Felderítési és felderítési riasztások
A kibertámadásokat általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indítják el, majd gyorsan, oldalirányban haladnak, amíg a támadó hozzá nem fér az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. Microsoft Defender for Identity azonosítja ezeket a komplex fenyegetéseket a forrásnál a teljes támadási láncban, és a következő fázisokba sorolja őket:
- Felderítés és felderítés
- Adatmegőrzési és jogosultságeszkalációs riasztások
- Hitelesítőadat-hozzáférési riasztások
- Oldalirányú mozgás riasztásai
- Egyéb riasztások
A Defender for Identity biztonsági riasztásainak szerkezetéről és gyakori összetevőiről a Biztonsági riasztások ismertetése című témakörben olvashat bővebben. Az Igaz pozitív (TP), a Jóindulatú pozitív (B-TP) és a Hamis pozitív (FP) értékekről további információt a biztonsági riasztások besorolását ismertető cikkben talál.
Az alábbi biztonsági riasztások segítenek azonosítani és orvosolni a Defender for Identity által a hálózatban észlelt felderítési és felderítési fázis gyanús tevékenységeit.
A felderítés és a felderítés olyan technikákból áll, amelyek segítségével a támadók ismereteket szerezhetnek a rendszerről és a belső hálózatról. Ezek a technikák segítenek a támadóknak megfigyelni a környezetet és a tájékozódást, mielőtt eldöntik, hogyan kell cselekedni. Azt is lehetővé teszik a támadók számára, hogy felfedezzék, mit szabályozhatnak, és mi van a belépési pontjuk körül, hogy felfedezzék, hogyan lehetne kihasználni a jelenlegi célkitűzésüket. A natív operációsrendszer-eszközöket gyakran használják a biztonsági rés utáni információgyűjtési cél érdekében. A Microsoft Defender for Identity ezek a riasztások általában különböző technikákkal végzett belső fiók-enumerálást foglalnak magukban.
Fiók számbavételének felderítése (külső azonosító: 2003)
Előző név: Felderítés fiókennumerálással
Súlyosság: Közepes
Leírás:
A fiókok számbavételének felderítése során a támadók egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközöket használnak, mint a KrbGuess, hogy kitalálják a tartományban lévő felhasználóneveket.
Kerberos: A támadó kerberos-kéréseket küld ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó az ismeretlen Kerberos-hiba helyett a szükséges előhitelesítést kapja.
NTLM: A támadó az NTLM hitelesítési kéréseit a nevek szótárával intézi, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó a NoSuchUser (0xc0000064) NTLM-hiba helyett a WrongPassword (0xc000006a) értéket kapja.
Ebben a riasztásészlelésben a Defender for Identity észleli, hogy honnan származik a fiók számbavételi támadása, a találgatási kísérletek teljes száma és a kísérletek száma. Ha túl sok ismeretlen felhasználó van, a Defender for Identity gyanús tevékenységként észleli. A riasztás a tartományvezérlőn és az AD FS-/AD CS-kiszolgálókon futó érzékelők hitelesítési eseményein alapul.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási al technika | Tartományi fiók (T1087.002) |
Javasolt lépések a megelőzéshez:
- Összetett és hosszú jelszavak kényszerítése a szervezetben. Az összetett és hosszú jelszavak biztosítják a találgatásos támadások elleni első szintű biztonságot. A találgatásos támadás általában a következő lépés a kibertámadások leölési láncában az enumerálást követően.
Fiókszámláló felderítés (LDAP) (külső azonosító: 2437) (előzetes verzió)
Súlyosság: Közepes
Leírás:
A fiókok számbavételének felderítése során a támadó egy több ezer felhasználónevet tartalmazó szótárat vagy olyan eszközt használ, mint az Ldapnomnom, amely megpróbálja kitalálni a tartományban lévő felhasználóneveket.
