Otras alertas de seguridad
Normalmente, los ciberataques se inician contra cualquier entidad accesible, como un usuario con privilegios bajos, y luego se mueven rápidamente lateralmente hasta que el atacante obtiene acceso a recursos valiosos. Los recursos valiosos pueden ser cuentas confidenciales, administradores de dominio o datos altamente confidenciales. Microsoft Defender for Identity identifica estas amenazas avanzadas en el origen a lo largo de toda la cadena de eliminación de ataques y las clasifica en las fases siguientes:
- Alertas de reconocimiento y detección
- Alertas de persistencia y escalado de privilegios
- Alertas de acceso a credenciales
- Alertas de movimiento lateral
- Otros
Para más información sobre cómo comprender la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de las alertas de seguridad. Para obtener información sobre True positive (TP), Benign true positive (B-TP) y False positive (FP), consulte clasificaciones de alertas de seguridad.
Las siguientes alertas de seguridad le ayudan a identificar y corregir otras actividades sospechosas de fase detectadas por Defender for Identity en la red.
Sospecha de ataque DCShadow (promoción del controlador de dominio) (id. externo 2028)
Nombre anterior: Promoción sospechosa del controlador de dominio (posible ataque DCShadow)
Gravedad: Alta
Descripción:
Un ataque de sombra de controlador de dominio (DCShadow) es un ataque diseñado para cambiar objetos de directorio mediante la replicación malintencionada. Este ataque puede realizarse desde cualquier máquina mediante la creación de un controlador de dominio no autorizado utilizando un proceso de replicación.
En un ataque DCShadow, RPC y LDAP se usan para:
- Registre la cuenta de equipo como controlador de dominio (con derechos de administrador de dominio).
- Realice la replicación (con los derechos de replicación concedidos) a través de DRSUAPI y envíe cambios a los objetos de directorio.
En esta detección de Defender for Identity, se desencadena una alerta de seguridad cuando una máquina de la red intenta registrarse como controlador de dominio no autorizado.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque de MITRE | Controlador de dominio no autorizado (T1207) |
| Sub técnica de ataque de MITRE | N/D |
Pasos sugeridos para la prevención:
Valide los permisos siguientes:
- Replicar los cambios de directorio.
- Replicar el directorio cambia todo.
- Para obtener más información, vea Conceder permisos de Servicios de dominio de Active Directory para la sincronización de perfiles en SharePoint Server 2013. Puede usar AD ACL Scanner o crear un script de Windows PowerShell para determinar quién tiene estos permisos en el dominio.
Nota:
Las alertas sospechosas de promoción del controlador de dominio (posible ataque DCShadow) solo son compatibles con los sensores de Defender for Identity.
Sospecha de ataque DCShadow (solicitud de replicación del controlador de dominio) (identificador externo 2029)
Nombre anterior: Solicitud de replicación sospechosa (posible ataque DCShadow)
Gravedad: Alta
Descripción:
La replicación de Active Directory es el proceso por el que los cambios realizados en un controlador de dominio se sincronizan con otros controladores de dominio. Dados los permisos necesarios, los atacantes pueden conceder derechos para su cuenta de equipo, lo que les permite suplantar un controlador de dominio. Los atacantes se esfuerzan por iniciar una solicitud de replicación malintencionada, lo que les permite cambiar objetos de Active Directory en un controlador de dominio original, lo que puede dar persistencia a los atacantes en el dominio. En esta detección, se desencadena una alerta cuando se genera una solicitud de replicación sospechosa en un controlador de dominio original protegido por Defender for Identity. El comportamiento indica las técnicas utilizadas en los ataques de sombra del controlador de dominio.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque de MITRE | Controlador de dominio no autorizado (T1207) |
| Sub técnica de ataque de MITRE | N/D |
Corrección sugerida y pasos para la prevención:
Valide los permisos siguientes:
- Replicar los cambios de directorio.
- Replicar el directorio cambia todo.
- Para obtener más información, vea Conceder permisos de Servicios de dominio de Active Directory para la sincronización de perfiles en SharePoint Server 2013. Puede usar AD ACL Scanner o crear un script de Windows PowerShell para determinar quién en el dominio tiene estos permisos.
Nota:
Solo los sensores de Defender for Identity admiten alertas de solicitud de replicación sospechosa (posible ataque DCShadow).
Conexión VPN sospechosa (id. externo 2025)
Nombre anterior: Conexión VPN sospechosa
Gravedad: media
Descripción:
Defender for Identity aprende el comportamiento de la entidad para las conexiones VPN de los usuarios durante un período deslizante de un mes.
