Outros alertas de segurança

Normalmente, os ataques cibernéticos são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender para Identidade identifica essas ameaças avançadas na origem ao longo de toda a cadeia de ataque e classifica-as nas seguintes fases:

  1. Alertas de reconhecimento e descoberta
  2. Alertas de elevação de privilégio e persistência
  3. Alertas de acesso a credenciais
  4. Alertas de movimentação lateral
  5. Outras

Para entender melhor a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, confira Noções básicas sobre os alertas de segurança. Para obter informações sobre TP (verdadeiro positivo), B-TP (verdadeiro positivo benigno) e FP (falso positivo), confira Classificações de alertas de segurança.

Os alertas de segurança a seguir ajudam você a identificar e corrigir as atividades suspeitas da fase de Outros detectadas pelo Defender para Identidade na sua rede.

Suspeita de ataque DCShadow (promoção do controlador de domínio) (ID externo 2028)

Nome anterior: Promoção suspeita do controlador de domínio (possível ataque DCShadow)

Gravidade: Alta

Descrição:

Um ataque DCShadow (Sombra do Controlador de Domínio) é projetado para alterar objetos de diretório usando replicação mal-intencionada. Esse ataque pode ser executado de um computador criando um controlador de domínio fraudulento usando um processo de replicação.

Em um ataque DCShadow, RPC e LDAP são usados para:

  1. Registrar a conta do computador como um controlador de domínio (usando direitos de administrador de domínio).
  2. Execute a replicação (usando os direitos de replicação concedidos) por DRSUAPI e envie alterações aos objetos de diretório.

Nessa detecção do Defender para Identidade, um alerta de segurança é disparado quando um computador na rede tenta se registrar como um controlador de domínio de um invasor.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Técnica de ataque MITRE Controlador de domínio fraudulento (T1207)
Subtécnica de ataque MITRE ATTCK N/D

Sugestão de etapas para prevenção:

Valide as seguintes permissões:

  1. Replicar alterações de diretório.
  2. Replicar todas as alterações de diretório.
  3. Para obter mais informações, confira Conceder permissões do Active Directory Domain Services para sincronização de perfil no SharePoint Server 2013. Você pode usar o Verificador de ACL do AD ou criar um script do Windows PowerShell para determinar quem tem essas permissões no domínio.

Observação

Só há suporte para os alertas de promoção do controlador de domínio suspeito (possível ataque DCShadow) nos sensores do Defender para Identidade.

Suspeita de ataque DCShadow (solicitação de replicação do controlador de domínio) (ID externo 2029)

Nome anterior: Solicitação de replicação suspeita (possível ataque DCShadow)

Gravidade: Alta

Descrição:

A replicação do Active Directory é o processo pelo qual as alterações feitas em um controlador de domínio são sincronizadas com outros controladores de domínio. Dadas as permissões necessárias, os invasores podem conceder direitos para uma conta de computador, permitindo que eles se passem por um controlador de domínio. Os invasores se esforçam para iniciar uma solicitação de replicação mal-intencionada, permitindo que alterem objetos do Active Directory em um controlador de domínio genuíno, o que pode dar aos invasores persistência no domínio. Nessa detecção, um alerta é acionado quando uma solicitação de replicação suspeita é gerada em relação a um controlador de domínio original protegido pelo Defender para Identidade. O comportamento é indicativo de técnicas usadas em ataques de sombra de controlador de domínio.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Técnica de ataque MITRE Controlador de domínio fraudulento (T1207)
Subtécnica de ataque MITRE ATTCK N/D

Sugestão de remediação e medidas para prevenção:

Valide as seguintes permissões:

  1. Replicar alterações de diretório.
  2. Replicar todas as alterações de diretório.
  3. Para obter mais informações, confira Conceder permissões do Active Directory Domain Services para sincronização de perfil no SharePoint Server 2013. Você pode usar o Verificador de ACL do AD ou criar um script do Windows PowerShell para determinar quem no domínio tem essas permissões.

Observação

Só há suporte para os alertas de solicitação de replicação suspeita (possível ataque DCShadow) nos sensores do Defender para Identidade.

Conexão VPN suspeita (ID externo 2025)

Nome anterior: Conexão VPN suspeita

Gravidade: Média

Descrição:

A Defender para Identidade aprende o comportamento da entidade dos usuários de conexões VPN em um período corrido de um mês.

O modelo de comportamento de VPN é baseado nos computadores em que os usuários fazem logon e nos locais de onde eles se conectam.