LDAP: A támadó ldAP pingelési kéréseket (cLDAP) küld ezekkel a névvel, hogy érvényes felhasználónevet keressen a tartományban. Ha egy találgatás sikeresen meghatároz egy felhasználónevet, a támadó olyan választ kaphat, amely jelzi, hogy a felhasználó létezik a tartományban.
Ebben a riasztásészlelésben a Defender for Identity észleli, hogy honnan származik a fiók számbavételi támadása, a találgatási kísérletek teljes száma és a kísérletek száma. Ha túl sok ismeretlen felhasználó van, a Defender for Identity gyanús tevékenységként észleli. A riasztás a tartományvezérlő-kiszolgálókon futó érzékelők LDAP-keresési tevékenységein alapul.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási al technika | Tartományi fiók (T1087.002) |
Hálózatleképezési felderítés (DNS) (külső azonosító: 2007)
Előző név: Felderítés DNS használatával
Súlyosság: Közepes
Leírás:
A DNS-kiszolgáló a hálózat összes számítógépének, IP-címének és szolgáltatásának térképét tartalmazza. Ezeket az információkat a támadók arra használják, hogy feltérképezzék a hálózati struktúrát, és érdekes számítógépeket célozhassanak meg a támadás későbbi lépéseihez.
A DNS-protokollban számos lekérdezéstípus létezik. Ez a Defender for Identity biztonsági riasztás észleli a gyanús kéréseket, vagy a nem DNS-kiszolgálókról származó AXFR-t (átvitelt) használó kéréseket, vagy a túl sok kérést használókat.
Tanulási időszak:
Ez a riasztás a tartományvezérlő monitorozásának kezdetétől számított nyolc napos tanulási időszak.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087), Hálózati szolgáltatás vizsgálata (T1046), Távoli rendszerfelderítés (T1018) |
| MITRE támadási al technika | – |
Javasolt lépések a megelőzéshez:
Fontos, hogy a belső DNS-kiszolgáló biztonságossá tételével megelőzze az AXFR-lekérdezéseket használó jövőbeli támadásokat.
- Biztonságossá teheti a belső DNS-kiszolgálót, hogy megakadályozza a DNS használatával történő felderítést a zónaátvitelek letiltásával vagy a zónaátvitelek csak a megadott IP-címekre való korlátozásával . A zónaátvitelek módosítása az ellenőrzőlista egyik feladata, amelyet meg kell oldani a DNS-kiszolgálók belső és külső támadások elleni védelmének biztosításához.
Felhasználó és IP-cím felderítése (SMB) (külső azonosító: 2012)
Előző név: Felderítés SMB-munkamenet számbavétele használatával
Súlyosság: Közepes
Leírás:
A Kiszolgálói üzenetblokk (SMB) protokoll használatával történő számbavétel lehetővé teszi, hogy a támadók információt szerezzenek arról, hogy a felhasználók hol jelentkeztek be a közelmúltban. Miután a támadók megkapták ezeket az információkat, oldalirányban mozoghatnak a hálózaton, hogy egy adott bizalmas fiókhoz jutnak.
Ebben az észlelésben riasztás aktiválódik, ha egy tartományvezérlőn SMB-munkamenetek számbavétele történik.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Account Discovery (T1087), System Network Connections Discovery (T1049) |
| MITRE támadási al technika | Tartományi fiók (T1087.002) |
Felhasználó- és csoporttagság-felderítés (SAMR) (külső azonosító: 2021)
Előző név: Felderítés címtárszolgáltatás-lekérdezések használatával
Súlyosság: Közepes
Leírás:
A felhasználói és csoporttagságok felderítése során a támadók leképezik a címtárstruktúrát és a kiemelt jogosultságú fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az ilyen típusú leképezés végrehajtásához használt egyik módszer a címtár lekérdezésére. Ebben az észlelésben nem aktiválódik riasztás a Defender for Identity üzembe helyezését követő első hónapban (tanulási időszak). A tanulási időszak során a Defender for Identity profiljai, amelyek sam-R-lekérdezéseket hajtanak végre, amelyekből a bizalmas fiókok enumerálása és egyéni lekérdezései egyaránt származnak.
