Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Defender for Identity alerty mogą być wyświetlane w portalu Microsoft Defender w dwóch różnych formatach w zależności od tego, czy alert pochodzi z usługi Defender for Identity lub Defender XDR. Wszystkie alerty są oparte na wykrywaniu z czujników usługi Defender for Identity. Różnice w układzie i informacjach są częścią trwającego przejścia do ujednoliconego środowiska alertów w Microsoft Defender produktach.
Aby dowiedzieć się więcej o tym, jak zrozumieć strukturę i typowe składniki wszystkich alertów zabezpieczeń usługi Defender for Identity, zobacz Wyświetlanie alertów i zarządzanie nimi.
Microsoft Defender for Identity kategorii alertów XDR
Alerty zabezpieczeń usługi Defender for Identity są kategoryzowane według odpowiednich taktyk&CK usługi MITRE ATT. Ułatwia to zrozumienie potencjalnie podejrzanej techniki ataku, która może być używana po wyzwoleniu alertu usługi Defender for Identity. Ta strona zawiera informacje o każdym alercie, które ułatwiają badanie i korygowanie zadań. Ten przewodnik zawiera ogólne informacje o warunkach wyzwalania alertów. Należy pamiętać, że alerty oparte na anomaliach są wyzwalane tylko wtedy, gdy zachowanie znacznie odbiega od ustalonych punktów odniesienia.
- Dostęp początkowy
- Wykonanie
- Wytrwałość
- Eskalacja uprawnień
- Uchylanie się od obrony
- Dostęp poświadczeń
- Odkrycie
- Ruch boczny
- Kolekcja
Alerty dostępu początkowego
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać początkowy przyczółek w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Dostęp użytkownika anonimowego oktaOpis: Wykryto dostęp użytkownika anonimowego. |
High (Wysoki) | T1078 | xdr_OktaAnonymousUserAccess |
Spray hasła względem usługi OneLoginOpis: Podejrzany adres IP próbował uwierzytelnić się w usłudze OneLogin przy użyciu wielu prawidłowych kont. Osoba atakująca może próbować znaleźć prawidłowe poświadczenia konta użytkownika w celu późniejszego zachowania. |
Średnie | T1110.003 | xdr_OneLoginPasswordSpray |
Podejrzane wyliczenie konta OktaOpis: Podejrzany adres IP wyliczył konta okta. Osoba atakująca może próbować wykonać działania odnajdywania w celu późniejszego zachowania. |
High (Wysoki) | T1078.004 | xdr_SuspiciousOktaAccountEnumeration |
Podejrzane zmęczenie usługi OneLogin MFAOpis: Podejrzany adres IP wysłał kilka prób uwierzytelniania wieloskładnikowego (MFA) usługi OneLogin dla konta użytkownika. Osoba atakująca mogła naruszyć poświadczenia konta użytkownika i próbuje zalać mechanizm uwierzytelniania wieloskładnikowego. |
Średnie | T1110.003 | xdr_OneLoginMfaFatigue |
Podejrzane logowanie na koncie administratoraOpis: Logowanie do konta administratora zostało wykonane w podejrzany sposób. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
Niski | T1078.001 | xdr_SuspiciousAdminAccountSignIn |
Podejrzane logowanie wykonane przy użyciu złośliwego certyfikatuOpis: Użytkownik zalogował się do organizacji przy użyciu złośliwego certyfikatu. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań oraz że złośliwa domena z certyfikatem AAD Internals jest zarejestrowana w organizacji. |
High (Wysoki) | T1078.001 | xdr_SignInUsingMaliciousCertificate |
Podejrzane logowanie do aplikacji Microsoft Sentinel utworzonej przy użyciu konta synchronizacji identyfikatora EntraOpis: Konto synchronizacji Tożsamość Microsoft Entra Connect zalogowane do zasobu Microsoft Sentinel w nietypowy sposób. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
Niski | T1078.001 | xdr_SuspiciousMicrosoftSentinelAccessByEntraIdSyncAccount |
Podejrzane narzędzie używane przez konto usługi Microsoft Entra SyncOpis: Wykryto podejrzane uwierzytelnianie na koncie Tożsamość Microsoft Entra zwykle używanym do synchronizacji operacji. To zachowanie może wskazywać, że konto użytkownika zostało naruszone, a osoba atakująca używa go do wykonywania złośliwych działań. |
