Alertes de reconnaissance et de découverte

En général, les cyberattaques sont lancées contre des entités accessibles, par exemple un utilisateur avec des privilèges peu élevés, puis rapidement, elles se déplacent latéralement jusqu’à ce que l’attaquant parvienne à accéder à des ressources importantes. Les ressources importantes peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne d’annihilation des attaques et les classifie selon les phases suivantes :

  1. Reconnaissance et découverte
  2. Alertes de persistance et d’élévation des privilèges
  3. Alertes d’accès aux identifiants
  4. Alertes de mouvement latéral
  5. Autres alertes

Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité de Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP), le vrai positif bénin (B-TP) et le faux positif (FP), consultez les classifications des alertes de sécurité.

Les alertes de sécurité suivantes vous aident à identifier et à corriger les activités suspectes de la phase Reconnaissance et découverte détectées par Defender pour Identity sur votre réseau.

La reconnaissance et la découverte se compose de techniques qu’une personne mal intentionnée peut utiliser pour en savoir plus sur le système et le réseau interne. Ces techniques aident les personnes mal intentionnées à observer l’environnement et à s’orienter avant de décider comment agir. Elles leur permettent également de découvrir ce qu’elles peuvent contrôler et ce qui se trouve autour de leur point d’entrée afin de détecter comment cela pourrait profiter à leur objectif. Les outils de système d’exploitation natifs sont souvent utilisés pour atteindre cet objectif de collecte d’informations post-attaque. Dans Microsoft Defender pour Identity, ces alertes impliquent généralement une énumération de compte interne avec différentes techniques.

Reconnaissance d’énumération de compte (ID externe 2003)

Nom précédent : reconnaissance à l’aide d’énumération de comptes

Gravité : moyenne

Description :

Dans la reconnaissance d’énumération de comptes, un attaquant utilise un dictionnaire avec des milliers de noms d’utilisateur ou des outils tels que KrbGuess pour essayer de deviner les noms d’utilisateur dans le domaine.

Kerberos : l’attaquant effectue des requêtes Kerberos à l’aide de ces noms pour essayer de trouver un nom d’utilisateur valide dans le domaine. Lorsqu’une tentative détermine correctement un nom d’utilisateur, l’attaquant obtient l’erreur Kerberos Pré-authentification requise au lieu de l’erreur Principal de sécurité inconnu.

NTLM : l’attaquant effectue des demandes d’authentification NTLM à l’aide du dictionnaire de noms pour essayer de trouver un nom d’utilisateur valide dans le domaine. Si une tentative détermine correctement un nom d’utilisateur, l’attaquant obtient l’erreur NTLM WrongPassword (0xc000006a) au lieu de l’erreur NoSuchUser (0xc0000064).

Dans cette détection d’alerte, Defender pour Identity détecte d’où provient l’attaque par énumération de comptes, le nombre total de tentatives et combien ont abouti. Si le nombre d’utilisateurs inconnus est trop élevé, Defender pour Identity détecte cela comme une activité suspecte. L’alerte est basée sur des événements d’authentification provenant de capteurs s’exécutant sur des contrôleurs de domaine et des serveurs AD FS/AD CS.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002)

Étapes suggérées pour la prévention :

  1. Appliquez des mots de passe complexes et longs dans l’organisation. Les mots de passe complexes et longs fournissent le premier niveau de sécurité nécessaire contre les attaques par force brute. Les attaques par force brute sont généralement l’étape suivante de la chaîne de destruction des cyber-attaques, après l’énumération.

Reconnaissance de l’énumération de comptes (LDAP) (ID externe 2437) (préversion)

Gravité : moyenne

Description :

Dans la reconnaissance par énumération de comptes, un attaquant utilise un dictionnaire avec des milliers de noms d’utilisateur, ou des outils tels que Ldapnomnom dans le but de deviner les noms d’utilisateur dans le domaine.

LDAP : l’attaquant envoie des requêtes de type Ping LDAP (cLDAP) en utilisant ces noms pour essayer de trouver un nom d’utilisateur valide dans le domaine. Si une supposition permet de déterminer avec succès un nom d’utilisateur, l’attaquant peut recevoir une réponse indiquant que l’utilisateur existe dans le domaine.

Dans cette détection d’alerte, Defender pour Identity détecte d’où provient l’attaque par énumération de comptes, le nombre total de tentatives et combien ont abouti. Si le nombre d’utilisateurs inconnus est trop élevé, Defender pour Identity détecte cela comme une activité suspecte. L’alerte est basée sur les activités de recherche LDAP provenant de capteurs s’exécutant sur les serveurs de contrôle de domaine.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002)

Reconnaissance de mappage réseau (DNS) (ID externe 2007)

Nom précédent : reconnaissance à l’aide du DNS

Gravité : moyenne

Description :

Votre serveur DNS contient une carte de tous les ordinateurs, adresses IP et services de votre réseau. Ces informations sont utilisées par les attaquants pour mapper votre structure réseau et cibler des ordinateurs intéressants pour les étapes ultérieures de leur attaque.

Il existe plusieurs types de requêtes dans le protocole DNS. Cette alerte de sécurité Defender pour Identity détecte des requêtes suspectes : des requêtes utilisant un (transfert) AXFR provenant de serveurs non DNS ou celles utilisant un nombre excessif de requêtes.

