Поделиться через


Оповещения о разведке и обнаружении

Как правило, кибератаки запускаются против любой доступной сущности, например пользователя с низким уровнем привилегий, а затем быстро перемещаются позже, пока злоумышленник не получит доступ к ценным ресурсам. Ценные ресурсы могут быть конфиденциальными учетными записями, администраторами домена или конфиденциальными данными. Microsoft Defender для удостоверений позволяет устанавливать источники таких современных угроз, прослеживая всю цепочку атаки, и классифицировать их по следующим этапам:

  1. Разведка и обнаружение
  2. Оповещения о сохраняемости и эскалации привилегий
  3. Оповещения о доступе к учетным данным
  4. Оповещения бокового перемещения
  5. Другие оповещения

Дополнительные сведения о структуре и общих компонентах всех оповещений системы безопасности Defender для удостоверений см. в разделе Основные сведения об оповещениях безопасности. Сведения о истинном положительном (TP), доброкачественном истинном положительном (B-TP) и ложноположительных (FP) см . в классификациях оповещений системы безопасности.

Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия по разведке и обнаружению подозрительных действий, обнаруженных Defender для удостоверений в сети.

Разведка и обнаружение состоят из методов, которые злоумышленник может использовать для получения знаний о системе и внутренней сети. Эти методы помогают злоумышленникам наблюдать за окружающей средой и ориентироваться перед решением о том, как действовать. Они также позволяют злоумышленникам изучить, что они могут контролировать и что вокруг их точки входа, чтобы узнать, как это может воспользоваться их текущей целью. Средства собственной операционной системы часто используются для этой цели сбора информации после компрометации. В Microsoft Defender для удостоверений эти оповещения обычно включают перечисление внутренних учетных записей с различными методами.

Разведка перечисления учетных записей (внешний идентификатор 2003)

Предыдущее имя: разведка с помощью перечисления учетных записей

Серьезность: средний

Описание.

В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или средствами, такими как KrbGuess, в попытке угадать имена пользователей в домене.

Kerberos: злоумышленник запрашивает Kerberos с помощью этих имен, чтобы попытаться найти допустимое имя пользователя в домене. Когда предположение успешно определяет имя пользователя, злоумышленник получает требуемую предварительную проверку подлинности вместо неизвестной ошибки Kerberos субъекта безопасности.

NTLM: злоумышленник выполняет запросы на проверку подлинности NTLM с помощью словаря имен, чтобы попытаться найти допустимое имя пользователя в домене. Если предположение успешно определяет имя пользователя, злоумышленник получает ошибку WrongPassword (0xc000006a) вместо ошибки NoSuchUser (0xc0000064) NTLM.

При таком обнаружении Defender для удостоверений может определить, откуда пришла атака перечисления учетных записей, а также сколько всего попыток угадывания и успешных совпадений было. Если неизвестных пользователей слишком много, Defender для удостоверений распознает это как подозрительное действие. Оповещение основано на событиях проверки подлинности от датчиков, работающих на контроллере домена и серверах AD FS или AD CS.

Обучение период:

нет

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087)
Подтехника атаки MITRE Учетная запись домена (T1087.002)

Рекомендуемые шаги по предотвращению:

  1. Применение сложных и длинных паролей в организации. Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности для атак подбора. Атаки методом подбора обычно являются следующим шагом в цепочке кибератак после перечисления.

Разведка перечисления учетных записей (LDAP) (внешний идентификатор 2437) (предварительная версия)

Серьезность: средний

Описание.

В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или средствами, такими как Ldapnomnom, в попытке угадать имена пользователей в домене.

LDAP: злоумышленник делает запросы Ping LDAP (cLDAP) с помощью этих имен, чтобы попытаться найти допустимое имя пользователя в домене. Если предположение успешно определяет имя пользователя, злоумышленник может получить ответ, указывающий, что пользователь существует в домене.

При таком обнаружении Defender для удостоверений может определить, откуда пришла атака перечисления учетных записей, а также сколько всего попыток угадывания и успешных совпадений было. Если неизвестных пользователей слишком много, Defender для удостоверений распознает это как подозрительное действие. Это оповещение основано на действиях поиска LDAP с датчиков, работающих на серверах контроллера домена.

Обучение период:

нет

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087)
Подтехника атаки MITRE Учетная запись домена (T1087.002)

Рекогносцировка сетевого сопоставления (DNS) (внешний идентификатор 2007)

Предыдущее имя: рекогносцировка с помощью DNS

Серьезность: средний

Описание.

DNS-сервер содержит карту всех компьютеров, IP-адресов и служб в сети. Эта информация используется злоумышленниками для сопоставления сетевой структуры и целевых компьютеров для последующих шагов в их атаке.

В протоколе DNS существует несколько типов запросов. Это оповещение системы безопасности Defender для удостоверений обнаруживает подозрительные запросы: либо запросы с использованием AXFR (на передачу) от серверов, не использующих DNS, либо чрезмерно большое количество запросов.

