Zelf studie: waarschuwingen voor zijdelingse verplaatsingTutorial: Lateral movement alerts

Normaal gesp roken worden Cyber aanvallen gestart op basis van een toegankelijke entiteit, zoals een gebruiker met beperkte rechten, en wordt deze vervolgens later snel verplaatst totdat de aanvaller toegang krijgt tot waardevolle activa.Typically, cyberattacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets. Kost bare activa kunnen gevoelige accounts, domein beheerders of zeer gevoelige gegevens zijn.Valuable assets can be sensitive accounts, domain administrators, or highly sensitive data. Micro soft Defender voor identiteitMicrosoft Defender for Identity identificeert deze geavanceerde dreigingen bij de bron gedurende de hele aanvals keten en classificeert deze in de volgende fasen:Micro soft Defender voor identiteitMicrosoft Defender for Identity identifies these advanced threats at the source throughout the entire attack kill chain and classifies them into the following phases:

  1. ReconnaissanceReconnaissance
  2. Verdachte referentiesCompromised credentials
  3. Laterale bewegingenLateral Movements
  4. DomeindominantieDomain dominance
  5. Exfiltration (Exfiltratie)Exfiltration

Defender voor identiteitDefender for IdentityZie beveiligings waarschuwingen begrijpenvoor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle beveiligings waarschuwingen.To learn more about how to understand the structure, and common components of all Defender voor identiteitDefender for Identity security alerts, see Understanding security alerts. Zie classificaties van beveiligings waarschuwingenvoor informatie over True-positief (TP), goed aardige True-positief (B-TP) en False-positief (FP).For information about True positive (TP), Benign true positive (B-TP), and False positive (FP), see security alert classifications.

De volgende beveiligings waarschuwingen helpen u bij het identificeren en herstellen van verdachte activiteiten in een zijdelingse verplaatsing die Defender voor identiteitDefender for Identity in uw netwerk zijn gedetecteerd.The following security alerts help you identify and remediate Lateral Movement phase suspicious activities detected by Defender voor identiteitDefender for Identity in your network. In deze zelf studie leert u hoe u de volgende typen aanvallen kunt begrijpen, classificeren, herstellen en voor komen:In this tutorial, you'll learn how to understand, classify, remediate, and prevent the following types of attacks:

  • Externe uitvoering van code via DNS (externe ID 2036)Remote code execution over DNS (external ID 2036)
  • Verdachte identiteits diefstal (Pass-the-hash) (externe ID 2017)Suspected identity theft (pass-the-hash) (external ID 2017)
  • Verdachte identiteits diefstal (Pass-the-ticket) (externe ID 2018)Suspected identity theft (pass-the-ticket) (external ID 2018)
  • Vermoeden dat NTLM-verificatie wordt geknoeid (externe ID 2039)Suspected NTLM authentication tampering (external ID 2039)
  • Verdachte NTLM-relay-aanval (Exchange-account) (externe ID 2037)Suspected NTLM relay attack (Exchange account) (external ID 2037)
  • Vermoede Overpass-the-hash-aanval (Kerberos) (externe ID 2002)Suspected overpass-the-hash attack (Kerberos) (external ID 2002)
  • Verdacht gebruik van Rogue Kerberos-certificaat (externe ID 2047)Suspected rogue Kerberos certificate usage (external ID 2047)
  • Verdacht SMB-pakket manipulatie (CVE-2020-0796-exploitatie)-(preview) (externe ID 2406)Suspected SMB packet manipulation (CVE-2020-0796 exploitation) - (preview) (external ID 2406)

Externe uitvoering van code via DNS (externe ID 2036)Remote code execution over DNS (external ID 2036)

