Öğretici: Keşif playbook'u

Kimlik için Microsoft Defender güvenlik uyarıları için bu dört bölüm serisinin ikinci öğreticisi keşif playbook'udur. Kimlik için Defender güvenlik uyarısı laboratuvarının amacı, Kimlik için Defender'ın ağınıza yönelik şüpheli etkinlikleri ve olası saldırıları tanımlama ve algılamadaki özelliklerini göstermektir. Playbook, Kimlik için Defender'ın bazı ayrı algılamalarında nasıl test yapılacağını açıklar ve Kimlik için Defender'ın imza tabanlı özelliklerine odaklanır. Bu playbook, 30 güne kadar gerçek ağ trafiğine sahip bir öğrenme süresi gerektirdiği için gelişmiş makine öğrenmesine dayalı uyarılar veya algılamalar ya da kullanıcı/varlık tabanlı davranış algılamaları içermez. Bu serideki her öğretici hakkında daha fazla bilgi için bkz. Kimlik için Defender güvenlik uyarısı laboratuvarına genel bakış.

Bu playbook, yaygın, gerçek dünyadan, herkese açık korsanlık ve saldırı araçlarından gelen sanal saldırılar için Kimlik için Defender'ın tehdit algılamalarını ve güvenlik uyarıları hizmetlerini gösterir.

Bu öğreticide şunları yapacaksınız:

  • Ağ eşleme keşfi simülasyonu
  • Dizin Hizmeti keşfi simülasyonu
  • Kullanıcı ve IP adresi (SMB) keşfi simülasyonu
  • Kimlik için Defender'da sanal keşiften gelen güvenlik uyarılarını gözden geçirin

Önkoşullar

Tamamlanmış bir Kimlik için Defender güvenlik uyarısı laboratuvarı

  • Laboratuvar kurulum yönergelerini mümkün olduğunca yakından takip kullanmanızı öneririz. Laboratuvarınız önerilen laboratuvar kurulumuna ne kadar yakın olursa, Kimlik için Defender test yordamlarını izlemek o kadar kolay olur.

Uyarı

Bu laboratuvardaki üçüncü taraf hackleme araçları yalnızca araştırma amacıyla sunulmaktadır. Microsoft bu araçlara sahip değildir ve Microsoft bu araçların davranışlarını garanti edemez ve garanti edemez. Bunlar bildirimde bulunmadan değiştirilebilir. Bu araçlar yalnızca test laboratuvarı ortamında çalıştırılmalıdır.

Keşif saldırısı simülasyonu

Bir saldırgan ortamınızda varlığını kazandığında keşif kampanyası başlar. Bu aşamada saldırgan genellikle araştırma yapmak için zaman harcar. İlgi çekici bilgisayarları keşfetmeye, kullanıcıları ve grupları listelemeye, önemli IP'leri toplamaya ve kuruluşunuzun varlıklarını ve zayıf yönlerini eşlemeye çalışır. Keşif etkinlikleri, saldırganların daha sonra kullanmak üzere ortamınızın kapsamlı bir şekilde anlaşılmasını ve tam eşlemesini elde etmelerini sağlar.

Keşif saldırısı test yöntemleri:

  • Ağ eşleme keşfi
  • Dizin Hizmeti keşfi
  • Kullanıcı ve IP Adresi (SMB) keşfi

Ağ eşleme keşfi (DNS)

Saldırganın deneyeceği ilk şeylerden biri, tüm DNS bilgilerinin bir kopyasını almayı denemektir. Başarılı olduğunda, saldırgan ortamınız hakkında diğer ortamlarınız veya ağlarınız hakkında benzer bilgiler içeren kapsamlı bilgiler elde eder.

Kimlik için Defender, sekiz günlük öğrenme süresi tamamlanana kadar şüpheli etkinlik zaman çizelgenizden ağ eşleme keşif etkinliğini engeller. Öğrenme döneminde, Kimlik için Defender ağınız için nelerin normal ve anormal olduğunu öğrenir. Sekiz günlük öğrenme döneminden sonra anormal ağ eşleme keşif olayları ilgili güvenlik uyarısını çağırır.