High (Wysoki) | T1078.004 | xdr_SuspiciousToolSyncAccountSignIn |
Synchronizowanie ryzykownego logowania konta z nietypową aplikacjąOpis: Konto synchronizacji Tożsamość Microsoft Entra Connect, które zalogowało się do ryzykownej sesji, wykonało nietypowe działania. To zachowanie może wskazywać, że konto użytkownika zostało naruszone i jest używane do złośliwych działań. |
High (Wysoki) | T1078.001 | xdr_RiskyEntraIDSyncAccount |
Alerty wykonywania
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uruchomić złośliwy kod w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Podejrzana instalacja usługi zdalnejOpis: Wykryto podejrzaną instalację usługi. Ta usługa została utworzona w celu wykonania potencjalnie złośliwych poleceń. Osoba atakująca może używać skradzionych poświadczeń do użycia tego ataku. Może to również wskazywać, że użyto ataku typu pass-the-hash. |
Średnie | T1569.002 | xdr_SuspiciousRemoteServiceInstallation |
Alerty dotyczące trwałości
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować utrzymać przyczółek w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Aplikacja OAuth utworzyła użytkownikaOpis: Nowe konto użytkownika zostało utworzone przez aplikację OAuth. Osoba atakująca mogła naruszyć tę aplikację pod kątem trwałości w organizacji. |
Średnie | T1136.003 | xdr_OAuthAppCreatedAUser |
Utworzony token uprzywilejowanego interfejsu API oktaOpis: {ActorAliasName} utworzył token interfejsu API. W przypadku kradzieży może udzielić atakującemu dostępu z uprawnieniami użytkownika. |
High (Wysoki) | T1078.004 | xdr_OktaPrivilegedApiTokenCreated |
Zaktualizowano token uprzywilejowanego interfejsu API oktaOpis: {ActorAliasName} zaktualizował konfigurację tokenu uprzywilejowanego interfejsu API, aby była bardziej rozwiązła. W przypadku kradzieży może udzielić atakującemu dostępu z uprawnieniami użytkownika. |
High (Wysoki) | T1078.004 | xdr_OktaPrivilegedApiTokenUpdated |
Podejrzane działanie manipulowania uwierzytelnianiem wieloskładnikowym według konta administratoraOpis: Konto administratora wykonało działanie manipulowania uwierzytelnianiem wieloskładnikowym (MFA) po ryzykownym uwierzytelnieniu. Osoba atakująca mogła naruszyć konto administratora, aby manipulować ustawieniami uwierzytelniania wieloskładnikowego pod kątem możliwych działań przenoszenia bocznego. |
Niski | T1556.006 | xdr_AdminAccountTakeover |
Podejrzane tworzenie kontaOpis: Nowe konto użytkownika zostało utworzone przez naruszona aplikacja OAuth. Osoby atakujące mogą przygotowywać nowe konto użytkownika do późniejszego użycia jako tylne wejście do późniejszego przenoszenia przez sieć lub uzyskiwania dostępu do danych. Ten alert został wyzwolony na podstawie innego alertu Cloud App Security firmy Microsoft związanego z naruszoną aplikacją OAuth. |
Średnie | T1136.003 | xdr_SuspiciousAccountCreation |
Podejrzane dodawanie alternatywnego numeru telefonuOpis: Nowy alternatywny numer telefonu został dodany dla wielu użytkowników w podejrzany sposób. Osoba atakująca mogła to zrobić, aby uzyskać trwałość w organizacji. |
Średnie | T1556.006 | xdr_SuspiciousMFAAddition |
Podejrzane dodawanie wiadomości e-mailOpis: Dodano nową wiadomość e-mail dla wielu użytkowników w podejrzany sposób. Osoba atakująca mogła to zrobić, aby uzyskać trwałość w organizacji. |
Średnie | T1556.006 | xdr_SuspiciousMFAAddition |
Podejrzana zmiana na podstawowy identyfikator grupyOpis: Identyfikator grupy podstawowej użytkownika został zmodyfikowany. Osoba atakująca mogła naruszyć konto użytkownika i przypisać użytkownikowi backdoor silne uprawnienia w domenie do późniejszego użycia. |
Średnie | T1098 | xdr_SuspiciousChangeInUserPrimaryGroupId |