BeschrijvingDescription

12/11/2018 micro soft heeft CVE-2018-8626gepubliceerd en er wordt gekondigt dat er een nieuw gedetecteerd beveiligingslek op externe code wordt uitgevoerd in Windows Domain Name System (DNS)-servers.12/11/2018 Microsoft published CVE-2018-8626, announcing that a newly discovered remote code execution vulnerability exists in Windows Domain Name System (DNS) servers. In dit beveiligings probleem kunnen servers aanvragen niet goed verwerken.In this vulnerability, servers fail to properly handle requests. Een aanvaller die misbruik maakt van het beveiligingslek, kan wille keurige code uitvoeren in de context van het lokale systeem account.An attacker who successfully exploits the vulnerability can run arbitrary code in the context of the Local System Account. Windows-servers die momenteel zijn geconfigureerd als DNS-servers lopen een risico van dit beveiligings probleem.Windows servers currently configured as DNS servers are at risk from this vulnerability.

Bij deze detectie wordt een Defender voor identiteitDefender for Identity beveiligings waarschuwing geactiveerd wanneer DNS-query's die zijn vermoed door misbruik van het beveiligingslek met betrekking tot CVE-2018-8626-beveiliging, worden uitgevoerd op basis van een domein controller in het netwerk.In this detection, a Defender voor identiteitDefender for Identity security alert is triggered when DNS queries suspected of exploiting the CVE-2018-8626 security vulnerability are made against a domain controller in the network.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of EPTP, B-TP or FP

  1. Zijn de doel computers up-to-date en worden er patches uitgevoerd op CVE-2018-8626?Are the destination computers up-to-date and patched against CVE-2018-8626?
    • Als de computers up-to-date zijn en er patches worden uitgevoerd, sluit u de beveiligings waarschuwing als een FP.If the computers are up-to-date and patched, Close the security alert as a FP.
  2. Is een service gemaakt of een niet-vertrouwd proces dat is uitgevoerd rond het tijdstip van de aanvalWas a service created or an unfamiliar process executed around the time of the attack
    • Als er geen nieuwe service of een niet-vertrouwd proces wordt gevonden, sluit u de beveiligings waarschuwing als een FP.If no new service or unfamiliar process is found, Close the security alert as a FP.
  3. Dit type aanval kan de DNS-service vastlopen voordat code wordt uitgevoerd.This type of attack can crash the DNS service before successfully causing code execution.
    • Controleer of de DNS-service een paar keer opnieuw is opgestart rond het tijdstip van de aanval.Check if the DNS service was restarted a few times around the time of the attack.
    • Als de DNS opnieuw is opgestart, werd er waarschijnlijk geprobeerd CVE-2018-8626 te misbruiken.If the DNS was restarted, it was likely an attempt to exploit CVE-2018-8626. Bekijk deze waarschuwing een tp en volg de instructies in inzicht in het bereik van de schending.Consider this alert a TP and follow the instructions in Understand the scope of the breach.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation

  1. De domein controllers bevatten.Contain the domain controllers.
    1. Herstel de poging tot externe code uitvoering.Remediate the remote code execution attempt.
    2. Zoek naar gebruikers die ook zijn aangemeld op hetzelfde moment als de verdachte activiteit, omdat deze mogelijk ook worden aangetast.Look for users also logged on around the same time as the suspicious activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
    1. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    2. Zoek naar gebruikers die ook zijn aangemeld op hetzelfde moment als de verdachte activiteit, omdat deze mogelijk ook worden aangetast.Look for users also logged on around the same time as the suspicious activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

PreventiePrevention

  • Zorg ervoor dat alle DNS-servers in de omgeving up-to-date zijn en patches met CVE-2018-8626.Make sure all DNS servers in the environment are up-to-date, and patched against CVE-2018-8626.

Verdachte identiteits diefstal (Pass-the-hash) (externe ID 2017)Suspected identity theft (pass-the-hash) (external ID 2017)

Vorige naam: Identiteits diefstal met pass-the-hash-aanvalPrevious name: Identity theft using Pass-the-Hash attack

BeschrijvingDescription

Pass-the-hash is een techniek voor zijdelingse verplaatsing waarbij aanvallers een NTLM-hash van een gebruiker van de ene computer stelen en gebruiken om toegang te krijgen tot een andere computer.Pass-the-Hash is a lateral movement technique in which attackers steal a user's NTLM hash from one computer and use it to gain access to another computer.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FP?TP, B-TP, or FP?

