侦查和发现警报

  • 项目

通常情况下,网络会针对任何可访问实体(例如低权限用户)发起攻击,然后快速横向移动,直到攻击者可访问到有价值资产。 有价值的资产可以是敏感的帐户、域管理员或高度敏感的数据。 Microsoft Defender for Identity 能在整个攻击杀伤链中从源头识别这些高级威胁,并将它们分为以下几个阶段:

  1. 侦查和发现
  2. 暂留和特权提升警报
  3. 凭据访问警报
  4. 横向移动警报
  5. 其他警报

如需深入了解所有 Defender for Identity 安全警报的结构和常用组件信息,请参阅了解安全警报。 有关真阳性 (TP)良性真阳性 (B-TP)假阳性 (FP) 的信息,请参阅安全警报分类

以下安全警报可帮助识别和修正 Defender for Identity 在网络中检测到的侦查和发现阶段可疑活动。

侦查和发现包括攻击者可用来了解系统和内部网络的技术。 这些技术可帮助攻击者在决定如何行动之前观察环境并确定方向。它们还允许攻击者探索他们可以控制的内容,以及他们的入口点周围的内容,以发现它如何有利于他们当前的目标。 本机操作系统工具通常用于实现此入侵后的信息收集目标。 在 Microsoft Defender for Identity 中,这些警报通常涉及使用不同技术的内部帐户枚举。

帐户枚举侦测(外部 ID 2003)

先前名称:使用帐户枚举进行侦查

严重性:中等

说明:

在帐户枚举侦查中,攻击者会使用包含数千个用户名的字典或试图 KrbGuess 等工具来猜测域中的用户名。

Kerberos:攻击者使用这些名称发出 Kerberos 请求,试图在域中找到有效的用户名。 如果猜测成功,确定了用户名,攻击者将得到所需的预身份验证,而不是安全主体未知 Kerberos 错误。

NTLM:攻击者使用名称字典发出 NTLM 身份验证请求,试图在域中找到有效的用户名。 如果猜测成功,确定了用户名,攻击者将得到 WrongPassword (0xc000006a),而不是 NoSuchUser (0xc0000064) NTLM 错误。

在此警报检测中,Defender for Identity 可检测攻击帐户枚举来源、猜测尝试总次数和匹配的尝试次数。 如果未知用户过多,Defender for Identity 会将其视为可疑活动。 警报基于在域控制器和 AD FS/AD CS 服务器上运行的传感器所发出的身份验证事件。

学习期

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)
MITRE 攻击辅助技术 域帐户 (T1087.002)

建议的预防步骤

  1. 在组织中强制实施复杂的长密码。 复杂的长密码可提供必要的第一层安全保障,防止暴力攻击。 暴力攻击通常是网络攻击杀伤链中枚举后的下一个步骤。

帐户枚举侦查 (LDAP)(外部 ID 2437)(预览版)

严重性:中等

说明:

在帐户枚举侦查中,攻击者会使用包含数千个用户名的字典或 Ldapnomnom 等工具来尝试猜测域中的用户名。

LDAP:攻击者会使用这些名称发出 LDAP Ping 请求 (cLDAP),以便尝试在域中找到有效用户名。 如果此猜测成功确定某一用户名,攻击者便可能会收到表示该用户存在于域中的响应。

在此警报检测中,Defender for Identity 可检测攻击帐户枚举来源、猜测尝试总次数和匹配的尝试次数。 如果未知用户过多,Defender for Identity 会将其视为可疑活动。 此警报基于域控制器服务器上所运行传感器中的 LDAP 搜索活动。

学习期

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)
MITRE 攻击辅助技术 域帐户 (T1087.002)

网络映射侦查 (DNS)(外部 ID 2007)

先前名称:使用 DNS 进行侦查

严重性:中等

说明:

你的 DNS 服务器包含网络中所有计算机、IP 地址和服务的映射。 攻击者可以使用这些信息来映射你的网络结构,并针对感兴趣的计算机进行后续攻击。

DNS 协议中有多种查询类型。 此 Defender for Identity 安全警报检测可疑请求,可能是使用 AXFR(传输)且源自非 DNS 服务器的请求,也可能是请求次数过多的请求。

