Zelf studie: exfiltration-waarschuwingenTutorial: Exfiltration alerts

Normaal gesp roken worden Cyber aanvallen gestart op basis van een toegankelijke entiteit, zoals een gebruiker met beperkte rechten, en wordt deze vervolgens later snel verplaatst totdat de aanvaller toegang krijgt tot waardevolle activa.Typically, cyberattacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets. Kost bare activa kunnen gevoelige accounts, domein beheerders of zeer gevoelige gegevens zijn.Valuable assets can be sensitive accounts, domain administrators, or highly sensitive data. Micro soft Defender voor identiteitMicrosoft Defender for Identity identificeert deze geavanceerde dreigingen bij de bron gedurende de hele aanvals keten en classificeert deze in de volgende fasen:Micro soft Defender voor identiteitMicrosoft Defender for Identity identifies these advanced threats at the source throughout the entire attack kill chain and classifies them into the following phases:

  1. ReconnaissanceReconnaissance
  2. Verdachte referentiesCompromised credentials
  3. Laterale bewegingenLateral Movements
  4. DomeindominantieDomain dominance
  5. Exfiltration (Exfiltratie)Exfiltration

Defender voor identiteitDefender for IdentityZie beveiligings waarschuwingen begrijpenvoor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle beveiligings waarschuwingen.To learn more about how to understand the structure, and common components of all Defender voor identiteitDefender for Identity security alerts, see Understanding security alerts. Zie classificaties van beveiligings waarschuwingenvoor informatie over True-positief (TP), goed aardige True-positief (B-TP) en False-positief (FP).For information about True positive (TP), Benign true positive (B-TP), and False positive (FP), see security alert classifications.

De volgende beveiligings waarschuwingen helpen u bij het identificeren en oplossen van verdachte activiteiten in exfiltration -fase gedetecteerd door Defender voor identiteitDefender for Identity in uw netwerk.The following security alerts help you identify and remediate Exfiltration phase suspicious activities detected by Defender voor identiteitDefender for Identity in your network. In deze zelf studie leert u hoe u de volgende aanvallen kunt begrijpen, classificeren, voor komen en oplossen:In this tutorial, learn to understand, classify, prevent, and remediate the following attacks:

  • Data exfiltration via SMB (externe ID 2030)Data exfiltration over SMB (external ID 2030)
  • Verdachte communicatie via DNS (externe ID 2031)Suspicious communication over DNS (external ID 2031)

Data exfiltration via SMB (externe ID 2030)Data exfiltration over SMB (external ID 2030)

BeschrijvingDescription

Domein controllers bevatten de meest gevoelige gegevens van de organisatie.Domain controllers hold the most sensitive organizational data. Voor de meeste aanvallers is een van de belangrijkste prioriteiten het verkrijgen van toegang tot domein controllers, om uw meest gevoelige gegevens te stelen.For most attackers, one of their top priorities is to gain domain controller access, to steal your most sensitive data. Een voor beeld: exfiltration van het bestand Ntds. dit, opgeslagen op de domein controller, kan een aanvaller met Kerberos ticket granting tickets (TGT) toestemming geven voor elke bron.For example, exfiltration of the Ntds.dit file, stored on the DC, allows an attacker to forge Kerberos ticket granting tickets(TGT) providing authorization to any resource. Vervalste Kerberos Tgt's de aanvaller in staat stellen de verloop tijd van het ticket op wille keurige tijdstippen te instellen.Forged Kerberos TGTs enable the attacker to set the ticket expiration to any arbitrary time. Een Defender voor identiteitDefender for Identity gegevens EXFILTRATION via SMB -waarschuwing wordt geactiveerd wanneer verdachte overdracht van gegevens van uw bewaakte domein controllers wordt waargenomen.A Defender voor identiteitDefender for Identity Data exfiltration over SMB alert is triggered when suspicious transfers of data are observed from your monitored domain controllers.

TP, B-TP of FPTP, B-TP, or FP

  1. Moeten deze gebruikers deze bestanden naar deze computer kopiëren?Are these users supposed to copy these files, to this computer?
    • Als het antwoord op de vorige vraag Ja is, sluit u de beveiligings waarschuwing en sluit u de computer uit als een B-TP- activiteit.If the answer to the previous question is yes, Close the security alert, and exclude the computer as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron gebruikers.Investigate the source users.
  2. Onderzoek de bron-en doel computers van de kopieën.Investigate the source and destination computers of the copies.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Stel het wacht woord van de bron gebruikers opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek de gekopieerde bestanden en verwijder ze.Find the files that were copied and remove them.
      Controleer of er andere activiteiten op deze bestanden zijn.Check if there were other activities on these files. Waar worden ze overgezet naar een andere locatie?Where they transferred to another place? Controleren of ze buiten het bedrijfs netwerk zijn overgedragen?Check if they were transferred outside the organization network?
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Als een van de bestanden het bestand NTDS. dit is:If one of the files is the ntds.dit file:
    • Wijzig het wacht woord voor de Kerberos ticket granting ticket (KRBTGT) twee keer volgens de richt lijnen in het krbtgt-account voor wachtwoord herstel dat nu beschikbaar is voor klanten, met behulp van het hulp programma wacht woord/sleutels opnieuw instellenin het krbtgt-account.Change the Kerberos Ticket Granting Ticket (KRBTGT) password twice according to the guidance in KRBTGT Account Password Reset Scripts now available for customers, using the Reset the KRBTGT account password/keys tool.