  1. Bepalen of de hash is gebruikt vanaf computers die de gebruiker regel matig gebruikt?Determine if the hash was used from computers the user is using regularly?
    • Als de hash is gebruikt vanaf computers die regel matig worden gebruikt, sluit u de waarschuwing als een FP.If the hash was used from computers used regularly, Close the alert as an FP.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron-en doel computers verder.Investigate the source and destination computers further.
  2. Onderzoek de aangetaste gebruiker.Investigate the compromised user.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron-en doel computer bevatten.Contain the source and destination computers.
  3. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
  4. Zoek naar gebruikers die zijn aangemeld rond hetzelfde tijdstip van de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged in around the same time of the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Verdachte identiteits diefstal (Pass-the-ticket) (externe ID 2018)Suspected identity theft (pass-the-ticket) (external ID 2018)

Vorige naam: Identiteits diefstal met pass-the-ticket-aanvalPrevious name: Identity theft using Pass-the-Ticket attack

BeschrijvingDescription

Pass-the-ticket is een techniek voor zijdelingse verplaatsing waarbij aanvallers een Kerberos-ticket van de ene computer stelen en gebruiken om toegang te krijgen tot een andere computer door het gestolen ticket opnieuw te gebruiken.Pass-the-Ticket is a lateral movement technique in which attackers steal a Kerberos ticket from one computer and use it to gain access to another computer by reusing the stolen ticket. In deze detectie wordt een Kerberos-ticket op twee (of meer) verschillende computers gebruikt.In this detection, a Kerberos ticket is seen used on two (or more) different computers.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FP?TP, B-TP, or FP?

Het omzetten van Ip's naar computers in de organisatie is essentieel voor het identificeren van Pass-the-ticket-aanvallen van de ene computer naar de andere.Successfully resolving IPs to computers in the organization is critical to identify pass-the-ticket attacks from one computer to another.

  1. Controleer of het IP-adres van een of beide computers deel uitmaakt van een subnet dat is toegewezen vanuit een ondermaate DHCP-groep, bijvoorbeeld VPN, VDI of WiFi?Check if the IP address of one or both computers belong to a subnet that is allocated from an undersized DHCP pool, for example, VPN, VDI or WiFi?

  2. Wordt het IP-adres gedeeld (bijvoorbeeld door een NAT-apparaat)?Is the IP address shared (for example, by a NAT device)?

  3. Wordt een of meer van de doel-IP-adressen niet door de sensor opgelost?Is the sensor not resolving one or more of the destination IP addresses? Als een doel-IP-adres niet is opgelost, kan dit erop duiden dat de juiste poorten tussen de sensor en apparaten niet goed zijn geopend.If a destination IP address is not resolved, it may indicate that the correct ports between sensor and devices are not open correctly.

    Als het antwoord op een van de vorige vragen Ja is, controleert u of de bron-en doel computers hetzelfde zijn.If the answer to any of the previous questions is yes, check if the source and destinations computers are the same. Als ze hetzelfde zijn, is het een FP en zijn er geen echte pogingen bij Pass-the-ticket.If they are the same, it is an FP and there were no real attempts at pass-the-ticket.

De externe Credential Guard -functie van RDP-verbindingen, wanneer deze wordt gebruikt in combi natie met Windows 10 op windows server 2016 en nieuwer, kan B-TP- waarschuwingen veroorzaken.The Remote Credential Guard feature of RDP connections, when used with Windows 10 on Windows Server 2016 and newer, can cause B-TP alerts. Controleer met behulp van het waarschuwings bewijs of de gebruiker een verbinding met een extern bureau blad heeft gemaakt vanaf de bron computer naar de doel computer.Using the alert evidence, check if the user made a remote desktop connection from the source computer to the destination computer.