El modelo de comportamiento de VPN se basa en las máquinas desde las que los usuarios inician sesión y en las ubicaciones desde las que se conectan los usuarios.
Se abre una alerta cuando hay una desviación del comportamiento del usuario en función de un algoritmo de aprendizaje automático.
Período de aprendizaje:
30 días desde la primera conexión VPN y al menos 5 conexiones VPN en los últimos 30 días, por usuario.
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Táctica secundaria de MITRE | Persistencia (TA0003) |
| Técnica de ataque de MITRE | Servicios remotos externos (T1133) |
| Sub técnica de ataque de MITRE | N/D |
Intento de ejecución remota de código (id. externo 2019)
Nombre anterior: Intento de ejecución remota de código
Gravedad: media
Descripción:
Los atacantes que ponen en peligro las credenciales administrativas o usan una vulnerabilidad de seguridad de día cero pueden ejecutar comandos remotos en el controlador de dominio o en el servidor de AD FS/AD CS. Esto se puede usar para obtener persistencia, recopilar información, ataques por denegación de servicio (DOS) o cualquier otra razón. Defender for Identity detecta conexiones PSexec, WMI remotas y PowerShell.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Ejecución (TA0002) |
|---|---|
| Táctica secundaria de MITRE | Movimiento lateral (TA0008) |
| Técnica de ataque de MITRE | Intérprete de comandos y scripting (T1059),Servicios remotos (T1021) |
| Sub técnica de ataque de MITRE | PowerShell (T1059.001),Administración remota de Windows (T1021.006) |
Pasos sugeridos para la prevención:
- Restrinja el acceso remoto a los controladores de dominio desde máquinas que no sean de nivel 0.
- Implemente el acceso con privilegios, lo que permite que solo las máquinas protegidas se conecten a controladores de dominio para los administradores.
- Implemente el acceso con menos privilegios en máquinas de dominio para permitir a usuarios específicos el derecho de crear servicios.
Nota:
Las alertas de intento de ejecución remota de código en caso de intento de uso de comandos de PowerShell solo son compatibles con los sensores de Defender for Identity.
Creación sospechosa del servicio (id. externo 2026)
Nombre anterior: Creación de servicios sospechosos
Gravedad: media
Descripción:
Se ha creado un servicio sospechoso en un controlador de dominio o en un servidor de AD FS o AD CS de la organización. Esta alerta se basa en el evento 7045 para identificar esta actividad sospechosa.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Ejecución (TA0002) |
|---|---|
| Táctica secundaria de MITRE | Persistencia (TA0003),Escalación de privilegios (TA0004),Evasión de defensa (TA0005), Movimiento lateral (TA0008) |
| Técnica de ataque de MITRE | Servicios remotos (T1021),Intérprete de comandos y scripting (T1059),Servicios del sistema (T1569), Crear o modificar proceso del sistema (T1543) |
| Sub técnica de ataque de MITRE | Ejecución del servicio (T1569.002),servicio de Windows (T1543.003) |
Pasos sugeridos para la prevención:
- Restrinja el acceso remoto a los controladores de dominio desde máquinas que no sean de nivel 0.
- Implemente el acceso con privilegios para permitir que solo las máquinas protegidas se conecten a controladores de dominio para los administradores.
- Implemente el acceso con menos privilegios en máquinas de dominio para conceder a solo usuarios específicos el derecho de crear servicios.