Podejrzana modyfikacja plikuOpis: Użytkownik zmodyfikował plik w podejrzany sposób. |
Średnie | T1546.001 | xdr_SuspiciousCloudFileModification |
Podejrzane zaproszenie użytkownika-gościaOpis: Nowy użytkownik-gość został zaproszony i zaakceptowany w podejrzany sposób. Osoba atakująca mogła naruszyć bezpieczeństwo konta użytkownika w organizacji i używa go do dodania nieautoryzowanego użytkownika do celów trwałości. |
Średnie | T1136.003 | xdr_SuspiciousGuestUserInvitation |
Podejrzana reguła skrzynki odbiorczejOpis: Użytkownik zmodyfikował lub utworzył regułę skrzynki odbiorczej na tym urządzeniu w podejrzany sposób. |
Średnie | T1114.003 | xdr_SuspiciousInboxRule |
Użytkownik został utworzony i przypisany do roli poufnejOpis: Nowy użytkownik został utworzony i przypisany do roli poufnej. Osoba atakująca mogła naruszyć bezpieczeństwo konta użytkownika w celu przeprowadzenia trwałości i przenoszenia bocznego. |
Średnie | T1136.003, T1098.003 | xdr_SuspiciousUserCreationAndSensitiveRoleAssignment |
Alerty eskalacji uprawnień
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uzyskać uprawnienia wyższego poziomu w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Podejrzana nazwa SPN została dodana do użytkownikaOpis: Podejrzana nazwa główna usługi (SPN) została dodana do poufnego użytkownika. Osoba atakująca może próbować uzyskać podwyższony poziom dostępu na potrzeby przenoszenia bocznego w organizacji. |
High (Wysoki) | T1098 | xdr_SuspiciousAdditionOfSpnToUser |
Podejrzane luki w zabezpieczeniach rejestracji certyfikatów nadużywające esc15Opis: Certyfikat został zarejestrowany podejrzanie. Osoba atakująca może wykorzystać lukę w zabezpieczeniach (znaną jako ESC) w celu eskalowania uprawnień w lesie. |
High (Wysoki) | T1068 | xdr_SuspectedCertificateEnrollmentESC15 |
Alerty dotyczące uchylania się od płacenia podatków
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować uniknąć wykrycia w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Podejrzane odmowy dostępu w celu wyświetlenia podstawowego identyfikatora grupy obiektuOpis: Lista kontroli dostępu (ACL) odmówiła dostępu w celu wyświetlenia identyfikatora grupy podstawowej obiektu. Osoba atakująca mogła naruszyć konto użytkownika i chce ukryć grupę użytkownika backdoor. |
Średnie | T1564.002 | xdr_SuspiciousDenyAccessToPrimaryGroupId |
Link podejrzanego kontaOpis: Konto zostało połączone za pomocą akcji administracyjnej między dzierżawami. Akcja została wykonana w podejrzany sposób, który może wskazywać, że konto może być używane w celu obejścia uwierzytelniania wieloskładnikowego. |
Średnie | T1556 | xdr_SuspiciousAccountLink |
Alerty dostępu poświadczeń
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść nazwy kont i hasła z organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Prażenie AS-REPOpis: Wykryto wiele prób zalogowania się bez wstępnego uwierzytelniania. To zachowanie może wskazywać na atak typu odpowiedź serwera uwierzytelniania (AS-REP), który jest przeznaczony dla protokołu uwierzytelniania Kerberos, w szczególności kont, które wyłączyły uwierzytelnianie wstępne. |
Średnie | T1558.004 | xdr_AsrepRoastingAttack |
Działanie honeytokenOpis: Użytkownik aplikacji Honeytoken próbował się zalogować |
High (Wysoki) | T1098 | xdr_HoneytokenSignInAttempt |
Atak przekaźnika NEGOEXOpis: Osoba atakująca użyła NEGOEX do personifikacji serwera, z którym klient chce się połączyć, aby osoba atakująca mogła następnie przekazać proces uwierzytelniania do dowolnego obiektu docelowego. Dzięki temu osoba atakująca może uzyskać dostęp do obiektu docelowego. NEGOEX to protokół uwierzytelniania przeznaczony do uwierzytelniania kont użytkowników w celu Microsoft Entra urządzeń przyłączonych. |
High (Wysoki) | T1187, T1557.001 | xdr_NegoexRelayAttack |