  1. Controleer op correlatie bewijs.Check for correlating evidence.
  2. Als er sprake is van correlatie bewijs, controleert u of de RDP-verbinding is gemaakt met behulp van externe Credential Guard.If there is correlating evidence, check if the RDP connection was made using Remote Credential Guard.
  3. Als het antwoord ja is, sluit u de beveiligings waarschuwing als een T-BP- activiteit.If the answer is yes, Close the security alert as a T-BP activity.

Er zijn aangepaste toepassingen die tickets door sturen namens gebruikers.There are custom applications that forward tickets on behalf of users. Deze toepassingen hebben delegerings rechten voor gebruikers tickets.These applications have delegation rights to user tickets.

  1. Is een aangepast toepassings type zoals het eerder is beschreven, momenteel op de doel computers?Is a custom application type like the one previously described, currently on the destination computers? Welke services worden uitgevoerd op de toepassing?Which services is the application running? Zijn de services die optreden namens gebruikers, bijvoorbeeld toegang tot data bases?Are the services acting on behalf of users, for example, accessing databases?
    • Als het antwoord ja is, sluit u de beveiligings waarschuwing als een T-BP- activiteit.If the answer is yes, Close the security alert as a T-BP activity.
  2. Is de doel computer een delegerings server?Is the destination computer a delegation server?
    • Als het antwoord ja is, sluit u de beveiligings waarschuwing en sluit u die computer uit als een T-BP- activiteit.If the answer is yes, Close the security alert, and exclude that computer as a T-BP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron-en doel computers.Investigate the source and destination computers.
  2. Onderzoek de aangetaste gebruiker.Investigate the compromised user.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron-en doel computer bevatten.Contain the source and destination computers.
  3. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
  4. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  5. Als micro soft Defender voor het eind punt is geïnstalleerd, gebruikt u klist.exe verwijderen om alle tickets van de opgegeven aanmeldings sessie te verwijderen en voor komen dat tickets worden gebruikt.If you have Microsoft Defender for Endpoint installed – use klist.exe purge to delete all the tickets of the specified logon session and prevent future usage of the tickets.

Vermoeden dat NTLM-verificatie wordt geknoeid (externe ID 2039)Suspected NTLM authentication tampering (external ID 2039)

In juni 2019 heeft micro soft een beveiligings probleem met CVE-2019-1040gepubliceerd, waarmee de detectie van een nieuw verknoeiings probleem in micro soft Windows wordt aangekondigd, wanneer een ' man-in-the-middle-aanval ' de beveiliging van NTLM-Mic (Message Integrity check) kan passeren.In June 2019, Microsoft published Security Vulnerability CVE-2019-1040, announcing discovery of a new tampering vulnerability in Microsoft Windows, when a "man-in-the-middle" attack is able to successfully bypass NTLM MIC (Message Integrity Check) protection.

Kwaadwillende actoren die misbruik maken van dit beveiligings probleem, kunnen de NTLM-beveiligings functies downgradeen, waardoor het mogelijk is om geverifieerde sessies namens andere accounts te maken.Malicious actors that successfully exploit this vulnerability have the ability to downgrade NTLM security features, and may successfully create authenticated sessions on behalf of other accounts. De niet-gepatchde Windows-servers zijn kwetsbaar voor dit beveiligingslek.Unpatched Windows Servers are at risk from this vulnerability.

Bij deze detectie wordt een Defender voor identiteitDefender for Identity beveiligings waarschuwing geactiveerd wanneer NTLM-verificatie aanvragen die worden verdacht van misbruik van beveiligings problemen die in CVE-2019-1040 worden geïdentificeerd, worden gemaakt op basis van een domein controller in het netwerk.In this detection, a Defender voor identiteitDefender for Identity security alert is triggered when NTLM authentication requests suspected of exploiting security vulnerability identified in CVE-2019-1040 are made against a domain controller in the network.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FP?TP, B-TP, or FP?