Um alerta é aberto quando existe um desvio no comportamento do usuário com base em um algoritmo de aprendizado de máquina.

Período de aprendizado:

30 dias a contar da primeira conexão VPN e pelo menos 5 conexões VPN nos últimos 30 dias, por usuário.

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Tática MITRE secundária Persistência (TA0003)
Técnica de ataque MITRE Serviços remotos externos (T1133)
Subtécnica de ataque MITRE ATTCK N/D

Tentativa de execução remota de código por DNS (ID externo 2019)

Nome anterior: Tentativa de execução remota de código

Gravidade: Média

Descrição:

Os invasores que comprometem credenciais administrativas ou usam uma exploração de dia zero podem executar comandos remotos no controlador de domínio ou no servidor de AD FS/AD CS. Essa opção pode ser usada para ganhar persistência, coletar informações, ataques de negação de serviço (DOS) ou para outros motivos. O Defender para Identidade detecta conexões PSexec, WMI remoto e PowerShell.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Execução (TA0002)
Tática MITRE secundária Movimentação Lateral (TA0008)
Técnica de ataque MITRE Interpretador de comandos e scripts (T1059), Serviços remotos (T1021)
Subtécnica de ataque MITRE ATTCK PowerShell (T1059.001), Gerenciamento Remoto do Windows (T1021.006)

Sugestão de etapas para prevenção:

  1. Restrinja o acesso remoto a controladores de domínio de computadores que não sejam de nível 0.
  2. Implemente o acesso privilegiado, permitindo que apenas computadores protegidos se conectem a controladores de domínio para administradores.
  3. Implemente o acesso menos privilegiado em computadores de domínio para permitir que apenas usuários específicos tenham o direito de criar serviços.

Observação

Só há suporte a alertas de tentativas de execução remota de código sobre tentativas de uso de comandos do Powershell nos sensores do Defender para Identidade.

Criação de serviço suspeito (ID externo 2026)

Nome anterior: Criação de serviço suspeito

Gravidade: Média

Descrição:

Um serviço suspeito foi criado em um controlador de domínio ou servidor de AD FS/AD CS em sua organização. Esse alerta depende do evento 7045 para identificar essa atividade suspeita.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Execução (TA0002)
Tática MITRE secundária Persistência (TA0003), Elevação de privilégio (TA0004), Evasão de defesa (TA0005), Movimentação lateral (TA0008)
Técnica de ataque MITRE Serviços remotos (T1021), Interpretador de comandos e scripts (T1059), Serviços do sistema (T1569), Criar ou modificar processo do sistema (T1543)
Subtécnica de ataque MITRE ATTCK Execução de serviço (T1569.002), Serviço do Windows (T1543.003)

Sugestão de etapas para prevenção:

  1. Restrinja o acesso remoto a controladores de domínio de computadores que não sejam de nível 0.
  2. Implemente o acesso privilegiado para permitir que apenas computadores protegidos se conectem a controladores de domínio para administradores.
  3. Implemente o acesso menos privilegiado em computadores de domínio para dar o direito de criar serviços apenas para usuários específicos.

Comunicação suspeita por DNS (ID externo 2031)

Nome anterior: Comunicação suspeita por DNS

Gravidade: Média

Descrição:

O protocolo DNS na maioria das organizações normalmente não é monitorado e raramente é bloqueado para atividades mal-intencionadas, permitindo que um invasor em um computador comprometida abuse do protocolo DNS. A comunicação mal-intencionada por DNS pode ser usada para exfiltração, comando e controle de dados e/ou evasão de restrições da rede corporativa.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Exfiltração (TA0010)
Técnica de ataque MITRE Exfiltração por protocolo alternativo (T1048), Exfiltração por canal C2 (T1041), Transferência agendada (T1029), Exfiltração automatizada (T1020), Protocolo da camada de aplicativo (T1071)
Subtécnica de ataque MITRE ATTCK DNS (T1071.004), Exfiltração por protocolo não C2 não criptografado/ofuscado (T1048.003)

Exfiltração de dados por SMB (ID externo 2030)

Gravidade: Alta

Descrição:

