Zelf studie: Reconnaissance-waarschuwingenTutorial: Reconnaissance alerts

Normaal gesp roken worden Cyber aanvallen gestart op basis van een toegankelijke entiteit, zoals een gebruiker met beperkte rechten, en wordt deze vervolgens later snel verplaatst totdat de aanvaller toegang krijgt tot waardevolle activa.Typically, cyberattacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets. Kost bare activa kunnen gevoelige accounts, domein beheerders of zeer gevoelige gegevens zijn.Valuable assets can be sensitive accounts, domain administrators, or highly sensitive data. Micro soft Defender voor identiteitMicrosoft Defender for Identity identificeert deze geavanceerde dreigingen bij de bron gedurende de hele aanvals keten en classificeert deze in de volgende fasen:Micro soft Defender voor identiteitMicrosoft Defender for Identity identifies these advanced threats at the source throughout the entire attack kill chain and classifies them into the following phases:

  1. ReconnaissanceReconnaissance
  2. Verdachte referentiesCompromised credentials
  3. Laterale bewegingenLateral Movements
  4. DomeindominantieDomain dominance
  5. Exfiltration (Exfiltratie)Exfiltration

Defender voor identiteitDefender for IdentityZie beveiligings waarschuwingen begrijpenvoor meer informatie over het begrijpen van de structuur en algemene onderdelen van alle beveiligings waarschuwingen.To learn more about how to understand the structure, and common components of all Defender voor identiteitDefender for Identity security alerts, see Understanding security alerts. Zie classificaties van beveiligings waarschuwingenvoor informatie over True-positief (TP), goed aardige True-positief (B-TP) en False-positief (FP).For information about True positive (TP), Benign true positive (B-TP), and False positive (FP), see security alert classifications.

De volgende beveiligings waarschuwingen helpen u bij het identificeren en oplossen van verdachte activiteiten in Reconnaissance -fase gedetecteerd door Defender voor identiteitDefender for Identity in uw netwerk.The following security alerts help you identify and remediate Reconnaissance phase suspicious activities detected by Defender voor identiteitDefender for Identity in your network.

In deze zelf studie leert u hoe u de volgende typen aanvallen kunt begrijpen, classificeren, herstellen en voor komen:In this tutorial, learn how to understand, classify, remediate, and prevent the following types of attacks:

  • Account inventarisatie Reconnaissance (externe ID 2003)Account enumeration reconnaissance (external ID 2003)
  • Active Directory Attributes Reconnaissance (LDAP) (externe ID 2210)Active Directory attributes reconnaissance (LDAP) (external ID 2210)
  • Netwerk toewijzing Reconnaissance (DNS) (externe ID 2007)Network mapping reconnaissance (DNS) (external ID 2007)
  • Beveiligingsprincipal Reconnaissance (LDAP) (externe ID 2038)Security principal reconnaissance (LDAP) (external ID 2038)
  • Gebruikers-en groepslid maatschappen Reconnaissance (SAMR) (externe ID 2021)User and Group membership reconnaissance (SAMR) (external ID 2021)
  • Gebruikers-en IP-adres Reconnaissance (SMB) (externe ID 2012)User and IP address reconnaissance (SMB) (external ID 2012)

Account inventarisatie Reconnaissance (externe ID 2003)Account enumeration reconnaissance (external ID 2003)

Vorige naam: Reconnaissance met behulp van account inventarisatiePrevious name: Reconnaissance using account enumeration

BeschrijvingDescription

In het geval van een Reconnaissance-account wordt een woorden lijst met duizenden gebruikers namen of hulpprogram ma's zoals KrbGuess gebruikt in een poging om gebruikers namen in het domein te raden.In account enumeration reconnaissance, an attacker uses a dictionary with thousands of user names, or tools such as KrbGuess in an attempt to guess user names in the domain.

Kerberos: aanvaller maakt Kerberos-aanvragen met behulp van deze namen om een geldige gebruikers naam in het domein te vinden.Kerberos: Attacker makes Kerberos requests using these names to try to find a valid username in the domain. Wanneer een gebruikers naam wordt bepaald door een schatting, wordt de verificatie vooraf door de aanvaller opgehaald in plaats van de beveiligings-principal onbekende Kerberos-fout.When a guess successfully determines a username, the attacker gets the Preauthentication required instead of Security principal unknown Kerberos error.

