Zelf studie: Reconnaissance PlaybookTutorial: Reconnaissance playbook

De tweede zelf studie in deze reeks van vier onderdelen voor Micro soft Defender voor identiteitMicrosoft Defender for Identity beveiligings waarschuwingen is een Reconnaissance-Playbook.The second tutorial in this four part series for Micro soft Defender voor identiteitMicrosoft Defender for Identity security alerts is a reconnaissance playbook. Het doel van de Defender voor identiteitDefender for Identity Security Alert Lab is het illustreren van de mogelijkheden voor het Defender voor identiteitDefender for Identity identificeren en detecteren van verdachte activiteiten en mogelijke aanvallen op uw netwerk.The purpose of the Defender voor identiteitDefender for Identity security alert lab is to illustrate Defender voor identiteitDefender for Identity's capabilities in identifying and detecting suspicious activities and potential attacks against your network. In de Playbook wordt uitgelegd hoe u kunt testen tegen enkele van Defender voor identiteitDefender for Identity de afzonderlijke detecties en zich richt op op Defender voor identiteitDefender for Identity hand tekeningen gebaseerde mogelijkheden.The playbook explains how to test against some of Defender voor identiteitDefender for Identity's discrete detections, and focuses on Defender voor identiteitDefender for Identity's signature-based capabilities. Deze Playbook bevat geen waarschuwingen of detecties op basis van geavanceerde detecties op basis van computers of gebruikers/entiteiten, omdat een leer periode met echt netwerk verkeer gedurende Maxi maal 30 dagen nodig is.This playbook doesn't include alerts or detections based on advanced machine-learning, or user/entity based behavioral detections, as they require a learning period with real network traffic for up to 30 days. Meer informatie over elke zelf studie in deze serie vindt u in het Defender voor identiteitDefender for Identity overzicht van Security Alert Lab.For more information about each tutorial in this series, see the Defender voor identiteitDefender for Identity security alert lab overview.

Deze Playbook illustreert de bedreigings detecties en beveiligings waarschuwingen Defender voor identiteitDefender for Identity voor gesimuleerde aanvallen van algemene, wereld wijd beschik bare hacking en aanvals hulpprogramma's.This playbook illustrates the threat detections and security alerts services of Defender voor identiteitDefender for Identity for simulated attacks from common, real-world, publicly available hacking and attack tools.

In deze zelfstudie gaat u:In this tutorial you will:

  • Reconnaissance voor netwerk toewijzing simulerenSimulate network mapping reconnaissance
  • Directory service Reconnaissance simulerenSimulate Directory Service reconnaissance
  • Gebruikers-en IP-adres (SMB) Reconnaissance simulerenSimulate user and IP address (SMB) reconnaissance
  • Bekijk de beveiligings waarschuwingen van de gesimuleerde Reconnaissance in Defender voor identiteitDefender for IdentityReview the security alerts from the simulated reconnaissance in Defender voor identiteitDefender for Identity

VereistenPrerequisites

Een voltooid Defender voor identiteitDefender for Identity beveiligings waarschuwing LabA completed Defender voor identiteitDefender for Identity security alert lab

  • U kunt het beste zo nauw keurig mogelijk de installatie-instructies voor het lab volgen.We recommend following the lab setup instructions as closely as possible. Hoe dichter uw Lab is voor de voorgestelde Lab-installatie, hoe eenvoudiger het is om de test procedures uit te voeren Defender voor identiteitDefender for Identity .The closer your lab is to the suggested lab setup, the easier it will be to follow the Defender voor identiteitDefender for Identity testing procedures.

