Zelf studie: waarschuwingen over domein dominantieTutorial: Domain dominance alerts

Normaal gesp roken worden Cyber aanvallen gestart op basis van een toegankelijke entiteit, zoals een gebruiker met beperkte rechten, en wordt deze vervolgens later snel verplaatst totdat de aanvaller toegang krijgt tot waardevolle activa.Typically, cyberattacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets. Kost bare activa kunnen gevoelige accounts, domein beheerders of zeer gevoelige gegevens zijn.Valuable assets can be sensitive accounts, domain administrators, or highly sensitive data. Micro soft Defender voor identiteitMicrosoft Defender for Identity identificeert deze geavanceerde dreigingen bij de bron gedurende de hele aanvals keten en classificeert deze in de volgende fasen:Micro soft Defender voor identiteitMicrosoft Defender for Identity identifies these advanced threats at the source throughout the entire attack kill chain and classifies them into the following phases:

  1. ReconnaissanceReconnaissance
  2. Verdachte referentiesCompromised credentials
  3. Laterale bewegingenLateral Movements
  4. DomeindominantieDomain dominance
  5. Exfiltration (Exfiltratie)Exfiltration

Defender voor identiteitDefender for IdentityZie beveiligings waarschuwingen begrijpenvoor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle beveiligings waarschuwingen.To learn more about how to understand the structure, and common components of all Defender voor identiteitDefender for Identity security alerts, see Understanding security alerts. Zie classificaties van beveiligings waarschuwingenvoor informatie over True-positief (TP), goed aardige True-positief (B-TP) en False-positief (FP).For information about True positive (TP), Benign true positive (B-TP), and False positive (FP), see security alert classifications.

De volgende beveiligings waarschuwingen helpen u bij het identificeren en oplossen van verdachte activiteiten in een domein dominantie fase, gedetecteerd door Defender voor identiteitDefender for Identity in uw netwerk.The following security alerts help you identify and remediate Domain dominance phase suspicious activities detected by Defender voor identiteitDefender for Identity in your network. In deze zelf studie leert u hoe u de volgende aanvallen kunt begrijpen, classificeren, voor komen en oplossen:In this tutorial, learn how to understand, classify, prevent, and remediate the following attacks:

  • Kwaad aardige aanvraag van de Data Protection API-hoofd sleutel (externe ID 2020)Malicious request of Data Protection API master key (external ID 2020)
  • Poging tot uitvoering van externe code (externe ID 2019)Remote code execution attempt (external ID 2019)
  • Verdachte DCShadow-aanval (de promotie van de domein controller) (externe ID 2028)Suspected DCShadow attack (domain controller promotion) (external ID 2028)
  • Verdachte DCShadow-aanval (replicatie aanvraag van domein controller) (externe ID 2029)Suspected DCShadow attack (domain controller replication request) (external ID 2029)
  • Verdachte DCSync-aanval (replicatie van Directory Services) (externe ID 2006)Suspected DCSync attack (replication of directory services) (external ID 2006)
  • Verdacht gebruik van Golden-tickets (versleutelings downgrade) (externe ID 2009)Suspected Golden Ticket usage (encryption downgrade) (external ID 2009)
  • Verdacht gebruik van Golden-tickets (vervalste autorisatie gegevens) (externe ID 2013)Suspected Golden Ticket usage (forged authorization data) (external ID 2013)
  • Verdacht gebruik van Golden Ticket (niet-bestaand account) (externe ID 2027)Suspected Golden Ticket usage (nonexistent account) (external ID 2027)
  • Verdacht gebruik van Golden Ticket (ticket anomalie) (externe ID 2032)Suspected Golden Ticket usage (ticket anomaly) (external ID 2032)
  • Verdacht gebruik van het gouden ticket (ticket anomalie met RBCD) (externe ID 2040)Suspected Golden Ticket usage (ticket anomaly using RBCD) (external ID 2040)
  • Verdacht gebruik van Golden-tickets (tijd afwijkingen) (externe ID 2022)Suspected Golden Ticket usage (time anomaly) (external ID 2022)
  • Verdachte skelet sleutel aanval (versleutelings downgrade) (externe ID 2010)Suspected Skeleton Key attack (encryption downgrade) (external ID 2010)
  • Verdachte toevoegingen aan gevoelige groepen (externe ID 2024)Suspicious additions to sensitive groups (external ID 2024)
  • Verdachte service maken (externe ID 2026)Suspicious service creation (external ID 2026)

Kwaad aardige aanvraag van de Data Protection API-hoofd sleutel (externe ID 2020)Malicious request of Data Protection API master key (external ID 2020)

Vorige naam: Aanvraag voor persoonlijke gegevens bescherming van schadelijke gegevensPrevious name: Malicious Data Protection Private Information Request

BeschrijvingDescription

De Data Protection API (DPAPI) wordt door Windows gebruikt om veilig wacht woorden te beveiligen die worden opgeslagen door browsers, versleutelde bestanden en andere gevoelige gegevens.The Data Protection API (DPAPI) is used by Windows to securely protect passwords saved by browsers, encrypted files, and other sensitive data. Domein controllers bevatten een back-uphoofd sleutel die kan worden gebruikt voor het ontsleutelen van alle geheimen die zijn versleuteld met DPAPI op Windows-computers die lid zijn van het domein.Domain controllers hold a backup master key that can be used to decrypt all secrets encrypted with DPAPI on domain-joined Windows machines. Aanvallers kunnen de hoofd sleutel gebruiken voor het ontsleutelen van geheimen die zijn beveiligd door DPAPI op alle computers die lid zijn van het domein.Attackers can use the master key to decrypt any secrets protected by DPAPI on all domain-joined machines. Bij deze detectie wordt een Defender voor identiteitDefender for Identity waarschuwing geactiveerd wanneer de DPAPI wordt gebruikt om de back-uphoofd sleutel op te halen.In this detection, a Defender voor identiteitDefender for Identity alert is triggered when the DPAPI is used to retrieve the backup master key.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FP?TP, B-TP, or FP?

Geavanceerde beveiligings scanners kunnen dit type activiteit legitiem genereren op basis van Active Directory.Advanced security scanners may legitimately generate this type of activity against Active Directory.

  1. Controleren of op de bron computer een geavanceerde beveiligings scanner met een organisatie is goedgekeurd voor Active Directory?Check if the source computer is running an organization-approved advanced security scanner against Active Directory?

    • Als het antwoord Ja is en het niet moet worden uitgevoerd, kunt u de toepassings configuratie herstellen.If the answer is yes, and it should not be running, fix the application configuration. Deze waarschuwing is een B-TP en kan worden gesloten.This alert is a B-TP and can be Closed.
    • Als het antwoord Ja is en u dit altijd moet doen, sluit u de waarschuwing, en sluit u die computer af. Dit is waarschijnlijk een B-TP- activiteit.If the answer is yes, and it should always do this, Close the alert, and exclude that computer, it is probably a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Als er een bron gebruiker bestaat, onderzoeken.If a source user exists, investigate.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. De persoonlijke privé sleutel wordt nooit gewijzigd.The stolen private key is never changed. Dit betekent dat de actor altijd de gestolen sleutel gebruikt voor het ontsleutelen van beveiligde gegevens in het doel domein.Meaning the actor can always use the stolen key to decrypt protected data in the target domain. Een methodologische manier om deze persoonlijke sleutel te wijzigen, bestaat niet.A methodological way to change this private key does not exist.
    • Als u een sleutel wilt maken, gebruikt u de huidige persoonlijke sleutel, maakt u een sleutel en versleutelt u elke domein hoofd sleutel opnieuw met de nieuwe persoonlijke sleutel.To create a key, use the current private key, create a key, and re-encrypt every domain master key with the new private key.