NTLM: een AANVALLER maakt NTLM-verificatie aanvragen met de naam woorden lijst om een geldige gebruikers naam in het domein te vinden.NTLM: Attacker makes NTLM authentication requests using the dictionary of names to try to find a valid username in the domain. Als met een schatting een gebruikers naam wordt bepaald, wordt de WrongPassword (0xc000006a) in plaats van NoSuchUser (0xc0000064) NTLM- fout.If a guess successfully determines a username, the attacker gets the WrongPassword (0xc000006a) instead of NoSuchUser (0xc0000064) NTLM error.

In deze detectie van waarschuwingen wordt Defender voor identiteitDefender for Identity gedetecteerd waar de aanval van de account-inventarisatie afkomstig is, het totale aantal schattings pogingen en hoeveel pogingen er overeenkomen.In this alert detection, Defender voor identiteitDefender for Identity detects where the account enumeration attack came from, the total number of guess attempts, and how many attempts were matched. Als er te veel onbekende gebruikers zijn, Defender voor identiteitDefender for Identity detecteert deze als verdachte activiteit.If there are too many unknown users, Defender voor identiteitDefender for Identity detects it as a suspicious activity. De waarschuwing is gebaseerd op verificatie gebeurtenissen van Sens oren die op domein controller en AD FS servers worden uitgevoerd.The alert is based on authentication events from sensors running on domain controller and AD FS servers.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

Sommige servers en toepassingen vragen domein controllers om te bepalen of er accounts bestaan in legitieme gebruiks scenario's.Some servers and applications query domain controllers to determine if accounts exist in legitimate usage scenarios.

Als u wilt bepalen of deze query een tp, BTP of FP is, klikt u op de waarschuwing om de detail pagina ervan weer te geven:To determine if this query was a TP, BTP or FP, click the alert to get to its detail page:

  1. Controleer of de bron computer dit type query zou moeten uitvoeren.Check if the source computer was supposed to perform this type of query. Voor beelden van een B-TP in dit geval zijn micro soft Exchange servers of Human Resource Systems.Examples of a B-TP in this case could be Microsoft Exchange servers or human resource systems.

  2. Controleer de account domeinen.Check the account domains.

    • Ziet u extra gebruikers die deel uitmaken van een ander domein?Do you see additional users who belong to a different domain?
      Een onjuiste server configuratie, zoals Exchange/Skype of ADSF, kan leiden tot extra gebruikers die deel uitmaken van verschillende domeinen.A server misconfiguration such as Exchange/Skype or ADSF can cause additional users that belong to different domains.
    • Bekijk de configuratie van de problematische service om de onjuiste configuratie op te lossen.Look at the configuration of the problematic service to fix the misconfiguration.

    Als u Ja hebt gereageerd op de bovenstaande vragen, is dit een B-TP- activiteit.If you answered yes to the questions above, it is a B-TP activity. Sluit de beveiligings waarschuwing.Close the security alert.

Bekijk de volgende stap op de bron computer:As the next step, look at the source computer:

  1. Is er een script of toepassing actief op de bron computer die dit gedrag zou kunnen genereren?Is there a script or application running on the source computer that could generate this behavior?
    • Is het script een oud script dat wordt uitgevoerd met oude referenties?Is the script an old script running with old credentials?
      Als dit het geval is, stopt u het script en bewerkt of verwijdert u het.If yes, stop and edit or delete the script.

    • Is de toepassing een beheer-of beveiligings script/toepassing die in de omgeving zou moeten worden uitgevoerd?Is the application an administrative or security script/application that is supposed to run in the environment?

      Als u Ja op vorige vraag hebt beantwoord, sluit u de beveiligings waarschuwing en sluit u die computer uit.If you answered yes to previous question, Close the security alert and exclude that computer. Het is waarschijnlijk een B-TP- activiteit.It is probably a B-TP activity.

Bekijk nu de accounts:Now, look at the accounts:

Aanvallers moeten een woorden lijst met wille keurige account namen gebruiken om bestaande account namen in een organisatie te vinden.Attackers are known to use a dictionary of randomized account names to find existing account names in an organization.

  1. Zien de niet-bestaande accounts er vertrouwd uit?Do the non-existing accounts look familiar?

    • Als de niet-bestaande accounts er vertrouwd uitzien, kunnen ze ook accounts uitschakelen of deel uitmaken van werk nemers die het bedrijf hebben verlaten.If the non-existing accounts look familiar, they may be disabled accounts or belong to employees who left the company.