Een Reconnaissance-aanval simulerenSimulate a Reconnaissance attack

Zodra een aanvaller de aanwezigheid in uw omgeving verkrijgt, begint de Reconnaissance-campagne.Once an attacker gains presence in your environment, their reconnaissance campaign begins. In deze fase zal de aanvaller doorgaans tijd best Eden aan het zoeken.At this phase, the attacker will typically spend time researching. Ze proberen computers van belang te ontdekken, gebruikers en groepen op te sommen, belang rijke Ip's te verzamelen en de activa en zwakke punten van uw organisatie toe te wijzen.They try to discover computers of interest, enumerate users and groups, gather important IPs, and map your organization's assets and weaknesses. Met Reconnaissance-activiteiten kunnen aanvallers een grondige en volledige toewijzing van uw omgeving verkrijgen voor later gebruik.Reconnaissance activities allow attackers to gain a thorough understanding and complete mapping of your environment for later use.

Methoden voor het testen van Reconnaissance-aanvallen:Reconnaissance attack testing methods:

  • Reconnaissance netwerk toewijzingNetwork-mapping reconnaissance
  • Directory service-ReconnaissanceDirectory Service reconnaissance
  • Gebruikers-en IP-adres (SMB) ReconnaissanceUser and IP Address (SMB) reconnaissance

Netwerk toewijzing Reconnaissance (DNS)Network-mapping reconnaissance (DNS)

Een van de eerste dingen dat een aanvaller probeert een kopie te krijgen van alle DNS-gegevens.One of the first things an attacker will attempt is to try to get a copy of all DNS information. Wanneer dit is gelukt, verkrijgt de aanvaller uitgebreide informatie over uw omgeving die mogelijk vergelijk bare informatie over uw andere omgevingen of netwerken bevat.When successful, the attacker gains extensive information about your environment that potentially includes similar information about your other environments or networks.

Defender voor identiteitDefender for Identity Hiermee wordt de Reconnaissance-activiteit van de netwerk toewijzing onderdrukt van de tijd lijn van uw verdachte activiteit tot een leer periode van acht dagen is voltooid.Defender voor identiteitDefender for Identity suppresses network-mapping reconnaissance activity from your suspicious activity timeline until an eight day learning period is completed. In de leer periode Defender voor identiteitDefender for Identity leert u wat normaal en abnormaal is voor uw netwerk.In the learning period, Defender voor identiteitDefender for Identity learns what is normal and abnormal for your network. Na de periode van acht dagen wordt de gerelateerde beveiligings waarschuwing door abnormale Reconnaissance-gebeurtenissen voor netwerk toewijzing geactiveerd.After the eight-day learning period, abnormal network-mapping reconnaissance events invoke the related security alert.

Nslookup uitvoeren vanuit VictimPCRun nslookup from VictimPC

Om DNS-Reconnaissance te testen, gebruiken we het systeem eigen opdracht regel programma, nslookup, om een DNS-zone overdracht te initiëren.To test DNS reconnaissance, we'll use the native command-line tool, nslookup, to initiate a DNS zone transfer. DNS-servers met de juiste configuratie weigeren query's van dit type en staan de poging tot zone overdracht niet toe.DNS servers with correct configuration will refuse queries of this type and won't allow the zone transfer attempt.

Meld u aan bij VictimPC met behulp van de gemanipuleerde Jeff-referenties.Sign into VictimPC, using the compromised JeffL credentials. Voer de volgende opdracht uit:Run the following command:

nslookup

Typ Server en vervolgens de FQDN of het IP-adres van de domein controller waarop de Defender voor identiteitDefender for Identity sensor is geïnstalleerd.Type server then the FQDN or IP address of the DC where the Defender voor identiteitDefender for Identity sensor is installed.

server contosodc.contoso.azure

We proberen het domein te verplaatsen.Let's try to transfer the domain.

ls -d contoso.azure
  • Vervang contosodc. contoso. Azure en contoso. Azure door respectievelijk de FQDN van uw Defender voor identiteitDefender for Identity sensor en domein naam.Replace contosodc.contoso.azure and contoso.azure with the FQDN of your Defender voor identiteitDefender for Identity sensor and domain name respectively.

nslookup-opdracht poging om de DNS-server te kopiëren-fout

Als ContsoDC uw eerste geïmplementeerde sensor is, wacht u 15 minuten totdat de data base-back-end de benodigde micro Services heeft geïmplementeerd.If ContsoDC is your first deployed sensor, wait 15 minutes to allow the database backend to finish deploying the necessary micro services.

