Microsoft Defender for Identity 경고는 Defender for Identity 또는 Defender XDR 발생 여부에 따라 두 가지 형식으로 Microsoft Defender 포털에 표시할 수 있습니다. 모든 경고는 Defender for Identity 센서의 검색을 기반으로 합니다. 레이아웃과 정보의 차이는 Microsoft Defender 제품 전반에서 통합 경고 환경으로의 지속적인 전환의 일부입니다.
구조 및 모든 Defender for Identity 보안 경고의 일반적인 구성 요소를 이해하는 방법에 대한 자세한 내용은 경고 보기 및 관리를 참조하세요.
XDR 경고 범주 Microsoft Defender for Identity
Defender for Identity 보안 경고는 해당 MITRE ATT&CK 전술로 분류됩니다. 이렇게 하면 Defender for Identity 경고가 트리거될 때 잠재적으로 사용 중인 의심스러운 공격 기술을 더 쉽게 이해할 수 있습니다. 이 페이지에는 조사 및 수정 작업에 도움이 되는 각 경고에 대한 정보가 포함되어 있습니다. 이 가이드에는 경고를 트리거하는 조건에 대한 일반적인 정보가 포함되어 있습니다. 변칙 기반 경고는 동작이 설정된 기준에서 크게 벗어나는 경우에만 트리거됩니다.
초기 액세스 경고
이 섹션에서는 악의적인 행위자가 organization 초기 발판을 확보하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
Okta 익명 사용자 액세스설명: 익명 사용자 액세스가 검색되었습니다. |
높음 | T1078 | xdr_OktaAnonymousUserAccess |
OneLogin에 대한 암호 스프레이설명: 의심스러운 IP 주소가 여러 개의 유효한 계정을 사용하여 OneLogin에 인증을 시도했습니다. 공격자가 나중에 후속 동작을 위해 유효한 사용자 계정 자격 증명을 찾으려고 할 수 있습니다. |
보통 | T1110.003 | xdr_OneLoginPasswordSpray |
의심스러운 Okta 계정 열거형설명: 의심스러운 IP 주소가 Okta 계정을 열거합니다. 공격자가 이후 후속 동작에 대해 검색 활동을 수행하려고 할 수 있습니다. |
높음 | T1078.004 | xdr_SuspiciousOktaAccountEnumeration |
의심스러운 OneLogin MFA 피로설명: 의심스러운 IP 주소는 사용자 계정에 대한 여러 OneLogin MFA(다단계 인증) 챌린지 시도를 보냈습니다. 공격자가 사용자의 계정 자격 증명을 손상하고 MFA 메커니즘을 플러시하고 우회하려고 할 수 있습니다. |
보통 | T1110.003 | xdr_OneLoginMfaFatigue |
관리자 계정에 대한 의심스러운 로그인설명: 관리자 계정 로그인이 의심스러운 방식으로 수행되었습니다. 이 동작은 사용자 계정이 손상되어 악의적인 활동에 사용되고 있음을 나타낼 수 있습니다. |
낮음 | T1078.001 | xdr_SuspiciousAdminAccountSignIn |
악성 인증서를 사용하여 만든 의심스러운 로그인설명: 사용자가 악의적인 인증서를 사용하여 organization 로그인했습니다. 이 동작은 사용자 계정이 손상되어 악의적인 활동에 사용되고 있으며 AAD Internals 인증서가 있는 악의적인 도메인이 organization 등록되었음을 나타낼 수 있습니다. |
높음 | T1078.001 | xdr_SignInUsingMaliciousCertificate |
Entra ID 동기화 계정을 사용하여 만든 Microsoft Sentinel 앱에 의심스러운 로그인설명: Microsoft Entra ID Connect 동기화 계정은 비정상적인 방식으로 Microsoft Sentinel 리소스에 로그인합니다. 이 동작은 사용자 계정이 손상되어 악의적인 활동에 사용되고 있음을 나타낼 수 있습니다. |
낮음 | T1078.001 | xdr_SuspiciousMicrosoftSentinelAccessByEntraIdSyncAccount |
Microsoft Entra 동기화 계정에서 사용하는 의심스러운 도구설명: 일반적으로 동기화 작업에 사용되는 Microsoft Entra ID 계정에 대한 의심스러운 인증이 검색되었습니다. 이 동작은 사용자 계정이 손상되었고 공격자가 악의적인 활동을 수행하는 데 사용하고 있음을 나타낼 수 있습니다. |