    • Controleer of er een toepassing of script wordt uitgevoerd om te bepalen welke accounts er nog bestaan in Active Directory.Check for an application or script that checks to determine which accounts still exist in Active Directory.

      Als u Ja hebt gereageerd op een van de vorige vragen, sluit u de beveiligings waarschuwing. Dit is waarschijnlijk een B-TP- activiteit.If you answered yes to one of the previous questions, Close the security alert, it is probably a B-TP activity.

  2. Als een van de schattings pogingen overeenkomt met bestaande account namen, weet de aanvaller dat er accounts in uw omgeving bestaan en kunnen ze proberen om met behulp van de gedetecteerde gebruikers namen toegang te krijgen tot uw domein.If any of the guess attempts match existing account names, the attacker knows of the existence of accounts in your environment and can attempt to use brute force to access your domain using the discovered user names.

    • Controleer de namen van de geraden accounts op extra verdachte activiteiten.Check the guessed account names for additional suspicious activities.
    • Controleer of de overeenkomende accounts gevoelige accounts zijn.Check to see if any of the matched accounts are sensitive accounts.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. De bron computer onderzoekenInvestigate the source computer

  2. Als een van de schattings pogingen overeenkomt met bestaande account namen, weet de aanvaller dat er accounts in uw omgeving bestaan en kunnen ze gebruikmaken van een brute kracht om toegang te krijgen tot uw domein met behulp van de gedetecteerde gebruikers namen.If any of the guess attempts match existing account names, the attacker knows of the existence of accounts in your environment, and can use brute force to attempt to access your domain using the discovered user names. Onderzoek de bestaande accounts met behulp van de hand leiding voor gebruikers onderzoek.Investigate the existing accounts using the user investigation guide.

    Notitie

    Bekijk het bewijs om te leren welk verificatie protocol er wordt gebruikt.Examine the evidence to learn the authentication protocol used. Als NTLM-verificatie is gebruikt, schakelt u NTLM-controle van Windows-gebeurtenis 8004 in op de domein controller om te bepalen van welke bron server de gebruikers toegang hebben.If NTLM authentication was used, enable NTLM auditing of Windows Event 8004 on the domain controller to determine the resource server the users attempted to access.
    Windows-gebeurtenis 8004 is de NTLM-verificatie gebeurtenis die informatie bevat over de bron computer, het gebruikers account en de server waartoe het bron gebruikers account toegang heeft.Windows Event 8004 is the NTLM authentication event that includes information about the source computer, user account, and server that the source user account attempted to access.
    Defender voor identiteitDefender for Identity Hiermee worden de gegevens van de bron computer vastgelegd op basis van Windows-gebeurtenis 4776, die de computer naam bevat die is gedefinieerd als bron computer.Defender voor identiteitDefender for Identity captures the source computer data based on Windows Event 4776, which contains the computer defined source computer name. Met behulp van Windows-gebeurtenis 4776 om deze informatie vast te leggen, wordt het veld informatie bron af en toe overschreven door het apparaat of de software en wordt alleen werk station of MSTSC als informatie bron weer gegeven.Using Windows Event 4776 to capture this information, the information source field is occasionally overwritten by the device or software and only displays Workstation or MSTSC as the information source. Bovendien is de bron computer mogelijk niet echt aanwezig in uw netwerk.In addition, the source computer might not actually exist on your network. Dit is mogelijk omdat de aanvallers meestal gericht is op open-, Internet toegankelijke servers van buiten het netwerk en deze vervolgens gebruiken om uw gebruikers te inventariseren.This is possible because adversaries commonly target open, internet-accessible servers from outside the network and then use it to enumerate your users. Als u regel matig apparaten hebt die worden weer gegeven als werk station of MSTSC, moet u NTLM-controle op de domein controllers inschakelen om de naam van de toegang tot de resource server op te halen.If you frequently have devices that display as Workstation or MSTSC, make sure to enable NTLM auditing on the domain controllers to get the accessed resource server name. U moet deze server ook onderzoeken, controleren of deze is geopend op internet. als dat mogelijk is, kunt u deze sluiten.You should also investigate this server, check if it is opened to the internet, and if you can, close it.

  3. Wanneer u weet welke server de verificatie validatie heeft verzonden, onderzoekt u de server door gebeurtenissen, zoals Windows-gebeurtenis 4624, te controleren om meer inzicht te krijgen in het verificatie proces.When you learn which server sent the authentication validation, investigate the server by checking events, such as Windows Event 4624, to better understand the authentication process.