Tanulási időszak:
Tartományvezérlőnként négy hét az SAMR első hálózati tevékenységétől kezdve az adott tartományvezérlőn.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087), engedély Csoportok felderítés (T1069) |
| MITRE támadási al technika | Tartományi fiók (T1087.002), Tartománycsoport (T1069.002) |
Javasolt lépések a megelőzéshez:
- Alkalmazza a hálózati hozzáférést, és korlátozza a SAM-csoportszabályzat felé irányuló távoli hívásokhoz engedélyezett ügyfeleket.
Active Directory-attribútumok felderítése (LDAP) (külső azonosító: 2210)
Súlyosság: Közepes
Leírás:
Az Active Directory LDAP-felderítést a támadók a tartományi környezettel kapcsolatos kritikus információk megszerzésére használják. Ezek az információk segíthetnek a támadóknak leképezni a tartományszerkezetet, valamint azonosítani a támadási lánc későbbi lépéseiben használható kiemelt fiókokat. A Lightweight Directory Access Protocol (LDAP) az active directory lekérdezéséhez használt egyik legnépszerűbb módszer, amely jogos és rosszindulatú célokra is használható.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Account Discovery (T1087), Indirect Command Execution (T1202), Permission Csoportok Discovery (T1069) |
| MITRE támadási al technika | Tartományi fiók (T1087.002), Tartományi Csoportok (T1069.002) |
Honeytoken-t SAM-R-n keresztül kérdezték le (külső azonosító: 2439)
Súlyosság: Alacsony
Leírás:
A felhasználók felderítése során a támadók leképezik a címtárszerkezetet és célként szolgáló kiemelt fiókokat a támadás későbbi lépéseihez. A Security Account Manager Remote (SAM-R) protokoll az ilyen típusú leképezés végrehajtásához használt egyik módszer a címtár lekérdezésére. Ebben az észlelésben Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználóval végzett felderítési tevékenységekhez
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási al technika | Tartományi fiók (T1087.002) |
Honeytoken-t LDAP-n keresztül kérdezték le (külső azonosító: 2429)
Súlyosság: Alacsony
Leírás:
A felhasználók felderítése során a támadók leképezik a címtárszerkezetet és célként szolgáló kiemelt fiókokat a támadás későbbi lépéseihez. A Lightweight Directory Access Protocol (LDAP) az active directory lekérdezéséhez használt egyik legnépszerűbb módszer, amely jogos és rosszindulatú célokra is használható.
Ebben az észlelésben a Microsoft Defender for Identity aktiválja ezt a riasztást az előre konfigurált honeytoken felhasználóval végzett felderítési tevékenységek esetén.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Felderítés (TA0007) |
|---|---|
| MITRE támadási technika | Fiókfelderítés (T1087) |
| MITRE támadási al technika | Tartományi fiók (T1087.002) |
Gyanús Okta-fiók számbavétele
Súlyosság: Magas
Leírás:
A fiókok számbavétele során a támadók megpróbálják kitalálni a felhasználóneveket úgy, hogy bejelentkezéseket hajtanak végre az Oktába olyan felhasználókkal, amelyek nem tartoznak a szervezethez. Javasoljuk, hogy vizsgálja meg a sikertelen kísérleteket végrehajtó forrás IP-címet, és állapítsa meg, hogy azok jogosak-e vagy sem.
Tanulási időszak:
Egyikre sem.
MITRE:
| Elsődleges MITRE-taktika | Initial Access (TA0001), Defense Evasion (TA0005), Persistence (TA0003), Privilege Escalation (TA0004) |
|---|---|
| MITRE támadási technika | Érvényes fiókok (T1078) |
| MITRE támadási al technika | Felhőbeli fiókok (T1078.004) |