VictimPC'den nslookup çalıştırma

DNS keşfini test etmek için yerel komut satırı aracını ( nslookup) kullanarak bir DNS bölgesi aktarımı başlatacağız. Doğru yapılandırmaya sahip DNS sunucuları bu tür sorguları reddeder ve bölge aktarımı girişimine izin vermez.

Güvenliği aşılmış JeffL kimlik bilgilerini kullanarak VictimPC'de oturum açın. Şu komutu çalıştırın:

nslookup

Daha sonra Kimlik için Defender algılayıcısının yüklü olduğu DC'nin FQDN veya IP adresini yazın.

server contosodc.contoso.azure

Şimdi etki alanını aktarmayı deneyelim.

ls -d contoso.azure
  • contosodc.contoso.azure ve contoso.azure'ı sırasıyla Kimlik için Defender algılayıcınızın FQDN'siyle ve etki alanı adıyla değiştirin.

nslookup command attempt to copy the DNS server -failure.

ContsoDC dağıtılan ilk algılayıcınızsa, veritabanı arka ucuna gerekli mikro hizmetleri dağıtma işleminin bitmesini sağlamak için 15 dakika bekleyin.

Kimlik için Defender'da ağ eşleme keşfi (DNS) algılandı

Bu tür bir girişimin görünürlüğünü elde etme (başarısız veya başarılı) etki alanı tehdit koruması için çok önemlidir. Ortamı yakın zamanda yükledikten sonra algılanan etkinliği görmek için Mantıksal Etkinlikler zaman çizelgesine gitmeniz gerekir.

Kimlik Için Defender Arama'da VictimPC yazın ve zaman çizelgesini görüntülemek için buna tıklayın.

DNS reconnaissance detected by Defender for Identity, high-level view

"AXFR sorgusu" etkinliğini arayın. Kimlik için Defender, DNS'nizde bu tür bir keşif algılar.

  • Çok sayıda etkinliğiniz varsa Filtre ölçütü'ne tıklayın ve DNS sorgusu dışındaki tüm türlerin seçimini kaldırın.

Detailed view of the DNS reconnaissance detection in Defender for Identity

Güvenlik analistiniz bu etkinliğin bir güvenlik tarayıcısından kaynaklandığını belirlediyse, ilgili cihaz diğer algılama uyarılarının dışında tutulabilir. Uyarının sağ üst kısmında üç noktaya tıklayın. Ardından Kapat'ı seçin ve MySecurityScanner'ı hariç tutun. "MySecurityScanner" tarafından algılandığında bu uyarının yeniden gösterilmediğinden emin olun.

Hataları algılamak, bir ortama karşı başarılı saldırıları algılamak kadar içgörü sahibi olabilir. Kimlik için Defender portalı, olası bir saldırgan tarafından yapılan eylemlerin tam sonucunu görmemizi sağlar. Simülasyon DNS keşfi saldırı hikayemizde, saldırgan rolünde olduğumuz için etki alanının DNS kayıtlarının dökümünü almamız durduruldu. SecOps ekibiniz, Kimlik için Defender güvenlik uyarısından saldırı girişimimizi ve denememizde hangi makineyi kullandığımızı fark etti.

Dizin Hizmeti Keşfi

Saldırgan olarak hareket eden bir sonraki keşif hedefi, Ormandaki tüm kullanıcıları ve grupları listeleme girişimidir. Kimlik için Defender, 30 günlük öğrenme süresi tamamlanana kadar Şüpheli Etkinlik zaman çizelgenizden Dizin Hizmeti numaralandırma etkinliğini engeller. Öğrenme döneminde, Kimlik için Defender ağınız için nelerin normal ve anormal olduğunu öğrenir. 30 günlük öğrenme döneminden sonra, anormal Dizin Hizmeti numaralandırma olayları bir güvenlik uyarısı çağırır. 30 günlük öğrenme döneminde ağınızdaki bir varlığın etkinlik zaman çizelgesini kullanarak bu etkinliklerin Kimlik için Defender algılamalarını görebilirsiniz. Bu etkinliklerin Kimlik için Defender algılamaları bu laboratuvarda gösterilir.