높음 | T1078.004 | xdr_SuspiciousToolSyncAccountSignIn |
계정 위험한 로그인을 일반적이지 않은 앱에 동기화설명: 위험한 세션에 로그인한 Microsoft Entra ID Connect 동기화 계정이 비정상적인 작업을 수행했습니다. 이 동작은 사용자 계정이 손상되어 악의적인 활동에 사용되고 있음을 나타낼 수 있습니다. |
높음 | T1078.001 | xdr_RiskyEntraIDSyncAccount |
실행 경고
이 섹션에서는 악의적인 행위자가 organization 악성 코드를 실행하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
의심스러운 원격 서비스 설치설명: 의심스러운 서비스 설치가 검색되었습니다. 이 서비스는 잠재적으로 악의적인 명령을 실행하기 위해 만들어졌습니다. 공격자가 도난당한 자격 증명을 사용하여 이 공격을 활용할 수 있습니다. 이는 통과 해시 공격이 사용되었음을 나타낼 수도 있습니다. |
보통 | T1569.002 | xdr_SuspiciousRemoteServiceInstallation |
지속성 경고
이 섹션에서는 악의적인 행위자가 organization 자신의 발판을 유지하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
OAuth 앱에서 사용자를 만들었습니다.설명: OAuth 애플리케이션에서 새 사용자 계정을 만들었습니다. 공격자가 organization 지속성을 위해 이 애플리케이션을 손상했을 수 있습니다. |
보통 | T1136.003 | xdr_OAuthAppCreatedAUser |
Okta 권한 있는 API 토큰 생성됨설명: {ActorAliasName}이(가) API 토큰을 만들었습니다. 도난당한 경우 사용자의 권한으로 공격자에게 액세스 권한을 부여할 수 있습니다. |
높음 | T1078.004 | xdr_OktaPrivilegedApiTokenCreated |
Okta 권한 있는 API 토큰 업데이트됨설명: {ActorAliasName}은(는) 권한 있는 API 토큰 구성을 더 난잡하게 업데이트했습니다. 도난당한 경우 사용자의 권한으로 공격자에게 액세스 권한을 부여할 수 있습니다. |
높음 | T1078.004 | xdr_OktaPrivilegedApiTokenUpdated |
관리자 계정의 의심스러운 MFA 변조 활동설명: 관리자 계정은 위험한 인증 후 MFA(다단계 인증) 변조 작업을 수행했습니다. 공격자가 가능한 횡적 이동 작업에 대한 MFA 설정을 조작하기 위해 관리자 계정을 손상했을 수 있습니다. |
낮음 | T1556.006 | xdr_AdminAccountTakeover |
의심스러운 계정 만들기설명: 손상된 OAuth 앱에서 새 사용자 계정을 만들었습니다. 공격자는 나중에 백도어로 사용하여 네트워크를 통해 횡적으로 이동하거나 데이터에 액세스할 수 있도록 새 사용자 계정을 준비하고 있을 수 있습니다. 이 경고는 손상된 OAuth 앱과 관련된 다른 Microsoft Cloud App Security 경고를 기반으로 트리거되었습니다. |
보통 | T1136.003 | xdr_SuspiciousAccountCreation |
대체 전화 번호의 의심스러운 추가설명: 여러 사용자에 대해 의심스러운 방식으로 새 대체 전화 번호가 추가되었습니다. 공격자는 organization 지속성을 얻기 위해 이 작업을 수행했을 수 있습니다. |
보통 | T1556.006 | xdr_SuspiciousMFAAddition |
의심스러운 이메일 추가설명: 여러 사용자에 대해 의심스러운 방식으로 새 전자 메일이 추가되었습니다. 공격자는 organization 지속성을 얻기 위해 이 작업을 수행했을 수 있습니다. |
보통 | T1556.006 | xdr_SuspiciousMFAAddition |
기본 그룹 ID에 대한 의심스러운 변경설명: 사용자의 기본 그룹 ID가 수정되었습니다. 공격자가 사용자 계정을 손상하고 나중에 사용할 수 있도록 도메인에서 강력한 권한을 가진 백도어 사용자를 할당했을 수 있습니다. |
보통 | T1098 | xdr_SuspiciousChangeInUserPrimaryGroupId |