Rola uprzywilejowana Okta przypisana do aplikacjiOpis: {ActorAliasName} przypisał rolę {RoleDisplayName} do aplikacji: {ApplicationDisplayName} |
High (Wysoki) | T1003.006 | xdr_OktaPrivilegedRoleAssignedToApplication |
Możliwy atak podczas pieczenia AS-REPOpis: Do kont, które nie wymagają wstępnego uwierzytelniania, zostało wysłane podejrzane żądanie uwierzytelniania Protokołu Kerberos. Osoba atakująca może przeprowadzać atak polegający na prażeniu AS-REP w celu kradzieży haseł i uzyskania dalszego dostępu do sieci. |
Średnie | T1558.004 | xdr_AsrepRoastingAttack |
Możliwy atak Golden SAMLOpis: Uprzywilejowane konto użytkownika uwierzytelnione z cechami, które mogą być związane z atakiem golden SAML. |
High (Wysoki) | T1071, T1606.002 | xdr_PossibleGoldenSamlAttack |
Możliwy atak NetSyncOpis: NetSync to moduł w programie Mimikatz, narzędziu po eksploatacji, który żąda skrótu hasła hasła urządzenia docelowego, udając kontrolera domeny. Osoba atakująca może wykonywać złośliwe działania w sieci przy użyciu tej funkcji w celu uzyskania dostępu do zasobów organizacji. |
High (Wysoki) | T1003.006 | xdr_PossibleNetsyncAttack |
Możliwy wyciek wpisu tajnego kontaOpis: Wykryto nieudaną próbę zalogowania się do konta użytkownika za pomocą narzędzia do farszu poświadczeń. Kod błędu wskazuje, że wpis tajny był prawidłowy, ale nieprawidłowo użyty. Poświadczenia konta użytkownika mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
Średnie | T1078 | xdr_CredentialStuffingToolObserved |
Możliwy atak złotego biletuOpis: Zaobserwowano podejrzane żądanie usługi przyznawania biletów protokołu Kerberos (TGS). Osoba atakująca może użyć skradzionych poświadczeń konta KRBTGT do próby ataku na złoty bilet. |
High (Wysoki) | T1558, T1558.001 | xdr_PossibleGoldenTicketAttacks |
Możliwy atak złotego biletu (CVE-2021-42287 exploit)Opis: Zaobserwowano podejrzany bilet przyznawania biletu protokołu Kerberos (TGT) zawierający nietypowy certyfikat atrybutu uprawnień protokołu Kerberos (PAC). Osoba atakująca może użyć skradzionych poświadczeń konta KRBTGT w celu podjęcia próby ataku ze złotym biletem. |
High (Wysoki) | T1558, T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousPac |
Możliwy atak wiadukt-the-hashOpis: Wykryto możliwy atak typu overpass-the-hash. W przypadku tego typu ataku osoba atakująca używa skrótu NT konta użytkownika lub innych kluczy Kerberos do uzyskania biletów protokołu Kerberos, co umożliwia nieautoryzowany dostęp do zasobów sieciowych. |
High (Wysoki) | T1003.006 | xdr_PossibleOverPassTheHash |
Możliwy wyciek wpisu tajnego konta jednostki usługiOpis: Wykryto nieudaną próbę zalogowania się do konta jednostki usługi za pomocą narzędzia do farszu poświadczeń. Kod błędu wskazuje, że wpis tajny był prawidłowy, ale nieprawidłowo użyty. Poświadczenia konta jednostki usługi mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
Średnie | T1078 | xdr_CredentialStuffingToolObserved |
Prawdopodobnie naruszone konto jednostki usługi zostało zalogowaneOpis: Prawdopodobnie naruszone konto jednostki usługi zostało zalogowane. Próba wypchania poświadczeń została pomyślnie uwierzytelniona, co wskazuje, że poświadczenia konta jednostki usługi mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
Średnie | T1078 | xdr_CredentialStuffingToolObserved |
Prawdopodobnie naruszone konto użytkownika zostało zalogowaneOpis: Prawdopodobnie naruszone konto użytkownika zostało zalogowane. Próba wypchania poświadczeń została pomyślnie uwierzytelniona, co wskazuje, że poświadczenia konta użytkownika mogły zostać ujawnione lub znajdują się w posiadaniu nieautoryzowanej strony. |
Średnie | T1078 | xdr_CredentialStuffingToolObserved |
Wykryto podejrzane działanie związane z usługą DMSAOpis: Wykryto podejrzane działanie związane z usługą DMSA. Może to wskazywać na naruszenie konta zarządzanego lub próbę wykorzystania konta DMSA. |
