Alerty rekonesansu i odnajdywania
Zazwyczaj cyberataki są uruchamiane względem każdej dostępnej jednostki, takiej jak użytkownik o niskich uprawnieniach, a następnie szybko przechodzą później, aż atakujący uzyska dostęp do cennych zasobów. Cenne zasoby mogą być poufnymi kontami, administratorami domeny lub wysoce poufnymi danymi. Usługa Microsoft Defender for Identity identyfikuje te zaawansowane zagrożenia w źródle w całym łańcuchu zabić ataków i klasyfikuje je w następujących fazach:
- Rekonesans i odkrycie
- Alerty dotyczące trwałości i eskalacji uprawnień
- Alerty dostępu do poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Inne alerty
Aby dowiedzieć się więcej o sposobie zrozumienia struktury i typowych składników wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Opis alertów zabezpieczeń. Aby uzyskać informacje na temat prawdziwie dodatnich (TP), łagodnych wyników prawdziwie dodatnich (B-TP) i Fałszywie dodatnich (FP), zobacz Klasyfikacje alertów zabezpieczeń.
Poniższe alerty zabezpieczeń ułatwiają identyfikowanie i korygowanie rekonesansu i fazy odnajdywania podejrzanych działań wykrytych przez usługę Defender for Identity w sieci.
Rekonesans i odnajdywanie składa się z technik, których przeciwnik może użyć do uzyskania wiedzy na temat systemu i sieci wewnętrznej. Te techniki pomagają przeciwnikom obserwować środowisko i orientować się przed podjęciem decyzji, jak działać. Umożliwiają one również przeciwnikom zbadanie, co mogą kontrolować i co wokół punktu wejścia, aby dowiedzieć się, jak może to przynieść korzyści ich obecnemu celowi. Natywne narzędzia systemu operacyjnego są często używane w celu zbierania informacji po naruszeniu zabezpieczeń. W usłudze Microsoft Defender for Identity te alerty zwykle obejmują wyliczenie konta wewnętrznego z różnymi technikami.
Rekonesans wyliczania konta (identyfikator zewnętrzny 2003)
Poprzednia nazwa: Rekonesans przy użyciu wyliczenia konta
Ważność: średni rozmiar
Opis rozwiązania:
W rekonesansie wyliczania konta osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak KrbGuess, próbując odgadnąć nazwy użytkowników w domenie.
Kerberos: osoba atakująca wysyła żądania Protokołu Kerberos przy użyciu tych nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Po pomyślnym ustaleniu nazwy użytkownika osoba atakująca pobiera wymagane wstępne uwierzytelnianie zamiast nieznanego błędu Kerberos podmiotu zabezpieczeń.
NTLM: Osoba atakująca wysyła żądania uwierzytelniania NTLM przy użyciu słownika nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Jeśli uda się ustalić nazwę użytkownika, osoba atakująca pobierze błąd WrongPassword (0xc000006a) zamiast noSuchUser (0xc0000064) NTLM.
W tym wykryciu alertu usługa Defender for Identity wykrywa, skąd pochodzi atak wyliczania konta, łączna liczba prób odgadnięcia i liczba dopasowań prób. Jeśli istnieje zbyt wielu nieznanych użytkowników, usługa Defender for Identity wykryje ją jako podejrzane działanie. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS / AD CS.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002) |
Sugerowane kroki zapobiegania:
- Wymuszanie złożonych i długich haseł w organizacji. Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi. Ataki siłowe są zazwyczaj następnym krokiem w łańcuchu ataków cybernetycznych po wyliczeniem.
Rekonesans wyliczania konta (LDAP) (identyfikator zewnętrzny 2437) (wersja zapoznawcza)
Ważność: średni rozmiar
Opis rozwiązania:
W rekonesansie wyliczania kont osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak Ldapnomnom, próbując odgadnąć nazwy użytkowników w domenie.
