Andra säkerhetsaviseringar
Vanligtvis startas cyberattacker mot alla tillgängliga entiteter, till exempel en användare med låg behörighet, och flyttas sedan snabbt i sidled tills angriparen får åtkomst till värdefulla tillgångar. Värdefulla tillgångar kan vara känsliga konton, domänadministratörer eller mycket känsliga data. Microsoft Defender za identitet identifierar dessa avancerade hot vid källan i hela attackkedjan och klassificerar dem i följande faser:
- Aviseringar om rekognosering och identifiering
- Aviseringar om beständighet och behörighetseskalering
- Åtkomstaviseringar för autentiseringsuppgifter
- Aviseringar om lateral förflyttning
- Övrigt
Mer information om hur du förstår strukturen och vanliga komponenter i alla Säkerhetsaviseringar för Defender för identiteter finns i Förstå säkerhetsaviseringar. Information om Sann positiv (TP), Godartad sann positiv (B-TP) och Falskt positiv (FP) finns i klassificeringar av säkerhetsaviseringar.
Följande säkerhetsaviseringar hjälper dig att identifiera och åtgärda misstänkta aktiviteter i andra faser som identifierats av Defender for Identity i nätverket.
Misstänkt DCShadow-attack (befordran av domänkontrollant) (externt ID 2028)
Tidigare namn: Misstänkt befordran av domänkontrollant (potentiell DCShadow-attack)
Allvarlighetsgrad: Hög
Beskrivning:
En domänkontrollants skuggattack (DCShadow) är en attack som är utformad för att ändra katalogobjekt med skadlig replikering. Den här attacken kan utföras från vilken dator som helst genom att skapa en felaktig domänkontrollant med hjälp av en replikeringsprocess.
I en DCShadow-attack används RPC och LDAP för att:
- Registrera datorkontot som en domänkontrollant (med domänadministratörsbehörighet).
- Utför replikering (med de beviljade replikeringsrättigheterna) över DRSUAPI och skicka ändringar till katalogobjekt.
I den här Defender for Identity-identifieringen utlöses en säkerhetsavisering när en dator i nätverket försöker registrera sig som en falsk domänkontrollant.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Defense Evasion (TA0005) |
|---|---|
| MITRE-attackteknik | Falsk domänkontrollant (T1207) |
| MITRE-attackunderteknik | Ej tillämpligt |
Föreslagna steg för förebyggande:
Verifiera följande behörigheter:
- Replikera katalogändringar.
- Replikera katalogändringar alla.
- Mer information finns i Bevilja Usluge domena aktivnog direktorijuma behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL Scanner eller skapa ett Windows PowerShell-skript för att avgöra vem som har dessa behörigheter i domänen.
Kommentar
Aviseringar om misstänkt befordran av domänkontrollanter (potentiella DCShadow-attacker) stöds endast av Defender för identitetssensorer.
Misstänkt DCShadow-attack (replikeringsbegäran för domänkontrollant) (externt ID 2029)
Tidigare namn: Misstänkt replikeringsbegäran (potentiell DCShadow-attack)
Allvarlighetsgrad: Hög
Beskrivning:
Active Directory-replikering är den process genom vilken ändringar som görs på en domänkontrollant synkroniseras med andra domänkontrollanter. Med nödvändiga behörigheter kan angripare bevilja rättigheter för sitt datorkonto, så att de kan personifiera en domänkontrollant. Angripare strävar efter att initiera en begäran om skadlig replikering, så att de kan ändra Active Directory-objekt på en äkta domänkontrollant, vilket kan ge angriparna beständighet i domänen. I den här identifieringen utlöses en avisering när en misstänkt replikeringsbegäran genereras mot en äkta domänkontrollant som skyddas av Defender för identitet. Beteendet är ett tecken på tekniker som används i skuggattacker för domänkontrollanter.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Defense Evasion (TA0005) |
|---|---|
| MITRE-attackteknik | Falsk domänkontrollant (T1207) |
| MITRE-attackunderteknik | Ej tillämpligt |
Föreslagna åtgärder och åtgärder för förebyggande:
Verifiera följande behörigheter:
- Replikera katalogändringar.
- Replikera katalogändringar alla.
- Mer information finns i Bevilja Usluge domena aktivnog direktorijuma behörigheter för profilsynkronisering i SharePoint Server 2013. Du kan använda AD ACL Scanner eller skapa ett Windows PowerShell-skript för att avgöra vem i domänen som har dessa behörigheter.
Kommentar
Aviseringar om misstänkt replikering (potentiell DCShadow-attack) stöds endast av Defender för identitetssensorer.
Misstänkt VPN-anslutning (externt ID 2025)
Tidigare namn: Misstänkt VPN-anslutning
Allvarlighetsgrad: Medel
Beskrivning:
Defender for Identity lär sig entitetsbeteendet för användarnas VPN-anslutningar under en glidande period på en månad.