Poging tot uitvoering van externe code (externe ID 2019)Remote code execution attempt (external ID 2019)

Vorige naam: Poging tot uitvoering op afstand van codePrevious name: Remote code execution attempt

BeschrijvingDescription

Aanvallers die beheerders referenties of een zero-day exploit gebruiken, kunnen externe opdrachten uitvoeren op uw domein controller of AD FS server.Attackers who compromise administrative credentials or use a zero-day exploit can execute remote commands on your domain controller or AD FS server. Hiermee kunnen ze permanente toegang krijgen, informatie verzamelen, DoS-aanvallen (Denial of Service) uitvoeren of anderszins opereren.This can be used for gaining persistency, collecting information, denial of service (DOS) attacks or any other reason. Defender voor identiteitDefender for Identity detecteert PSexec-, externe WMI-en Power shell-verbindingen.Defender voor identiteitDefender for Identity detects PSexec, Remote WMI, and PowerShell connections.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Beheer werkstations, IT-team leden en service accounts kunnen alle rechtmatige beheer taken uitvoeren op domein controllers.Administrative workstations, IT team members, and service accounts can all perform legitimate administrative tasks against domain controllers.

  1. Controleer of de bron computer of de gebruiker deze typen opdrachten moet uitvoeren op de domein controller?Check if the source computer or user is supposed to run those types of commands on your domain controller?
    • Als de bron computer of de gebruiker deze typen opdrachten moet uitvoeren, sluit u de beveiligings waarschuwing als een B-TP- activiteit.If the source computer or user is supposed to run those types of commands, Close the security alert as a B-TP activity.
    • Als de bron computer of de gebruiker deze opdrachten moet uitvoeren op de domein controller en er nog steeds wordt uitgevoerd, is dit een B-TP- activiteit.If the source computer or user is supposed to run those commands on your domain controller, and will continue to do so, it is a B-TP activity. Sluit de beveiligings waarschuwing en sluit de computer uit.Close the security alert and exclude the computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer en de gebruiker.Investigate the source computer and user.
  2. Onderzoek de domein controller.Investigate the domain controller.

Voorgestelde herbemiddeling en stappen voor preventie:Suggested remediation and steps for prevention:

HerstelRemediation

  1. Stel het wacht woord van de bron gebruikers opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De domein controllers bevatten:Contain the domain controllers by:
    • Herstel de poging tot externe code uitvoering.Remediate the remote code execution attempt.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de verdachte activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de verdachte activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

PreventiePrevention

  1. Beperk externe toegang voor domeincontrollers vanaf niet-laag 0-computers.Restrict remote access to domain controllers from non-Tier 0 machines.
  2. Implementeer privileged Access.Implement privileged access. het toestaan van alleen verharde computers om verbinding te maken met domein controllers voor beheerders.allowing only hardened machines to connect to domain controllers for admins.
  3. Implementeer minder privilegede toegang op domein computers om bepaalde gebruikers toe te staan om services te maken.Implement less-privileged access on domain machines to allow specific users the right to create services.

Notitie

Waarschuwingen voor het uitvoeren van externe code op pogingen voor het gebruik van Power shell-opdrachten worden alleen ondersteund door Defender voor identiteitDefender for Identity Sens oren.Remote code execution attempt alerts on attempted use of Powershell commands are only supported by Defender voor identiteitDefender for Identity sensors.

Verdachte DCShadow-aanval (de promotie van de domein controller) (externe ID 2028)Suspected DCShadow attack (domain controller promotion) (external ID 2028)

Vorige naam: Verdachte domein controller promotie (mogelijke DCShadow-aanval)Previous name: Suspicious domain controller promotion (potential DCShadow attack)

BeschrijvingDescription

Een DCShadow-aanval (Domain Controller Shadow) is een aanval die is ontworpen om Directory-objecten te wijzigen met behulp van schadelijke replicatie.A domain controller shadow (DCShadow) attack is an attack designed to change directory objects using malicious replication. Deze aanval kan worden uitgevoerd vanaf elke computer door een Rogue-domein controller te maken met behulp van een replicatie proces.This attack can be performed from any machine by creating a rogue domain controller using a replication process.

In een DCShadow-aanval worden RPC en LDAP gebruikt voor het volgende:In a DCShadow attack, RPC, and LDAP are used to:

  1. Registreer het computer account als een domein controller (met behulp van domein beheerders rechten).Register the machine account as a domain controller (using domain admin rights).
  2. Voer replicatie (met behulp van de verleende replicatie rechten) uit via DRSUAPI en verzend wijzigingen naar Directory-objecten.Perform replication (using the granted replication rights) over DRSUAPI and send changes to directory objects.

Bij deze Defender voor identiteitDefender for Identity detectie wordt een beveiligings waarschuwing geactiveerd wanneer een machine in het netwerk zich probeert te registreren als een Rogue-domein controller.In this Defender voor identiteitDefender for Identity detection, a security alert is triggered when a machine in the network tries to register as a rogue domain controller.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Als de bron computer een domein controller is, mislukt of minimale zekerheids omzetting kan verhinderen dat de Defender voor identiteitDefender for Identity identificatie wordt bevestigd.If the source computer is a domain controller, failed or low certainty resolution can prevent Defender voor identiteitDefender for Identity from being able to confirm identification.

  1. Controleren of de bron computer een domein controller is?Check if the source computer is a domain controller? Als het antwoord Ja is, sluit u de waarschuwing als een B-TP- activiteit.If the answer is yes, Close the alert as a B-TP activity.

Wijzigingen in uw Active Directory kunnen tijd kosten om te synchroniseren.Changes in your Active Directory can take time to synchronize.

  1. Is de bron computer een nieuw bevorderde domein controller?Is the source computer a newly promoted domain controller? Als het antwoord Ja is, sluit u de waarschuwing als een B-TP- activiteit.If the answer is yes, Close the alert as a B-TP activity.

Servers en toepassingen kunnen gegevens repliceren van Active Directory, zoals Azure AD Connect of apparaten voor het controleren van netwerk prestaties.Servers and applications might replicate data from Active Directory, such as Azure AD Connect or network performance monitoring devices.

  1. Controleer of deze bron computer dit type activiteit moet genereren?Check if this source computer is supposed to generate this type of activity?

    • Als het antwoord Ja is, maar de bron computer dit type activiteit in de toekomst niet meer kan genereren, moet u de configuratie van de server/toepassing herstellen.If the answer is yes, but the source computer should not continue generating this type of activity in the future, fix the configuration of the server/application. Sluit de beveiligings waarschuwing als een B-TP- activiteit.Close the security alert as a B-TP activity.

    • Als het antwoord Ja is en de bron computer dit type activiteit in de toekomst moet blijven genereren, sluit u de beveiligings waarschuwing als een B-TP- activiteit en sluit u de computer uit om extra goed aardige waarschuwingen te voor komen.If the answer is yes and the source computer should continue generating this type of activity in the future, Close the security alert as a B-TP activity, and exclude the computer to avoid additional benign alerts.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Bekijk de Logboeken om Active Directory gebeurtenissen te zien die worden vastgelegd in het logboek van Directory Services.Look at the Event Viewer to see Active Directory events that it records in the directory services log. U kunt het logboek gebruiken om wijzigingen in Active Directory te bewaken.You can use the log to monitor changes in Active Directory. Standaard worden met Active Directory alleen kritieke fout gebeurtenissen geregistreerd, maar als deze waarschuwing wordt herhaald, schakelt u deze controle op de relevante domein controller in voor verdere onderzoek.By default, Active Directory only records critical error events, but if this alert recurs, enable this audit on the relevant domain controller for further investigation.