  4. Controleer of deze server via een open poort toegankelijk is met het internet.Check if this server is exposed to the internet using any open ports. Is de server bijvoorbeeld geopend met behulp van RDP met het Internet?For example, is the server open using RDP to the internet?

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computerbevatten.Contain the source computer.
    1. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    2. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised.
    3. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Complexe en lange wacht woorden afdwingen in de organisatie.Enforce Complex and long passwords in the organization. Complexe en lange wacht woorden bieden het vereiste eerste beveiligings niveau voor aanvallen op basis van brute kracht.Complex and long passwords provide the necessary first level of security against brute-force attacks. Beveiligings aanvallen zijn doorgaans de volgende stap in de keten voor het beëindigen van Cyber aanvallen na de inventarisatie.Brute force attacks are typically the next step in the cyber-attack kill chain following enumeration.

Active Directory Attributes Reconnaissance (LDAP) (externe ID 2210)Active Directory attributes reconnaissance (LDAP) (external ID 2210)

BeschrijvingDescription

Active Directory LDAP-Reconnaissance wordt gebruikt door aanvallers om essentiële informatie over de domein omgeving te verkrijgen.Active Directory LDAP reconnaissance is used by attackers to gain critical information about the domain environment. Deze informatie kan aanvallers helpen bij het toewijzen van de domein structuur en het identificeren van geprivilegieerde accounts voor gebruik in latere stappen in de afsluit keten van een aanval.This information can help attackers map the domain structure, as well as identify privileged accounts for use in later steps in their attack kill chain. LDAP (Lightweight Directory Access Protocol) is een van de populairste methoden die worden gebruikt voor legitieme en schadelijke doel einden om Active Directory te zoeken.Lightweight Directory Access Protocol (LDAP) is one of the most popular methods used for both legitimate and malicious purposes to query Active Directory.

Leer periodeLearning period

Niet van toepassingNot applicable

TP, B-TP of FPTP, B-TP, or FP

  1. Klik op de waarschuwing om de query's weer te geven die zijn uitgevoerd.Click on the alert to view the queries that were performed.
    • Controleer of de bron computer deze query's moet makenCheck if the source computer is supposed to make these queries
      • Zo ja, sluit u de beveiligings waarschuwing als een FP.If yes, close the security alert as an FP. Als het een actieve activiteit is, sluit u de verdachte activiteit uit.If it's an ongoing activity, exclude the suspicious activity.
  2. Klik op de bron computer en ga naar de profiel pagina.Click on the source computer and go to its profile page.
    • Zoek naar ongebruikelijke activiteiten die zijn opgetreden rond de tijd van de query's, zoals de volgende typen Zoek opdrachten: vastgelegd in gebruikers, geopende resources en andere query's in de query.Look for any unusual activities that occurred around the time of the queries such as the following types of search: logged in users, accessed resources, and other probing queries.
    • Als micro soft Defender voor endpoint Integration is ingeschakeld, klikt u op het pictogram om de computer verder te onderzoeken.If Microsoft Defender for Endpoint integration is enabled, click on its icon to further investigate the machine.
      • Zoeken naar ongebruikelijke processen en waarschuwingen die zijn opgetreden rond de tijd van de query'sLook for unusual processes and alerts that occurred around the time of the queries
  3. Controleer de zicht bare accounts.Check exposed accounts.
    • Zoek naar ongebruikelijke activiteiten.Look for unusual activities.

Als u Ja hebt gereageerd op vragen 2 of 3, overweegt u deze waarschuwing een tp en volgt u de instructies in inzicht in het bereik van de schending.If you answered yes to questions 2 or 3, consider this alert a TP and follow the instructions in Understand the scope of the breach.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Bevindt de computer een scan hulpprogramma waarmee verschillende LDAP-query's worden uitgevoerd?Is the computer running a scanning tool that performs various of LDAP queries?
    • Onderzoek of de specifieke gebruikers en groepen in de aanval privileged of accounts met een hoge waarde zijn (dat wil zeggen CEO, CFO, IT-beheer, enz.).Investigate whether the specific queried users and groups in the attack are privileged or high-value accounts (that is, CEO, CFO, IT management, etc.). Als dit het geval is, kunt u ook naar andere activiteiten op het eind punt kijken en computers controleren die zijn aangemeld met de opgevraagde accounts, omdat deze waarschijnlijk doelwit zijn voor de zijdelingse verplaatsing.If so, look at other activities on the endpoint as well and monitor computers that the queried accounts are logged into, as they are probably targets for lateral movement.
  3. Controleer de query's en hun kenmerken en bepaal of ze zijn geslaagd.Check the queries and their attributes, and determine if they were successful. Onderzoek elke weer gegeven groep en zoek naar verdachte activiteiten die zijn gemaakt op de groep of door gebruikers van de groep.Investigate each exposed group, search for suspicious activities made on the group or by member users of the group.
  4. Kunt u het gedrag van SAM-R-, DNS-of SMB-Reconnaissance op de bron computer weer geven?Can you see SAM-R, DNS, or SMB reconnaissance behavior on the source computer?