学习期

此警报的学习期为八天,从域控制器监视开始算起。

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)网络服务扫描 (T1046)远程系统发现 (T1018)
MITRE 攻击辅助技术 空值

建议的预防步骤

通过保护你的内部 DNS 服务器安全,防止将来使用 AXFR 查询进行攻击非常重要。

用户和 IP 地址侦查 (SMB)(外部 ID 2012)

先前名称:使用 SMB 会话枚举进行侦查

严重性:中等

说明:

使用服务器消息块 (SMB) 协议的枚举使攻击者能够获取有关用户最近登录位置的信息。 一旦攻击者掌握了这些信息,就可以在网络中横向移动,以获取特定的敏感帐户。

在此检测中,当对域控制器执行 SMB 会话枚举时,会触发警报。

学习期

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)系统网络连接发现 (T1049)
MITRE 攻击辅助技术 域帐户 (T1087.002)

用户和组成员身份侦查 (SAMR)(外部 ID 2021)

先前名称:使用目录服务查询进行侦查

严重性:中等

说明:

攻击者使用用户和组成员身份侦查来映射目录结构和目标特权帐户,以便在其攻击的后续步骤中使用。 安全帐户管理器远程 (SAM-R) 协议是用于查询目录以执行此类映射的方法之一。 此检测中,部署 Defender for Identity 后的第一个月内不会触发警报(学习期)。 在学习期间,Defender for Identity 分析哪台计算机发出了哪些 SAM-R 查询,包括枚举以及敏感帐户的单独查询。

学习期

每个域控制器四周,从针对特定 DC 的 SAMR 的第一次网络活动开始算起。

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)权限组发现 (T1069)
MITRE 攻击辅助技术 域帐户 (T1087.002)域组 (T1069.002)

建议的预防步骤

  1. 应用网络访问权限并限制允许远程调用 SAM 组策略的客户端。

Active Directory 属性侦查 (LDAP)(外部 ID 2210)

严重性:中等

说明:

攻击者使用 Active Directory LDAP 侦查来获取有关域环境的关键信息。 此信息可帮助攻击者映射域结构以及识别特权帐户,以便在他们的攻击杀伤链中的后续步骤中使用。 轻型目录访问协议 (LDAP) 是出于合法目的和恶意目的查询 Active Directory 的最常用方法之一。

学习期

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)间接命令执行 (T1202)权限组发现 (T1069)
MITRE 攻击辅助技术 域帐户 (T1087.002)域组 (T1069.002)

蜜标通过 SAM-R(外部 ID 2439)进行查询

严重性:低

说明:

攻击者使用用户侦查来映射目录结构和目标特权帐户,以便在其攻击的后续步骤中使用。 安全帐户管理器远程 (SAM-R) 协议是用于查询目录以执行此类映射的方法之一。 在此检测中,Microsoft Defender for Identity 将为针对预配置的蜜标用户的任何侦察活动触发此警报

学习期

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)
MITRE 攻击辅助技术 域帐户 (T1087.002)

蜜标通过 LDAP(外部 ID 2429)进行查询

严重性:低

说明:

攻击者使用用户侦查来映射目录结构和目标特权帐户,以便在其攻击的后续步骤中使用。 轻型目录访问协议 (LDAP) 是出于合法目的和恶意目的查询 Active Directory 的最常用方法之一。

在此检测中,Microsoft Defender for Identity 将为针对预配置的蜜标用户的任何侦察活动触发此警报。

学习期

MITRE

MITRE 主要策略 发现 (TA0007)
MITRE 攻击技术 帐户发现 (T1087)
MITRE 攻击辅助技术 域帐户 (T1087.002)

可疑 Okta 帐户枚举

严重性:高

说明:

在帐户枚举中,攻击者将试图通过使用不属于该组织的用户登录 Okta 来猜测用户名。 我们建议调查执行失败尝试的源 IP,确定是否合法。

学习期

MITRE

MITRE 主要策略 初始访问 (TA0001)防御规避 (TA0005)持久性 (TA0003)特权提升 (TA0004)
MITRE 攻击技术 有效帐户 (T1078)
MITRE 攻击辅助技术 云帐户 (T1078.004)

另请参阅