Voorgestelde herbemiddeling en stappen voor preventie:Suggested remediation and steps for prevention:

HerstelRemediation:

  1. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

PreventiePrevention:

Valideer de volgende machtigingen:Validate the following permissions:

  1. Wijzigingen in Directory repliceren.Replicate directory changes.
  2. Gerepliceerd Directory-wijzigingen.Replicate directory changes all.
  3. Zie voor meer informatie Active Directory Domain Services machtigingen verlenen voor profiel synchronisatie in share Point Server 2013.For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. U kunt de ad-ACL-scanner gebruiken of een Windows Power shell-script maken om te bepalen wie deze machtigingen heeft in het domein.You can use AD ACL Scanner or create a Windows PowerShell script to determine who has these permissions in the domain.

Notitie

Verdachte problemen met de promotie van een domein controller (mogelijke DCShadow-aanval) worden alleen ondersteund door Defender voor identiteitDefender for Identity Sens oren.Suspicious domain controller promotion (potential DCShadow attack) alerts are supported by Defender voor identiteitDefender for Identity sensors only.

Verdachte DCShadow-aanval (replicatie aanvraag van domein controller) (externe ID 2029)Suspected DCShadow attack (domain controller replication request) (external ID 2029)

Vorige naam: Verdachte replicatie aanvraag (mogelijke DCShadow-aanval)Previous name: Suspicious replication request (potential DCShadow attack)

BeschrijvingDescription

Active Directory replicatie het proces is waarmee wijzigingen die op één domein controller worden aangebracht, worden gesynchroniseerd met andere domein controllers.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with other domain controllers. Met de benodigde machtigingen kunnen aanvallers rechten toekennen voor hun computer account, zodat deze een domein controller kan imiteren.Given necessary permissions, attackers can grant rights for their machine account, allowing them to impersonate a domain controller. Aanvallers richten zich op om een kwaad aardige replicatie aanvraag te initiëren, zodat ze Active Directory objecten op een authentiek domein controller kunnen wijzigen, waardoor de aanvallers in het domein hun persistentie kan krijgen.Attackers strive to initiate a malicious replication request, allowing them to change Active Directory objects on a genuine domain controller, which can give the attackers persistence in the domain. Bij deze detectie wordt een waarschuwing geactiveerd wanneer een verdachte replicatie aanvraag wordt gegenereerd op basis van een authentiek domein controller die wordt beveiligd door Defender voor identiteitDefender for Identity .In this detection, an alert is triggered when a suspicious replication request is generated against a genuine domain controller protected by Defender voor identiteitDefender for Identity. Het gedrag is indicatief aan technieken die worden gebruikt in de schaduw van domein controllers.The behavior is indicative of techniques used in domain controller shadow attacks.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Als de bron computer een domein controller is, is een mislukte of lage zekerheids resolutie voor komen dat er Defender voor identiteitDefender for Identity identificaties worden geïdentificeerd.If the source computer is a domain controller, failed or low certainty resolution can prevent Defender voor identiteitDefender for Identity from identification.

  1. Controleren of de bron computer een domein controller is?Check if the source computer is a domain controller? Als het antwoord Ja is, sluit u de waarschuwing als een B-TP- activiteit.If the answer is yes, Close the alert as a B-TP activity.

Wijzigingen in uw Active Directory kunnen tijd kosten om te synchroniseren.Changes in your Active Directory can take time to synchronize.

  1. Is de bron computer een nieuw bevorderde domein controller?Is the source computer a newly promoted domain controller? Als het antwoord Ja is, sluit u de waarschuwing als een B-TP- activiteit.If the answer is yes, Close the alert as a B-TP activity.

Servers en toepassingen kunnen gegevens repliceren van Active Directory, zoals Azure AD Connect of apparaten voor het controleren van netwerk prestaties.Servers and applications might replicate data from Active Directory, such as Azure AD Connect or network performance monitoring devices.

  1. Zou deze bron computer dit type activiteit moeten genereren?Was this source computer supposed to generate this type of activity?

    • Als het antwoord Ja is, maar de bron computer dit type activiteit in de toekomst niet meer kan genereren, moet u de configuratie van de server/toepassing herstellen.If the answer is yes, but the source computer should not continue generating this type of activity in the future, fix the configuration of the server/application. Sluit de beveiligings waarschuwing als een B-TP- activiteit.Close the security alert as a B-TP activity.

    • Als het antwoord Ja is, en de bron computer de volgende activiteit in de toekomst moet blijven genereren, sluit u de beveiligings waarschuwing als een B-TP- activiteit en sluit u de computer uit om extra B-TP- waarschuwingen te voor komen.If the answer is yes, and the source computer should continue generating this type of activity in the future, Close the security alert as a B-TP activity, and exclude the computer to avoid additional B-TP alerts.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation:

  1. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Herstel de gegevens die op de domein controllers zijn gerepliceerd.Remediate the data that was replicated on the domain controllers.

PreventiePrevention:

Valideer de volgende machtigingen:Validate the following permissions:

  1. Wijzigingen in Directory repliceren.Replicate directory changes.
  2. Gerepliceerd Directory-wijzigingen.Replicate directory changes all.
  3. Zie voor meer informatie Active Directory Domain Services machtigingen verlenen voor profiel synchronisatie in share Point Server 2013.For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. U kunt de ad-ACL-scanner gebruiken of een Windows Power shell-script maken om te bepalen wie in het domein deze machtigingen heeft.You can use AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Notitie

Waarschuwingen voor verdachte replicatie aanvragen (potentiële DCShadow-aanvallen) worden Defender voor identiteitDefender for Identity alleen ondersteund door Sens oren.Suspicious replication request (potential DCShadow attack) alerts are supported by Defender voor identiteitDefender for Identity sensors only.

Verdachte DCSync-aanval (replicatie van Directory Services) (externe ID 2006)Suspected DCSync attack (replication of directory services) (external ID 2006)

Vorige naam: Schadelijke replicatie van Directory ServicesPrevious name: Malicious replication of directory services

BeschrijvingDescription

Active Directory replicatie het proces is waarmee wijzigingen die op één domein controller worden aangebracht, worden gesynchroniseerd met alle andere domein controllers.Active Directory replication is the process by which changes that are made on one domain controller are synchronized with all other domain controllers. Met de benodigde machtigingen kunnen aanvallers een replicatie aanvraag initiëren, zodat de gegevens worden opgehaald die zijn opgeslagen in Active Directory, met inbegrip van wacht woord-hashes.Given necessary permissions, attackers can initiate a replication request, allowing them to retrieve the data stored in Active Directory, including password hashes.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer een replicatie aanvraag wordt gestart vanaf een computer die geen domein controller is.In this detection, an alert is triggered when a replication request is initiated from a computer that is not a domain controller.

Notitie

Als u domein controllers hebt waarop Defender voor identiteitDefender for Identity Sens oren niet zijn geïnstalleerd, vallen deze domein controllers niet onder Defender voor identiteitDefender for Identity .If you have domain controllers on which Defender voor identiteitDefender for Identity sensors are not installed, those domain controllers are not covered by Defender voor identiteitDefender for Identity. Bij het implementeren van een nieuwe domein controller op een niet-geregistreerde of niet-beveiligde domein controller wordt deze mogelijk niet onmiddellijk geïdentificeerd door Defender voor identiteitDefender for Identity als een domein controller.When deploying a new domain controller on an unregistered or unprotected domain controller, it may not immediately be identified by Defender voor identiteitDefender for Identity as a domain controller. Het is raadzaam om de Defender voor identiteitDefender for Identity sensor op elke domein controller te installeren en zo volledige dekking te krijgen.It is highly recommended to install the Defender voor identiteitDefender for Identity sensor on every domain controller to get full coverage.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Als de bron computer een domein controller is, is een mislukte of lage zekerheids resolutie voor komen dat er Defender voor identiteitDefender for Identity identificaties worden geïdentificeerd.If the source computer is a domain controller, failed or low certainty resolution can prevent Defender voor identiteitDefender for Identity from identification.