LDAP: Osoba atakująca wysyła żądania ping LDAP (cLDAP) przy użyciu tych nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Jeśli uda się ustalić nazwę użytkownika, osoba atakująca może otrzymać odpowiedź wskazującą, że użytkownik istnieje w domenie.
W tym wykryciu alertu usługa Defender for Identity wykrywa, skąd pochodzi atak wyliczania konta, łączna liczba prób odgadnięcia i liczba dopasowań prób. Jeśli istnieje zbyt wielu nieznanych użytkowników, usługa Defender for Identity wykryje ją jako podejrzane działanie. Alert jest oparty na działaniach wyszukiwania LDAP z czujników uruchomionych na serwerach kontrolera domeny.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002) |
Rekonesans mapowania sieci (DNS) (identyfikator zewnętrzny 2007)
Poprzednia nazwa: Rekonesans przy użyciu systemu DNS
Ważność: średni rozmiar
Opis rozwiązania:
Serwer DNS zawiera mapę wszystkich komputerów, adresów IP i usług w sieci. Te informacje są używane przez osoby atakujące do mapowania struktury sieci i kierowania interesujących komputerów do dalszych kroków w ataku.
Istnieje kilka typów zapytań w protokole DNS. Ten alert zabezpieczeń usługi Defender for Identity wykrywa podejrzane żądania, żądania korzystające z protokołu AXFR (transfer) pochodzącego z serwerów innych niż DNS lub korzystających z nadmiernej liczby żądań.
okres Edukacja:
Ten alert ma okres szkoleniowy z ośmiu dni od rozpoczęcia monitorowania kontrolera domeny.
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087), skanowanie usługi sieciowej (T1046), odnajdywanie systemu zdalnego (T1018) |
| Sub-technika ataku MITRE | Nie dotyczy |
Sugerowane kroki zapobiegania:
Ważne jest, aby zapobiec przyszłym atakom przy użyciu zapytań AXFR przez zabezpieczenie wewnętrznego serwera DNS.
- Zabezpiecz wewnętrzny serwer DNS, aby zapobiec rekonesansowi przy użyciu systemu DNS, wyłączając transfery stref lub ograniczając transfery stref tylko do określonych adresów IP. Modyfikowanie transferów stref jest jednym z zadań listy kontrolnej, które należy rozwiązać w celu zabezpieczenia serwerów DNS zarówno z ataków wewnętrznych, jak i zewnętrznych.
Rekonesans użytkownika i adresu IP (SMB) (identyfikator zewnętrzny 2012)
Poprzednia nazwa: Rekonesans przy użyciu wyliczania sesji SMB
Ważność: średni rozmiar
Opis rozwiązania:
Wyliczanie przy użyciu protokołu SMB (Server Message Block) umożliwia osobom atakującym uzyskanie informacji o tym, gdzie użytkownicy niedawno się zalogowali. Gdy osoby atakujące otrzymają te informacje, mogą przejść później w sieci, aby uzyskać dostęp do określonego poufnego konta.
W tym wykryciu alert jest wyzwalany, gdy wyliczenie sesji SMB jest wykonywane na kontrolerze domeny.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087), odnajdywanie Połączenie ionów sieci systemowych (T1049) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002) |
Rekonesans członkostwa użytkowników i grup (SAMR) (identyfikator zewnętrzny 2021)
Poprzednia nazwa: Rekonesans przy użyciu zapytań usług katalogowych
Ważność: średni rozmiar
Opis rozwiązania:
Rekonesans członkostwa użytkowników i grup są używane przez osoby atakujące do mapowania struktury katalogów i docelowych kont uprzywilejowanych na późniejsze kroki ataku. Protokół zdalny menedżera kont zabezpieczeń (SAM-R) jest jedną z metod używanych do wykonywania zapytań względem katalogu w celu wykonania tego typu mapowania. W tym wykryciu nie są wyzwalane żadne alerty w pierwszym miesiącu po wdrożeniu usługi Defender for Identity (okres szkoleniowy). W okresie szkoleniowym profile usługi Defender for Identity, z których są wykonywane zapytania SAM-R, zarówno wyliczenia, jak i pojedyncze zapytania dotyczące poufnych kont.
okres Edukacja:
Cztery tygodnie na kontroler domeny, począwszy od pierwszej aktywności sieciowej SAMR względem określonego kontrolera domeny.
