedurende de hele aanvals keten en classificeert deze in de volgende fasen:Micro soft Defender voor identiteitMicrosoft Defender for Identity identifies these advanced threats at the source throughout the entire attack kill chain and classifies them into the following phases:

  1. ReconnaissanceReconnaissance
  2. Verkraakte referentieCompromised credential
  3. Laterale bewegingenLateral Movements
  4. DomeindominantieDomain dominance
  5. Exfiltration (Exfiltratie)Exfiltration

Defender voor identiteitDefender for IdentityZie beveiligings waarschuwingen begrijpenvoor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle beveiligings waarschuwingen.To learn more about how to understand the structure, and common components of all Defender voor identiteitDefender for Identity security alerts, see Understanding security alerts. Zie classificaties van beveiligings waarschuwingenvoor informatie over True-positief (TP), goed aardige True-positief (B-TP) en False-positief (FP).For information about True positive (TP), Benign true positive (B-TP), and False positive (FP), see security alert classifications.

De volgende beveiligings waarschuwingen helpen u bij het identificeren en oplossen van verdachte activiteiten in de referentie fase, gedetecteerd door Defender voor identiteitDefender for Identity in uw netwerk.The following security alerts help you identify and remediate Compromised credential phase suspicious activities detected by Defender voor identiteitDefender for Identity in your network. In deze zelf studie leert u hoe u de volgende typen aanvallen kunt begrijpen, classificeren, herstellen en voor komen:In this tutorial, you'll learn how to understand, classify, remediate and prevent the following types of attacks:

Honeytoken-activiteit (externe ID 2014)Honeytoken activity (external ID 2014)

Vorige naam: Honeytoken-activiteitPrevious name: Honeytoken activity

BeschrijvingDescription

Honeytoken-accounts zijn Afrondings accounts die zijn ingesteld om schadelijke activiteiten te identificeren en bij te houden die betrekking hebben op deze accounts.Honeytoken accounts are decoy accounts set up to identify and track malicious activity that involves these accounts. Honeytoken-accounts moeten worden niet-gebruikt zonder dat ze een aantrekkelijke naam hebben om aanvallers te lokken (bijvoorbeeld SQL-beheerder).Honeytoken accounts should be left unused while having an attractive name to lure attackers (for example, SQL-Admin). Alle activiteiten hiervan kunnen wijzen op schadelijk gedrag.Any activity from them might indicate malicious behavior.

Zie detectie uitsluitingen en honeytoken-accounts configurerenvoor meer informatie over honeytoken-accounts.For more information on honeytoken accounts, see Configure detection exclusions and honeytoken accounts.

TP, B-TP of FPTP, B-TP, or FP

  1. Controleer of de eigenaar van de bron computer het Honeytoken-account heeft gebruikt voor verificatie met behulp van de methode die is beschreven op de pagina verdachte activiteit (bijvoorbeeld, Kerberos, LDAP, NTLM).Check if the owner of the source computer used the Honeytoken account to authenticate, using the method described in the suspicious activity page (for example, Kerberos, LDAP, NTLM).

    Als de eigenaar van de bron computer het honeytoken-account heeft gebruikt om te verifiëren, met behulp van de exacte methode die wordt beschreven in de waarschuwing, sluit u de beveiligings waarschuwing als een B-TP- activiteit.If the owner of the source computer used the honeytoken account to authenticate, using the exact method described in the alert, Close the security alert, as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron gebruiker.Investigate the source user.

  2. Onderzoek de bron computer.Investigate the source computer.

    Notitie

    Als de verificatie is uitgevoerd met behulp van NTLM, is er in sommige scenario's mogelijk niet voldoende informatie beschikbaar over de server waartoe de bron computer toegang probeerde te krijgen.If the authentication was made using NTLM, in some scenarios, there may not be enough information available about the server the source computer tried to access. Defender voor identiteitDefender for Identity Hiermee worden de gegevens van de bron computer vastgelegd op basis van Windows-gebeurtenis 4776, die de computer naam bevat die is gedefinieerd als bron computer.Defender voor identiteitDefender for Identity captures the source computer data based on Windows Event 4776, which contains the computer defined source computer name. Als u de gegevens wilt vastleggen met behulp van Windows-gebeurtenis 4776, wordt het Bron veld voor deze informatie af en toe overschreven door het apparaat of de software, zodat alleen werk station of MSTSC wordt weer gegeven.Using Windows Event 4776 to capture this information, the source field for this information is occasionally overwritten by the device or software to display only Workstation or MSTSC. Als u regel matig apparaten hebt die worden weer gegeven als werk station of MSTSC, zorg er dan voor dat u NTLM-controle op de relevante domein controllers inschakelt om de werkelijke naam van de bron computer op te halen.If you frequently have devices that display as Workstation or MSTSC, make sure to enable NTLM auditing on the relevant domain controllers to get the true source computer name. Als u NTLM-controle wilt inschakelen, schakelt u Windows-gebeurtenis 8004 (NTLM-verificatie gebeurtenis die informatie bevat over de bron computer, het gebruikers account en de server waartoe de bron machine heeft geprobeerd toegang te krijgen).To enable NTLM auditing, turn on Windows Event 8004 (NTLM authentication event that includes information about the source computer, user account, and the server the source machine tried to access).