Netwerk toewijzing Reconnaissance (DNS) gedetecteerd in Defender voor identiteitNetwork-mapping reconnaissance (DNS) Detected in Defender for Identity

Het verkrijgen van zicht baarheid van dit type poging (mislukt of geslaagd) is essentieel voor de bescherming van domein bedreigingen.Getting visibility of this type of attempt (failed or successful) is vital for domain threat protection. Nadat u de-omgeving onlangs hebt geïnstalleerd, moet u naar de tijd lijn van de logische activiteiten gaan om de gedetecteerde activiteit te bekijken.After recently installing the environment, you'll need to go to the Logical Activities timeline to see the detected activity.

Defender voor identiteitDefender for IdentityTyp VictimPC in het zoekvak en klik erop om de tijd lijn weer te geven.In the Defender voor identiteitDefender for Identity Search, type VictimPC, then click on it to view the timeline.

DNS-Reconnaissance gedetecteerd door [! INCLUSIEF [product short] (inclusief/product-short. MD)], weer gave op hoog niveau

Zoek naar de activiteit AXFR-query's.Look for the "AXFR query" activity. Defender voor identiteitDefender for Identity Hiermee wordt dit type Reconnaissance voor uw DNS gedetecteerd.Defender voor identiteitDefender for Identity detects this type of reconnaissance against your DNS.

  • Als u een groot aantal activiteiten hebt, klikt u op filteren op en schakelt u alle typen behalve DNS-query uit .If you have a large number of activities, click Filter by and deselect all types except DNS query.

Gedetailleerde weer gave van de DNS-Reconnaissance detectie in [! INCLUSIEF [product short] (inclusief/product-short. MD)]

Als uw beveiligings analist heeft vastgesteld dat deze activiteit afkomstig is van een beveiligings scanner, kan het specifieke apparaat worden uitgesloten van detectie waarschuwingen.If your security analyst determined this activity originated from a security scanner, the specific device can be excluded from further detection alerts. Klik in de rechter bovenhoek van de waarschuwing op de drie punten.In the top-right area of the alert, click on the three dots. Selecteer vervolgens sluiten en sluit MySecurityScanner uit.Then, select Close and exclude MySecurityScanner. Ervoor zorgen dat deze waarschuwing niet opnieuw wordt weer gegeven wanneer deze wordt gedetecteerd van ' MySecurityScanner '.Ensuring this alert doesn't show up again when detected from "MySecurityScanner".

Het detecteren van fouten kan worden verzorgd als het detecteren van geslaagde aanvallen op een omgeving.Detecting failures can be as insightful as detecting successful attacks against an environment. Met de Defender voor identiteitDefender for Identity portal kunnen we het exacte resultaat zien van de acties die worden uitgevoerd door een mogelijke aanvaller.The Defender voor identiteitDefender for Identity portal allows us to see the exact result of the actions done by a possible attacker. In ons gesimuleerde DNS-Reconnaissance-aanval worden de DNS-records van het domein gestopt.In our simulated DNS reconnaissance attack story, we, acting as attackers, were stopped from dumping the DNS records of the domain. Uw SecOps-team was op de hoogte van onze aanvals poging en op welke computer we in onze poging van de beveiligings waarschuwing hebben gebruikgemaakt Defender voor identiteitDefender for Identity .Your SecOps team became aware of our attack attempt and which machine we used in our attempt from the Defender voor identiteitDefender for Identity security alert.