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087), odnajdywanie grup uprawnień (T1069) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002), grupa domen (T1069.002) |
Sugerowane kroki zapobiegania:
- Zastosuj dostęp sieciowy i ogranicz klientów, którzy mogą wykonywać połączenia zdalne z zasadami grupy SAM.
Rekonesans atrybutów usługi Active Directory (LDAP) (identyfikator zewnętrzny 2210)
Ważność: średni rozmiar
Opis rozwiązania:
Rekonesans LDAP usługi Active Directory jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. Te informacje mogą pomóc osobom atakującym mapować strukturę domeny, a także identyfikować uprzywilejowane konta do użycia w kolejnych krokach w łańcuchu zabić ataków. Lightweight Directory Access Protocol (LDAP) to jedna z najpopularniejszych metod używanych zarówno do celów legalnych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087), pośrednie wykonywanie poleceń (T1202), odnajdywanie grup uprawnień (T1069) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002), grupy domen (T1069.002) |
Zapytanie o token honeytoken został zapytany za pośrednictwem protokołu SAM-R (identyfikator zewnętrzny 2439)
Ważność: Niska
Opis rozwiązania:
Rekonesans użytkownika jest używany przez osoby atakujące do mapowania struktury katalogów i docelowych kont uprzywilejowanych na późniejsze kroki ataku. Protokół zdalny menedżera kont zabezpieczeń (SAM-R) jest jedną z metod używanych do wykonywania zapytań względem katalogu w celu wykonania tego typu mapowania. W tym wykryciu usługa Microsoft Defender for Identity wyzwoli ten alert dla wszelkich działań rozpoznawczych dla wstępnie skonfigurowanego użytkownika wystawionego jako przynęta
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002) |
Zapytanie o token honeytoken został zapytany za pośrednictwem protokołu LDAP (identyfikator zewnętrzny 2429)
Ważność: Niska
Opis rozwiązania:
Rekonesans użytkownika jest używany przez osoby atakujące do mapowania struktury katalogów i docelowych kont uprzywilejowanych na późniejsze kroki ataku. Lightweight Directory Access Protocol (LDAP) to jedna z najpopularniejszych metod używanych zarówno do celów legalnych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory.
W tym wykryciu usługa Microsoft Defender for Identity wyzwoli ten alert dla wszelkich działań rozpoznawczych dla wstępnie skonfigurowanego użytkownika wystawionego jako przynęta.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Odnajdywanie (TA0007) |
|---|---|
| Technika ataku MITRE | Odnajdywanie kont (T1087) |
| Sub-technika ataku MITRE | Konto domeny (T1087.002) |
Podejrzane wyliczenie konta Okta
Ważność: Wysoka
Opis rozwiązania:
Wyliczenie konta osoby atakujące spróbują odgadnąć nazwy użytkowników, wykonując logowania do usługi Okta z użytkownikami, którzy nie należą do organizacji. Zalecamy zbadanie źródłowego adresu IP podczas nieudanych prób i określenie, czy są one uzasadnione, czy nie.
okres Edukacja:
Brak
MITRE:
| Podstawowa taktyka MITRE | Dostęp początkowy (TA0001), uchylanie się od obrony (TA0005), trwałość (TA0003), eskalacja uprawnień (TA0004) |
|---|---|
| Technika ataku MITRE | Prawidłowe konta (T1078) |
| Sub-technika ataku MITRE | Konta w chmurze (T1078.004) |