  1. Zijn de betrokken computers, met inbegrip van domein controllers, up-to-date en patched op CVE-2019-1040?Are the involved computers, including domain controllers, up-to-date and patched against CVE-2019-1040?
    • Als de computers up-to-date zijn en er patches worden uitgevoerd, verwachten we dat de verificatie mislukt.If the computers are up-to-date and patched, we expect the authentication to fail. Als de verificatie ailed, sluit u de beveiligings waarschuwing als een mislukte poging.If the authentication ailed, Close the security alert as a failed attempt.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. De bron computersonderzoeken.Investigate the source computers.
  2. Onderzoek het bron account.Investigate the source account.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation

  1. De bron computers bevattenContain the source computers
  2. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
  3. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity occurred, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. Het gebruik van een verzegelde NTLMv2 in het domein forceren met behulp van het groeps beleid netwerk beveiliging: LAN Manager-verificatie niveau .Force the use of sealed NTLMv2 in the domain, using the Network security: LAN Manager authentication level group policy. Zie LAN Manager-verificatie niveau instructies voor het instellen van groeps beleid voor domein controllers voor meer informatie.For more information, see LAN Manager authentication level instructions for setting the group policy for domain controllers.

PreventiePrevention

  • Zorg ervoor dat alle apparaten in de omgeving up-to-date zijn en patches op CVE-2019-1040.Make sure all devices in the environment are up-to-date, and patched against CVE-2019-1040.

Verdachte NTLM-relay-aanval (Exchange-account) (externe ID 2037)Suspected NTLM relay attack (Exchange account) (external ID 2037)

BeschrijvingDescription

Een Exchange-Server kan worden geconfigureerd voor het activeren van NTLM-verificatie met het Exchange Server-account naar een externe http-server, die wordt uitgevoerd door een aanvaller.An Exchange Server can be configured to trigger NTLM authentication with the Exchange Server account to a remote http server, run by an attacker. De server wacht tot de Exchange Server-communicatie zijn eigen gevoelige verificatie doorstuurt naar een andere server of nog interessanter om te Active Directory over LDAP en de verificatie gegevens op te halen.The server waits for the Exchange Server communication to relay its own sensitive authentication to any other server, or even more interestingly to Active Directory over LDAP, and grabs the authentication information.

Zodra de relay-server de NTLM-verificatie heeft ontvangen, wordt er een uitdaging gegeven die oorspronkelijk door de doel server is gemaakt.Once the relay server receives the NTLM authentication, it provides a challenge that was originally created by the target server. De client reageert op de uitdaging om te voor komen dat een aanvaller de reactie kan nemen en gebruikt om NTLM-onderhandelingen met de doel domein controller voort te zetten.The client responds to the challenge, preventing an attacker from taking the response, and using it to continue NTLM negotiation with the target domain controller.

In deze detectie wordt een waarschuwing geactiveerd wanneer het Defender voor identiteitDefender for Identity gebruik van Exchange-account referenties van een verdachte bron wordt geïdentificeerd.In this detection, an alert is triggered when Defender voor identiteitDefender for Identity identify use of Exchange account credentials from a suspicious source.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FP?TP, B-TP, or FP?

  1. Controleer de bron computers achter de IP-adressen.Check the source computers behind the IP addresses.
    1. Als de bron computer een Exchange-Server is, sluit u de beveiligings waarschuwing als een FP -activiteit.If the source computer is an Exchange Server, Close the security alert as an FP activity.
    2. Bepalen of het bron account moet worden geverifieerd met NTLM van deze computers?Determine if the source account should authenticate using NTLM from these computers? Als ze moeten worden geverifieerd, sluit u de beveiligings waarschuwing en sluit u deze computers uit als een B-TP- activiteit.If they should authenticate, Close the security alert, and exclude these computers as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Ga door met het onderzoeken van de bron computers achter de betrokken IP-adressen.Continue investigating the source computers behind the IP addresses involved.
  2. Onderzoek het bron account.Investigate the source account.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computers bevattenContain the source computers
    1. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    2. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity occurred, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Het gebruik van een verzegelde NTLMv2 in het domein forceren met behulp van het groeps beleid netwerk beveiliging: LAN Manager-verificatie niveau .Force the use of sealed NTLMv2 in the domain, using the Network security: LAN Manager authentication level group policy. Zie LAN Manager-verificatie niveau instructies voor het instellen van groeps beleid voor domein controllers voor meer informatie.For more information, see LAN Manager authentication level instructions for setting the group policy for domain controllers.

