Autres alertes de sécurité

En général, les cyberattaques sont lancées contre des entités accessibles, par exemple un utilisateur avec des privilèges peu élevés, puis rapidement, elles se déplacent latéralement jusqu’à ce que l’attaquant parvienne à accéder à des ressources importantes. Les ressources importantes peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne d’annihilation des attaques et les classifie selon les phases suivantes :

  1. Alertes de reconnaissance et de découverte
  2. Alertes de persistance et d’élévation des privilèges
  3. Alertes d’accès aux identifiants
  4. Alertes de mouvement latéral
  5. Other

Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité de Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP), le vrai positif bénin (B-TP) et le faux positif (FP), consultez les classifications des alertes de sécurité.

Les alertes de sécurité suivantes vous aident à identifier et à corriger les activités suspectes de la phase Autre détectées par Defender pour Identity sur votre réseau.

Suspicion d’attaque DCShadow (promotion du contrôleur de domaine) (identifiant externe 2028)

Nom précédent : promotion suspecte du contrôleur de domaine (attaque DCShadow potentielle)

Gravité : élevée

Description :

Une attaque d’ombre de contrôleur de domaine (DCShadow) est une attaque conçue pour modifier les objets d’annuaire à l’aide d’une réplication malveillante. Cette attaque peut être effectuée à partir de n’importe quel ordinateur en créant un contrôleur de domaine non autorisé à l’aide d’un processus de réplication.

Dans une attaque DCShadow, RPC et LDAP sont utilisés pour :

  1. Inscrivez le compte d’ordinateur en tant que contrôleur de domaine (à l’aide des droits d’administrateur de domaine).
  2. Effectuez la réplication (à l’aide des droits de réplication accordés) sur DRSUAPI et envoyez des modifications aux objets d’annuaire.

Dans cette détection Defender pour Identity, une alerte de sécurité est déclenchée quand une machine du réseau tente de s’inscrire comme contrôleur de domaine non autorisé.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Technique d’attaque MITRE Contrôleur de domaine non autorisé (T1207)
Sous-technique d’attaque MITRE S/O

Étapes suggérées pour la prévention :

Validez les autorisations suivantes :

  1. Répliquer les changements d’annuaire.
  2. Répliquer tous les changements d’annuaire.
  3. Pour plus d’informations, consultez Accorder des autorisations Active Directory Domain Services pour la synchronisation de profils dans SharePoint Server 2013. Vous pouvez utiliser AD ACL Scanner ou créer un script Windows PowerShell pour déterminer qui dispose de ces autorisations dans le domaine.

Remarque

Les alertes de promotion suspecte de contrôleur de domaine (attaque DCShadow potentielle) sont prises en charge seulement par les capteurs Defender pour Identity.

Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine) (identifiant externe 2029)

Nom précédent : demande de réplication suspecte (attaque DCShadow potentielle)

Gravité : élevée

Description :

La réplication Active Directory est le processus par lequel les modifications apportées sur un contrôleur de domaine sont synchronisées avec d’autres contrôleurs de domaine. En fonction des autorisations nécessaires, les attaquants peuvent accorder des droits pour leur compte d’ordinateur, ce qui leur permet d’emprunter l’identité d’un contrôleur de domaine. Les attaquants s’efforcent de lancer une demande de réplication malveillante, ce qui leur permet de modifier des objets Active Directory sur un contrôleur de domaine authentique, ce qui peut donner aux attaquants une persistance dans le domaine. Dans cette détection, une alerte est déclenchée quand une demande de réplication suspecte est générée pour un contrôleur de domaine authentique protégé par Defender pour Identity. Le comportement indique les techniques utilisées dans les attaques d’ombre du contrôleur de domaine.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Technique d’attaque MITRE Contrôleur de domaine non autorisé (T1207)
Sous-technique d’attaque MITRE S/O

Correction et étapes suggérées pour la prévention :

Validez les autorisations suivantes :

  1. Répliquer les changements d’annuaire.
  2. Répliquer tous les changements d’annuaire.
  3. Pour plus d’informations, consultez Accorder des autorisations Active Directory Domain Services pour la synchronisation de profils dans SharePoint Server 2013. Vous pouvez utiliser AD ACL Scanner ou créer un script Windows PowerShell pour déterminer qui dispose de ces autorisations dans le domaine.

Remarque

Les alertes de demande de réplication suspecte (attaque DCShadow potentielle) sont prises en charge seulement par les capteurs Defender pour Identity.

Connexion VPN suspecte (ID externe 2025)

Nom précédent : connexion VPN suspecte

Gravité : moyenne

Description :

Defender pour Identity apprend le comportement de l’entité pour les connexions VPN des utilisateurs sur une période glissante d’un mois.