의심스러운 파일 수정설명: 사용자가 의심스러운 방식으로 파일을 수정했습니다. |
보통 | T1546.001 | xdr_SuspiciousCloudFileModification |
의심스러운 게스트 사용자 초대설명: 새 게스트 사용자를 초대하고 의심스러운 방식으로 수락했습니다. 공격자가 organization 사용자 계정을 손상시켰을 수 있으며 이를 사용하여 지속성을 위해 권한이 없는 사용자를 추가합니다. |
보통 | T1136.003 | xdr_SuspiciousGuestUserInvitation |
의심스러운 받은 편지함 규칙설명: 사용자가 의심스러운 방식으로 이 디바이스에서 받은 편지함 규칙을 수정하거나 만들었습니다. |
보통 | T1114.003 | xdr_SuspiciousInboxRule |
사용자가 만들어지고 중요한 역할에 할당되었습니다.설명: 새 사용자가 만들어지고 중요한 역할에 할당되었습니다. 공격자가 지속성 및 횡적 이동을 수행하기 위해 사용자 계정을 손상했을 수 있습니다. |
보통 | T1136.003, T1098.003 | xdr_SuspiciousUserCreationAndSensitiveRoleAssignment |
권한 에스컬레이션 경고
이 섹션에서는 악의적인 행위자가 organization 더 높은 수준의 권한을 얻으려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
의심스러운 SPN이 사용자에게 추가되었습니다.설명: 의심스러운 SPN(서비스 사용자 이름)이 중요한 사용자에게 추가되었습니다. 공격자가 organization 내에서 횡적 이동을 위해 상승된 액세스 권한을 얻으려고 시도할 수 있습니다. |
높음 | T1098 | xdr_SuspiciousAdditionOfSpnToUser |
의심스러운 인증서 등록 악용 악용 ESC15설명: 인증서가 의심스럽게 등록되었습니다. 공격자가 취약성(ESC라고 함)을 악용하여 포리스트의 권한을 에스컬레이션할 수 있습니다. |
높음 | T1068 | xdr_SuspectedCertificateEnrollmentESC15 |
방어 회피 경고
이 섹션에서는 악의적인 행위자가 organization 검색을 피하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
개체의 기본 그룹 ID를 보는 의심스러운 액세스 거부설명: ACL(액세스 제어 목록)에서 개체의 기본 그룹 ID를 보기 위한 액세스가 거부되었습니다. 공격자가 사용자 계정을 손상했을 수 있으며 백도어 사용자 그룹을 숨기려고 합니다. |
보통 | T1564.002 | xdr_SuspiciousDenyAccessToPrimaryGroupId |
의심스러운 계정 링크설명: 테넌트 간 관리 작업을 통해 계정이 연결되었습니다. 이 작업은 계정이 MFA를 우회하는 데 사용될 수 있음을 나타낼 수 있는 의심스러운 방식으로 수행되었습니다. |
보통 | T1556 | xdr_SuspiciousAccountLink |
자격 증명 액세스 경고
이 섹션에서는 악의적인 행위자가 organization 계정 이름 및 암호를 도용하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
AS-REP 로스팅설명: 사전 인증 없이 로그인하려는 여러 시도가 감지되었습니다. 이 동작은 Kerberos 인증 프로토콜, 특히 사전 인증을 해제한 계정을 대상으로 하는 AS-REP(인증 서버 응답) 로스트 공격을 나타낼 수 있습니다. |
보통 | T1558.004 | xdr_AsrepRoastingAttack |
Honeytoken 활동설명: Honeytoken 사용자가 로그인을 시도했습니다. |
높음 | T1098 | xdr_HoneytokenSignInAttempt |
NEGOEX 릴레이 공격설명: 공격자는 NEGOEX를 사용하여 클라이언트가 연결하려는 서버를 가장하여 공격자가 인증 프로세스를 모든 대상에 릴레이할 수 있도록 했습니다. 이렇게 하면 공격자가 대상에 액세스할 수 있습니다. NEGOEX는 사용자 계정을 Microsoft Entra 조인된 디바이스에 인증하도록 설계된 인증 프로토콜입니다. |
높음 | T1187, T1557.001 | xdr_NegoexRelayAttack |
애플리케이션에 할당된 Okta 권한 있는 역할설명: {ActorAliasName}이(가) 애플리케이션에 {RoleDisplayName} 역할을 할당했습니다. {ApplicationDisplayName} |
