تنبيهات الاستطلاع والاكتشاف
عادة ما يتم إطلاق الهجمات الإلكترونية ضد أي كيان يمكن الوصول إليه، مثل مستخدم ذي امتيازات منخفضة، ثم تتحرك بسرعة أفقيا حتى يحصل المهاجم على حق الوصول إلى الأصول القيمة. يمكن أن تكون الأصول القيمة حسابات حساسة أو مسؤولي مجال أو بيانات حساسة للغاية. يحدد Microsoft Defender for Identity هذه التهديدات المتقدمة في المصدر طوال سلسلة قتل الهجوم بأكملها ويصنفها في المراحل التالية:
- الاستكشاف والاكتشاف
- تنبيهات المثابرة وتصعيد الامتيازات
- تنبيهات الوصول إلى بيانات الاعتماد
- تنبيهات الحركة الجانبية
- تنبيهات أخرى
لمعرفة المزيد حول كيفية فهم البنية والمكونات الشائعة لجميع تنبيهات أمان Defender for Identity، راجع فهم تنبيهات الأمان. للحصول على معلومات حول الإيجابي الحقيقي (TP)والإيجابية الحقيقية الحميدة (B-TP)والإيجابية الخاطئة (FP)، راجع تصنيفات تنبيه الأمان.
تساعدك تنبيهات الأمان التالية على تحديد ومعالجة مرحلة الاستطلاع والاكتشاف الأنشطة المشبوهة التي اكتشفها Defender for Identity في شبكتك.
يتكون الاستطلاع والاكتشاف من تقنيات قد يستخدمها الخصم لاكتساب المعرفة حول النظام والشبكة الداخلية. تساعد هذه التقنيات الخصوم على مراقبة البيئة وتوجيه أنفسهم قبل اتخاذ قرار بشأن كيفية التصرف. كما أنها تسمح للخصوم باستكشاف ما يمكنهم السيطرة عليه وما حول نقطة دخولهم لاكتشاف كيف يمكن أن يفيد هدفهم الحالي. غالبا ما تستخدم أدوات نظام التشغيل الأصلية لتحقيق هدف جمع المعلومات بعد الاختراق هذا. في Microsoft Defender for Identity، تتضمن هذه التنبيهات عادة تعداد الحساب الداخلي بتقنيات مختلفة.
استكشاف تعداد الحساب (المعرف الخارجي 2003)
الاسم السابق: الاستطلاع باستخدام تعداد الحساب
الخطورة: متوسط
الوصف:
في استطلاع تعداد الحساب، يستخدم المهاجم قاموسا يحتوي على آلاف أسماء المستخدمين، أو أدوات مثل KrbGuess في محاولة لتخمين أسماء المستخدمين في المجال.
Kerberos: يقوم المهاجم بإجراء طلبات Kerberos باستخدام هذه الأسماء لمحاولة العثور على اسم مستخدم صالح في المجال. عندما يحدد التخمين بنجاح اسم مستخدم، يحصل المهاجم على المصادقة المسبقة المطلوبة بدلا من خطأ Kerberos غير معروف لمدير الأمان .
NTLM: يقوم المهاجم بإجراء طلبات مصادقة NTLM باستخدام قاموس الأسماء لمحاولة العثور على اسم مستخدم صالح في المجال. إذا نجح التخمين في تحديد اسم مستخدم، فسيحصل المهاجم على خطأ NTLM خطأ WrongPassword (0xc000006a) بدلا من NoSuchUser (0xc0000064 ).
في اكتشاف التنبيه هذا، يكتشف Defender for Identity من أين جاء هجوم تعداد الحساب، والعدد الإجمالي لمحاولات التخمين، وعدد المحاولات التي تمت مطابقتها. إذا كان هناك عدد كبير جدا من المستخدمين غير المعروفين، يكتشف Defender for Identity ذلك كنشاك مريب. يستند التنبيه إلى أحداث المصادقة من أجهزة الاستشعار التي تعمل على وحدة تحكم المجال وخوادم AD FS / AD CS.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002) |
الخطوات المقترحة للوقاية:
- فرض كلمات مرور معقدة وطويلة في المؤسسة. توفر كلمات المرور المعقدة والطويلة المستوى الأول الضروري من الأمان ضد هجمات القوة الغاشمة. عادة ما تكون هجمات القوة الغاشمة هي الخطوة التالية في سلسلة قتل الهجمات الإلكترونية بعد التعداد.