High (Wysoki) | T1555 | xdr_SuspiciousDmsaAction |
Podejrzana aktywność związana z usługą Golden gMSAOpis: Wprowadzono podejrzane działanie odczytu do poufnych obiektów zarządzanego konta usługi (gMSA), które mogą być skojarzone z aktorem zagrożeń, który próbuje wykorzystać atak Golden gMSA. |
High (Wysoki) | T1555 | xdr_SuspiciousGoldenGmsaActivity |
Podejrzane uwierzytelnianie Kerberos (AP-REQ)Opis: Wykryto podejrzane żądanie aplikacji Kerberos (AP-REQ). Osoba atakująca może użyć skradzionych poświadczeń konta usługi do próby ataku na srebrny bilet. W tego rodzaju ataku osoba atakująca tworzy bilet usługi (usługa przyznawania biletów lub usługa TGS) dla określonej usługi w sieci, co umożliwia atakującemu dostęp do tej usługi bez konieczności interakcji z kontrolerem domeny po początkowym naruszeniach zabezpieczeń. |
High (Wysoki) | T1558, T1558.002 | xdr_SuspiciousKerberosApReq |
Podejrzane uwierzytelnianie Kerberos (AS-REQ)Opis: Zaobserwowano podejrzane żądanie uwierzytelniania Kerberos (AS-REQ) dla biletu udzielającego biletu (TGT). Podejrzewa się, że to nietypowe żądanie TGT zostało specjalnie spreparowane przez osobę atakującą. Osoba atakująca może używać skradzionych poświadczeń do użycia tego ataku. |
Średnie | T1550, T1558 | xdr_SusKerberosAuth_AsReq |
Podejrzane uwierzytelnianie Kerberos (żądanie TGT przy użyciu usługi TGS-REQ)Opis: Zaobserwowano podejrzane żądanie usługi przyznawania biletów protokołu Kerberos (TGS-REQ) obejmujące rozszerzenie Service for User to Self (S4U2self). Podejrzewa się, że to nietypowe żądanie TGS zostało specjalnie spreparowane przez osobę atakującą. |
Średnie | T1550, T1558 | xdr_SusKerberosAuth_S4U2selfTgsReq |
Podejrzane tworzenie grupy ESXiOpis: W domenie utworzono podejrzaną grupę VMware ESXi. Może to wskazywać, że osoba atakująca próbuje uzyskać więcej uprawnień do późniejszych kroków ataku. |
High (Wysoki) | T1098 | xdr_SuspiciousUserAdditionToEsxGroup |
Podejrzenie ataku siłowego (LDAP)Poprzednia nazwa: Atak siłowy przy użyciu prostego powiązania LDAP. Opis: W przypadku ataku siłowego osoba atakująca próbuje uwierzytelnić się przy użyciu wielu różnych haseł dla różnych kont, dopóki nie zostanie znalezione prawidłowe hasło dla co najmniej jednego konta. Po znalezieniu osoba atakująca może zalogować się przy użyciu tego konta. Podczas tego wykrywania alert jest wyzwalany, gdy usługa Defender for Identity wykryje ogromną liczbę prostych uwierzytelnianiy powiązania. Ten alert wykrywa ataki siłowe wykonywane w poziomie przy użyciu małego zestawu haseł dla wielu użytkowników, w pionie z dużym zestawem haseł tylko dla kilku użytkowników lub dowolną kombinacją tych dwóch opcji. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS/AD CS. Okres nauki: Brak Sugerowane kroki zapobiegania: — Wymuszanie złożonych i długich haseł w organizacji. Zapewnia to niezbędny pierwszy poziom bezpieczeństwa przed przyszłymi atakami siłowymi. — Zapobiegaj przyszłemu użyciu protokołu LDAP w formie zwykłego tekstu w organizacji. |
Średnie |
TA0006 T1110 T1110.001 T1110.003 |
xdr_LdapBindBruteforce |
Alerty odnajdywania
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać informacje o organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Wyliczona jednostka usługi synchronizacji oktaOpis: Wykryto podejrzane wyliczenie protokołu LDAP (Lightweight Directory Access Protocol) w celu znalezienia konta usługi synchronizacji okta. To zachowanie może wskazywać, że konto użytkownika zostało naruszone, a osoba atakująca używa go do wykonywania złośliwych działań. |
High (Wysoki) | T1087.002 | xdr_OktaSyncServicePrincipalEnumeration |