높음 | T1003.006 | xdr_OktaPrivilegedRoleAssignedToApplication |
가능한 AS-REP 로스팅 공격설명: 사전 인증이 필요하지 않은 계정에 의심스러운 Kerberos 인증 요청이 수행되었습니다. 공격자가 AS-REP 로스팅 공격을 수행하여 암호를 도용하고 네트워크에 대한 추가 액세스 권한을 얻을 수 있습니다. |
보통 | T1558.004 | xdr_AsrepRoastingAttack |
가능한 골든 SAML 공격설명: Golden SAML 공격과 관련될 수 있는 특성으로 인증된 권한 있는 사용자 계정입니다. |
높음 | T1071, T1606.002 | xdr_PossibleGoldenSamlAttack |
가능한 NetSync 공격설명: NetSync는 도메인 컨트롤러인 척하여 대상 디바이스 암호의 암호 해시를 요청하는 악용 후 도구인 Mimikatz의 모듈입니다. 공격자가 이 기능을 사용하여 네트워크 내에서 악의적인 활동을 수행하여 organization 리소스에 액세스할 수 있습니다. |
높음 | T1003.006 | xdr_PossibleNetsyncAttack |
가능한 계정 비밀 누수설명: 자격 증명 스터핑 도구를 사용하여 사용자 계정에 로그인하지 못했습니다. 오류 코드는 비밀이 유효하지만 오용되었음을 나타냅니다. 사용자 계정의 자격 증명이 유출되었거나 권한이 없는 당사자가 소유하고 있을 수 있습니다. |
보통 | T1078 | xdr_CredentialStuffingToolObserved |
가능한 골든 티켓 공격설명: 의심스러운 Kerberos TGS(티켓 부여 서비스) 요청이 관찰되었습니다. 공격자가 KRBTGT 계정의 도난당한 자격 증명을 사용하여 골든 티켓 공격을 시도할 수 있습니다. |
높음 | T1558, T1558.001 | xdr_PossibleGoldenTicketAttacks |
가능한 골든 티켓 공격(CVE-2021-42287 악용)설명: 비정상적인 KERberos PAC(Privilege Attribute Certificate)가 포함된 의심스러운 Kerberos TGT(티켓 부여 티켓)가 관찰되었습니다. 공격자가 KRBTGT 계정의 도난당한 자격 증명을 사용하여 골든 티켓 공격을 시도할 수 있습니다. |
높음 | T1558, T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousPac |
가능한 고가도로 해시 공격설명: 가능한 고가도로 해시 공격이 감지되었습니다. 이러한 유형의 공격에서 공격자는 사용자 계정 또는 기타 Kerberos 키의 NT 해시를 사용하여 Kerberos 티켓을 가져오며, 이를 통해 네트워크 리소스에 무단으로 액세스할 수 있습니다. |
높음 | T1003.006 | xdr_PossibleOverPassTheHash |
가능한 서비스 주체 계정 비밀 누수설명: 자격 증명 스터핑 도구를 사용하여 서비스 주체 계정에 로그인하지 못했습니다. 오류 코드는 비밀이 유효하지만 오용되었음을 나타냅니다. 서비스 주체 계정의 자격 증명이 유출되었거나 권한이 없는 당사자가 소유하고 있을 수 있습니다. |
보통 | T1078 | xdr_CredentialStuffingToolObserved |
로그인한 서비스 주체 계정이 손상될 수 있음설명: 손상된 서비스 주체 계정이 로그인되었습니다. 자격 증명 스터핑 시도가 성공적으로 인증되어 서비스 주체 계정의 자격 증명이 유출되었거나 권한이 없는 당사자가 소유하고 있음을 나타냅니다. |
보통 | T1078 | xdr_CredentialStuffingToolObserved |
로그인한 사용자 계정이 손상될 수 있음설명: 사용자 계정이 손상될 수 있습니다. 자격 증명 스터핑 시도가 성공적으로 인증되어 사용자 계정의 자격 증명이 유출되었거나 권한이 없는 당사자가 소유하고 있음을 나타냅니다. |
보통 | T1078 | xdr_CredentialStuffingToolObserved |
의심스러운 DMSA 관련 활동이 검색됨설명: 의심스러운 DMSA 관련 활동이 검색되었습니다. 이는 손상된 관리 계정 또는 DMSA 계정을 악용하려는 시도를 나타낼 수 있습니다. |
높음 | T1555 | xdr_SuspiciousDmsaAction |