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computer bevattenContain the source computer
    1. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    2. Als op de computer een hulp programma wordt uitgevoerd waarmee verschillende LDAP-query's worden uitgevoerd, zoekt u naar gebruikers die zijn aangemeld op het moment dat de activiteit is uitgevoerd, omdat deze gebruikers ook kunnen worden aangetast.If the computer is running a scanning tool that performs a variety of LDAP queries,look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Stel het wacht woord opnieuw in als toegang tot de SPN-bron is uitgevoerd onder een gebruikers account (geen computer account).Reset the password if SPN resource access was made that runs under a user account (not machine account).

Netwerk toewijzing Reconnaissance (DNS) (externe ID 2007)Network mapping reconnaissance (DNS) (external ID 2007)

Vorige naam: Reconnaissance met behulp van DNSPrevious name: Reconnaissance using DNS

BeschrijvingDescription

Uw DNS-server bevat een overzicht van alle computers, IP-adressen en services in uw netwerk.Your DNS server contains a map of all the computers, IP addresses, and services in your network. Van deze informatie maken aanvallers gebruik om de netwerkstructuur in kaart te brengen en zich te richten op interessante computers voor de latere fasen van hun aanval.This information is used by attackers to map your network structure and target interesting computers for later steps in their attack.

Er zijn diverse querytypen in het DNS-protocol.There are several query types in the DNS protocol. Deze Defender voor identiteitDefender for Identity beveiligings waarschuwing detecteert verdachte aanvragen, ofwel aanvragen met behulp van een AXFR (overdracht) die afkomstig zijn van niet-DNS-servers of gebruikers met een buitensporige hoeveelheid aanvragen.This Defender voor identiteitDefender for Identity security alert detects suspicious requests, either requests using an AXFR (transfer) originating from non-DNS servers, or those using an excessive amount of requests.

Leer periodeLearning period

Deze waarschuwing heeft een leer periode van 8 dagen vanaf het begin van de controle van de domein controller.This alert has a learning period of 8 days from the start of domain controller monitoring.

TP, B-TP of FPTP, B-TP, or FP

  1. Controleer of de bron computer een DNS-server is.Check if the source computer is a DNS server.

    • Als de bron computer een DNS-server is , sluit u de beveiligings waarschuwing als een FP.If the source computer is a DNS server, close the security alert as an FP.
    • Controleer of UDP-poort 53 is geopend tussen de Defender voor identiteitDefender for Identity sensor en de bron computer om toekomstige fps te voor komen.To prevent future FPs, verify that UDP port 53 is open between the Defender voor identiteitDefender for Identity sensor and the source computer.

Beveiligings scanners en legitieme toepassingen kunnen DNS-query's genereren.Security scanners and legitimate applications can generate DNS queries.

  1. Controleer of deze bron computer dit type activiteit moet genereren?Check if this source computer is supposed to generate this type of activity?

    • Als deze bron computer dit type activiteit moet genereren, sluit u de beveiligings waarschuwing en sluit u de computer uit als een B-TP- activiteit.If this source computer is supposed to generate this type of activity, Close the security alert and exclude the computer as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

HerstelRemediation:

  • De bron computer bevatten.Contain the source computer.
    • Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    • Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze gebruikers ook kunnen worden aangetast.Look for users who were logged on around the same time as the activity occurred, as these users may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.

PreventiePrevention:

Het is belang rijk om toekomstige aanvallen te voor komen met behulp van AXFR-query's door de interne DNS-server te beveiligen.It is important to preventing future attacks using AXFR queries by securing your internal DNS server.