    • Als u de KRBTGT twee maal opnieuw instelt, worden alle Kerberos-tickets in dit domein ongeldig.Resetting the KRBTGT twice invalidates all Kerberos tickets in this domain. Het ongeldig maken van alle Kerberos-tickets in het domein betekent dat alle services worden verbroken en niet meer werken totdat ze zijn vernieuwd of in sommige gevallen de service opnieuw wordt gestart.Invalidating all Kerberos tickets in the domain means all services will be broken and won't work again until they are renewed or in some cases, the service is restarted.

    • Plan zorgvuldig voordat u de KRBTGT Double reset uitvoert. De KRBTGT Double reset heeft gevolgen voor alle computers, servers en gebruikers in de omgeving.Plan carefully before performing the KRBTGT double reset. The KRBTGT double reset impacts all computers, servers, and users in the environment.

    • Sluit alle bestaande sessies tot de domein controllers.Close all existing sessions tot the domain controllers.

Verdachte communicatie via DNS (externe ID 2031)Suspicious communication over DNS (external ID 2031)

Vorige naam: verdachte communicatie via DNSPrevious name: Suspicious communication over DNS

BeschrijvingDescription

Het DNS-protocol in de meeste organisaties wordt doorgaans niet bewaakt en wordt nooit geblokkeerd voor schadelijke activiteiten.The DNS protocol in most organizations is typically not monitored and rarely blocked for malicious activity. Het inschakelen van een aanvaller op een getroffen machine om het DNS-protocol te misbruiken.Enabling an attacker on a compromised machine, to abuse the DNS protocol. Kwaad aardige communicatie via DNS kan worden gebruikt voor gegevens exfiltration, Command, Control en/of evading Corporate Network-beperkingen.Malicious communication over DNS can be used for data exfiltration, command, and control, and/or evading corporate network restrictions.

TP, B-TP of FP?TP, B-TP, or FP?

Sommige bedrijven gebruiken DNS voor normale communicatie.Some companies legitimately use DNS for regular communication. De status van de beveiligings waarschuwing bepalen:To determine the status of the security alert:

  1. Controleer of het geregistreerde query-domein deel uitmaakt van een vertrouwde bron, zoals uw antivirus provider.Check if the registered query domain belongs to a trusted source, such as your antivirus provider.
    • Overweeg een B-TP- activiteit als het domein bekend is en vertrouwd is en DNS-query's zijn toegestaan.Consider it a B-TP activity if the domain is known and trusted, and DNS queries are permitted. Sluit de beveiligings waarschuwing en sluit het domein uit toekomstige waarschuwingen uit.Close the security alert, and exclude the domain from future alerts.
    • Als het geregistreerde query domein niet wordt vertrouwd, identificeert u het proces dat de aanvraag maakt op de bron computer.If the registered query domain is not trusted, identify the process creating the request on the source computer. Gebruik proces monitor om met deze taak te helpen.Use Process Monitor to assist with this task.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Op de doel computer, die een DNS-server moet zijn, controleert u op de records van het betreffende domein.On the destination computer, which should be a DNS server, check for the records of the domain in question.
    • Aan welk IP-adres is de relatie?What IP is it correlated to?
    • Wie is de eigenaar van het domein?Who is the owner of the domain?
    • Waar bevindt zich het IP-adres?Where is the IP?
  2. Onderzoek de bron-en doel computers.Investigate the source and destination computers.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Als na uw onderzoek het geregistreerde query domein niet wordt vertrouwd, wordt u aangeraden het doel domein te blok keren om alle toekomstige communicatie te voor komen.If after your investigation, the registered query domain remains not trusted, we recommend blocking the destination domain to avoid all future communication.

Notitie

Verdachte communicatie via DNS- beveiligings waarschuwingen lijst met het verdachte domein.Suspicious communication over DNS security alerts list the suspected domain. Nieuwe domeinen of domeinen die onlangs zijn toegevoegd en die nog niet bekend zijn of worden herkend door Defender voor identiteitDefender for Identity , maar waarvan bekend is dat ze deel uitmaken van uw organisatie, kunnen worden gesloten.New domains, or domains recently added that are not yet known or recognized by Defender voor identiteitDefender for Identity but are known to or part of your organization can be closed.

Zie ookSee Also