Vermoede Overpass-the-hash-aanval (Kerberos) (externe ID 2002)Suspected overpass-the-hash attack (Kerberos) (external ID 2002)

Vorige naam: Ongebruikelijke Kerberos-protocol implementatie (mogelijke Overpass-the-hash-aanval)Previous name: Unusual Kerberos protocol implementation (potential overpass-the-hash attack)

BeschrijvingDescription

Aanvallers gebruiken hulpprogram ma's waarmee verschillende protocollen, zoals Kerberos en SMB, op niet-standaard manieren worden geïmplementeerd.Attackers use tools that implement various protocols such as Kerberos and SMB in non-standard ways. Hoewel micro soft Windows dit type netwerk verkeer accepteert zonder waarschuwingen, Defender voor identiteitDefender for Identity is het mogelijk schadelijke intentie te herkennen.While Microsoft Windows accepts this type of network traffic without warnings, Defender voor identiteitDefender for Identity is able to recognize potential malicious intent. Het gedrag is indicatief voor technieken zoals over-Pass-the-hash, brute kracht en geavanceerde Ransomware-aanvallen, zoals WannaCry, worden gebruikt.The behavior is indicative of techniques such as over-pass-the-hash, Brute Force, and advanced ransomware exploits such as WannaCry, are used.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FP?TP, B-TP, or FP?

Soms implementeren toepassingen hun eigen Kerberos-stack, niet in overeenstemming met de Kerberos-RFC.Sometimes applications implement their own Kerberos stack, not in accordance with the Kerberos RFC.

  1. Controleer of op de bron computer een toepassing wordt uitgevoerd met een eigen Kerberos-stack, niet in overeenstemming met Kerberos RFC.Check if the source computer is running an application with its own Kerberos stack, not in accordance with Kerberos RFC.
  2. Als de bron computer een dergelijke toepassing uitvoert en dit niet moet doen, kunt u de toepassings configuratie herstellen.If the source computer is running such an application, and it should not do this, fix the application configuration. Sluit de beveiligings waarschuwing als een T-BP- activiteit.Close the security alert as a T-BP activity.
  3. Als op de bron computer een dergelijke toepassing wordt uitgevoerd en deze moet door gaan, sluit u de beveiligings waarschuwing als een T-BP- activiteit en sluit u de computer uit.If the source computer is running such an application and it should continue to do so, Close the security alert as a T-BP activity and exclude the computer.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Als er een bron gebruikeris, onderzoekt u.If there is a source user, investigate.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Als u de wacht woorden van de gebruikers die Azure Active Directory Identity Protection zijn aangetast opnieuw instelt en MFA inschakelt, kunt u de actie door gebruiker geïnfecteerde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the compromised users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevatten.Contain the source computer.
  3. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
  4. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de verdachte activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  5. Stel de wacht woorden van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

Verdacht gebruik van Rogue Kerberos-certificaat (externe ID 2047)Suspected rogue Kerberos certificate usage (external ID 2047)

BeschrijvingDescription

Misbruik van een certificaat is een persistentie techniek die door aanvallers wordt gebruikt na het overnemen van de controle over de organisatie.Rogue certificate attack is a persistence technique used by attackers after gaining control over the organization. Kwaadwillende personen doen de CA-server (certificerings instantie) inbreuk maken op certificaten die kunnen worden gebruikt als back-upaccounten in toekomstige aanvallen.Attackers compromise the Certificate Authority (CA) server and generate certificates that can be used as backdoor accounts in future attacks.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