Обучение период:

Это оповещение имеет период обучения восемь дней с начала мониторинга контроллера домена.

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087), сканирование сетевых служб (T1046), удаленное обнаружение систем (T1018)
Подтехника атаки MITRE Н/П

Рекомендуемые шаги по предотвращению:

Важно предотвратить будущие атаки с помощью запросов AXFR путем защиты внутреннего DNS-сервера.

Рекогносцировка пользователей и IP-адресов (S МБ) (внешний идентификатор 2012)

Предыдущее имя: рекогносцировка с помощью перечисления сеансов S МБ

Серьезность: средний

Описание.

Перечисление с помощью протокола "Блок сообщений сервера" (S МБ) позволяет злоумышленникам получать сведения о том, где пользователи недавно вошли в систему. После того как злоумышленники получат эти сведения, они могут перемещаться позже в сети, чтобы перейти к определенной конфиденциальной учетной записи.

В этом обнаружении оповещение активируется при выполнении перечисления сеансов S МБ для контроллера домена.

Обучение период:

нет

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087), обнаружение системных Подключение ions (T1049)
Подтехника атаки MITRE Учетная запись домена (T1087.002)

Разведка членства пользователей и групп (SAMR) (внешний идентификатор 2021)

Предыдущее имя: разведка с помощью запросов служб каталогов

Серьезность: средний

Описание.

Рекогносцировка пользователей и членства в группах применяется злоумышленниками с целью определения структуры каталогов и выявления привилегированных учетных записей для дальнейших этапов атаки. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения этого типа сопоставления. При таком обнаружении в течение первого месяца после развертывания Defender для удостоверений оповещения будут отсутствовать (период обучения). Во время периода обучения Defender для удостоверений определяет, какие запросы SAM-R соответствуют каждому компьютеру. Это могут быть групповые или отдельные запросы конфиденциальной учетной записи.

Обучение период:

Четыре недели на контроллер домена, начиная с первого сетевого действия SAMR в отношении конкретного контроллера домена.

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087), обнаружение групп разрешений (T1069)
Подтехника атаки MITRE Учетная запись домена (T1087.002), группа доменов (T1069.002)

Рекомендуемые шаги по предотвращению:

  1. Применение сетевого доступа и ограничение клиентов для удаленного вызова групповой политики SAM.

Рекогносцировка атрибутов Active Directory (LDAP) (внешний идентификатор 2210)

Серьезность: средний

Описание.

Разведка LDAP Active Directory используется злоумышленниками для получения критически важных сведений о среде домена. Эта информация может помочь злоумышленникам сопоставить структуру домена, а также определить привилегированные учетные записи для использования в последующих шагах в цепочке убийств атак. Протокол LDAP является одним из самых популярных методов, используемых как для законных, так и вредоносных целей для запроса Active Directory.

Обучение период:

нет

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087),непрямое выполнение команд (T1202), обнаружение групп разрешений (T1069)
Подтехника атаки MITRE Учетная запись домена (T1087.002), группы домена (T1069.002)

Honeytoken был запрошен через SAM-R (внешний идентификатор 2439)

Серьезность: низкая

Описание.

Разведка пользователей используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих шагов в их атаке. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения этого типа сопоставления. В этом обнаружении Microsoft Defender для удостоверений активирует это оповещение для любых действий рекогносцировки для предварительно настроенного пользователя honeytoken

Обучение период:

нет

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087)
Подтехника атаки MITRE Учетная запись домена (T1087.002)

Honeytoken был запрошен через LDAP (внешний идентификатор 2429)

Серьезность: низкая

Описание.

Разведка пользователей используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих шагов в их атаке. Протокол LDAP является одним из самых популярных методов, используемых как для законных, так и вредоносных целей для запроса Active Directory.

В этом обнаружении Microsoft Defender для удостоверений активирует это оповещение для любых действий рекогносцировки для предварительно настроенного пользователя honeytoken.

Обучение период:

нет

MITRE:

Основная тактика MITRE Обнаружение (TA0007)
Метод атаки MITRE Обнаружение учетных записей (T1087)
Подтехника атаки MITRE Учетная запись домена (T1087.002)

Перечисление подозрительной учетной записи Okta

Серьезность: высокий уровень

Описание.

В перечислении учетных записей злоумышленники попытаются угадать имена пользователей, выполнив входы в Okta с пользователями, которые не принадлежат организации. Мы рекомендуем исследовать исходный IP-адрес, выполняющий неудачные попытки, и определить, являются ли они законными или нет.

Обучение период:

нет

MITRE:

Основная тактика MITRE Первоначальный доступ (TA0001),Оборона Evasion (TA0005), сохраняемость (TA0003), эскалация привилегий (TA0004)
Метод атаки MITRE Допустимые учетные записи (T1078)
Подтехника атаки MITRE Облачные учетные записи (T1078.004)

См. также