Le modèle de comportement VPN est basé sur les ordinateurs auxquels les utilisateurs se connectent et les emplacements à partir duquel les utilisateurs se connectent.

Une alerte est ouverte en cas d'écart par rapport au comportement de l'utilisateur, sur la base d'un algorithme d'apprentissage automatique.

Période d’apprentissage :

30 jours à partir de la première connexion VPN et au moins 5 connexions VPN au cours des 30 derniers jours, par utilisateur.

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Tactique MITRE secondaire Persistance (TA0003)
Technique d’attaque MITRE Services distants externes (T1133)
Sous-technique d’attaque MITRE S/O

Tentative d’exécution de code à distance (identifiant externe 2019)

Nom précédent : tentative d’exécution de code à distance

Gravité : moyenne

Description :

Les attaquants qui compromissent les informations d’identification d’administration ou utilisent un exploit de zéro jour peuvent exécuter des commandes distantes sur votre contrôleur de domaine ou sur le serveur AD FS / AD CS. Cela peut être utilisé pour obtenir la persistance, collecter des informations, des attaques par déni de service (DOS) ou toute autre raison. Defender pour Identity détecte les connexions PSexec, les connexions WMI à distance et les connexions PowerShell.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Exécution (TA0002)
Tactique MITRE secondaire Mouvement latéral (TA0008)
Technique d’attaque MITRE Interpréteur de commandes et de scripts (T1059),Services distants (T1021)
Sous-technique d’attaque MITRE PowerShell (T1059.001), Gestion à distance Windows (T1021.006)

Étapes suggérées pour la prévention :

  1. Restreindre l’accès à distance aux contrôleurs de domaine à partir de machines non de niveau 0.
  2. Implémentez l’accès privilégié, autorisant uniquement les ordinateurs renforcés à se connecter aux contrôleurs de domaine pour les administrateurs.
  3. Implémentez un accès moins privilégié sur des machines de domaine pour permettre aux utilisateurs spécifiques de créer des services.

Remarque

Les alertes de tentative d’exécution de code à distance lors d’une tentative d’utilisation de commandes Powershell sont prises en charge seulement par les capteurs Defender pour Identity.

Création de service suspect (identifiant externe 2026)

Nom précédent : création de service suspect

Gravité : moyenne

Description :

Un service suspect a été créé sur un contrôleur de domaine ou un serveur AD FS / AD CS dans votre organisation. Cette alerte s’appuie sur l’événement 7045 pour identifier cette activité suspecte.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Exécution (TA0002)
Tactique MITRE secondaire Persistance (TA0003),Élévation des privilèges (TA0004), Évasion de défense (TA0005), Mouvement latéral (TA0008)
Technique d’attaque MITRE Services distants (T1021), Interpréteur de commandes et de scripts (T1059), Services système (T1569), Création ou modification du processus système (T1543)
Sous-technique d’attaque MITRE Exécution du service (T1569.002), Service Windows (T1543.003)

Étapes suggérées pour la prévention :

  1. Restreindre l’accès à distance aux contrôleurs de domaine à partir de machines non de niveau 0.
  2. Implémentez l’accès privilégié pour autoriser uniquement les ordinateurs renforcés à se connecter aux contrôleurs de domaine pour les administrateurs.
  3. Implémentez un accès moins privilégié sur des machines de domaine pour donner uniquement aux utilisateurs spécifiques le droit de créer des services.

Communication suspecte sur DNS (identifiant externe 2031)

Nom précédent : communication suspecte sur DNS

Gravité : moyenne

Description :

Le protocole DNS dans la plupart des organisations n’est généralement pas surveillé et rarement bloqué pour une activité malveillante. Permettre à un attaquant sur un ordinateur compromis d’abuser du protocole DNS. La communication malveillante sur DNS peut être utilisée pour l’exfiltration, la commande et le contrôle des données, et/ou pour échapper aux restrictions de réseau d’entreprise.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Exfiltration (TA0010)
Technique d’attaque MITRE Exfiltration par protocole alternatif (T1048), Exfiltration par canal C2 (T1041), Transfert programmé (T1029), Exfiltration automatisée (T1020), Protocole de la couche d’application (T1071)
Sous-technique d’attaque MITRE DNS (T1071.004), Exfiltration sur un protocole non chiffré ou obfusqué non-C2 (T1048.003)

Exfiltration de données sur SMB (identifiant externe 2030)

Gravité : élevée

Description :