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Verdachte beveiligings aanval (Kerberos, NTLM) (externe ID 2023)Suspected Brute Force attack (Kerberos, NTLM) (external ID 2023)

Vorige naam: Verdachte verificatie foutenPrevious name: Suspicious authentication failures

BeschrijvingDescription

Bij een aanval op een zwakke gebruiker probeert de aanvaller te verifiëren met meerdere wacht woorden op verschillende accounts totdat een correct wacht woord wordt gevonden of door gebruik te maken van een wacht woord in een grootschalige wachtwoord spuit die voor ten minste één account werkt.In a brute-force attack, the attacker attempts to authenticate with multiple passwords on different accounts until a correct password is found or by using one password in a large-scale password spray that works for at least one account. Zodra deze is gevonden, meldt de aanvaller zich aan met behulp van het geverifieerde account.Once found, the attacker logs in using the authenticated account.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer er veel verificatie fouten optreden met Kerberos, NTLM of het gebruik van een wachtwoord spray.In this detection, an alert is triggered when many authentication failures occur using Kerberos, NTLM, or use of a password spray is detected. Met Kerberos of NTLM is dit type aanval doorgaans horizon taal, met behulp van een kleine set wacht woorden in veel gebruikers, verticaal met een grote set wacht woorden voor een paar gebruikers of een combi natie van beide.Using Kerberos or NTLM, this type of attack is typically committed either horizontal, using a small set of passwords across many users, vertical with a large set of passwords on a few users, or any combination of the two.

Als er in een wachtwoord Spray een lijst met geldige gebruikers van de domein controller is geïnventariseerd, proberen aanvallers een zorgvuldig wacht woord voor alle bekende gebruikers accounts (één wacht woord voor veel accounts).In a password spray, after successfully enumerating a list of valid users from the domain controller, attackers try ONE carefully crafted password against ALL of the known user accounts (one password to many accounts). Als de eerste wachtwoord spray mislukt, wordt het opnieuw geprobeerd, waarbij een ander zorgvuldig ontworpen wacht woord wordt gebruikt, normaal gesp roken na 30 minuten wachten tussen pogingen.If the initial password spray fails, they try again, utilizing a different carefully crafted password, normally after waiting 30 minutes between attempts. Met de wacht tijd kunnen aanvallers voor komen dat de meeste op tijd gebaseerde drempel waarden voor account vergrendeling worden geactiveerd.The wait time allows attackers to avoid triggering most time-based account lockout thresholds. Wachtwoord spray is snel een favoriete techniek van beide aanvallers en pen testen.Password spray has quickly become a favorite technique of both attackers and pen testers. Aanvallen met een wacht woord zijn bewezen om effectief te zijn bij het verkrijgen van een eerste aanvaller binnen in een organisatie, en voor het maken van latere verplaatsingen, het proberen van bevoegdheden te escaleren.Password spray attacks have proven to be effective at gaining an initial foothold in an organization, and for making subsequent lateral moves, trying to escalate privileges. De minimale periode voordat een waarschuwing kan worden geactiveerd, is één week.The minimum period before an alert can be triggered is one week.

Leer periodeLearning period

Eén week1 week

TP, B-TP of FPTP, B-TP, or FP

Het is belang rijk om te controleren of aanmeldings pogingen zijn beëindigd met geslaagde verificatie.It is important to check if any login attempts ended with successful authentication.

  1. Als de aanmeldings pogingen zijn beëindigd, controleert u of een van de geraden accounts normaal gesp roken vanaf die bron computer wordt gebruikt.If any login attempts ended successfully, check if any of the Guessed accounts are normally used from that source computer.

    • Is er een kans dat deze accounts zijn mislukt omdat er een onjuist wacht woord is gebruikt?Is there any chance these accounts failed because a wrong password was used?

    • Neem contact op met de gebruiker (s) als ze de activiteit hebben gegenereerd (kan geen Fe-tijden aanmelden en vervolgens zijn geslaagd).Check with the user(s) if they generated the activity, (failed to login a fe times and then succeeded).

      Als het antwoord op de bovenstaande vragen Ja is, sluit u de beveiligings waarschuwing als een B-TP-activiteit.If the answer to the questions above is yes, Close the security alert as a B-TP activity.