  1. Controleren of de bron computer een domein controller is?Check if the source computer is a domain controller? Als het antwoord Ja is, sluit u de waarschuwing als een B-TP- activiteit.If the answer is yes, Close the alert as a B-TP activity.

Wijzigingen in uw Active Directory kunnen tijd kosten om te synchroniseren.Changes in your Active Directory can take time to synchronize.

  1. Is de bron computer een nieuw bevorderde domein controller?Is the source computer a newly promoted domain controller? Als het antwoord Ja is, sluit u de waarschuwing als een B-TP- activiteit.If the answer is yes, Close the alert as a B-TP activity.

Servers en toepassingen kunnen gegevens repliceren van Active Directory, zoals Azure AD Connect of apparaten voor het controleren van netwerk prestaties.Servers and applications might replicate data from Active Directory, such as Azure AD Connect or network performance monitoring devices.

  1. Was deze bron computer dit type activiteit zou kunnen genereren?Was this source computer was supposed to generate this type of activity?

    • Als het antwoord Ja is, maar de bron computer dit type activiteit in de toekomst niet moet door lopen, kunt u de configuratie van de server/toepassing herstellen.If the answer is yes, but the source computer should not continue to generate this type of activity in the future, fix the configuration of the server/application. Sluit de beveiligings waarschuwing als een B-TP- activiteit.Close the security alert as a B-TP activity.

    • Als het antwoord Ja is en de bron computer dit type activiteit in de toekomst moet blijven genereren, sluit u de beveiligings waarschuwing als een B-TP- activiteit en sluit u de computer uit om extra goed aardige waarschuwingen te voor komen.If the answer is yes, and the source computer should continue to generate this type of activity in the future, Close the security alert as a B-TP activity, and exclude the computer to avoid additional benign alerts.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer en de gebruiker.Investigate the source computer and user.

Voorgestelde herbemiddeling en stappen voor preventie:Suggested remediation and steps for prevention:

HerstelRemediation:

  1. Stel het wacht woord van de bron gebruikers opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

PreventiePrevention:

Valideer de volgende machtigingen:Validate the following permissions:

  1. Wijzigingen in Directory repliceren.Replicate directory changes.
  2. Gerepliceerd Directory-wijzigingen.Replicate directory changes all.
  3. Zie voor meer informatie Active Directory Domain Services machtigingen verlenen voor profiel synchronisatie in share Point Server 2013.For more information, see Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013. U kunt de ad-ACL-scanner gebruiken of een Windows Power shell-script maken om te bepalen wie in het domein deze machtigingen heeft.You can use AD ACL Scanner or create a Windows PowerShell script to determine who in the domain has these permissions.

Verdacht gebruik van Golden-tickets (versleutelings downgrade) (externe ID 2009)Suspected Golden Ticket usage (encryption downgrade) (external ID 2009)

Vorige naam: Activiteit voor downgrade van versleutelingPrevious name: Encryption downgrade activity

BeschrijvingDescription

Versleutelings downgrade is een methode voor het verzwakken van Kerberos door het versleutelings niveau van verschillende protocol velden te verlagen die normaal gesp roken het hoogste versleuteling niveau hebben.Encryption downgrade is a method of weakening Kerberos by downgrading the encryption level of different protocol fields that normally have the highest level of encryption. Een verzwakt versleuteld veld kan een gemakkelijker doel zijn voor offline brute-pogingen.A weakened encrypted field can be an easier target to offline brute force attempts. Verschillende aanvals methoden gebruiken zwakke Kerberos-versleuteling Cyphers.Various attack methods utilize weak Kerberos encryption cyphers. In deze detectie Defender voor identiteitDefender for Identity leert u de Kerberos-versleutelings typen die door computers en gebruikers worden gebruikt, en wordt u gewaarschuwd wanneer er een zwakkere coderings wordt gebruikt die ongebruikelijk is voor de bron computer en/of gebruiker en die overeenkomt met bekende aanvals technieken.In this detection, Defender voor identiteitDefender for Identity learns the Kerberos encryption types used by computers and users, and alerts you when a weaker cypher is used that is unusual for the source computer and/or user and matches known attack techniques.

In een gouden ticket waarschuwing is de versleutelings methode van het TGT-veld van TGS_REQ-bericht (service aanvraag) van de bron computer gedetecteerd als downgrade vergeleken met het eerder geleerde gedrag.In a Golden Ticket alert, the encryption method of the TGT field of TGS_REQ (service request) message from the source computer was detected as downgraded compared to the previously learned behavior. Dit is niet gebaseerd op een tijd afwijkend (zoals bij de andere gouden ticket detectie).This is not based on a time anomaly (as in the other Golden Ticket detection). In het geval van deze waarschuwing is er bovendien geen Kerberos-verificatie aanvraag gekoppeld aan de vorige service aanvraag, gedetecteerd door Defender voor identiteitDefender for Identity .In addition, in the case of this alert, there was no Kerberos authentication request associated with the previous service request, detected by Defender voor identiteitDefender for Identity.

Leer periodeLearning period

Deze waarschuwing heeft een leer periode van 5 dagen vanaf het begin van de controle van de domein controller.This alert has a learning period of 5 days from the start of domain controller monitoring.

TP, B-TP of FPTP, B-TP, or FP

Sommige legitieme bronnen bieden geen ondersteuning voor sterke coderings cijfers en kunnen deze waarschuwing activeren.Some legitimate resources don't support strong encryption ciphers and may trigger this alert.

  1. Delen alle bronnen van de bron gebruikers een gemeen schappelijke waarde?Do all of the source users share something in common?
    1. Zijn bijvoorbeeld alle mede werkers van uw marketing toegang tot een specifieke resource waardoor de waarschuwing kan worden geactiveerd?For example, are all of your marketing personnel accessing a specific resource that could cause the alert to be triggered?

    2. Controleer de resources die door deze tickets worden gebruikt.Check the resources accessed by those tickets.

      • Controleer dit in Active Directory door het kenmerk msDS-SupportedEncryptionTypes van het resource service-account te controleren.Check this in Active Directory by checking the attribute msDS-SupportedEncryptionTypes, of the resource service account.
    3. Als er slechts één resource wordt geopend, controleert u of het een geldige resource is waartoe deze gebruikers toegang moeten hebben.If there is only one resource being accessed, check if is a valid resource these users are supposed to access.

      Als het antwoord op een van de vorige vragen Ja is, is het waarschijnlijk een T-BP activiteit.If the answer to one of the previous questions is yes, it is likely to be a T-BP activity. Controleer of de bron een sterke coderings codering kan ondersteunen, implementeer waar mogelijk een sterkere versleutelings codering en sluit de beveiligings waarschuwing.Check if the resource can support a strong encryption cipher, implement a stronger encryption cipher where possible, and Close the security alert.

Toepassingen kunnen worden geverifieerd met een lagere versleutelings versleuteling.Applications might authenticate using a lower encryption cipher. Sommige worden geverifieerd namens gebruikers, zoals IIS en SQL-servers.Some are authenticating on behalf of users, such as IIS and SQL servers.

  1. Controleer of de bron gebruikers een gemeen schappelijke waarde hebben.Check if the source users have something in common.

    • Kan al uw verkoop medewerkers bijvoorbeeld een specifieke app gebruiken die de waarschuwing kan activeren?For example, do all of your sales personnel use a specific app that might trigger the alert?
    • Controleer of er toepassingen van dit type zijn op de bron computer.Check if there are applications of this type on the source computer.
    • Controleer de computer rollen.Check the computer roles. Zijn ze servers die werken met deze typen toepassingen?Are they servers that work with these types of applications?