Rekonesans związany z wrażliwym atrybutem LDAPOpis: Na tym urządzeniu wykryto działania rekonesansu związane z wrażliwymi atrybutami protokołu LDAP (Lightweight Directory Access Protocol). Osoba atakująca mogła naruszyć konto użytkownika i szuka informacji do użycia w kolejnych krokach. |
Średnie | T1087.002 | xdr_LdapSensitiveAttributeRecon |
Podejrzane zapytanie LDAPOpis: Wykryto podejrzane zapytanie protokołu LDAP (Lightweight Directory Access Protocol) skojarzone ze znanym narzędziem ataku. Osoba atakująca może przeprowadzać rekonesans w kolejnych krokach. |
High (Wysoki) | T1087.002 | xdr_SuspiciousLdapQuery |
Rekonesans atrybutów usługi Active Directory przy użyciu protokołu LDAPOpis: Rekonesans LDAP usługi Active Directory jest używany przez osoby atakujące do uzyskiwania krytycznych informacji o środowisku domeny. Te informacje mogą pomóc osobom atakującym w mapowaniu struktury domeny, a także identyfikowaniu uprzywilejowanych kont do użycia w późniejszych krokach łańcucha ataków. Protokół LDAP (Lightweight Directory Access Protocol) jest jedną z najpopularniejszych metod używanych zarówno do celów uzasadnionych, jak i złośliwych do wykonywania zapytań w usłudze Active Directory. Okres nauki: Brak |
Średnie |
TA0007 T1087 T1049 T1087.002 |
xdr_LdapSensitiveAttributeReconnaissanceSecurityAlert |
Rekonesans adresów IP i użytkownika (SMB)Poprzednia nazwa: Rekonesans przy użyciu wyliczenia sesji SMB. Opis: Wyliczenie przy użyciu protokołu Bloku komunikatów serwera (SMB) umożliwia osobom atakującym uzyskanie informacji o tym, gdzie użytkownicy ostatnio się logują. Gdy osoby atakujące mają te informacje, mogą przenieść się później w sieci, aby przejść do określonego konta poufnego. W przypadku tego wykrywania alert jest wyzwalany po wykonaniu wyliczenia sesji SMB względem kontrolera domeny. Okres nauki: Brak |
Średnie |
TA0007 T1087 T1046 T1018 |
xdr_SmbSessionEnumeration |
Rekonesans wyliczenia konta w usługach AD FSPoprzednia nazwa: Rekonesans przy użyciu wyliczenia konta. Opis: Podczas rekonesansu wyliczania konta osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak KrbGuess, w celu odgadnięcia nazw użytkowników w domenie. W tym wykrywaniu alertów usługa Defender for Identity wykrywa, skąd pochodzi atak wyliczania konta, łączną liczbę prób odgadnięcia i liczbę prób dopasowania. Jeśli jest zbyt wielu nieznanych użytkowników, usługa Defender for Identity wykrywa go jako podejrzane działanie. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS/AD CS. Okres nauki: Brak Sugerowane kroki zapobiegania: Wymuszaj złożone i długie hasła w organizacji. Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi. Ataki siłowe są zazwyczaj kolejnym krokiem w łańcuchu zabijania ataków cybernetycznych po wyliczeniu. |
Średnie |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertAdfs |
Rekonesans wyliczenia konta w protokole KerberosPoprzednia nazwa: Rekonesans przy użyciu wyliczenia konta. Opis: Podczas rekonesansu wyliczania konta osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak KrbGuess, w celu odgadnięcia nazw użytkowników w domenie. Osoba atakująca wysyła żądania Kerberos przy użyciu tych nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Po pomyślnym określeniu nazwy użytkownika osoba atakująca otrzymuje wymagane wstępne uwierzytelnianie zamiast nieznanego błędu Kerberos podmiotu zabezpieczeń . W tym wykrywaniu alertów usługa Defender for Identity wykrywa, skąd pochodzi atak wyliczania konta, łączną liczbę prób odgadnięcia i liczbę prób dopasowania. Jeśli jest zbyt wielu nieznanych użytkowników, usługa Defender for Identity wykrywa go jako podejrzane działanie. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS/AD CS. Okres nauki: Brak Sugerowane kroki zapobiegania: Wymuszaj złożone i długie hasła w organizacji. Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi. Ataki siłowe są zazwyczaj kolejnym krokiem w łańcuchu zabijania ataków cybernetycznych po wyliczeniu. |