  2. Als er geen geraden accounts zijn, controleert u of een van de aangevallen accounts normaal gesp roken worden gebruikt vanaf de bron computer.If there are no Guessed accounts, check if any of the Attacked accounts are normally used from the source computer.

    • Controleren of er een script wordt uitgevoerd op de bron computer met onjuiste/oude referenties?Check if there is a script running on the source computer with wrong/old credentials?
    • Als het antwoord op de vorige vraag Ja is, stopt en bewerkt u het script of verwijdert u het.If the answer to the previous question is yes, stop and edit, or delete the script. Sluit de beveiligings waarschuwing als een B-TP-activiteit.Close the security alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.

  2. Op de pagina waarschuwing controleert u of gebruikers zijn geraden.On the alert page, check which, if any, users were guessed successfully.

    Notitie

    Bekijk het bewijs om te leren welk verificatie protocol er wordt gebruikt.Examine the evidence to learn the authentication protocol used. Als NTLM-verificatie is gebruikt, schakelt u NTLM-controle van Windows-gebeurtenis 8004 in op de domein controller om te bepalen van welke bron server de gebruikers toegang hebben.If NTLM authentication was used, enable NTLM auditing of Windows Event 8004 on the domain controller to determine the resource server the users attempted to access. Windows-gebeurtenis 8004 is de NTLM-verificatie gebeurtenis die informatie bevat over de bron computer, het gebruikers account en de server waartoe het bron gebruikers account toegang heeft.Windows Event 8004 is the NTLM authentication event that includes information about the source computer, user account, and server that the source user account attempted to access. Defender voor identiteitDefender for Identity Hiermee worden de gegevens van de bron computer vastgelegd op basis van Windows-gebeurtenis 4776, die de computer naam bevat die is gedefinieerd als bron computer.Defender voor identiteitDefender for Identity captures the source computer data based on Windows Event 4776, which contains the computer defined source computer name. Met behulp van Windows-gebeurtenis 4776 om deze informatie vast te leggen, wordt het veld informatie bron af en toe overschreven door het apparaat of de software en wordt alleen werk station of MSTSC als informatie bron weer gegeven.Using Windows Event 4776 to capture this information, the information source field is occasionally overwritten by the device or software and only displays Workstation or MSTSC as the information source. Bovendien is de bron computer mogelijk niet echt aanwezig in uw netwerk.In addition, the source computer might not actually exist on your network. Dit is mogelijk omdat de aanvallers meestal gericht is op open-, Internet toegankelijke servers van buiten het netwerk en deze vervolgens gebruiken om uw gebruikers te inventariseren.This is possible because adversaries commonly target open, internet-accessible servers from outside the network and then use it to enumerate your users. Als u regel matig apparaten hebt die worden weer gegeven als werk station of MSTSC, moet u NTLM-controle op de domein controllers inschakelen om de naam van de toegang tot de resource server op te halen.If you frequently have devices that display as Workstation or MSTSC, make sure to enable NTLM auditing on the domain controllers to get the accessed resource server name. U moet deze server ook onderzoeken, controleren of deze is geopend op internet. als dat mogelijk is, kunt u deze sluiten.You should also investigate this server, check if it is opened to the internet, and if you can, close it.

  3. Wanneer u weet welke server de verificatie validatie heeft verzonden, onderzoekt u de server door gebeurtenissen, zoals Windows-gebeurtenis 4624, te controleren om meer inzicht te krijgen in het verificatie proces.When you learn which server sent the authentication validation, investigate the server by checking events, such as Windows Event 4624, to better understand the authentication process.

  4. Controleer of deze server via een open poort toegankelijk is met het internet.Check if this server is exposed to the internet using any open ports. Is de server bijvoorbeeld geopend met behulp van RDP met het Internet?For example, is the server open using RDP to the internet?

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Als Azure Active Directory Identity Protection u de wacht woorden van de gegiste gebruikers opnieuw instelt en MFA inschakelt, kunt u de actie door gebruiker geïnfecteerde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the guessed users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Stel de wacht woorden van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. Het afdwingen van complexe en lange wacht woorden in de organisatie biedt het vereiste eerste niveau van beveiliging tegen toekomstige brute-force aanvallen.Enforce complex and long passwords in the organization, it will provide the necessary first level of security against future brute-force attacks.

Verdachte beveiligings aanval (LDAP) (externe ID 2004)Suspected Brute Force attack (LDAP) (external ID 2004)

Vorige naam: Beveiligings aanval met eenvoudige binding voor LDAPPrevious name: Brute force attack using LDAP simple bind

BeschrijvingDescription

Bij een aanval op een zwakke gebruiker probeert de aanvaller te verifiëren met veel verschillende wacht woorden voor verschillende accounts totdat een correct wacht woord voor ten minste één account wordt gevonden.In a brute-force attack, the attacker attempts to authenticate with many different passwords for different accounts until a correct password is found for at least one account. Zodra deze is gevonden, kan een aanvaller zich aanmelden met dat account.Once found, an attacker can log in using that account.