    Als het antwoord op een van de vorige vragen Ja is, is het waarschijnlijk een T-BP activiteit.If the answer to one of the previous questions is yes, it is likely to be a T-BP activity. Controleer of de bron een sterke coderings codering kan ondersteunen, implementeer waar mogelijk een sterkere versleutelings codering en sluit de beveiligings waarschuwing.Check if the resource can support a strong encryption cipher,implement a stronger encryption cipher where possible, and Close the security alert.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer en de resources die zijn geopend.Investigate the source computer and resources that were accessed.
  2. Onderzoek de gebruikers.Investigate the users.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

  2. De bron computer bevatten.Contain the source computer.

    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld rond het tijdstip van de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the time of the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Als micro soft Defender voor het eind punt is geïnstalleerd, gebruikt u klist.exe verwijderen om alle tickets van de opgegeven aanmeldings sessie te verwijderen en voor komen dat tickets worden gebruikt.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  3. De resources bevatten die door dit ticket zijn geopend.Contain the resources that were accessed by this ticket.

  4. Wijzig het wacht woord voor de Kerberos ticket granting ticket (KRBTGT) twee keer volgens de richt lijnen in het krbtgt-account voor wachtwoord herstel dat nu beschikbaar is voor klanten, met behulp van het hulp programma wacht woord/sleutels opnieuw instellenin het krbtgt-account.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.

    • Als u de KRBTGT twee maal opnieuw instelt, worden alle Kerberos-tickets in dit domein ongeldig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Als u alle Kerberos-tickets in het domein ongeldig maakt, worden alle Services verbroken en werken ze niet meer totdat ze zijn vernieuwd of in sommige gevallen wordt de service opnieuw gestart.Invalidating all Kerberos tickets in the domain means all services will be broken and they will not work again until they are renewed or in some cases, the service is restarted.
    • Plan zorgvuldig voordat u de KRBTGT Double reset uitvoert. De KRBTGT Double reset heeft gevolgen voor alle computers, servers en gebruikers in de omgeving.Plan carefully before performing the KRBTGT double reset. The KRBTGT double reset impacts all computers, servers, and users in the environment.
  5. Zorg ervoor dat alle domein controllers met besturings systemen tot Windows Server 2012 R2 zijn geïnstalleerd met KB3011780 en dat alle lidservers en domein controllers tot 2012 R2 up-to-date zijn met KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Zie Microsoft-beveiligingsbulletin MS11-013 en Forged PAC (Engelstalig).For more information, see Silver PAC and Forged PAC.

Verdacht gebruik van Golden-tickets (vervalste autorisatie gegevens) (externe ID 2013)Suspected Golden Ticket usage (forged authorization data) (external ID 2013)

Vorige naam: bevoegdheids escalatie met vervalste autorisatie gegevensPrevious name: Privilege escalation using forged authorization data

BeschrijvingDescription

Door bekende beveiligings problemen in oudere versies van Windows Server kunnen aanvallers het privileged Attribute Certificate (PAC) manipuleren, een veld in het Kerberos-ticket dat een gebruikers autorisatie gegevens bevat (in Active Directory dit is groepslid maatschap), aanvallers extra bevoegdheden verlenen.Known vulnerabilities in older versions of Windows Server allow attackers to manipulate the Privileged Attribute Certificate (PAC), a field in the Kerberos ticket that contains a user authorization data (in Active Directory this is group membership), granting attackers additional privileges.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Voor computers waarop een patch wordt uitgevoerd met MS14-068 (Domain Controller) of MS11-013 (Server), mislukt de aanval en wordt er een Kerberos-fout gegenereerd.For computers that are patched with MS14-068 (domain controller) or MS11-013 (server) attempted attacks will not succeed, and will generate Kerberos error.

  1. Controleer welke resources zijn gebruikt in de lijst met beveiligings waarschuwingen en of de pogingen zijn geslaagd of mislukt.Check which resources were accessed in the security alert evidence list, and if the attempts were successful or failed.
  2. Controleer of de geopende computers zijn geïnstalleerd, zoals hierboven is beschreven?Check if the accessed computers were patched, as described above?
    • Als de computers zijn geïnstalleerd, sluit u de beveiligings waarschuwing als een B-TP- activiteit.If the computers were patched, Close the security alert as a B-TP activity.

Sommige besturings systemen of toepassingen zijn bekend als het wijzigen van de autorisatie gegevens.Some Operating Systems or applications are known to modify the authorization data. Linux-en UNIX-Services hebben bijvoorbeeld hun eigen autorisatie mechanisme waarmee de waarschuwing kan worden geactiveerd.For example, Linux and Unix services have their own authorization mechanism which may trigger the alert.

  1. Wordt op de bron computer een besturings systeem of toepassing uitgevoerd die een eigen autorisatie mechanisme heeft?Is the source computer running an OS or application that has its own authorization mechanism?
    • Als op de bron computer dit type autorisatie mechanisme wordt uitgevoerd, kunt u overwegen om het besturings systeem bij te werken of de configuratie van de toepassing te herstellen.If the source computer is running this type of authorization mechanism, consider upgrading the OS or fixing the application configuration. Sluit de waarschuwing als een B-TP- activiteit.Close the alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Als er een bron gebruikeris, onderzoekt u.If there is a source user, investigate.
  3. Controleer welke resources zijn geopend en onderzoek.Check which resources were accessed successfully and investigate.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevattenContain the source computer
    • Zoek het hulp programma dat de aanval voordoet en verwijder het.Find the tool that preformed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Wijzig het wacht woord voor de Kerberos ticket granting ticket (KRBTGT) twee keer volgens de richt lijnen in het krbtgt-account voor wachtwoord herstel dat nu beschikbaar is voor klanten, met behulp van het hulp programma wacht woord/sleutels opnieuw instellenin het krbtgt-account.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.
    • Als u de KRBTGT twee maal opnieuw instelt, worden alle Kerberos-tickets in dit domein ongeldig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Als u alle Kerberos-tickets in het domein ongeldig maakt, worden alle Services verbroken en werken ze niet meer totdat ze zijn vernieuwd of in sommige gevallen wordt de service opnieuw gestart.Invalidating all Kerberos tickets in the domain means all services will be broken and they will not work again until they are renewed or in some cases, the service is restarted. Plan zorgvuldig voordat u de KRBTGT Double reset uitvoert, omdat dit van invloed is op alle computers, servers en gebruikers in de omgeving.Plan carefully before performing the KRBTGT double reset, because it impacts all computers, servers and users in the environment.
  4. Zorg ervoor dat alle domein controllers met besturings systemen tot Windows Server 2012 R2 zijn geïnstalleerd met KB3011780 en dat alle lidservers en domein controllers tot 2012 R2 up-to-date zijn met KB2496930.Make sure all domain controllers with operating systems up to Windows Server 2012 R2 are installed with KB3011780 and all member servers and domain controllers up to 2012 R2 are up-to-date with KB2496930. Zie Microsoft-beveiligingsbulletin MS11-013 en Forged PAC (Engelstalig).For more information, see Silver PAC and Forged PAC.

Verdacht gebruik van Golden Ticket (niet-bestaand account) (externe ID 2027)Suspected Golden Ticket usage (nonexistent account) (external ID 2027)

Vorige naam: Kerberos Golden TicketPrevious name: Kerberos golden ticket

BeschrijvingDescription

Aanvallers met domein beheerders rechten kunnen het KRBTGT-account misbruiken.Attackers with domain admin rights can compromise the KRBTGT account. Met behulp van het KRBTGT-account kunnen ze een Kerberos ticket granting ticket (TGT) maken die een autorisatie voor een resource biedt en de verloop tijd van het ticket instellen op wille keurige tijdstippen.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Deze valse TGT wordt een ' gouden ticket ' genoemd en stelt aanvallers in staat om netwerk persistentie te bezorgen.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. In deze detectie wordt een waarschuwing geactiveerd door een niet-bestaand account.In this detection, an alert is triggered by a nonexistent account.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Wijzigingen in Active Directory kunnen tijd kosten om te synchroniseren.Changes in Active Directory can take time to synchronize.