Directory service-ReconnaissanceDirectory Service Reconnaissance

Het volgende Reconnaissance-doel is een poging om alle gebruikers en groepen in het forest op te sommen als een aanvaller.Acting as an attacker, the next reconnaissance goal is an attempt to enumerate all users and groups in the Forest. Defender voor identiteitDefender for Identity onderdrukt de inventarisatie activiteit van de adreslijst service van uw verdachte activiteiten tijdlijn tot een leer periode van 30 dagen is voltooid.Defender voor identiteitDefender for Identity suppresses Directory Service enumeration activity from your Suspicious Activity timeline until a 30 day learning period is completed. In de leer periode Defender voor identiteitDefender for Identity leert u wat normaal en abnormaal is voor uw netwerk.In the learning period, Defender voor identiteitDefender for Identity learns what is normal and abnormal for your network. Na de leer periode van 30 dagen wordt een beveiligings waarschuwing door abnormale adreslijst service-inventarisatie gebeurtenissen geactiveerd.After the 30 day learning period, abnormal Directory Service enumeration events invoke a security alert. Tijdens de periode van 30 dagen kunt u Defender voor identiteitDefender for Identity detecties van deze activiteiten zien met behulp van de tijd lijn van de activiteit van een entiteit in uw netwerk.During the 30 day learning period, you can see Defender voor identiteitDefender for Identity detections of these activities using the activity timeline of an entity in your network. De Defender voor identiteitDefender for Identity detecties van deze activiteiten worden weer gegeven in dit lab.The Defender voor identiteitDefender for Identity detections of these activities are shown in this lab.

Om een gemeen schappelijke Directory service Reconnaissance-methode te demonstreren, gebruiken we het systeem eigen micro soft binary, net.To demonstrate a common Directory Service reconnaissance method, we'll use the native Microsoft binary, net. Na onze poging heeft de activiteit tijd lijn van Jeff, onze gekraakte gebruiker, weer gegeven voor het Defender voor identiteitDefender for Identity detecteren van deze activiteit.After our attempt, examining the Activity timeline of JeffL, our compromised user, will show Defender voor identiteitDefender for Identity detecting this activity.

Directory service-inventarisatie via net van VictimPCDirectory Service Enumeration via net from VictimPC

Elke geverifieerde gebruiker of computer kan mogelijk andere gebruikers en groepen in een domein opsommen.Any authenticated user or computer can potentially enumerate other users and groups in a domain. Deze opsommings mogelijkheid is vereist voor de meeste toepassingen goed te laten functioneren.This enumeration ability is required for most applications to function properly. Onze gemanipuleerde gebruiker is een niet-gemachtigd domein account.Our compromised user, JeffL, is an unprivileged domain account. In deze gesimuleerde aanval zien we precies hoe zelfs een niet-gemachtigd domein account nog waardevolle gegevens punten kan leveren aan een aanvaller.In this simulated attack, we'll see exactly how even an unprivileged domain account can still provide valuable data points to an attacker.

  1. Voer vanuit VictimPC de volgende opdracht uit:From VictimPC, execute the following command:

    net user /domain
    

    In de uitvoer ziet u alle gebruikers in het domein contoso. Azure.The output shows all users in the Contoso.Azure domain.

    Alle gebruikers in het domein opsommen

  2. We proberen alle groepen in het domein op te sommen.Let's try to enumerate all groups in the domain. Voer de volgende opdracht uit:Execute the following command:

    net group /domain
    

    In de uitvoer ziet u alle groepen in het domein contoso. Azure.The output shows all groups in the Contoso.Azure domain. Let op de ene beveiligings groep die geen standaard groep is: Help Desk.Notice the one Security Group that isn't a default group: Helpdesk.

    Alle groepen in het domein opsommen

  3. Nu gaan we alleen de groep domein Administrators opsommen.Now, let's try to enumerate only the Domain Admins group. Voer de volgende opdracht uit:Execute the following command:

    net group "Domain Admins" /domain
    

    Alle leden van de groep domein Administrators opsommen

    We hebben als aanvaller geleerd dat er twee leden van de groep domein Administrators zijn: SamiraA en ContosoAdmin (ingebouwde Administrator voor de domein controller).Acting as an attacker, we've learned there are two members of the Domain Admins group: SamiraA and ContosoAdmin (built-in Administrator for the Domain Controller). Als er zich geen beveiligings grens voordoet in het domein en forest, is onze volgende stap het opsommen van de ondernemings Administrators.Knowing no security boundary exists between our Domain and Forest, our next leap is to try to enumerate the Enterprise Admins.