Beveiligingsprincipal Reconnaissance (LDAP) (externe ID 2038)Security principal reconnaissance (LDAP) (external ID 2038)

BeschrijvingDescription

Security Principal Reconnaissance wordt gebruikt door aanvallers om essentiële informatie over de domein omgeving te verkrijgen.Security principal reconnaissance is used by attackers to gain critical information about the domain environment. Informatie die aanvallers helpt bij het toewijzen van de domein structuur, en het identificeren van geprivilegieerde accounts voor gebruik in latere stappen in de afsluit keten van een aanval.Information that helps attackers map the domain structure, as well as identify privileged accounts for use in later steps in their attack kill chain. LDAP (Lightweight Directory Access Protocol) is een van de populairste methoden die worden gebruikt voor legitieme en schadelijke doel einden om Active Directory te zoeken.Lightweight Directory Access Protocol (LDAP) is one the most popular methods used for both legitimate and malicious purposes to query Active Directory. LDAP focus Security Principal Reconnaissance wordt vaak gebruikt als de eerste fase van een Kerberoasting-aanval.LDAP focused security principal reconnaissance is commonly used as the first phase of a Kerberoasting attack. Kerberoasting-aanvallen worden gebruikt voor het ophalen van een doel lijst met Spn's (Security Principal Names), waarmee aanvallers proberen TGS-tickets (ticket granting server) op te halen voor.Kerberoasting attacks are used to get a target list of Security Principal Names (SPNs), which attackers then attempt to get Ticket Granting Server (TGS) tickets for.

Defender voor identiteitDefender for IdentityEr worden in de eerste tien dagen na de implementatie geen waarschuwingen van dit type geactiveerd, zodat u legitieme gebruikers nauw keurig kunt profileren en leren Defender voor identiteitDefender for Identity .In order to allow Defender voor identiteitDefender for Identity to accurately profile and learn legitimate users, no alerts of this type are triggered in the first 10 days following Defender voor identiteitDefender for Identity deployment. Zodra de Defender voor identiteitDefender for Identity eerste leer fase is voltooid, worden er waarschuwingen gegenereerd op computers die verdachte LDAP-inventarisatie query's uitvoeren of query's die zijn gericht op gevoelige groepen die gebruikmaken van methoden die niet eerder zijn waargenomen.Once the Defender voor identiteitDefender for Identity initial learning phase is completed, alerts are generated on computers which perform suspicious LDAP enumeration queries or queries targeted to sensitive groups that using methods not previously observed.

Leer periodeLearning period

15 dagen per computer, vanaf de dag van de eerste gebeurtenis, gemeten vanaf de computer.15 days per computer, starting from the day of the first event, observed from the machine.

TP, B-TP of FPTP, B-TP, or FP

  1. Klik op de bron computer en ga naar de profiel pagina.Click on the source computer and go to its profile page.
    1. Verwacht deze bron computer deze activiteit te genereren?Is this source computer expected to generate this activity?
    2. Als de computer en activiteit worden verwacht, sluit u de beveiligings waarschuwing en sluit u die computer uit als een B-TP- activiteit.If the computer and activity are expected, Close the security alert and exclude that computer as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Controleer de query's die zijn uitgevoerd (zoals domein Administrators of alle gebruikers in een domein) en bepaal of de query's zijn geslaagd.Check the queries that were performed (such as Domain admins, or all users in a domain) and determine if the queries were successful. Onderzoek elke blootgestelde groep naar verdachte activiteiten die zijn uitgevoerd op de groep of door gebruikers van de groep.Investigate each exposed group search for suspicious activities made on the group, or by member users of the group.
  2. Onderzoek de bron computer.Investigate the source computer.
    • Als u de LDAP-query's gebruikt, controleert u of er een activiteit voor bron toegang op een van de weer gegeven Spn's heeft plaatsgevonden.Using the LDAP queries, check if any resource access activity occurred on any of the exposed SPNs.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computer bevattenContain the source computer
    1. Zoek het hulp programma dat de aanval heeft uitgevoerd en verwijder het.Find the tool that performed the attack and remove it.
    2. Bevindt de computer een scan hulpprogramma waarmee een groot aantal LDAP-query's worden uitgevoerd?Is the computer running a scanning tool that performs a variety of LDAP queries?
    3. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit heeft plaatsgevonden, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity occurred as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Stel het wacht woord opnieuw in als toegang tot de SPN-bron is uitgevoerd onder een gebruikers account (geen computer account).Reset the password if SPN resource access was made that runs under a user account (not machine account).