استكشاف تعداد الحساب (LDAP) (المعرف الخارجي 2437) (معاينة)
الخطورة: متوسط
الوصف:
في استطلاع تعداد الحساب، يستخدم المهاجم قاموسا يحتوي على آلاف أسماء المستخدمين أو أدوات مثل Ldapnomnom في محاولة لتخمين أسماء المستخدمين في المجال.
LDAP: يقوم المهاجم بإجراء طلبات LDAP Ping (cLDAP) باستخدام هذه الأسماء لمحاولة العثور على اسم مستخدم صالح في المجال. إذا نجح التخمين في تحديد اسم مستخدم، فقد يتلقى المهاجم استجابة تشير إلى أن المستخدم موجود في المجال.
في اكتشاف التنبيه هذا، يكتشف Defender for Identity من أين جاء هجوم تعداد الحساب، والعدد الإجمالي لمحاولات التخمين، وعدد المحاولات التي تمت مطابقتها. إذا كان هناك عدد كبير جدا من المستخدمين غير المعروفين، يكتشف Defender for Identity ذلك كنشاك مريب. يستند التنبيه إلى أنشطة بحث LDAP من أدوات الاستشعار التي تعمل على خوادم وحدة التحكم بالمجال.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002) |
استطلاع تعيين الشبكة (DNS) (المعرف الخارجي 2007)
الاسم السابق: الاستطلاع باستخدام DNS
الخطورة: متوسط
الوصف:
يحتوي خادم DNS على خريطة لجميع أجهزة الكمبيوتر وعناوين IP والخدمات في شبكتك. يستخدم المهاجمون هذه المعلومات لتعيين بنية الشبكة واستهداف أجهزة الكمبيوتر المثيرة للاهتمام للحصول على خطوات لاحقة في هجومهم.
هناك العديد من أنواع الاستعلامات في بروتوكول DNS. يكتشف تنبيه أمان Defender for Identity هذا الطلبات المشبوهة، إما الطلبات التي تستخدم AXFR (نقل) تنشأ من خوادم غير DNS، أو تلك التي تستخدم عددا مفرطا من الطلبات.
فترة التعلم:
يحتوي هذا التنبيه على فترة تعلم من ثمانية أيام من بداية مراقبة وحدة التحكم بالمجال.
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087)وفحص خدمة الشبكة (T1046)واكتشاف النظام البعيد (T1018) |
| تقنية هجوم MITRE الفرعية | N/A |
الخطوات المقترحة للوقاية:
من المهم منع الهجمات المستقبلية باستخدام استعلامات AXFR عن طريق تأمين خادم DNS الداخلي.
- قم بتأمين خادم DNS الداخلي لمنع الاستطلاع باستخدام DNS عن طريق تعطيل عمليات نقل المنطقة أو عن طريق تقييد عمليات نقل المنطقة فقط إلى عناوين IP المحددة. يعد تعديل عمليات نقل المنطقة مهمة واحدة بين قائمة اختيار يجب معالجتها لتأمين خوادم DNS الخاصة بك من كل من الهجمات الداخلية والخارجية.
استكشاف عنوان IP والمستخدم (SMB) (المعرف الخارجي 2012)
الاسم السابق: الاستطلاع باستخدام تعداد جلسة SMB
الخطورة: متوسط
الوصف:
يتيح التعداد باستخدام بروتوكول Server Message Block (SMB) للمهاجمين الحصول على معلومات حول مكان تسجيل دخول المستخدمين مؤخرا. بمجرد حصول المهاجمين على هذه المعلومات، يمكنهم الانتقال أفقيا في الشبكة للوصول إلى حساب حساس معين.
في هذا الكشف، يتم تشغيل تنبيه عند إجراء تعداد جلسة SMB مقابل وحدة تحكم المجال.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087)، اكتشاف Connections شبكة النظام (T1049) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002) |
استطلاع عضوية المستخدم والمجموعة (SAMR) (المعرف الخارجي 2021)
الاسم السابق: الاستطلاع باستخدام استعلامات خدمات الدليل
الخطورة: متوسط
الوصف:
يستخدم المهاجمون استطلاع عضوية المستخدم والمجموعة لتعيين بنية الدليل واستهداف الحسابات المتميزة للخطوات اللاحقة في هجومهم. بروتوكول Security Account Manager Remote (SAM-R) هو إحدى الطرق المستخدمة للاستعلام عن الدليل لتنفيذ هذا النوع من التعيين. في هذا الكشف، لا يتم تشغيل أي تنبيهات في الشهر الأول بعد نشر Defender for Identity (فترة التعلم). أثناء فترة التعلم، ملفات تعريف Defender for Identity التي يتم إجراء استعلامات SAM-R منها أجهزة الكمبيوتر، سواء التعداد أو الاستعلامات الفردية للحسابات الحساسة.