  1. Is de gebruiker een bekende en geldige domein gebruiker?Is the user a known and valid domain user?
  2. Is de gebruiker onlangs toegevoegd?Has the user been recently added?
  3. Is de gebruiker onlangs verwijderd uit Active Directory?Was the user been recently deleted from Active Directory?

Als het antwoord Ja is op alle voor gaande vragen, sluit u de waarschuwing als een B-TP- activiteit.If the answer is yes to all of the previous questions, Close the alert, as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer en de toegang tot resources.Investigate the source computer and accessed resources.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computers bevattenContain the source computers
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Als micro soft Defender voor het eind punt is geïnstalleerd, gebruikt u klist.exe verwijderen om alle tickets van de opgegeven aanmeldings sessie te verwijderen en voor komen dat tickets worden gebruikt.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  2. De resources bevatten die door dit ticket zijn geopend.Contain the resources that were accessed by this ticket.
  3. Wijzig het wacht woord voor de Kerberos ticket granting ticket (KRBTGT) twee keer volgens de richt lijnen in het krbtgt-account voor wachtwoord herstel dat nu beschikbaar is voor klanten, met behulp van het hulp programma wacht woord/sleutels opnieuw instellenin het krbtgt-account.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.
    • Als u de KRBTGT twee maal opnieuw instelt, worden alle Kerberos-tickets in dit domein ongeldig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Als u alle Kerberos-tickets in het domein ongeldig maakt, worden alle Services verbroken en werken ze niet meer totdat ze zijn vernieuwd of in sommige gevallen wordt de service opnieuw gestart.Invalidating all Kerberos tickets in the domain means all services will be broken and they will not work again until they are renewed or in some cases, the service is restarted. Plan zorgvuldig voordat u de KRBTGT Double reset uitvoert, omdat dit van invloed is op alle computers, servers en gebruikers in de omgeving.Plan carefully before performing the KRBTGT double reset, because it impacts all computers, servers and users in the environment.

Verdacht gebruik van Golden Ticket (ticket anomalie) (externe ID 2032)Suspected Golden Ticket usage (ticket anomaly) (external ID 2032)

BeschrijvingDescription

Aanvallers met domein beheerders rechten kunnen het KRBTGT-account misbruiken.Attackers with domain admin rights can compromise the KRBTGT account. Met behulp van het KRBTGT-account kunnen ze een Kerberos ticket granting ticket (TGT) maken die een autorisatie voor een resource biedt en de verloop tijd van het ticket instellen op wille keurige tijdstippen.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Deze valse TGT wordt een ' gouden ticket ' genoemd en stelt aanvallers in staat om netwerk persistentie te bezorgen.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. Vervalste Golden-tickets van dit type hebben unieke kenmerken die deze detectie specifiek is ontworpen om te identificeren.Forged Golden Tickets of this type have unique characteristics this detection is specifically designed to identify.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Federation Services kunnen tickets genereren waarmee deze waarschuwing wordt geactiveerd.Federation services might generate tickets that will trigger this alert.

  1. Hosten de bron computer Federatie services die deze typen tickets genereren?Does the source computer host Federation services that generate these types of tickets?
    • Als de bron computer services host die deze typen tickets genereren, sluit u de beveiligings waarschuwing als een B-TP- activiteit.If the source computer hosts services that generate these types of tickets, Close the security alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer en de toegang tot resources.Investigate the source computer and accessed resources.
  2. Onderzoek de bron gebruiker.Investigate the source user.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computers bevattenContain the source computers

    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Als micro soft Defender voor het eind punt is geïnstalleerd, gebruikt u klist.exe verwijderen om alle tickets van de opgegeven aanmeldings sessie te verwijderen en voor komen dat tickets worden gebruikt.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  2. De resources bevatten die door dit ticket zijn geopend.Contain the resources that were accessed by this ticket.

  3. Wijzig het wacht woord voor de Kerberos ticket granting ticket (KRBTGT) twee keer volgens de richt lijnen in het krbtgt-account voor wachtwoord herstel dat nu beschikbaar is voor klanten, met behulp van het hulp programma wacht woord/sleutels opnieuw instellenin het krbtgt-account.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.

    • Als u de KRBTGT twee maal opnieuw instelt, worden alle Kerberos-tickets in dit domein ongeldig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Als u alle Kerberos-tickets in het domein ongeldig maakt, worden alle Services verbroken en kunnen ze niet meer werken tot ze zijn vernieuwd of in sommige gevallen wordt de service opnieuw gestart.Invalidating all Kerberos tickets in the domain means all services are broken and cannot work again until renewed or in some cases, the service is restarted.

    Plan zorgvuldig voordat u een KRBTGT-waarde voor dubbel opnieuw instellen uitvoert. De reset heeft gevolgen voor alle computers, servers en gebruikers in de omgeving.Plan carefully before performing a KRBTGT double reset. The reset impacts all computers, servers, and users in the environment.

Verdacht gebruik van het gouden ticket (ticket anomalie met RBCD) (externe ID 2040)Suspected Golden Ticket usage (ticket anomaly using RBCD) (external ID 2040)

BeschrijvingDescription

Aanvallers met domein beheerders rechten kunnen het KRBTGT-account misbruiken.Attackers with domain admin rights can compromise the KRBTGT account. Met behulp van het KRBTGT-account kunnen ze een Kerberos ticket granting ticket (TGT) maken die autorisatie voor alle bronnen biedt.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource. Deze valse TGT wordt een ' gouden ticket ' genoemd en stelt aanvallers in staat om netwerk persistentie te bezorgen.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. In deze detectie wordt de waarschuwing geactiveerd door een Golden-Ticket dat is gemaakt met behulp van de RBCD-machtigingen op basis van een bron (met het KRBTGT-account voor account (user\computer) met de SPN-waarde).In this detection, the alert is triggered by a golden ticket that was created by setting Resource Based Constrained Delegation (RBCD) permissions using the KRBTGT account for account (user\computer) with SPN.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

  1. Federation Services kunnen tickets genereren waarmee deze waarschuwing wordt geactiveerd.Federation services might generate tickets that will trigger this alert. Hosten de bron computer dergelijke services?Does the source computer host such services?
    • Zo ja, sluit u de beveiligings waarschuwing als een B-TPIf yes, Close the security alert as a B-TP
  2. Bekijk de profiel pagina van de bron gebruiker en controleer wat er is gebeurd rond het tijdstip van de activiteit.View the source user's profile page and check what happened around the time of the activity.
    1. Moet de gebruiker toegang hebben tot deze resource?Is the user supposed to have access to this resource?
    2. Verwacht de principal toegang tot die service?Is the principal expected to access that service?
    3. Moeten alle gebruikers die zijn aangemeld bij de computer worden aangemeld?Are all the users who were logged into the computer supposed to be logged into it?
    4. Zijn de juiste bevoegdheden voor het account?Are the privileges appropriate for the account?
  3. Moeten de gebruikers die zijn aangemeld toegang hebben tot deze bronnen?Should the users who were logged in have access to these resources?
    • Als u micro soft Defender voor endpoint Integration hebt ingeschakeld, klikt u op het pictogram ervan om verder te onderzoeken.If you enabled Microsoft Defender for Endpoint integration, click on its icon to further investigate.