VPN-beteendemodellen baseras på de datorer som användarna loggar in på och de platser som användarna ansluter från.
En avisering öppnas när det finns en avvikelse från användarens beteende baserat på en maskininlärningsalgoritm.
Utbildningsperiod:
30 dagar från den första VPN-anslutningen och minst 5 VPN-anslutningar under de senaste 30 dagarna, per användare.
MITRE:
| Primär MITRE-taktik | Defense Evasion (TA0005) |
|---|---|
| Sekundär MITRE-taktik | Beständighet (TA0003) |
| MITRE-attackteknik | Externa fjärrtjänster (T1133) |
| MITRE-attackunderteknik | Ej tillämpligt |
Försök att köra fjärrkod (externt ID 2019)
Föregående namn: Försök att köra fjärrkod
Allvarlighetsgrad: Medel
Beskrivning:
Angripare som komprometterar administrativa autentiseringsuppgifter eller använder en nolldagsexploatering kan köra fjärrkommandon på domänkontrollanten eller AD FS/AD CS-servern. Detta kan användas för att få bestående, samla in information, DOS-attacker (Denial of Service) eller någon annan orsak. Defender for Identity identifierar PSexec-, Fjärr-WMI- och PowerShell-anslutningar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Körning (TA0002) |
|---|---|
| Sekundär MITRE-taktik | Lateral rörelse (TA0008) |
| MITRE-attackteknik | Kommando- och skripttolk (T1059),Fjärrtjänster (T1021) |
| MITRE-attackunderteknik | PowerShell (T1059.001), Windows Remote Management (T1021.006) |
Föreslagna steg för förebyggande:
- Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.
- Implementera privilegierad åtkomst, så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.
- Implementera mindre privilegierad åtkomst på domändatorer för att ge specifika användare rätt att skapa tjänster.
Kommentar
Aviseringar om fjärrkörningsförsök vid försök att använda Powershell-kommandon stöds endast av Defender för identitetssensorer.
Misstänkt tjänstskapande (externt ID 2026)
Tidigare namn: Misstänkt skapande av tjänst
Allvarlighetsgrad: Medel
Beskrivning:
En misstänkt tjänst har skapats på en domänkontrollant eller AD FS/AD CS-server i din organisation. Den här aviseringen förlitar sig på händelse 7045 för att identifiera den här misstänkta aktiviteten.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Körning (TA0002) |
|---|---|
| Sekundär MITRE-taktik | Persistence (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
| MITRE-attackteknik | Fjärrtjänster (T1021), kommando- och skripttolkare (T1059), System Services (T1569), Skapa eller ändra systemprocess (T1543) |
| MITRE-attackunderteknik | Tjänstkörning (T1569.002), Windows Service (T1543.003) |
Föreslagna steg för förebyggande:
- Begränsa fjärråtkomst till domänkontrollanter från datorer som inte är på nivå 0.
- Implementera privilegierad åtkomst så att endast härdade datorer kan ansluta till domänkontrollanter för administratörer.
- Implementera mindre privilegierad åtkomst på domändatorer för att endast ge specifika användare rätt att skapa tjänster.
Misstänkt kommunikation via DNS (externt ID 2031)
Tidigare namn: Misstänkt kommunikation via DNS
Allvarlighetsgrad: Medel
Beskrivning:
DNS-protokollet i de flesta organisationer övervakas vanligtvis inte och blockeras sällan för skadlig aktivitet. Aktivera en angripare på en komprometterad dator för att missbruka DNS-protokollet. Skadlig kommunikation via DNS kan användas för dataexfiltrering, kommando och kontroll och/eller undvika företagsnätverksbegränsningar.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Exfiltrering (TA0010) |
|---|---|
| MITRE-attackteknik | Exfiltrering över alternativt protokoll (T1048), exfiltrering över C2-kanal (T1041), schemalagd överföring (T1029), automatisk exfiltrering (T1020), Application Layer Protocol (T1071) |
| MITRE-attackunderteknik | DNS (T1071.004), Exfiltrering över okrypterat/fördunklat icke-C2-protokoll (T1048.003) |
Dataexfiltrering över SMB (externt ID 2030)
Allvarlighetsgrad: Hög
Beskrivning:
Domänkontrollanter innehåller de känsligaste organisationsdata. För de flesta angripare är en av deras främsta prioriteringar att få åtkomst till domänkontrollanter för att stjäla dina känsligaste data. Exfiltrering av filen Ntds.dit, som lagras på domänkontrollanten, gör det till exempel möjligt för en angripare att förfalska Kerberos-biljettbeviljande biljetter (TGT) som ger auktorisering till alla resurser. Förfalskade Kerberos-TGT:er gör det möjligt för angriparen att ange biljettens giltighetstid till valfri godtycklig tid. En Defender for Identity Data-exfiltrering via SMB-avisering utlöses när misstänkta dataöverföringar observeras från dina övervakade domänkontrollanter.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Exfiltrering (TA0010) |