فترة التعلم:
أربعة أسابيع لكل وحدة تحكم بالمجال بدءا من نشاط الشبكة الأول ل SAMR مقابل DC المحدد.
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087)،اكتشاف مجموعات الإذن (T1069) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002)،مجموعة المجال (T1069.002) |
الخطوات المقترحة للوقاية:
- تطبيق الوصول إلى الشبكة وتقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى نهج مجموعة SAM.
استكشاف سمات Active Directory (LDAP) (المعرف الخارجي 2210)
الخطورة: متوسط
الوصف:
يستخدم المهاجمون استطلاع Active Directory LDAP للحصول على معلومات مهمة حول بيئة المجال. يمكن أن تساعد هذه المعلومات المهاجمين على تعيين بنية المجال، بالإضافة إلى تحديد الحسابات المميزة لاستخدامها في الخطوات اللاحقة في سلسلة إنهاء الهجوم الخاصة بهم. بروتوكول الوصول إلى الدليل الخفيف (LDAP) هو أحد الطرق الأكثر شيوعا المستخدمة لكل من الأغراض المشروعة والضارة للاستعلام عن Active Directory.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087)، تنفيذ الأوامر غير المباشرة (T1202)، اكتشاف مجموعات الإذن (T1069) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002)،مجموعات المجال (T1069.002) |
تم الاستعلام عن الرمز المميز للعسل عبر SAM-R (المعرف الخارجي 2439)
الخطورة: منخفض
الوصف:
يستخدم المهاجمون استطلاع المستخدم لتعيين بنية الدليل واستهداف الحسابات المتميزة للخطوات اللاحقة في هجومهم. بروتوكول Security Account Manager Remote (SAM-R) هو إحدى الطرق المستخدمة للاستعلام عن الدليل لتنفيذ هذا النوع من التعيين. في هذا الكشف، سيقوم Microsoft Defender for Identity بتشغيل هذا التنبيه لأي أنشطة استطلاع ضد مستخدم رمز العسل الذي تم تكوينه مسبقا
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002) |
تم الاستعلام عن الرمز المميز للعسل عبر LDAP (المعرف الخارجي 2429)
الخطورة: منخفض
الوصف:
يستخدم المهاجمون استطلاع المستخدم لتعيين بنية الدليل واستهداف الحسابات المتميزة للخطوات اللاحقة في هجومهم. بروتوكول الوصول إلى الدليل الخفيف (LDAP) هو أحد الطرق الأكثر شيوعا المستخدمة لكل من الأغراض المشروعة والضارة للاستعلام عن Active Directory.
في هذا الكشف، سيقوم Microsoft Defender for Identity بتشغيل هذا التنبيه لأي أنشطة استطلاع ضد مستخدم رمز العسل المكون مسبقا.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الاكتشاف (TA0007) |
|---|---|
| تقنية هجوم MITRE | اكتشاف الحساب (T1087) |
| تقنية هجوم MITRE الفرعية | حساب المجال (T1087.002) |
تعداد حساب Okta المشبوه
الخطورة: عالية
الوصف:
في تعداد الحساب، سيحاول المهاجمون تخمين أسماء المستخدمين عن طريق إجراء عمليات تسجيل الدخول إلى Okta مع مستخدمين لا ينتمون إلى المؤسسة. نوصي بالتحقيق في IP المصدر الذي يقوم بالمحاولات الفاشلة وتحديد ما إذا كانت شرعية أم لا.
فترة التعلم:
بلا
MITRE:
| تكتيك MITRE الأساسي | الوصول الأولي (TA0001)، التهرب الدفاعي (TA0005)، المثابرة (TA0003)، تصعيد الامتياز (TA0004) |
|---|---|
| تقنية هجوم MITRE | حسابات صالحة (T1078) |
| تقنية هجوم MITRE الفرعية | حسابات السحابة (T1078.004) |