  4. Voer de volgende opdracht uit als u de ondernemings Administrators wilt opsommen:To attempt to enumerate the Enterprise Admins, execute the following command:

    net group "Enterprise Admins" /domain
    

    We hebben geleerd dat er slechts één ondernemings beheerder, ContosoAdmin.We learned that there's only one Enterprise Admin, ContosoAdmin. Deze informatie is niet belang rijk omdat we al wisten dat er geen beveiligings grens is tussen ons domein en het forest.This information wasn't important since we already knew there isn't a security boundary between our Domain and the Forest.

    Ondernemings Administrators in het domein

Met de informatie die in onze Reconnaissance is verzameld, weten we nu de beveiligings groep Help Desk.With the information gathered in our reconnaissance, we now know about the Helpdesk Security Group. Hoewel deze informatie nog niet interessant is.Although that information isn't interesting yet. We weten ook dat SamiraA lid is van de groep domein Administrators.We also know that SamiraA is a member of the Domain Admins group. Als we de referentie van SamiraA kunnen verzamelen, kunnen we toegang krijgen tot de domein controller zelf.If we can harvest SamiraA's credential, we can gain access the Domain Controller itself.

Opsomming van Directory service gedetecteerd in Defender voor identiteitDirectory Service Enumeration Detected in Defender for Identity

Als ons lab gedurende 30 dagen een echte live activiteit had Defender voor identiteitDefender for Identity, zou de activiteit die we net als Jeff zouden zouden kunnen worden geclassificeerd als abnormaal.If our lab had real live activity for 30 days with Defender voor identiteitDefender for Identity installed, the activity we just did as JeffL would potentially be classified as abnormal. Abnormale activiteiten worden weer gegeven in de tijd lijn van de verdachte activiteit.Abnormal activity would show up in the Suspicious Activity timeline. Omdat we zojuist de omgeving hebben geïnstalleerd, moeten we naar de tijd lijn van de logische activiteiten gaan.However, since we just installed the environment, we'll need to go to the Logical Activities timeline.

In de Defender voor identiteitDefender for Identity Zoek opdracht kijken we naar de tijd lijn van de logische activiteit van Jeff, zoals:In the Defender voor identiteitDefender for Identity Search, let's see what JeffL's Logical Activity timeline looks like:

De tijd lijn van de logische activiteit zoeken voor een specifieke entiteit

We kunnen zien wanneer Jeff op de VictimPC is aangemeld met behulp van het Kerberos-protocol.We can see when JeffL signed onto the VictimPC, using the Kerberos protocol. Daarnaast zien we dat Jeff, van VictimPC, alle gebruikers in het domein heeft geïnventariseerd.Additionally, we see that JeffL, from VictimPC, enumerated all the users in the domain.

Tijd lijn van de logische activiteit van jeffa

Veel activiteiten worden vastgelegd in de tijd lijn van de logische activiteit, waardoor het een grote mogelijkheid is om digitale forensische en incident reacties uit te voeren (DFIR).Many activities are logged in the Logical Activity timeline making it a major capability to performing Digital Forensics and Incident Response (DFIR). U kunt zelfs activiteiten bekijken wanneer de eerste detectie niet van Defender voor identiteitDefender for Identity micro soft Defender voor eind punt, Microsoft 365 en anderen.You can even see activities when the initial detection wasn't from Defender voor identiteitDefender for Identity but from Microsoft Defender for Endpoint, Microsoft 365, and others.

Bekijk de pagina van de ContosoDC om de computers te zien die door Jeff zijn aangemeld.Taking a look at ContosoDC's page, we can also see the computers JeffL logged into.

Met Jeff aangemelde computers

We kunnen ook Directory gegevens ophalen, met inbegrip van lidmaatschappen en toegangs beheer van de Jeroen, allemaal van binnen Defender voor identiteitDefender for Identity .We can also get Directory Data, including JeffL's Memberships and Access Controls, all from within Defender voor identiteitDefender for Identity.