Ortak bir Dizin Hizmeti keşif yöntemini göstermek için yerel Microsoft ikili dosyası olan net'i kullanacağız. Risk altındaki kullanıcımız JeffL'nin Etkinlik zaman çizelgesini inceledikten sonra Kimlik için Defender'ın bu etkinliği algılamasını göstereceğiz.

VictimPC'den net aracılığıyla Dizin Hizmeti Numaralandırması

Kimliği doğrulanmış herhangi bir kullanıcı veya bilgisayar, bir etki alanındaki diğer kullanıcıları ve grupları numaralandırabilir. Çoğu uygulamanın düzgün çalışması için bu numaralandırma özelliği gereklidir. Güvenliği aşılmış kullanıcımız JeffL ayrıcalıksız bir etki alanı hesabıdır. Bu sanal saldırıda, ayrıcalıksız bir etki alanı hesabının bile bir saldırgana değerli veri noktaları sağlayabileceklerini tam olarak göreceğiz.

  1. VictimPC'den aşağıdaki komutu yürütür:

    net user /domain
    

    Çıktı, Contoso.Azure etki alanındaki tüm kullanıcıları gösterir.

    Enumerate all users in the domain.

  2. Şimdi etki alanındaki tüm grupları listelemeyi deneyelim. Aşağıdaki komutu yürütün:

    net group /domain
    

    Çıktı, Contoso.Azure etki alanındaki tüm grupları gösterir. Varsayılan grup olmayan bir Güvenlik Grubuna dikkat edin: Yardım Masası.

    Enumerate all groups in the domain.

  3. Şimdi yalnızca Domain Admins grubunu listelemeyi deneyelim. Aşağıdaki komutu yürütün:

    net group "Domain Admins" /domain
    

    Enumerate all members of the Domain Admins group.

    Saldırgan olarak, Domain Admins grubunun iki üyesi olduğunu öğrendik: SamiraA ve ContosoAdmin (Etki Alanı Denetleyicisi için yerleşik Yönetici). Etki Alanımız ve Ormanımız arasında hiçbir güvenlik sınırı olmadığını bilerek, bir sonraki adımımız Enterprise Yöneticileri listelemeye çalışmaktır.

  4. Enterprise Yöneticileri listelemeye çalışmak için aşağıdaki komutu yürütür:

    net group "Enterprise Admins" /domain
    

    ContosoAdmin Enterprise tek bir yönetici olduğunu öğrendik. Etki Alanımız ile Orman arasında bir güvenlik sınırı olmadığını bildiğimiz için bu bilgiler önemli değildi.

    Enterprise Admins enumerated in the domain.

Keşfimizde toplanan bilgiler sayesinde Artık Yardım Masası Güvenlik Grubu hakkında bilgi edindik. Bu bilgiler henüz ilgi çekici olmasa da. Ayrıca SamiraA'nın Domain Admins grubunun bir üyesi olduğunu da biliyoruz. SamiraA'nın kimlik bilgilerini toplayabilirsek Etki Alanı Denetleyicisi'nin kendisine erişebiliriz.

Kimlik için Defender'da Dizin Hizmeti Numaralandırması Algılandı

Defender for Identity yüklü olarak laboratuvarımızda 30 gün boyunca gerçek canlı etkinlik varsa JeffL olarak yaptığımız etkinlik büyük olasılıkla anormal olarak sınıflandırılabilir. Anormal etkinlik Şüpheli Etkinlik zaman çizelgesinde görünür. Ancak ortamı yeni yüklediğimiz için Mantıksal Etkinlikler zaman çizelgesine gitmemiz gerekir.