Als het antwoord op een van de vorige vragen ja is, sluit u de beveiligings waarschuwing als een FP.If the answer to any of the previous questions is yes, Close the security alert as a FP.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer en de resources die zijn geopend.Investigate the source computer and resources that were accessed.
  2. Onderzoek de gebruikers.Investigate the users.

Voorgestelde herbemiddeling en stappen voor preventie:Suggested remediation and steps for prevention:

  1. Volg de instructies in de beveiligings beoordeling voor onbeveiligde Kerberos-delegering .Follow the instructions in the unsecure Kerberos delegation security assessment.
  2. Controleer de gevoelige gebruikers die worden vermeld in de waarschuwing en verwijder ze uit de resource.Review the sensitive users listed in the alert and remove them from the resource.
  3. Wijzig het wacht woord voor de Kerberos ticket granting ticket (KRBTGT) twee keer volgens de richt lijnen in het krbtgt-account voor wachtwoord herstel dat nu beschikbaar is voor klanten, met behulp van het hulp programma wacht woord/sleutels opnieuw instellenin het krbtgt-account.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool. Als u de KRBTGT twee maal opnieuw instelt, worden alle Kerberos-tickets in dit domein eerst ongeldig gemaakt voordat u dit doet.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain so plan before doing so. Omdat het maken van een Golden-Ticket echter domein beheerders rechten vereist, implementeert u de hash -aanbevelingen.Also, because creating a Golden Ticket requires domain admin rights, implement Pass the hash recommendations.

Verdacht gebruik van Golden-tickets (tijd afwijkingen) (externe ID 2022)Suspected Golden Ticket usage (time anomaly) (external ID 2022)

Vorige naam: Kerberos Golden TicketPrevious name: Kerberos golden ticket

BeschrijvingDescription

Aanvallers met domein beheerders rechten kunnen het KRBTGT-account misbruiken.Attackers with domain admin rights can compromise the KRBTGT account. Met behulp van het KRBTGT-account kunnen ze een Kerberos ticket granting ticket (TGT) maken die een autorisatie voor een resource biedt en de verloop tijd van het ticket instellen op wille keurige tijdstippen.Using the KRBTGT account, they can create a Kerberos ticket granting ticket (TGT) that provides authorization to any resource and set the ticket expiration to any arbitrary time. Deze valse TGT wordt een ' gouden ticket ' genoemd en stelt aanvallers in staat om netwerk persistentie te bezorgen.This fake TGT is called a "Golden Ticket" and allows attackers to achieve network persistence. Deze waarschuwing wordt geactiveerd wanneer een Kerberos ticket granting ticket wordt gebruikt voor meer dan de toegestane tijd, zoals opgegeven in de maximale levens duur van gebruikers ticket.This alert is triggered when a Kerberos ticket granting ticket is used for more than the allowed time permitted, as specified in the Maximum lifetime for user ticket.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

  1. Was er in de afgelopen paar uur wijzigingen aangebracht in de instelling maximale levens duur voor gebruikers ticket van groeps beleid. Dit kan van invloed zijn op de waarschuwing?In the last few hours, was there any change made to the Maximum lifetime for user ticket setting in group policy, that might affect the alert?
  2. Is de Defender voor identiteitDefender for Identity zelfstandige sensor die bij deze waarschuwing betrokken is een virtuele machine?Is the Defender voor identiteitDefender for Identity Standalone Sensor involved in this alert a virtual machine?
    • Als de Defender voor identiteitDefender for Identity zelfstandige sensor betrokken is, werd deze onlangs vanuit een opgeslagen status hervat?If the Defender voor identiteitDefender for Identity standalone sensor is involved, was it recently resumed from a saved state?
  3. Is er een probleem met de tijd synchronisatie in het netwerk, waarbij niet alle computers zijn gesynchroniseerd?Is there a time synchronization problem in the network, where not all of the computers are synchronized?
    • Klik op de knop Details downloaden om het Excel-bestand met het beveiligings waarschuwings rapport weer te geven, de gerelateerde netwerk activiteiten weer te geven en te controleren of er een verschil is tussen ' StartTime ' en ' DomainControllerStartTime '.Click the Download details button to view the Security Alert report Excel file, view the related network activities, and check if there is a difference between "StartTime" and "DomainControllerStartTime".

Als het antwoord op de vorige vragen Ja is, sluit u de beveiligings waarschuwing als een B-TP- activiteit.If the answer to the previous questions is yes, Close the security alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer en de toegang tot resources.Investigate the source computer and accessed resources.
  2. Onderzoek de aangetaste gebruiker.Investigate the compromised user.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computer bevatten.Contain the source computer.

    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Als micro soft Defender voor het eind punt is geïnstalleerd, gebruikt u klist.exe verwijderen om alle tickets van de opgegeven aanmeldings sessie te verwijderen en voor komen dat tickets worden gebruikt.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.
  2. De bronnen die door dit ticket worden gebruikt, bevatten.Contain the resources accessed by this ticket.

  3. Wijzig het wacht woord voor de Kerberos ticket granting ticket (KRBTGT) twee keer volgens de richt lijnen in het krbtgt-account voor wachtwoord herstel dat nu beschikbaar is voor klanten, met behulp van het hulp programma wacht woord/sleutels opnieuw instellenin het krbtgt-account.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.

    • Als u de KRBTGT twee maal opnieuw instelt, worden alle Kerberos-tickets in dit domein ongeldig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Het ongeldig maken van alle Kerberos-tickets in het domein betekent dat alle services worden verbroken en niet meer werken totdat ze zijn vernieuwd of in sommige gevallen de service opnieuw wordt gestart.Invalidating all Kerberos tickets in the domain means all services are broken, and won't work again until they are renewed or in some cases, the service is restarted.

    Plan zorgvuldig voordat u een KRBTGT-waarde voor dubbel opnieuw instellen uitvoert. De reset heeft gevolgen voor alle computers, servers en gebruikers in de omgeving.Plan carefully before performing a KRBTGT double reset. The reset impacts all computers, servers, and users in the environment.

Verdachte skelet sleutel aanval (versleutelings downgrade) (externe ID 2010)Suspected skeleton key attack (encryption downgrade) (external ID 2010)

Vorige naam: Activiteit voor downgrade van versleutelingPrevious name: Encryption downgrade activity

BeschrijvingDescription

Versleutelings downgrade is een methode om Kerberos te verzwakken met een gedowngraded versleutelings niveau voor verschillende velden van het protocol die normaal gesp roken het hoogste niveau van versleuteling hebben.Encryption downgrade is a method of weakening Kerberos using a downgraded encryption level for different fields of the protocol that normally have the highest level of encryption. Een verzwakt versleuteld veld kan een gemakkelijker doel zijn voor offline brute-pogingen.A weakened encrypted field can be an easier target to offline brute force attempts. Verschillende aanvals methoden gebruiken zwakke Kerberos-versleuteling Cyphers.Various attack methods utilize weak Kerberos encryption cyphers. In deze detectie Defender voor identiteitDefender for Identity vindt u informatie over de Kerberos-versleutelings typen die door computers en gebruikers worden gebruikt.In this detection, Defender voor identiteitDefender for Identity learns the Kerberos encryption types used by computers and users. De waarschuwing wordt gegeven wanneer een zwakkere coderings wordt gebruikt die ongebruikelijk is voor de bron computer en/of gebruiker en die overeenkomt met bekende aanvals technieken.The alert is issued when a weaker cypher is used that is unusual for the source computer, and/or user, and matches known attack techniques.