In deze detectie wordt een waarschuwing geactiveerd wanneer een groot Defender voor identiteitDefender for Identity aantal eenvoudige bindings authenticaties wordt gedetecteerd.In this detection, an alert is triggered when Defender voor identiteitDefender for Identity detects a massive number of simple bind authentications. Deze waarschuwing detecteert beveiligings aanvallen die horizon taal worden uitgevoerd, met een kleine set wacht woorden in veel gebruikers, verticaal met een grote set wacht woorden op slechts een paar gebruikers of een combi natie van de twee opties.This alert detects brute force attacks performed either horizontally with a small set of passwords across many users, vertically with a large set of passwords on just a few users, or any combination of the two options. De waarschuwing is gebaseerd op verificatie gebeurtenissen van Sens oren die op domein controller en AD FS servers worden uitgevoerd.The alert is based on authentication events from sensors running on domain controller and AD FS servers.

TP, B-TP of FPTP, B-TP, or FP

Het is belang rijk om te controleren of aanmeldings pogingen zijn beëindigd met geslaagde verificatie.It is important to check if any login attempts ended with successful authentication.

  1. Als alle aanmeldings pogingen zijn beëindigd, worden de geraden accounts die normaal gesp roken van die bron computer worden gebruikt?If any login attempts ended successfully, are any of the Guessed accounts normally used from that source computer?

    • Is er een kans dat deze accounts zijn mislukt omdat er een onjuist wacht woord is gebruikt?Is there any chance these accounts failed because a wrong password was used?

    • Neem contact op met de gebruiker (s) als ze de activiteit hebben gegenereerd (er is een paar keer niet aangemeld en vervolgens geslaagd).Check with the user(s) if they generated the activity, (failed to login a few times and then succeeded).

      Als het antwoord op de vorige vragen Ja is, sluit u de beveiligings waarschuwing als een B-TP-activiteit.If the answer to the previous questions is yes, Close the security alert as a B-TP activity.

  2. Als er geen geraden accounts zijn, controleert u of een van de aangevallen accounts normaal gesp roken worden gebruikt vanaf de bron computer.If there are no Guessed accounts, check if any of the Attacked accounts are normally used from the source computer.

    • Controleren of er een script wordt uitgevoerd op de bron computer met onjuiste/oude referenties?Check if there is a script running on the source computer with wrong/old credentials?

      Als het antwoord op de vorige vraag Ja is, stopt en bewerkt u het script of verwijdert u het.If the answer to the previous question is yes, stop and edit, or delete the script. Sluit de beveiligings waarschuwing als een B-TP-activiteit.Close the security alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Controleer op de pagina waarschuwing welke gebruikers, indien van toepassing, zijn geraden.On the alert page, check which users, if any, were guessed successfully. Voor elke gebruiker die is geraden, controleert u het profiel om verder te onderzoeken.For each user that was guessed successfully, check their profile to investigate further.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Als Azure Active Directory Identity Protection u de wacht woorden van de gegiste gebruikers opnieuw instelt en MFA inschakelt, kunt u de actie door gebruiker geïnfecteerde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the guessed users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Stel de wacht woorden van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. Het afdwingen van complexe en lange wacht woorden in de organisatie biedt het vereiste eerste niveau van beveiliging tegen toekomstige brute-force aanvallen.Enforce complex and long passwords in the organization, it will provide the necessary first level of security against future brute-force attacks.
  5. Voorkom toekomstig gebruik van het LDAP-protocol voor lees bare tekst in uw organisatie.Prevent future usage of LDAP clear text protocol in your organization.

Verdachte Brute Force-aanval (SMB) (externe ID 2033)Suspected Brute Force attack (SMB) (external ID 2033)

Vorige naam: Ongebruikelijke protocol implementatie (mogelijk gebruik van schadelijke hulpprogram ma's zoals Hydra)Previous name: Unusual protocol implementation (potential use of malicious tools such as Hydra)

BeschrijvingDescription

Aanvallers gebruiken hulpprogram ma's waarmee verschillende protocollen, zoals SMB, Kerberos en NTLM, op niet-standaard manieren worden geïmplementeerd.Attackers use tools that implement various protocols such as SMB, Kerberos, and NTLM in non-standard ways. Hoewel dit type netwerk verkeer zonder waarschuwingen wordt geaccepteerd door Windows, kan Defender voor identiteitDefender for Identity mogelijke schadelijke intentie worden herkend.While this type of network traffic is accepted by Windows without warnings, Defender voor identiteitDefender for Identity is able to recognize potential malicious intent. Het gedrag is indicatief voor de technieken voor felle kracht.The behavior is indicative of brute force techniques.