Kerberoasting specifieke voorgestelde stappen voor preventie en herstelKerberoasting specific suggested steps for prevention and remediation

  1. Als u de wacht woorden van de gebruikers die Azure Active Directory Identity Protection zijn aangetast opnieuw instelt en MFA inschakelt, kunt u de actie door gebruiker geïnfecteerde gebruikers in de Cloud app Security Portal gebruiken.Reset the passwords of the compromised users and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  2. Gebruik van lange en complexe wacht woorden vereisen voor gebruikers met Service-Principal-accounts.Require use of long and complex passwords for users with service principal accounts.
  3. Vervang het gebruikers account door een door de groep beheerde service account (gMSA).Replace the user account by Group Managed Service Account (gMSA).

Notitie

Security Principal Reconnaissance (LDAP)-waarschuwingen worden alleen ondersteund door Defender voor identiteitDefender for Identity Sens oren.Security principal reconnaissance (LDAP) alerts are supported by Defender voor identiteitDefender for Identity sensors only.

Gebruikers-en groepslid maatschappen Reconnaissance (SAMR) (externe ID 2021)User and Group membership reconnaissance (SAMR) (external ID 2021)

Vorige naam: Reconnaissance met behulp van Directory Services-query'sPrevious name: Reconnaissance using directory services queries

BeschrijvingDescription

Gebruikers-en groepslid maatschappen Reconnaissance worden door aanvallers gebruikt om de mapstructuur en de accounts met privileges te koppelen voor latere stappen in hun aanval.User and group membership reconnaissance are used by attackers to map the directory structure and target privileged accounts for later steps in their attack. Het SAM-R-Protocol (Security Account Manager Remote) is een van de methoden die worden gebruikt om een query uit te voeren op de Directory voor het uitvoeren van dit type toewijzing.The Security Account Manager Remote (SAM-R) protocol is one of the methods used to query the directory to perform this type of mapping. In deze detectie worden geen waarschuwingen geactiveerd in de eerste maand na de Defender voor identiteitDefender for Identity Implementatie (Leer periode).In this detection, no alerts are triggered in the first month after Defender voor identiteitDefender for Identity is deployed (learning period). Tijdens de leer periode geven Defender voor identiteitDefender for Identity profielen aan welke Sam-R-query's worden uitgevoerd op welke computers, zowel inventarisatie als afzonderlijke query's van gevoelige accounts.During the learning period, Defender voor identiteitDefender for Identity profiles which SAM-R queries are made from which computers, both enumeration and individual queries of sensitive accounts.

Leer periodeLearning period

Vier weken per domein controller vanaf de eerste netwerk activiteit van SAMR op basis van de specifieke DC.Four weeks per domain controller starting from the first network activity of SAMR against the specific DC.

TP, B-TP of FPTP, B-TP, or FP

  1. Klik op de bron computer om naar de bijbehorende profiel pagina te gaan.Click the source computer to go to its profile page.
    • Moet de bron computer activiteiten van dit type genereren?Is the source computer supposed to generate activities of this type?

      • Zo ja, sluit u de beveiligings waarschuwing en sluit u die computer uit als een B-TP- activiteit.If yes, Close the security alert and exclude that computer, as a B-TP activity.
    • Controleer de gebruiker/s die de bewerking hebben uitgevoerd.Check the user/s that performed the operation.

      • Maken deze gebruikers zich normaal gesp roken bij deze bron computer of zijn ze beheerders die specifieke acties moeten uitvoeren?Do those users normally log into that source computer, or are they administrators that should be performing those specific actions?
    • Controleer het gebruikers profiel en de bijbehorende gebruikers activiteiten.Check the user profile, and their related user activities. Inzicht in hun normale gebruikers gedrag en zoek naar aanvullende verdachte activiteiten met behulp van de hand leiding voor gebruikers onderzoek.Understand their normal user behavior and search for additional suspicious activities using the user investigation guide.