|---|---|
| Sekundär MITRE-taktik | Lateral förflyttning (TA0008),Kommando och kontroll (TA0011) |
| MITRE-attackteknik | Exfiltrering över alternativt protokoll (T1048), lateral verktygsöverföring (T1570) |
| MITRE-attackunderteknik | Exfiltrering över okrypterat/fördunklat icke-C2-protokoll (T1048.003) |
Misstänkt borttagning av certifikatdatabasposterna (externt ID 2433)
Allvarlighetsgrad: Medel
Beskrivning:
Borttagningen av certifikatdatabasposter är en röd flagga som anger potentiell skadlig aktivitet. Den här attacken kan störa funktionen hos PKI-system (Public Key Infrastructure) som påverkar autentisering och dataintegritet.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Defense Evasion (TA0005) |
|---|---|
| MITRE-attackteknik | Borttagning av indikator (T1070) |
| MITRE-attackunderteknik | Inte tillgänglig |
Kommentar
Misstänkt borttagning av certifikatdatabasposternas aviseringar stöds endast av Defender för identitetssensorer i AD CS.
Misstänkt inaktivering av granskningsfilter för AD CS (externt ID 2434)
Allvarlighetsgrad: Medel
Beskrivning:
Om du inaktiverar granskningsfilter i AD CS kan angripare arbeta utan att identifieras. Den här attacken syftar till att undvika säkerhetsövervakning genom att inaktivera filter som annars skulle flagga misstänkta aktiviteter.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Defense Evasion (TA0005) |
|---|---|
| MITRE-attackteknik | Försämra försvar (T1562) |
| MITRE-attackunderteknik | Inaktivera Händelseloggning i Windows (T1562.002) |
Ändring av lösenord för återställningsläge för Katalogtjänster (externt ID 2438)
Allvarlighetsgrad: Medel
Beskrivning:
Återställningsläge för Katalogtjänster (DSRM) är ett särskilt startläge i Microsoft Windows Server-operativsystem som gör att en administratör kan reparera eller återställa Active Directory-databasen. Det här läget används vanligtvis när det finns problem med Active Directory och normal start inte är möjligt. DSRM-lösenordet anges under befordran av en server till en domänkontrollant. I den här identifieringen utlöses en avisering när Defender för identitet identifierar ett DSRM-lösenord ändras. Vi rekommenderar att du undersöker källdatorn och den användare som gjorde begäran för att förstå om DSRM-lösenordsändringen initierades från en legitim administrativ åtgärd eller om den ger upphov till problem med obehörig åtkomst eller potentiella säkerhetshot.
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Beständighet (TA0003) |
|---|---|
| MITRE-attackteknik | Kontomanipulering (T1098) |
| MITRE-attackunderteknik | Ej tillämpligt |
Möjlig okta-sessionsstöld
Allvarlighetsgrad: Hög
Beskrivning:
Vid sessionsstöld stjäl angripare den legitima användarens cookies och använder den från andra platser. Vi rekommenderar att du undersöker käll-IP-adressen som utför åtgärderna för att avgöra om dessa åtgärder är legitima eller inte och att IP-adressen används av användaren.
Utbildningsperiod:
2 veckor
MITRE:
| Primär MITRE-taktik | Samling (TA0009) |
|---|---|
| MITRE-attackteknik | Kapning av webbläsarsession (T1185) |
| MITRE-attackunderteknik | Ej tillämpligt |
Manipulering av grupprincip (externt ID 2440) (förhandsversion)
Allvarlighetsgrad: Medel
Beskrivning:
En misstänkt ändring har identifierats i grupprincipen, vilket resulterar i inaktivering av Windows Defender Antivirus. Den här aktiviteten kan tyda på en säkerhetsöverträdelse av en angripare med förhöjd behörighet som kan ställa in fasen för distribution av utpressningstrojaner.
Föreslagna steg för undersökning:
Förstå om GPO-ändringen är legitim
Om det inte var det återställer du ändringen
Förstå hur grupprincipen är länkad för att uppskatta dess effektomfång
Utbildningsperiod:
Ingen
MITRE:
| Primär MITRE-taktik | Defense Evasion (TA0005) |
|---|---|
| MITRE-attackteknik | Omstörtning av förtroendekontroller (T1553) |
| MITRE-attackteknik | Omstörtning av förtroendekontroller (T1553) |
| MITRE-attackunderteknik | Ej tillämpligt |