  • Bepalen of het account zich regel matig aanmeldt bij de computer?Determine if the account regularly logs into the computer?
    • Als het certificaat regel matig wordt gebruikt vanaf computers, sluit u de waarschuwing als een FP.If the certificate is regularly used from computers, Close the alert as an FP.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Onderzoek de bron gebruiker.Investigate the source user.
  3. Controleer welke resources zijn geopend en onderzoek.Check which resources were accessed successfully and investigate.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. Stel het wacht woord van de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the password of the source user and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. De bron computer bevattenContain the source computer
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  3. Zoek het certificaat dat in de CA-server wordt gebruikt en trek het certificaat in door de TLS/SSL vóór de geplande verval datum ongeldig te valideren.Find the certificate used in the CA server and revoke the certificate by invalidating the TLS/SSL before its scheduled expiration date.

Verdacht SMB-pakket manipulatie (CVE-2020-0796-exploitatie)-(preview) (externe ID 2406)Suspected SMB packet manipulation (CVE-2020-0796 exploitation) - (preview) (external ID 2406)

BeschrijvingDescription

03/12/2020 micro soft heeft CVE-2020-0796gepubliceerd en er wordt gekondigt dat er een beveiligingslek met betrekking tot het uitvoeren van externe code bestaat in de manier waarop het micro soft Server Message Block 3.1.1 (SMBv3)-Protocol bepaalde aanvragen verwerkt.03/12/2020 Microsoft published CVE-2020-0796, announcing that a newly remote code execution vulnerability exists in the way that the Microsoft Server Message Block 3.1.1 (SMBv3) protocol handles certain requests. Een aanvaller die misbruik heeft gemaakt van het beveiligingslek, kan de mogelijkheid krijgen om code uit te voeren op de doel server of-client.An attacker who successfully exploited the vulnerability could gain the ability to execute code on the target server or client. De niet-gepatchde Windows-servers zijn kwetsbaar voor dit beveiligingslek.Unpatched Windows servers are at risk from this vulnerability.

Bij deze detectie wordt een Defender voor identiteitDefender for Identity beveiligings waarschuwing geactiveerd wanneer het SMBv3-pakket dat wordt vermoed door misbruik van het beveiligingslek met betrekking tot CVE-2020-0796-beveiliging, wordt gemaakt op basis van een domein controller in het netwerk.In this detection, a Defender voor identiteitDefender for Identity security alert is triggered when SMBv3 packet suspected of exploiting the CVE-2020-0796 security vulnerability are made against a domain controller in the network.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FP?TP, B-TP, or FP?

  1. Zijn de betrokken domein controllers up-to-date en worden er patches uitgevoerd op CVE-2020-0796?Are the involved domain controllers up-to-date and patched against CVE-2020-0796?
    • Als de computers up-to-date zijn en er patches worden uitgevoerd, verwachten we dat de aanval is mislukt. sluit de beveiligings waarschuwing als een mislukte poging.If the computers are up-to-date and patched, we expect the attack to fail, Close the security alert as a failed attempt.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Onderzoek de doel-DC.Investigate the destination DC.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation

  1. De bron computer bevatten.Contain the source computer.
  2. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
  3. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de verdachte activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the suspicious activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. Als uw computer beschikt over computers met besturings systemen die geen ondersteuning bieden voor KB4551762, kunt u het beste de SMBv3-compressie functie uitschakelen in de omgeving, zoals beschreven in de sectie tijdelijke oplossingen .If your have computers with operating systems that don't support KB4551762, we recommend disabling the SMBv3 compression feature in the environment, as described in the Workarounds section.

PreventiePrevention

  1. Zorg ervoor dat alle apparaten in de omgeving up-to-date zijn en patches op CVE-2020-0796.Make sure all devices in the environment are up-to-date, and patched against CVE-2020-0796.

Zie ookSee Also