Een skelet sleutel is schadelijke software die wordt uitgevoerd op domein controllers en die verificatie toestaat aan het domein met een wille keurig account zonder het wacht woord.Skeleton Key is malware that runs on domain controllers and allows authentication to the domain with any account without knowing its password. Deze malware maakt vaak gebruik van zwakkere versleutelings algoritmen om de wacht woorden van de gebruiker op de domein controller te hashen.This malware often uses weaker encryption algorithms to hash the user's passwords on the domain controller. In deze waarschuwing is het geleerde gedrag van de vorige KRB_ERR bericht versleuteling van de domein controller naar het account dat een ticket aanvraagde, Downgraded.In this alert, the learned behavior of previous KRB_ERR message encryption from domain controller to the account requesting a ticket, was downgraded.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de domein controller.Investigate the domain controller.
  2. Controleer of de basis sleutel uw domein controllers heeft beïnvloed door gebruik te maken van de scanner die door het Defender voor identiteitDefender for Identity team is geschreven.Check if Skeleton Key has affected your domain controllers by using the scanner written by the Defender voor identiteitDefender for Identity team.
  3. Onderzoek de betrokken gebruikers en computers .Investigate the users and computers involved.

Voorgestelde herstel-en preventieve stappenSuggested remediation and prevention steps

  1. Als u de wacht woorden van de gebruikers die Azure Active Directory Identity Protection zijn aangetast opnieuw instelt en MFA inschakelt, kunt u de actie door gebruiker geïnfecteerde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the compromised users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De domein controller bevatten.Contain the domain controller.
    • Verwijder de malware.Remove the malware. Zie voor meer informatie analyse van skelet sleutel malware.For more information, see Skeleton Key Malware Analysis.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de verdachte activiteit heeft plaatsgevonden, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the suspicious activity occurred, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Verdachte toevoegingen aan gevoelige groepen (externe ID 2024)Suspicious additions to sensitive groups (external ID 2024)

BeschrijvingDescription

Aanvallers voegen gebruikers toe aan groepen met hoge bevoegdheden.Attackers add users to highly privileged groups. Het toevoegen van gebruikers wordt uitgevoerd om toegang te krijgen tot meer bronnen en opereren te krijgen.Adding users is done to gain access to more resources, and gain persistency. Deze detectie is afhankelijk van het profileren van de groeps wijzigings activiteiten van gebruikers en het waarschuwen wanneer een abnormale toevoeging aan een gevoelige groep wordt weer gegeven.This detection relies on profiling the group modification activities of users, and alerting when an abnormal addition to a sensitive group is seen. Defender voor identiteitDefender for Identity profielen continu.Defender voor identiteitDefender for Identity profiles continuously.

Defender voor identiteitDefender for IdentityZie werken met de gevoelige accountsvoor een definitie van gevoelige groepen in.For a definition of sensitive groups in Defender voor identiteitDefender for Identity, see Working with the sensitive accounts.

De detectie is afhankelijk van gebeurtenissen die worden gecontroleerd op domein controllers.The detection relies on events audited on domain controllers. Zorg ervoor dat uw domein controllers de benodigde gebeurtenissen controleren.Make sure your domain controllers are auditing the events needed.

Leer periodeLearning period

Vier weken per domein controller, vanaf de eerste gebeurtenis.Four weeks per domain controller, starting from the first event.

TP, B-TP of FPTP, B-TP, or FP

Rechtmatige groeps wijzigingen die zelden voor komen en het systeem niet meer heeft gezien als ' normaal ', kunnen een waarschuwing activeren.Legitimate group modifications that occur rarely and the system didn't learn as "normal", may trigger an alert. Deze waarschuwingen worden beschouwd als B-TP.These alerts would be considered B-TP.

  1. Is de groeps wijziging legitiem?Is the group modification legitimate?
    • Als de groeps wijziging geldig is, sluit u de beveiligings waarschuwing als een B-TP- activiteit.If the group modification is legitimate, Close the security alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de gebruikers die zijn toegevoegd aan groepen.Investigate the users added to groups.
    • Focus op hun activiteiten nadat ze zijn toegevoegd aan de gevoelige groepen.Focus on their activities after they were added to the sensitive groups.
  2. Onderzoek de bron gebruiker.Investigate the source user.
    • Down load het rapport voor het wijzigen van de gevoelige groep om te zien welke andere wijzigingen er in dezelfde periode zijn aangebracht.Download the Sensitive Group Modification report to see what other modifications were made an who made them in the same time period.
  3. Onderzoek de computers waarop de bron gebruiker is aangemeld, rond de tijd van de activiteit.Investigate the computers the source user was logged into, around the time of the activity.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation:

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
    • Zoek naar de computer waarop de bron gebruiker actief was.Look for the computer the source user was active on.
    • Controleer op welke computers de gebruiker is aangemeld op hetzelfde moment als de activiteit.Check which computers the user was logged into around the same time as the activity. Controleer of er is geknoeid met deze computers.Check if these computers are compromised.
    • Als de gebruikers zijn aangetast, hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.If the users are compromised, reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

PreventiePrevention:

  1. Om toekomstige aanvallen te voor komen, minimaliseert u het aantal gebruikers dat is gemachtigd om gevoelige groepen te wijzigen.To help prevent future attacks, minimize the number of users authorized to modify sensitive groups.
  2. Stel Privileged Access Management voor Active Directory in, indien van toepassing.Set up Privileged Access Management for Active Directory if applicable.

Verdachte service maken (externe ID 2026)Suspicious service creation (external ID 2026)

Vorige naam: Verdachte service makenPrevious name: Suspicious service creation

BeschrijvingDescription

Er is een verdachte service gemaakt op een domein controller of AD FS server in uw organisatie.A suspicious service has been created on a domain controller or AD FS server in your organization. Deze waarschuwing is afhankelijk van gebeurtenis 7045 om deze verdachte activiteit te identificeren.This alert relies on event 7045 to identify this suspicious activity.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Sommige beheer taken worden legitiem uitgevoerd op domein controllers door beheer werkstations, IT-team leden en service accounts.Some administrative tasks are legitimately performed against domain controllers by administrative workstations, IT team members, and service accounts.

  1. Moet de bron gebruiker/computer deze typen services op de domein controller uitvoeren?Is the source user/computer supposed to run these types of services on the domain controller?
    • Als de bron gebruiker of computer deze typen services moet uitvoeren en de waarschuwing niet kan worden voortgezet, sluit u de melding als een B-TP- activiteit.If the source user or computer is supposed to run these types of services, and should not continue to, Close the alert as a B-TP activity.
    • Als de bron gebruiker of computer van deze typen services moet worden uitgevoerd, sluit u de beveiligings waarschuwing als een B-TP- activiteit en sluit u die computer uit.If the source user or computer is supposed to run these types of services, and should continue to, Close the security alert as a B-TP activity, and exclude that computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron gebruiker.Investigate the source user.
  2. Onderzoek de doel computers waarop de services zijn gemaakt.Investigate the destination computers the services were created on.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De domein controllers bevatten.Contain the domain controllers.
    • De verdachte service herstellen.Remediate the suspicious service.
    • Zoek naar gebruikers die zijn aangemeld rond het tijdstip van de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the time of the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Zoek de computer waarop de bron gebruiker actief was.Locate the computer the source user was active on.
    • Controleer de computers waarop de gebruiker is aangemeld op hetzelfde moment als de activiteit en controleer of deze computers ook zijn aangetast.Check the computers the user was logged into around the same time as the activity, and check if these computers are also compromised.

PreventiePrevention:

  1. Beperk externe toegang voor domeincontrollers vanaf niet-laag 0-computers.Restrict remote access to domain controllers from non-Tier 0 machines.
  2. Implementeer uitgebreide toegang zodat alleen beveiligde computers verbinding kunnen maken met domein controllers voor beheerders.Implement privileged access to allow only hardened machines to connect to domain controllers for administrators.
  3. Implementeer minder privilegede toegang op domein computers om alleen bepaalde gebruikers het recht te geven om services te maken.Implement less-privileged access on domain machines to give only specific users the right to create services.

Zie ookSee Also