의심스러운 Golden gMSA 관련 활동설명: 골든 gMSA 공격을 활용하려는 위협 행위자와 연결될 수 있는 중요한 그룹 gMSA(관리 서비스 계정) 개체에 대한 의심스러운 읽기 작업이 이루어졌습니다. |
높음 | T1555 | xdr_SuspiciousGoldenGmsaActivity |
의심스러운 Kerberos 인증(AP-REQ)설명: 의심스러운 Kerberos 애플리케이션 요청(AP-REQ)이 검색되었습니다. 공격자가 서비스 계정의 도난당한 자격 증명을 사용하여 실버 티켓 공격을 시도할 수 있습니다. 이러한 종류의 공격에서 공격자는 네트워크 내의 특정 서비스에 대한 서비스 티켓(티켓 부여 서비스 또는 TGS)을 위조하여 공격자가 초기 손상 후 도메인 컨트롤러와 상호 작용할 필요 없이 해당 서비스에 액세스할 수 있도록 합니다. |
높음 | T1558, T1558.002 | xdr_SuspiciousKerberosApReq |
의심스러운 Kerberos 인증(AS-REQ)설명: TGT(티켓 부여 티켓)에 대한 의심스러운 Kerberos 인증 요청(AS-REQ)이 관찰되었습니다. 이 비정상적인 TGT 요청은 공격자가 특별히 만든 것으로 의심됩니다. 공격자가 도난당한 자격 증명을 사용하여 이 공격을 활용할 수 있습니다. |
보통 | T1550, T1558 | xdr_SusKerberosAuth_AsReq |
의심스러운 Kerberos 인증(TGS-REQ를 사용한 TGT 요청)설명: S4U2(Service for User to Self) 확장과 관련된 의심스러운 Kerberos TGS-REQ(티켓 부여 서비스 요청)가 관찰되었습니다. 이 비정상적인 TGS 요청은 공격자가 특별히 만든 것으로 의심됩니다. |
보통 | T1550, T1558 | xdr_SusKerberosAuth_S4U2selfTgsReq |
의심스러운 ESXi 그룹 만들기설명: 의심스러운 VMware ESXi 그룹이 도메인에 만들어졌습니다. 이는 공격자가 공격의 이후 단계에 대한 더 많은 권한을 얻으려고 시도하고 있음을 나타낼 수 있습니다. |
높음 | T1098 | xdr_SuspiciousUserAdditionToEsxGroup |
의심되는 무차별 암호 대입 공격(LDAP)이전 이름: LDAP 단순 바인딩을 사용하는 무차별 암호 대입 공격입니다. 설명: 무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 발견되면 공격자가 해당 계정을 사용하여 로그인할 수 있습니다. 이 검색에서 Defender for Identity가 대량의 간단한 바인딩 인증을 검색하면 경고가 트리거됩니다. 이 경고는 여러 사용자에 걸쳐 작은 암호 집합을 사용하여 수평으로 수행되는 무차별 암호 공격, 소수의 사용자에 대한 큰 암호 집합 또는 두 옵션의 조합으로 수행되는 무차별 암호 공격을 검색합니다. 경고는 도메인 컨트롤러 및 AD FS/AD CS 서버에서 실행되는 센서의 인증 이벤트를 기반으로 합니다. 학습 기간: 없음 예방을 위한 제안된 단계: - organization 복잡하고 긴 암호를 적용합니다. 이렇게 하면 향후 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안이 제공됩니다. - 나중에 organization LDAP 일반 텍스트 프로토콜을 사용할 수 없 않도록 합니다. |
보통 |
TA0006 T1110 T1110.001 T1110.003 |
xdr_LdapBindBruteforce |
검색 경고
이 섹션에서는 악의적인 행위자가 organization 대한 정보를 수집하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
Okta 동기화 서비스 주체 열거형설명: Okta 동기화 서비스 계정을 찾기 위한 의심스러운 LDAP(경량 디렉터리 액세스 프로토콜) 열거형이 검색되었습니다. 이 동작은 사용자 계정이 손상되었고 공격자가 악의적인 활동을 수행하는 데 사용하고 있음을 나타낼 수 있습니다. |
높음 | T1087.002 | xdr_OktaSyncServicePrincipalEnumeration |
중요한 LDAP 특성과 관련된 정찰설명: 이 디바이스에서 중요한 LDAP(Lightweight Directory Access Protocol) 특성과 관련된 정찰 활동이 검색되었습니다. 공격자가 사용자 계정을 손상했을 수 있으며 다음 단계에서 사용할 정보를 찾고 있습니다. |