TP, B-TP of FPTP, B-TP, or FP

  1. Controleer of op de bron computer een aanvals programma wordt uitgevoerd, zoals Hydra.Check if the source computer is running an attack tool such as Hydra.
    1. Als op de bron computer een aanvals programma wordt uitgevoerd, is deze waarschuwing een toolset.If the source computer is running an attack tool, this alert is a TP. Volg de instructies in inzicht in het bereik van de schending.Follow the instructions in Understand the scope of the breach.

Af en toe implementeren toepassingen hun eigen NTLM-of SMB-stack.Occasionally, applications implement their own NTLM or SMB stack.

  1. Controleer of de bron computer een eigen NTLM-of SMB-stack type van de toepassing uitvoert.Check if the source computer is running its own NTLM or SMB stack type of application.
    1. Als de bron computer wordt uitgevoerd met dat type toepassing en deze niet kan worden uitgevoerd, moet u de toepassings configuratie zo nodig herstellen.If the source computer is found running that type of application, and it should not continue to run, fix the application configuration as needed. Sluit de beveiligings waarschuwing als een T-BP- activiteit.Close the security alert as a T-BP activity.
    2. Als de bron computer wordt uitgevoerd met dat type toepassing en deze moet door gaan, sluit u de beveiligings waarschuwing als een B-TP- activiteit en sluit u die computer uit.If the source computer is found running that type of application, and it should continue doing so, Close the security alert as a B-TP activity, and exclude that computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. De bron gebruikeronderzoeken) (als er sprake is van een bron gebruiker).Investigate the source user) (if there is a source user).

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Als Azure Active Directory Identity Protection u de wacht woorden van de gegiste gebruikers opnieuw instelt en MFA inschakelt, kunt u de actie door gebruiker geïnfecteerde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the guessed users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevattenContain the source computer
    1. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    2. Zoeken naar gebruikers die zijn aangemeld rond het tijdstip van de activiteit, omdat deze mogelijk ook worden aangetast.Search for users logged on around the time of the activity, as they may also be compromised.
    3. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Complexe en lange wacht woorden afdwingen in de organisatie.Enforce Complex and long passwords in the organization. Complexe en lange wacht woorden bieden het vereiste eerste niveau van beveiliging tegen toekomstige beveiligings aanvallen.Complex and long passwords provide the necessary first level of security against future brute-force attacks.
  4. SMBv1 uitschakelenDisable SMBv1

Verdachte blootstelling van Kerberos-SPN (externe ID 2410)Suspected Kerberos SPN exposure (external ID 2410)

BeschrijvingDescription

Aanvallers gebruiken hulpprogram ma's voor het inventariseren van service accounts en hun respectieve Spn's (Service Principal Names), het aanvragen van een Kerberos-service ticket voor de services, het vastleggen van de TGS-tickets (ticket granting service) uit het geheugen en het uitpakken van hun hashes en om ze op te slaan voor later gebruik in een offline beveiligings aanval.Attackers use tools to enumerate service accounts and their respective SPNs (Service principal names), request a Kerberos service ticket for the services, capture the Ticket Granting Service (TGS) tickets from memory and extract their hashes, and save them for later use in an offline brute force attack.

Leer periodeLearning period

GeenNone

TP, B-TP of FPTP, B-TP, or FP

  1. Controleer of op de bron computer een aanvals programma wordt uitgevoerd, zoals PowerSploit of Rubeus.Check if the source computer is running an attack tool, such as PowerSploit or Rubeus.
    1. Zo ja, is het een echte positieve waarde.If yes, it is a true positive. Volg de instructies in inzicht in het bereik van de schending.Follow the instructions in Understand the scope of the breach.
    2. Als de bron computer wordt uitgevoerd met dat type toepassing en deze moet door gaan, sluit u de beveiligings waarschuwing als een T-BP-activiteit en sluit u die computer uit.If the source computer is found running that type of application, and it should continue doing so, Close the security alert as a T-BP activity, and exclude that computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de beschik bare accounts.Investigate the exposed accounts. Controleren op schadelijke activiteiten of verdacht gedrag voor deze accounts.Check for malicious activity or suspicious behavior for these accounts.
  2. Onderzoek de bron computer.Investigate the source computer.