Kimlik Arama için Defender'da JeffL'nin Mantıksal Etkinlik zaman çizelgesinin nasıl göründüğüne bakalım:

Search the logical activity timeline for a specific entity.

JeffL'nin VictimPC'de kerberos protokolunu kullanarak ne zaman oturum açtığını görebiliriz. Ayrıca VictimPC'den JeffL'nin etki alanındaki tüm kullanıcıları numaralandırdığını görüyoruz.

JeffL's logical activity timeline.

Mantıksal Etkinlik zaman çizelgesinde birçok etkinlik günlüğe kaydedilir ve bu da Bunu Dijital Adli İnceleme ve Olay Yanıtı (DFIR) gerçekleştirmeye yönelik önemli bir özellik haline getirir. İlk algılama Kimlik için Defender'dan değil Uç Nokta için Microsoft Defender, Microsoft 365 ve diğer kullanıcılardan olduğunda bile etkinlikleri görebilirsiniz.

ContosoDC'nin sayfasına göz atarak JeffL'nin oturum açtığı bilgisayarları da görebiliriz.

JeffL logged on computers.

JeffL Üyelikleri ve Erişim Denetimleri de dahil olmak üzere Dizin Verilerini de Kimlik için Defender'dan alacağız.

JeffL's directory data in Defender for Identity

Şimdi dikkatimiz SMB Oturum Numaralandırması'na doğru kayacak.

Kullanıcı ve IP Adresi keşfi (SMB)

Active Directory'nin sysvol klasörü, ortamdaki en önemli ağ paylaşımından biridir. Grup İlkeleri'ni aşağı çekmek için her bilgisayar ve kullanıcının bu ağ paylaşımına erişebilmesi gerekir. Saldırgan, sysvol klasörüyle etkin oturumları olan kişileri numaralandırarak bilgilerin altınmine değerini alabilir.

Sonraki adımımız ContosoDC kaynağına karşı SMB Oturum Numaralandırması'dır. SMB paylaşımında başka kimlerin oturumları olduğunu ve hangi IP'den olduğunu öğrenmek istiyoruz.

VictimPC'den JoeWare'in NetSess.exe kullanma

JoeWare'in NetSess aracını kimliği doğrulanmış bir kullanıcı bağlamında ContosoDC'ye karşı çalıştırın. Bu örnekte ContosoDC:

NetSess.exe ContosoDC

Attackers use SMB reconnaissance to identify users and their IP addresses.

SamiraA'nın bir Etki Alanı Yöneticisi olduğunu zaten biliyoruz. Bu saldırı bize SamiraA'nın IP adresini 10.0.24.6 olarak verdi. Saldırgan olarak, kimleri tehlikeye atacağımızı tam olarak öğrendik. Ayrıca kimlik bilgilerinin oturum açtığı ağ konumunu da aldık.

Kimlik için Defender'da Kullanıcı ve IP Adresi keşfi (SMB) Algılandı

Artık Kimlik için Defender'ın bizim için algılananları görebiliriz:

Defender for Identity Detecting SMB reconnaissance

Bu etkinlikle ilgili olarak uyarılmamıza ek olarak, kullanıma sunulan hesaplar ve ilgili IP adresleri konusunda da bu noktada uyarı alırsınız. Güvenlik İşlemleri Merkezi (SOC) olarak yalnızca deneme ve durumunu değil, aynı zamanda saldırgana geri gönderilenleri de elde ettik. Bu bilgiler araştırmamıza yardımcı olur.

Sonraki adımlar

Saldırı sonlandırma zincirinin bir sonraki aşaması genellikle yanal hareket girişimidir.

Community katılma

Kimlik için Defender'ı ve diğer kişilerle ilgili güvenliği tartışma konusunda daha fazla sorunuz veya ilginiz mi var? Kimlik için Defender Community hemen katılın!