Les contrôleurs de domaine contiennent les données organisationnelles les plus sensibles. Pour la plupart des attaquants, l’une de leurs principales priorités est d’obtenir l’accès au contrôleur de domaine, pour voler vos données les plus sensibles. Par exemple, l’exfiltration du fichier Ntds.dit, stocké sur le contrôleur de domaine, permet à un attaquant de falsifier des tickets d’octroi de tickets Kerberos (TGT) fournissant l’autorisation à n’importe quelle ressource. Les TGT Kerberos falsifiés permettent à l’attaquant de définir l’expiration du ticket sur un délai arbitraire. Une alerte Defender pour Identity Exfiltration de données sur SMB est déclenchée quand des transferts de données suspects sont observés à partir de vos contrôleurs de domaine supervisés.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Exfiltration (TA0010)
Tactique MITRE secondaire Mouvement latéral (TA0008),Commande et contrôle (TA0011)
Technique d’attaque MITRE Exfiltration sur un protocole alternatif (T1048), Transfert d’outil latéral (T1570)
Sous-technique d’attaque MITRE Exfiltration sur un protocole non chiffré ou obfusqué non-C2 (T1048.003)

Suppression suspecte des entrées de la base de données des certificats (ID externe 2433)

Gravité : moyenne

Description :

La suppression des entrées de la base de données des certificats est un signal d'alarme qui signale une activité malveillante potentielle. Cette attaque pourrait perturber le fonctionnement des systèmes d'infrastructure à clé publique (ICP) et avoir un impact sur l'authentification et l'intégrité des données.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Technique d’attaque MITRE Suppression de l’indicateur (T1070)
Sous-technique d’attaque MITRE N/A

Remarque

Les alertes de suppression suspecte des entrées de la base de données des certificats ne sont prises en charge que par Defender for Identity sensors sur AD CS.

Désactivation suspecte des filtres d'audit d'AD CS (ID externe 2434)

Gravité : moyenne

Description :

La désactivation des filtres d'audit dans AD CS peut permettre aux attaquants d'opérer sans être détectés. Cette attaque vise à échapper à la surveillance de la sécurité en désactivant les filtres qui, autrement, signaleraient les activités suspectes.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Technique d’attaque MITRE Défenses altérées (T1562)
Sous-technique d’attaque MITRE Désactivation du journal des événements de Windows (T1562.002)

Modification du mot de passe du mode de restauration des services d’annuaire (ID externe 2438)

Gravité : moyenne

Description :

Le mode de restauration des services d'annuaire (DSRM) est un mode de démarrage spécial dans les systèmes d'exploitation Microsoft Windows Server qui permet à un administrateur de réparer ou de restaurer la base de données Active Directory. Ce mode est généralement utilisé lorsqu'il y a des problèmes avec l'Active Directory et que le démarrage normal n'est pas possible. Le mot de passe DSRM est défini lors de la promotion d'un serveur en contrôleur de domaine. Dans cette détection, une alerte est déclenchée lorsque Defender for Identity détecte qu'un mot de passe DSRM est modifié. Nous vous recommandons d'enquêter sur l'ordinateur source et sur l'utilisateur qui a fait la requête pour comprendre si le changement de mot de passe DSRM a été initié à partir d'une action administrative légitime ou s'il soulève des inquiétudes concernant un accès non autorisé ou des menaces de sécurité potentielles.

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Persistance (TA0003)
Technique d’attaque MITRE Manipulation de compte (T1098)
Sous-technique d’attaque MITRE S/O

Possibilité de vol de session Okta

Gravité : élevée

Description :

Dans le cas d'un vol de session, les attaquants volent les cookies d'un utilisateur légitime et les utilisent à d'autres endroits. Nous vous recommandons d'enquêter sur l'adresse IP source qui effectue les opérations afin de déterminer si ces opérations sont légitimes ou non, et si l'adresse IP est utilisée par l'utilisateur.

Période d’apprentissage :

2 semaines

MITRE :

Tactique MITRE principale Collecte (TA0009)
Technique d’attaque MITRE Détournement de la session du navigateur (T1185)
Sous-technique d’attaque MITRE S/O

Altération de la stratégie de groupe (ID externe 2440) (Préversion)

Gravité : moyenne

Description :

Une modification suspecte a été détectée dans la stratégie de groupe, entraînant la désactivation de Windows Defender Antivirus. Cette activité peut indiquer une violation de la sécurité par un attaquant disposant de privilèges élevés, qui pourrait préparer le terrain pour la diffusion d'un ransomware. 

Mesures d'investigation suggérées :

  1. Comprendre si le changement d'objet de stratégie de groupe est légitime

  2. Si ce n'est pas le cas, annulez la modification.

  3. Comprendre comment la stratégie du groupe est liée, afin d'estimer l'étendue de son impact

Période d’apprentissage :

Aucune

MITRE :

Tactique MITRE principale Évasion de défense (TA0005)
Technique d’attaque MITRE Annuler les contrôles d’approbation (T1553)
Technique d’attaque MITRE Annuler les contrôles d’approbation (T1553)
Sous-technique d’attaque MITRE S/O

Voir aussi