Période d’apprentissage :

Cette alerte dispose d’une période d’apprentissage de huit jours à compter du début de la surveillance du contrôleur de domaine.

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087), Analyse du service réseau (T1046), Découverte du système distant (T1018)
Sous-technique d’attaque MITRE S/O

Étapes suggérées pour la prévention :

Il est important de prévenir les futures attaques utilisant les requêtes AXFR en sécurisant votre serveur DNS interne.

Reconnaissance des adresses IP et des utilisateurs (SMB) (ID externe 2012)

Nom précédent : reconnaissance à l’aide de l’énumération de sessions SMB

Gravité : moyenne

Description :

L’énumération à l’aide du protocole SMB (Server Message Block) permet aux attaquants d’obtenir des informations sur l’emplacement où les utilisateurs se sont récemment connectés. Une fois que les attaquants disposent de ces informations, ils peuvent se déplacer latéralement dans le réseau pour accéder à un compte sensible spécifique.

Dans cette détection, une alerte est déclenchée lorsqu’une énumération de sessions SMB est effectuée sur un contrôleur de domaine.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087), Découverte des connexions réseau du système (T1049)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002)

Reconnaissance des appartenances utilisateur et à un groupe (SAMR) (ID externe 2021)

Nom précédent : reconnaissance à l’aide de requêtes de services d’annuaire

Gravité : moyenne

Description :

La reconnaissance des utilisateurs et des membres d’un groupe permet aux attaquants de mapper la structure de l’annuaire et de cibler des comptes privilégiés pour les étapes suivantes de leur attaque. Le protocole distant du gestionnaire de comptes de sécurité (SAM-R) est l’une des méthodes utilisées pour interroger l’annuaire pour effectuer ce type de mappage. Dans cette détection, aucune alerte n’est déclenchée durant le premier mois après le déploiement de Defender pour Identity (période d’apprentissage). Pendant cette période d’apprentissage, Defender pour Identity effectue un profilage des requêtes SAM-R effectuées à partir des ordinateurs, qu’il s’agisse de requêtes d’énumération ou de requêtes individuelles sur des comptes sensibles.

Période d’apprentissage :

Quatre semaines par contrôleur de domaine à partir de la première activité réseau de SAMR contre le contrôleur de domaine spécifique.

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087), Découverte de groupes d’autorisations (T1069)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002), Groupe de domaines (T1069.002)

Étapes suggérées pour la prévention :

  1. Appliquez l’accès réseau et limitez les clients autorisés à passer des appels distants à la stratégie de groupe SAM.

Reconnaissance des attributs Active Directory (LDAP) (ID externe 2210)

Gravité : moyenne

Description :

La reconnaissance LDAP Active Directory est utilisée par les attaquants pour obtenir des informations critiques sur l’environnement de domaine. Ces informations peuvent aider les attaquants à mapper la structure du domaine, ainsi qu’à identifier les comptes privilégiés qu’ils utiliseront ultérieurement dans les étapes de leur chaîne de destruction d’attaque. Le protocole LDAP est l’une des méthodes les plus populaires utilisées à des fins légitimes et malveillantes pour interroger Active Directory.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087), Exécution de commandes indirectes (T1202), Découverte de groupes d’autorisations (T1069)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002), Groupes de domaines (T1069.002)

Honeytoken a été interrogé via SAM-R (ID externe 2439).

Gravité : faible

Description :

La reconnaissance des utilisateurs permet aux attaquants de mapper la structure de l’annuaire et de cibler des comptes privilégiés pour les étapes suivantes de leur attaque. Le protocole distant du gestionnaire de comptes de sécurité (SAM-R) est l’une des méthodes utilisées pour interroger l’annuaire pour effectuer ce type de mappage. Dans cette détection, Microsoft Defender pour Identity déclenchera cette alerte pour toutes les activités de reconnaissance contre un utilisateur honeytoken préconfiguré

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002)

Honeytoken a été interrogé via LDAP (ID externe 2429)

Gravité : faible

Description :

La reconnaissance des utilisateurs permet aux attaquants de mapper la structure de l’annuaire et de cibler des comptes privilégiés pour les étapes suivantes de leur attaque. Le protocole LDAP est l’une des méthodes les plus populaires utilisées à des fins légitimes et malveillantes pour interroger Active Directory.

Dans cette détection, Microsoft Defender pour Identity déclenchera cette alerte pour toutes les activités de reconnaissance contre un utilisateur honeytoken préconfiguré.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Découverte (TA0007)
Technique d’attaque MITRE Découverte de compte (T1087)
Sous-technique d’attaque MITRE Compte de domaine (T1087.002)

Énumération de compte Okta suspecte

Gravité : élevée

Description :

Dans l’énumération de comptes, les attaquants essaieront de deviner les noms d’utilisateur en effectuant des connexions dans Okta avec des utilisateurs qui n’appartiennent pas à l’organisation. Nous recommandons d’enquêter sur l’adresse IP source effectuant les tentatives échouées et de déterminer si elles sont légitimes ou non.

Période d’apprentissage :

Aucun

MITRE :

Tactique MITRE principale Accès Initial (TA0001), Évasion de la Défense (TA0005), Persistance (TA0003), Élévation de Privilège (TA0004)
Technique d’attaque MITRE Comptes Validés (T1078)
Sous-technique d’attaque MITRE Comptes Cloud (T1078.004)

Voir aussi