HerstelRemediation:

  1. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Stel de wacht woorden van de beschik bare gebruikers opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid voor een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the exposed users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Poging tot misbruik van bevoegdheden voor onbevoegde Netlogon (CVE-2020-1472-exploitatie) (externe ID 2411)Suspected Netlogon privilege elevation attempt (CVE-2020-1472 exploitation) (external ID 2411)

Micro soft heeft het CVE-2020-1472 aangekondigd dat er een nieuw beveiligingslek bestaat waarmee bevoegdheden voor de domein controller kunnen worden verhoogd.Microsoft published CVE-2020-1472 announcing that a new vulnerability exists that allows the elevation of privileges to the domain controller.

Er is sprake van een beveiligingslek met betrekking tot misbruik van bevoegdheden wanneer een aanvaller een kwets bare Netlogon-verbinding met een domein controller tot stand brengt met behulp van het Netlogon Remote protocol (MS-NRPC), ook wel bekend als beveiligingslek met betrekking tot uitbrei ding van bevoegdheden van Netlogon.An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC), also known as Netlogon Elevation of Privilege Vulnerability.

Leer periodeLearning period

GeenNone

TP, B-TP of FPTP, B-TP, or FP

Als de bron computer een domein controller (DC) is, mislukt of minimale zekerheids omzetting kan verhinderen dat Defender voor identiteitDefender for Identity de id kan worden bevestigd.If the source computer is a domain controller (DC), failed or low certainty resolution can prevent Defender voor identiteitDefender for Identity from being able to confirm its identification.

  1. Als de bron computer een domein controller is, sluit u de waarschuwing als een B-TP- activiteit.If the source computer is a domain controller, Close the alert as a B-TP activity.

  2. Als deze bron computer dit type activiteit moet genereren en naar verwachting door gaan met het genereren van dit type activiteit in de toekomst, sluit u de beveiligings waarschuwing als een B-TP- activiteit en sluit u de computer uit om extra goed aardige waarschuwingen te voor komen.If this source computer is supposed to generate this type of activity and is expected to continue generating this type of activity in the future, Close the security alert as a B-TP activity and exclude the computer to avoid additional benign alerts.

Overweeg anders deze waarschuwing een tp en volg de instructies in inzicht in het bereik van de schending.Otherwise, consider this alert a TP and follow the instructions in Understand the scope of the breach.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek bron computer, Controleer op schadelijke scripts of hulpprogram ma's die de verbinding met de domein controller tot stand hebben gebracht.Investigate source computer, check for malicious scripts or tools that made the connection to the DC.

  2. Onderzoek de doel-DC voor verdachte activiteiten die zijn opgetreden nadat het beveiligings probleem is gebruikt.Investigate the destination DC for any suspicious activities that happened after the vulnerability was used.

HerstelRemediation:

  1. Werk al uw computers bij om ervoor te zorgen dat er beveiligings updates worden toegepast.Patch all of your machines making sure to apply security updates.
  2. Bekijk onze richt lijnen voor het beheren van wijzigingen in de beveiligde Secure Channel-verbinding die betrekking hebben op en om dit beveiligingslek te voor komen.Review our guidance on managing changes in Netlogon secure channel connection which relate to and can prevent this vulnerability.
  3. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.

Vermoedt dat de aanval als-REP wordt gebrand (externe ID 2412)Suspected AS-REP Roasting attack (external ID 2412)

Kwaadwillende personen gebruiken hulpprogram ma's voor het detecteren van accounts waarvoor verificatie vooraf is uitgeschakeld en voor het verzenden van aanvragen als een versleuteld tijds tempel.Attackers use tools to detect accounts with their Kerberos preauthentication disabled and send AS-REQ requests without the encrypted timestamp. Als antwoord ze ontvangen als-REP-berichten met TGT-gegevens, die kunnen worden versleuteld met een onbeveiligd algoritme, zoals RC4, en deze opslaan voor later gebruik in een wacht woord voor het kraken van offline wachtwoorden (vergelijkbaar met Kerberoasting) en de referenties voor de Lees bare tekst zichtbaar maken.In response they receive AS-REP messages with TGT data, which may be encrypted with an insecure algorithm such as RC4, and save them for later use in an offline password cracking attack (similar to Kerberoasting) and expose plaintext credentials.

Leer periodeLearning period

GeenNone

TP, B-TP of FPTP, B-TP, or FP

  1. Controleer of op de bron computer een aanvals programma wordt uitgevoerd, zoals PowerSploit of Rubeus.Check if the source computer is running an attack tool, such as PowerSploit or Rubeus.
    1. Zo ja, is het een echte positieve waarde.If yes, it is a true positive. Volg de instructies in inzicht in het bereik van de schending.Follow the instructions in Understand the scope of the breach.
    2. Als de bron computer wordt uitgevoerd met dat type toepassing en deze moet door gaan, sluit u de beveiligings waarschuwing als een T-BP- activiteit en sluit u die computer uit.If the source computer is found running that type of application, and it should continue doing so, Close the security alert as a T-BP activity, and exclude that computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de beschik bare accounts.Investigate the exposed accounts. Controleren op schadelijke activiteiten of verdacht gedrag voor deze accounts.Check for malicious activity or suspicious behavior for these accounts.
  2. Onderzoek de bron computer.Investigate the source computer.