Średnie |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertKerberos |
Rekonesans wyliczenia konta w NTLMPoprzednia nazwa: Rekonesans przy użyciu wyliczenia konta. Opis: Podczas rekonesansu wyliczania konta osoba atakująca używa słownika z tysiącami nazw użytkowników lub narzędzi, takich jak KrbGuess, w celu odgadnięcia nazw użytkowników w domenie. Osoba atakująca wysyła żądania uwierzytelniania NTLM przy użyciu słownika nazw, aby spróbować znaleźć prawidłową nazwę użytkownika w domenie. Jeśli odgadnięcie pomyślnie określi nazwę użytkownika, osoba atakująca otrzyma błąd WrongPassword (0xc000006a) zamiast błędu NTLM NoSuchUser (0xc0000064). W tym wykrywaniu alertów usługa Defender for Identity wykrywa, skąd pochodzi atak wyliczania konta, łączną liczbę prób odgadnięcia i liczbę prób dopasowania. Jeśli jest zbyt wielu nieznanych użytkowników, usługa Defender for Identity wykrywa go jako podejrzane działanie. Alert jest oparty na zdarzeniach uwierzytelniania z czujników uruchomionych na kontrolerze domeny i serwerach usług AD FS/AD CS. Okres nauki: Brak Sugerowane kroki zapobiegania: Wymuszaj złożone i długie hasła w organizacji. Złożone i długie hasła zapewniają niezbędny pierwszy poziom zabezpieczeń przed atakami siłowymi. Ataki siłowe są zazwyczaj kolejnym krokiem w łańcuchu zabijania ataków cybernetycznych po wyliczeniu. |
Średnie |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertNtlm |
Alerty dotyczące ruchu bocznego
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować przenieść się między zasobami lub tożsamościami w organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Możliwe obejście silosu uwierzytelnianiaOpis: Na tym urządzeniu wykryto możliwą próbę obejścia zasad silosu uwierzytelniania i uwierzytelnienia w usłudze chronionej przez silos. |
High (Wysoki) | T1550 | xdr_PossibleAuthenticationSiloBypass |
Możliwe przejęcie Microsoft Entra bezproblemowego konta logowania jednokrotnegoOpis: Obiekt konta Microsoft Entra bezproblemowego logowania jednokrotnego (logowanie jednokrotne), AZUREADSSOACC, został zmodyfikowany podejrzanie. Osoba atakująca może przenieść się później ze środowiska lokalnego do chmury. |
High (Wysoki) | T1556 | xdr_SuspectedAzureSsoAccountTakeover |
Podejrzane działanie po synchronizacji hasełOpis: Użytkownik wykonał nietypową akcję w aplikacji po ostatniej synchronizacji haseł. Osoba atakująca mogła naruszyć konto użytkownika w celu wykonania złośliwych działań w organizacji. |
Średnie | T1021.007 | xdr_SuspiciousActivityAfterPasswordSync |
Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plikówOpis: Adwersarze mogą wykorzystać zdalny protokół szyfrowania systemu plików do nieprawidłowego wykonywania uprzywilejowanych operacji na plikach. W przypadku tego ataku osoba atakująca może eskalować uprawnienia w sieci usługi Active Directory przez przymus uwierzytelniania z kont maszyn i przekazywania do usługi certyfikatów. Ten atak pozwala atakującemu przejąć domenę usługi Active Directory (AD), wykorzystując lukę w protokole EfSRPC (Encrypting File System Remote) i łącząc ją z luką w usługach certyfikatów Active Directory. Okres nauki: Brak |
Wysoki lub średni |
TA0008 T1210 |
xdr_SuspiciousConnectionOverEFDRPC |
Alerty kolekcji
W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać interesujące go dane z organizacji.
| Nazwa alertu zabezpieczeń | Waga | Technika MITRE | Identyfikator detektora |
|---|---|---|---|
Możliwa kradzież sesji OktaOpis: Zainicjowano nowe połączenie przy użyciu prawdopodobnie skradzionego pliku cookie sesji Okta. Osoba atakująca mogła ukraść plik cookie sesji i teraz używa go do wykonania złośliwej akcji. |
High (Wysoki) | T1539 | xdr_PossibleOktaSessionTheft |