보통 | T1087.002 | xdr_LdapSensitiveAttributeRecon |
의심스러운 LDAP 쿼리설명: 알려진 공격 도구와 관련된 의심스러운 LDAP(Lightweight Directory Access Protocol) 쿼리가 검색되었습니다. 공격자가 이후 단계를 위해 정찰을 수행할 수 있습니다. |
높음 | T1087.002 | xdr_SuspiciousLdapQuery |
LDAP를 사용한 Active Directory 특성 정찰설명: Active Directory LDAP 정찰은 공격자가 도메인 환경에 대한 중요한 정보를 얻는 데 사용됩니다. 이 정보는 공격자가 도메인 구조를 매핑하고 공격 종료 체인의 이후 단계에서 사용할 권한 있는 계정을 식별하는 데 도움이 될 수 있습니다. LDAP(Lightweight Directory Access Protocol)는 Active Directory를 쿼리하기 위해 합법적이고 악의적인 용도로 사용되는 가장 인기 있는 방법 중 하나입니다. 학습 기간: 없음 |
보통 |
TA0007 T1087 T1049 T1087.002 |
xdr_LdapSensitiveAttributeReconnaissanceSecurityAlert |
사용자 및 IP 주소 정찰(SMB)이전 이름: SMB 세션 열거형을 사용한 정찰. 설명: SMB(서버 메시지 블록) 프로토콜을 사용하여 열거하면 공격자가 사용자가 최근에 로그온한 위치에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다. 이 검색에서는 도메인 컨트롤러에 대해 SMB 세션 열거가 수행될 때 경고가 트리거됩니다. 학습 기간: 없음 |
보통 |
TA0007 T1087 T1046 T1018 |
xdr_SmbSessionEnumeration |
AD FS의 계정 열거형 정찰이전 이름: 계정 열거형을 사용한 정찰. 설명: 계정 열거 정찰에서 공격자는 수천 명의 사용자 이름이 있는 사전이나 도메인의 사용자 이름을 추측하기 위해 KrbGuess와 같은 도구를 사용합니다. 이 경고 검색에서 Defender for Identity는 계정 열거 공격이 발생한 위치, 총 추측 시도 횟수 및 일치된 시도 수를 검색합니다. 알 수 없는 사용자가 너무 많은 경우 Defender for Identity는 의심스러운 활동으로 검색합니다. 경고는 도메인 컨트롤러 및 AD FS/AD CS 서버에서 실행되는 센서의 인증 이벤트를 기반으로 합니다. 학습 기간: 없음 예방을 위한 제안된 단계: organization 복잡하고 긴 암호를 적용합니다. 복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다. 무차별 암호 대입 공격은 일반적으로 열거형 다음 사이버 공격 킬 체인의 다음 단계입니다. |
보통 |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertAdfs |
Kerberos의 계정 열거 정찰이전 이름: 계정 열거형을 사용한 정찰. 설명: 계정 열거 정찰에서 공격자는 수천 명의 사용자 이름이 있는 사전이나 도메인의 사용자 이름을 추측하기 위해 KrbGuess와 같은 도구를 사용합니다. 공격자는 이러한 이름을 사용하여 Kerberos 요청을 만들어 도메인에서 유효한 사용자 이름을 찾습니다. 추측이 사용자 이름을 성공적으로 확인하면 공격자는 보안 주체 알 수 없는 Kerberos 오류 대신 필요한 사전 인증을 가져옵니다. 이 경고 검색에서 Defender for Identity는 계정 열거 공격이 발생한 위치, 총 추측 시도 횟수 및 일치된 시도 수를 검색합니다. 알 수 없는 사용자가 너무 많은 경우 Defender for Identity는 의심스러운 활동으로 검색합니다. 경고는 도메인 컨트롤러 및 AD FS/AD CS 서버에서 실행되는 센서의 인증 이벤트를 기반으로 합니다. 학습 기간: 없음 예방을 위한 제안된 단계: organization 복잡하고 긴 암호를 적용합니다. 복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다. 무차별 암호 대입 공격은 일반적으로 열거형 다음 사이버 공격 킬 체인의 다음 단계입니다. |