Comunicación sospechosa a través de DNS (id. externo 2031)
Nombre anterior: Comunicación sospechosa a través de DNS
Gravedad: media
Descripción:
El protocolo DNS en la mayoría de las organizaciones normalmente no se supervisa y rara vez se bloquea para la actividad malintencionada. Habilitar un atacante en una máquina en peligro para abusar del protocolo DNS. La comunicación malintencionada a través de DNS se puede usar para la filtración, el comando y el control de datos y/o para eludir las restricciones de red corporativas.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Filtración (TA0010) |
|---|---|
| Técnica de ataque de MITRE | Filtración a través de protocolo alternativo (T1048),Filtración a través del canal C2 (T1041),Transferencia programada (T1029), Filtración automatizada (T1020), Protocolo de capa de aplicación (T1071) |
| Sub técnica de ataque de MITRE | DNS (T1071.004),filtración a través del protocolo no C2 no cifrado u ofuscado (T1048.003) |
Filtración de datos a través de SMB (id. externo 2030)
Gravedad: Alta
Descripción:
Los controladores de dominio contienen los datos de la organización más confidenciales. Para la mayoría de los atacantes, una de sus principales prioridades es obtener acceso al controlador de dominio y robar los datos más confidenciales. Por ejemplo, la filtración del archivo Ntds.dit, almacenado en el controlador de dominio, permite a un atacante falsificar vales de concesión de vales kerberos (TGT) que proporcionan autorización a cualquier recurso. Los TGT de Kerberos falsificados permiten al atacante establecer la expiración del vale en cualquier momento arbitrario. Se desencadena una alerta de filtración de datos de Defender for Identity a través de SMB cuando se observan transferencias sospechosas de datos desde los controladores de dominio supervisados.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Filtración (TA0010) |
|---|---|
| Táctica secundaria de MITRE | Movimiento lateral (TA0008),Comando y control (TA0011) |
| Técnica de ataque de MITRE | Filtración por protocolo alternativo (T1048), transferencia lateral de herramientas (T1570) |
| Sub técnica de ataque de MITRE | Filtración a través del protocolo no C2 no cifrado u ofuscado (T1048.003) |
Eliminación sospechosa de las entradas de base de datos de certificados (id. externo 2433)
Gravedad: media
Descripción:
La eliminación de entradas de base de datos de certificados es una marca roja que indica una posible actividad malintencionada. Este ataque podría interrumpir el funcionamiento de los sistemas de infraestructura de clave pública (PKI), lo que afectaría a la autenticación y a la integridad de los datos.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque de MITRE | Eliminación del indicador (T1070) |
| Sub técnica de ataque de MITRE | N/D |
Nota:
Los sensores de Defender for Identity solo admiten la eliminación sospechosa de las alertas de entradas de base de datos de certificados en AD CS.
Deshabilitación sospechosa de filtros de auditoría de AD CS (id. externo 2434)
Gravedad: media
Descripción:
Deshabilitar los filtros de auditoría en AD CS puede permitir que los atacantes funcionen sin que se detecten. Este ataque tiene como objetivo eludir la supervisión de seguridad deshabilitando filtros que, de lo contrario, marcarían actividades sospechosas.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque de MITRE | Deterioro de las defensas (T1562) |
| Sub técnica de ataque de MITRE | Deshabilitar el registro de eventos de Windows (T1562.002) |
Cambio de contraseña del modo de restauración de Servicios de directorio (id. externo 2438)
Gravedad: media
Descripción:
El modo de restauración de servicios de directorio (DSRM) es un modo de arranque especial en los sistemas operativos de Microsoft Windows Server que permite a un administrador reparar o restaurar la base de datos de Active Directory. Este modo se usa normalmente cuando hay problemas con Active Directory y no es posible el arranque normal. La contraseña de DSRM se establece durante la promoción de un servidor a un controlador de dominio. En esta detección, se desencadena una alerta cuando Defender for Identity detecta que se cambia una contraseña de DSRM. Se recomienda investigar el equipo de origen y el usuario que realizó la solicitud para comprender si el cambio de contraseña de DSRM se inició desde una acción administrativa legítima o si genera preocupaciones sobre el acceso no autorizado o posibles amenazas de seguridad.
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Persistencia (TA0003) |
|---|---|
| Técnica de ataque de MITRE | Manipulación de cuentas (T1098) |
| Sub técnica de ataque de MITRE | N/D |
Posible robo de sesión de Okta
Gravedad: Alta
Descripción:
En el robo de sesión, los atacantes roban las cookies del usuario legítimo y las usan de otras ubicaciones. Se recomienda investigar la dirección IP de origen que realiza las operaciones para determinar si esas operaciones son legítimas o no y que el usuario usa la dirección IP.
Período de aprendizaje:
2 semanas
MITRE:
| Táctica principal de MITRE | Colección (TA0009) |
|---|---|
| Técnica de ataque de MITRE | Secuestro de sesión del explorador (T1185) |
| Sub técnica de ataque de MITRE | N/D |
Manipulación de directiva de grupo (id. externo 2440) (versión preliminar)
Gravedad: media
Descripción:
Se ha detectado un cambio sospechoso en directiva de grupo, lo que da lugar a la desactivación de Windows Antivirus de Defender. Esta actividad puede indicar una vulneración de seguridad por parte de un atacante con privilegios elevados que podría estar estableciendo la fase de distribución de ransomware.
Pasos sugeridos para la investigación:
Comprender si el cambio de GPO es legítimo
Si no es así, revierta el cambio.
Comprender cómo está vinculada la directiva de grupo para calcular su ámbito de impacto
Período de aprendizaje:
Ninguno
MITRE:
| Táctica principal de MITRE | Evasión de defensa (TA0005) |
|---|---|
| Técnica de ataque de MITRE | Subvertir controles de confianza (T1553) |
| Técnica de ataque de MITRE | Subvertir controles de confianza (T1553) |
| Sub técnica de ataque de MITRE | N/D |