De Directory gegevens van de Jeff in [! INCLUSIEF [product short] (inclusief/product-short. MD)]

Nu gaat onze aandacht naar SMB-sessie-inventarisatie.Now, our attention will be shift towards SMB Session Enumeration.

Gebruikers-en IP-adres Reconnaissance (SMB)User and IP Address reconnaissance (SMB)

De map SYSVOL van Active Directory is een van de, de belangrijkste netwerk share in de omgeving.Active Directory's sysvol folder is one of the, if not the, most important network share in the environment. Elke computer en gebruiker moeten toegang kunnen krijgen tot deze specifieke netwerk share om groeps beleid op te halen.Every computer and user must be able to access this particular network share to pull down Group Policies. Een aanvaller kan een GoldMine voor het inventariseren van gegevens die actieve sessies met de map SYSVOL hebben.An attacker can get a goldmine of information from enumerating who has active sessions with the sysvol folder.

De volgende stap is het inventariseren van SMB-sessies op de ContosoDC-resource.Our next step is SMB Session Enumeration against the ContosoDC resource. We willen weten wie de andere sessies heeft met de SMB-share en van welk IP-adres.We want to learn who else has sessions with the SMB share, and from what IP.

De NetSess.exe van JoeWare van VictimPC gebruikenUse JoeWare's NetSess.exe from VictimPC

Voer het NetSess -hulp programma van JoeWare uit voor ContosoDC in de context van een geverifieerde gebruiker, in dit geval ContosoDC:Run JoeWare's NetSess tool against ContosoDC in context of an authenticated user, in this case, ContosoDC:

NetSess.exe ContosoDC

Aanvallers gebruiken SMB Reconnaissance om gebruikers en hun IP-adressen te identificeren

U weet al dat SamiraA een domein beheerder is. Deze aanval heeft ons IP-adres van SamiraA gegeven als 10.0.24.6.We already know that SamiraA is a Domain Admin. This attack gave us SamiraA's IP address as 10.0.24.6. Als aanvaller hebben we precies geleerd wie er moet worden geknoeid.As an attacker, we learned exactly who we need to compromise. We hebben ook de netwerk locatie van waar de referentie is aangemeld.We also got the network location where that credential is logged in.

Gebruikers-en IP-adres Reconnaissance (SMB) gedetecteerd in Defender voor identiteitUser and IP Address reconnaissance (SMB) Detected in Defender for Identity

Nu kunnen we zien wat er Defender voor identiteitDefender for Identity voor ons is gedetecteerd:Now we can see what Defender voor identiteitDefender for Identity detected for us:

[! INCLUSIEF [product short] (inclusief/product-short. MD)] SMB-Reconnaissance detecteren

Er wordt niet alleen op deze activiteit een waarschuwing gegeven, maar er wordt ook gewaarschuwd over de beschik bare accounts en de bijbehorende IP-adressen op dat moment.Not only are we alerted on this activity, we're also alerted on the exposed accounts and their respective IP addresses at that point in time. Als Security Operations Center (SOC) hebben we niet alleen de poging en de status, maar ook wat er is teruggestuurd naar de aanvaller.As the Security Operations Center (SOC), we don't just have the attempt and its status, but also what was sent back to the attacker. Deze informatie helpt ons onderzoek.This information aids our investigation.

Volgende stappenNext steps

De volgende fase van het afbreken van de aanvals keten is doorgaans een poging om later te verplaatsen.The next phase in the attack kill chain is typically an attempt at lateral movement.

Word lid van de CommunityJoin the Community

Hebt u meer vragen of bent u geïnteresseerd in het bespreken van Defender voor identiteitDefender for Identity en gerelateerde beveiliging met anderen?Have more questions, or an interest in discussing Defender voor identiteitDefender for Identity and related security with others? Nu lid worden van de Defender voor identiteitDefender for Identity Community .Join the Defender voor identiteitDefender for Identity Community today!