보통 |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertKerberos |
NTLM의 계정 열거 정찰이전 이름: 계정 열거형을 사용한 정찰. 설명: 계정 열거 정찰에서 공격자는 수천 명의 사용자 이름이 있는 사전이나 도메인의 사용자 이름을 추측하기 위해 KrbGuess와 같은 도구를 사용합니다. 공격자는 이름 사전을 사용하여 도메인에서 유효한 사용자 이름을 찾기 위해 NTLM 인증 요청을 합니다. 추측에서 사용자 이름을 확인하는 경우 공격자는 NoSuchUser(0xc0000064) NTLM 오류 대신 WrongPassword(0xc000006a)를 가져옵니다. 이 경고 검색에서 Defender for Identity는 계정 열거 공격이 발생한 위치, 총 추측 시도 횟수 및 일치된 시도 수를 검색합니다. 알 수 없는 사용자가 너무 많은 경우 Defender for Identity는 의심스러운 활동으로 검색합니다. 경고는 도메인 컨트롤러 및 AD FS/AD CS 서버에서 실행되는 센서의 인증 이벤트를 기반으로 합니다. 학습 기간: 없음 예방을 위한 제안된 단계: organization 복잡하고 긴 암호를 적용합니다. 복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다. 무차별 암호 대입 공격은 일반적으로 열거형 다음 사이버 공격 킬 체인의 다음 단계입니다. |
보통 |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertNtlm |
횡적 이동 경고
이 섹션에서는 악의적인 행위자가 organization 리소스 또는 ID 간에 이동하려고 시도할 수 있음을 나타내는 경고를 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
가능한 인증 사일로 바이패스설명: 이 디바이스에서 인증 사일로 정책을 우회하고 사일로로 보호된 서비스에 대해 인증하려는 시도가 감지되었습니다. |
높음 | T1550 | xdr_PossibleAuthenticationSiloBypass |
Microsoft Entra 원활한 SSO 계정 인수 가능설명: Microsoft Entra 원활한 SSO(Single Sign-On) 계정 개체인 AZUREADSSOACC가 의심스러운 수정되었습니다. 공격자가 온-프레미스 환경에서 클라우드로 횡적으로 이동할 수 있습니다. |
높음 | T1556 | xdr_SuspectedAzureSsoAccountTakeover |
암호 동기화 후 의심스러운 활동설명: 사용자가 최근 암호 동기화 후 애플리케이션에서 일반적이지 않은 작업을 수행했습니다. 공격자가 organization 악의적인 활동을 수행하기 위해 사용자의 계정을 손상했을 수 있습니다. |
보통 | T1021.007 | xdr_SuspiciousActivityAfterPasswordSync |
파일 시스템 원격 프로토콜 암호화를 통한 의심스러운 네트워크 연결설명: 악의적 사용자는 파일 시스템 원격 프로토콜 암호화를 악용하여 권한 있는 파일 작업을 부적절하게 수행할 수 있습니다. 이 공격에서 공격자는 컴퓨터 계정에서 인증을 강제 변환하고 인증서 서비스로 릴레이하여 Active Directory 네트워크에서 권한을 에스컬레이션할 수 있습니다. 이 공격을 통해 공격자는 EFSRPC(파일 시스템 원격 암호화) 프로토콜의 결함을 악용하고 Active Directory 인증서 서비스의 결함으로 연결하여 AD(Active Directory) 도메인을 인수할 수 있습니다. 학습 기간: 없음 |
높음 또는 중간 |
TA0008 T1210 |
xdr_SuspiciousConnectionOverEFDRPC |
컬렉션 경고
이 섹션에서는 악의적인 행위자가 organization 목표까지 관심 있는 데이터를 수집하려고 시도할 수 있음을 나타내는 경고를 설명합니다.
| 보안 경고 이름 | 심각도 | MITRE 기술 | 감지기 ID |
|---|---|---|---|
가능한 Okta 세션 도난설명: 도난당한 Okta 세션 쿠키를 사용하는 새 연결이 시작되었습니다. 공격자가 세션 쿠키를 도난당했을 수 있으며 이제 이를 사용하여 악의적인 작업을 수행하고 있습니다. |
높음 | T1539 | xdr_PossibleOktaSessionTheft |