HerstelRemediation:

  1. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Schakel Kerberos-verificatie vooraf in.Enable Kerberos preauthentication. Zie onbeveiligde account kenmerkenvoor meer informatie over de kenmerken van het account en het oplossen ervan.For more information about account attributes and how to remediate them, see Unsecure account attributes.

Vermoede WannaCry Ransomware-aanval (externe ID 2035)Suspected WannaCry ransomware attack (external ID 2035)

Vorige naam: Ongebruikelijke protocol implementatie (mogelijke WannaCry Ransomware-aanval)Previous name: Unusual protocol implementation (potential WannaCry ransomware attack)

BeschrijvingDescription

Aanvallers gebruiken hulpprogram ma's waarmee verschillende protocollen op niet-standaard manieren worden geïmplementeerd.Attackers use tools that implement various protocols in non-standard ways. Hoewel dit type netwerk verkeer zonder waarschuwingen wordt geaccepteerd door Windows, kan Defender voor identiteitDefender for Identity mogelijke schadelijke intentie worden herkend.While this type of network traffic is accepted by Windows without warnings, Defender voor identiteitDefender for Identity is able to recognize potential malicious intent. Het gedrag is indicatief op technieken die worden gebruikt door geavanceerde Ransomware, zoals WannaCry.The behavior is indicative of techniques used by advanced ransomware, such as WannaCry.

TP, B-TP of FPTP, B-TP, or FP

  1. Controleer of WannaCry wordt uitgevoerd op de bron computer.Check if WannaCry is running on the source computer.

    • Als WannaCry wordt uitgevoerd, is deze waarschuwing een toolset.If WannaCry is running, this alert is a TP. Volg de instructies in inzicht in het bereik van de inbreuk hierboven.Follow the instructions in understand the scope of the breach, above.

Af en toe implementeren toepassingen hun eigen NTLM-of SMB-stack.Occasionally, applications implement their own NTLM or SMB stack.

  1. Controleer of de bron computer een eigen NTLM-of SMB-stack type van de toepassing uitvoert.Check if the source computer is running its own NTLM or SMB stack type of application.
    1. Als de bron computer wordt uitgevoerd met dat type toepassing en deze niet kan worden uitgevoerd, moet u de toepassings configuratie zo nodig herstellen.If the source computer is found running that type of application, and it should not continue to run, fix the application configuration as needed. Sluit de beveiligings waarschuwing als een T-BP- activiteit.Close the security alert as a T-BP activity.
    2. Als de bron computer wordt uitgevoerd met dat type toepassing en deze moet door gaan, sluit u de beveiligings waarschuwing als een T-BP- activiteit en sluit u die computer uit.If the source computer is found running that type of application, and it should continue doing so, Close the security alert as a T-BP activity, and exclude that computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Onderzoek de aangetaste gebruiker.Investigate the compromised user.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computer bevatten.Contain the source computer.
    • WannaCry verwijderenRemove WannaCry
    • WanaKiwi kan de gegevens in de handen van bepaalde Ransom-software ontsleutelen, maar alleen als de gebruiker de computer niet opnieuw heeft opgestart of uitgeschakeld.WanaKiwi can decrypt the data in the hands of some ransom software, but only if the user has not restarted or turned off the computer. Zie WannaCry Ransomware voor meer informatie.For more information, see WannaCry Ransomware
    • Zoek naar gebruikers die zijn aangemeld rond het tijdstip van de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the time of the activity, as they might also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Werk al uw machines bij en zorg ervoor dat u beveiligings updates toepast.Patch all of your machines, making sure to apply security updates.

Verdacht gebruik van metasploit Hacking Framework (externe ID 2034)Suspected use of Metasploit hacking framework (external ID 2034)

Vorige naam: Ongebruikelijke protocol implementatie (mogelijk gebruik van metasploit Hacking-hulpprogram ma's)Previous name: Unusual protocol implementation (potential use of Metasploit hacking tools)

BeschrijvingDescription

Aanvallers gebruiken hulpprogram ma's waarmee verschillende protocollen (SMB, Kerberos en NTLM) op niet-standaard manieren worden geïmplementeerd.Attackers use tools that implement various protocols (SMB, Kerberos, NTLM) in non-standard ways. Hoewel dit type netwerk verkeer zonder waarschuwingen wordt geaccepteerd door Windows, kan Defender voor identiteitDefender for Identity mogelijke schadelijke intentie worden herkend.While this type of network traffic is accepted by Windows without warnings, Defender voor identiteitDefender for Identity is able to recognize potential malicious intent. Het gedrag is indicatief voor technieken zoals het gebruik van het metasploit-Hacking-Framework.The behavior is indicative of techniques such as use of the Metasploit hacking framework.