      Als u Ja aan de vorige voor gaande hebt beantwoord, sluit u de waarschuwing als een B-TP- activiteit.If you answered yes to the previous above, Close the alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Controleer de query's die zijn uitgevoerd, zoals ondernemings Administrators of beheerder en bepaal of ze zijn geslaagd.Check the queries that were performed, for example, Enterprise admins, or Administrator, and determine if they were successful.
  2. Onderzoek elke blootgestelde gebruiker met behulp van de gebruikers handleiding.Investigate each exposed user using the user investigation guide.
  3. Onderzoek de bron computer.Investigate the source computer.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

  1. De bron computer bevatten.Contain the source computer.
  2. Zoek en verwijder het hulp programma waarmee de aanval is uitgevoerd.Find and remove the tool that performed the attack.
  3. Zoek naar gebruikers die zijn aangemeld op hetzelfde moment als de activiteit, omdat deze mogelijk ook worden aangetast.Look for users logged on around the same time as the activity, as they may also be compromised. Hun wacht woord opnieuw instellen en MFA inschakelen of, als u het relevante gebruikers beleid met een hoog risico in Azure Active Directory Identity Protection hebt geconfigureerd, kunt u de actie door gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset their passwords and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  4. Stel het wacht woord voor de bron gebruiker opnieuw in en schakel MFA in of, als u het relevante gebruikers beleid met een hoog risico hebt geconfigureerd in Azure Active Directory Identity Protection, kunt u de actie door de gebruiker bevestigde gebruikers in de Cloud app Security Portal gebruiken.Reset the source user password and enable MFA or, if you have configured the relevant high-risk user policies in Azure Active Directory Identity Protection, you can use the Confirm user compromised action in the Cloud App Security portal.
  5. Netwerk toegang Toep assen en clients beperken die externe aanroepen naar het groeps beleid van SAM mogen uitvoeren.Apply Network access and restrict clients allowed to make remote calls to SAM group policy.

Gebruikers-en IP-adres Reconnaissance (SMB) (externe ID 2012)User and IP address reconnaissance (SMB) (external ID 2012)

Vorige naam: Reconnaissance met behulp van SMB-sessie-inventarisatiePrevious name: Reconnaissance using SMB Session Enumeration

BeschrijvingDescription

Inventarisatie met behulp van SMB-protocol (Server Message Block) stelt aanvallers in staat om informatie te krijgen over de locatie van gebruikers die zich onlangs hebben aangemeld.Enumeration using Server Message Block (SMB) protocol enables attackers to get information about where users recently logged on. Als aanvallers deze informatie hebben, kunnen ze later in het netwerk naar een specifiek gevoelig account gaan.Once attackers have this information, they can move laterally in the network to get to a specific sensitive account.

Bij deze detectie wordt een waarschuwing geactiveerd wanneer een SMB-sessie-inventarisatie wordt uitgevoerd op een domein controller.In this detection, an alert is triggered when an SMB session enumeration is performed against a domain controller.

TP, B-TP of FPTP, B-TP, or FP

Beveiligings scanners en toepassingen kunnen een rechtmatige query uitvoeren op domein controllers voor open SMB-sessies.Security scanners and applications may legitimately query domain controllers for open SMB sessions.

  1. Moet deze bron computer activiteiten van dit type genereren?Is this source computer supposed to generate activities of this type?
  2. Is er een soort beveiligings scanner actief op de bron computer?Is there some kind of security scanner running on the source computer? Als het antwoord ja is, is het waarschijnlijk een B-TP-activiteit.If the answer is yes, it is probably a B-TP activity. Sluit de beveiligings waarschuwing en sluit die computer uit.Close the security alert and exclude that computer.
  3. Controleer de gebruikers die de bewerking hebben uitgevoerd.Check the users that performed the operation. Moeten deze gebruikers deze acties uitvoeren?Are those users supposed to perform those actions? Als het antwoord ja is, sluit u de beveiligings waarschuwing als een B-TP-activiteit.If the answer is yes, Close the security alert as a B-TP activity.

Inzicht in het bereik van de schendingUnderstand the scope of the breach

  1. Onderzoek de bron computer.Investigate the source computer.
  2. Controleer op de pagina waarschuwing of er beschik bare gebruikers zijn.On the alert page, check if there are any exposed users. Als u elke beschik bare gebruiker verder wilt onderzoeken, controleert u het profiel.To further investigate each exposed user, check their profile. We raden u aan om te beginnen met uw onderzoek met gevoelige en gebruikers met een hoge onderzoek prioriteit.We recommend you begin your investigation with sensitive and high investigation priority users.

Voorgestelde herbemiddeling en stappen voor het voor komen vanSuggested remediation and steps for prevention

Gebruik het hulp programma net stop om uw omgeving te beveiligen tegen deze aanval.Use the Net Cease tool to harden your environment against this attack.

Notitie

Defender voor identiteitDefender for IdentityNeem contact op met de ondersteuning om een beveiligings waarschuwing uit te scha kelen.To disable any Defender voor identiteitDefender for Identity security alert, contact support.

Zie ookSee Also