Os controladores de domínio têm os dados organizacionais mais confidenciais. Para a maioria dos invasores, uma das principais prioridades é obter acesso ao controlador de domínio para roubar os dados mais confidenciais. Por exemplo, a exfiltração do arquivo Ntds.dit, armazenado no DC, permite que um invasor forje TGTs (Tíquetes de Concessão de Tíquete) do Kerberos fornecendo autorização para qualquer recurso. Os TGTs do Kerberos forjados permitem que o invasor defina a expiração do tíquete de forma arbitrária. Um alerta de Exfiltração dos dados por SMB do Defender para Identidade é disparado quando são observadas transferências de dados suspeitas nos controladores de domínio monitorados.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Exfiltração (TA0010)
Tática MITRE secundária Movimentação lateral (TA0008), Comando e controle (TA0011)
Técnica de ataque MITRE Exfiltração por protocolo alternativo (T1048), Transferência lateral de ferramentas (T1570)
Subtécnica de ataque MITRE ATTCK Exfiltração por protocolo não C2 não criptografado/ofuscado (T1048.003)

Exclusão suspeita das entradas do banco de dados de certificados (ID externa 2433)

Gravidade: Média

Descrição:

A exclusão de entradas de banco de dados de certificados é um sinal de alerta, indicando possível atividade maliciosa. Esse ataque pode interromper o funcionamento dos sistemas de PKI (Infraestrutura de Chave Pública), afetando a autenticação e a integridade dos dados.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Técnica de ataque MITRE Remoção do indicador (T1070)
Subtécnica de ataque MITRE ATTCK N/D

Observação

A exclusão suspeita dos alertas de entradas do banco de dados de certificados só tem suporte dos sensores do Defender para Identidade no AD CS.

Desativação suspeita de filtros de auditoria do AD CS (ID externa 2434)

Gravidade: Média

Descrição:

Desabilitar filtros de auditoria no AD CS pode permitir que invasores operem sem serem detectados. Esse ataque visa evitar o monitoramento de segurança, desabilitando filtros que, de outra forma, sinalizariam atividades suspeitas.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Técnica de ataque MITRE Prejudicar as defesas (T1562)
Subtécnica de ataque MITRE ATTCK Desabilitar o log de eventos do Windows (T1562.002)

Alteração de senha do modo de restauração dos Serviços de Diretório (ID externa 2438)

Gravidade: Média

Descrição:

O DSRM (Modo de Restauração dos Serviços de Diretório) é um modo de inicialização especial nos sistemas operacionais Microsoft Windows Server que permite que um administrador repare ou restaure o banco de dados do Active Directory. Normalmente, esse modo é usado quando há problemas com o Active Directory e a inicialização normal não é possível. A senha do DSRM é definida durante a promoção de um servidor para um controlador de domínio. Nessa detecção, um alerta é disparado quando o Defender para Identidade detecta que uma senha do DSRM foi alterada. Recomendamos investigar o computador de origem e o usuário que fez a solicitação para saber se a alteração da senha do DSRM foi iniciada por uma ação administrativa legítima ou se há preocupações sobre acesso não autorizado ou possíveis ameaças à segurança.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Persistência (TA0003)
Técnica de ataque MITRE Manipulação de contas (T1098)
Subtécnica de ataque MITRE ATTCK N/D

Roubo possível de sessão Okta

Gravidade: Alta

Descrição:

No roubo de sessão, os invasores roubam os cookies do usuário legítimo para usar em outros locais. Recomendamos investigar o IP de origem que executa as operações para saber se essas operações são legítimas ou não e se o endereço IP está sendo usado pelo usuário.

Período de aprendizado:

2 semanas

MITRE:

Tática MITRE primária Coleta (TA0009)
Técnica de ataque MITRE Sequestro da sessão do navegador (T1185)
Subtécnica de ataque MITRE ATTCK N/D

Violação de Política de Grupo (ID externa 2440) (Versão prévia)

Gravidade: Média

Descrição:

Uma alteração suspeita foi detectada na Política de Grupo, resultando na desativação do Microsoft Defender Antivírus. Essa atividade pode indicar uma violação de segurança por um invasor com privilégios elevados que pode preparar o cenário para a distribuição de ransomware. 

Etapas sugeridas para a investigação:

  1. Entender se a alteração do GPO é legítima

  2. Se não for o caso, reverta a alteração

  3. Entenda como a política de grupo está vinculada para estimar seu escopo de impacto

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Evasão de defesa (TA0005)
Técnica de ataque MITRE Subverter os Controles de Confiança (T1553)
Técnica de ataque MITRE Subverter os Controles de Confiança (T1553)
Subtécnica de ataque MITRE ATTCK N/D

Confira também