TP, B-TP of FPTP, B-TP, or FP

  1. Controleer of op de bron computer een aanvals programma zoals metasploit of Medusa wordt uitgevoerd.Check if the source computer is running an attack tool such as Metasploit or Medusa.

  2. Zo ja, is het een echte positieve waarde.If yes, it is a true positive. Volg de instructies in inzicht in het bereik van de inbreuk hierboven.Follow the instructions in understand the scope of the breach, above.

Af en toe implementeren toepassingen hun eigen NTLM-of SMB-stack.Occasionally, applications implement their own NTLM or SMB stack.

  1. Controleer of de bron computer een eigen NTLM-of SMB-stack type van de toepassing uitvoert.Check if the source computer is running its own NTLM or SMB stack type of application.
    1. Als de bron computer wordt uitgevoerd met dat type toepassing en deze niet kan worden uitgevoerd, moet u de toepassings configuratie zo nodig herstellen.If the source computer is found running that type of application, and it should not continue to run, fix the application configuration as needed. Sluit de beveiligings waarschuwing als een T-BP- activiteit.Close the security alert as a T-BP activity.
    2. Als de bron computer wordt uitgevoerd met dat type toepassing en deze moet door gaan, sluit u de beveiligings waarschuwing als een T-BP- activiteit en sluit u die computer uit.If the source computer is found running that type of application, and it should continue doing so, Close the security alert as a T-BP activity, and exclude that computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Als er een bron gebruiker is, onderzoekt u de gebruiker.If there is a source user, investigate the user.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Als Azure Active Directory Identity Protection u de wacht woorden van de gegiste gebruikers opnieuw instelt en MFA inschakelt, kunt u de actie door gebruiker geïnfecteerde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the guessed users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
    1. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    2. Zoeken naar gebruikers die zijn aangemeld rond het tijdstip van de activiteit, omdat deze mogelijk ook worden aangetast.Search for users logged on around the time of the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Stel de wacht woorden van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. SMBv1 uitschakelenDisable SMBv1

Verdachte VPN-verbinding (externe ID 2025)Suspicious VPN connection (external ID 2025)

Vorige naam: Verdachte VPN-verbindingPrevious name: Suspicious VPN connection

BeschrijvingDescription

Defender voor identiteitDefender for Identity meer informatie over het gedrag van de entiteit voor gebruikers VPN-verbindingen gedurende een periode van één maand.Defender voor identiteitDefender for Identity learns the entity behavior for users VPN connections over a sliding period of one month.

Het VPN-gedrags model is gebaseerd op de computers waarmee gebruikers zich aanmelden en de locaties waarmee gebruikers verbinding maken.The VPN-behavior model is based on the machines users log in to and the locations the users connect from.

Er wordt een waarschuwing geopend wanneer er sprake is van een afwijking van het gedrag van de gebruiker op basis van een machine learning algoritme.An alert is opened when there is a deviation from the user's behavior based on a machine learning algorithm.

Leer periodeLearning period

30 dagen vanaf de eerste VPN-verbinding en ten minste 5 VPN-verbindingen in de afgelopen 30 dagen per gebruiker.30 days from the first VPN connection, and at least 5 VPN connections in the last 30 days, per user.

TP, B-TP of FPTP, B-TP, or FP

  1. Moet de verdachte gebruiker deze bewerkingen uitvoeren?Is the suspicious user supposed to be performing these operations?
    1. Heeft de gebruiker de locatie onlangs gewijzigd?Did the user recently change their location?
    2. Is de gebruiker onderweg en is er verbinding vanaf een nieuw apparaat?Is the user travelling and connecting from a new device?

Als het antwoord ja is op de bovenstaande vragen, sluit u de beveiligings waarschuwing als een B-TP- activiteit.If the answer is yes to the questions above, Close the security alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Als er een bron gebruiker is, onderzoekt u de gebruiker.If there is a source user, investigate the user.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Stel het wacht woord van de gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie misbruik van de gebruiker bevestigen in de Cloud app Security Portal.Reset the password of the user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Overweeg deze gebruiker te blok keren om verbinding te maken via VPN.Consider blocking this user from connecting using VPN.
  3. Houd er rekening mee dat deze computer geen verbinding kan maken met VPN.Consider blocking this computer from connecting using VPN.
  4. Controleer of er andere gebruikers zijn verbonden via VPN vanaf deze locaties en controleer of er is geknoeid.Check if there are other users connected through VPN from these locations, and check if they are compromised.

Zie ookSee Also