Autres alertes de sécurité
En règle générale, les cyberattaques sont lancées contre toute entité accessible, telle qu’un utilisateur à faibles privilèges, puis se déplacent rapidement latéralement jusqu’à ce que l’attaquant accède à des ressources précieuses. Les ressources précieuses peuvent être des comptes sensibles, des administrateurs de domaine ou des données hautement sensibles. Microsoft Defender pour Identity identifie ces menaces avancées à la source tout au long de la chaîne de destruction de l’attaque et les classifie dans les phases suivantes :
- Alertes de reconnaissance et de découverte
- Alertes de persistance et d’escalade de privilèges
- Alertes d’accès aux informations d’identification
- Alertes de mouvement latéral
- Other
Pour en savoir plus sur la façon de comprendre la structure et les composants courants de toutes les alertes de sécurité Defender pour Identity, consultez Présentation des alertes de sécurité. Pour plus d’informations sur le vrai positif (TP),le vrai positif sans gravité (B-TP) et le faux positif (FP), consultez Classifications des alertes de sécurité.
Les alertes de sécurité suivantes vous aident à identifier et à corriger les autres activités suspectes de phase détectées par Defender pour Identity dans votre réseau.
Suspicion d’attaque DCShadow (promotion du contrôleur de domaine) (ID externe 2028)
Nom précédent : Promotion suspecte du contrôleur de domaine (attaque DCShadow potentielle)
Gravité : élevée
Description :
Une attaque d’ombre de contrôleur de domaine (DCShadow) est une attaque conçue pour modifier des objets d’annuaire à l’aide d’une réplication malveillante. Cette attaque peut être effectuée à partir de n’importe quel ordinateur en créant un contrôleur de domaine malveillant à l’aide d’un processus de réplication.
Dans une attaque DCShadow, RPC et LDAP sont utilisés pour :
- Inscrivez le compte d’ordinateur en tant que contrôleur de domaine (à l’aide des droits d’administrateur du domaine).
- Effectuez la réplication (à l’aide des droits de réplication accordés) sur DRSUAPI et envoyez les modifications aux objets d’annuaire.
Dans cette détection Defender pour Identity, une alerte de sécurité est déclenchée lorsqu’un ordinateur du réseau tente de s’inscrire en tant que contrôleur de domaine non autorisé.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Technique d’attaque MITRE | Contrôleur de domaine non autorisé (T1207) |
| Sous-technique d’attaque MITRE | S/O |
Étapes suggérées pour la prévention :
Validez les autorisations suivantes :
- Répliquer les modifications de répertoire.
- Répliquer les modifications du répertoire.
- Pour plus d’informations, voir Accorder des autorisations services de domaine Active Directory pour la synchronisation de profils dans SharePoint Server 2013. Vous pouvez utiliser l’analyseur ACL AD ou créer un script Windows PowerShell pour déterminer qui dispose de ces autorisations dans le domaine.
Remarque
Les alertes de promotion de contrôleur de domaine suspecte (attaque DCShadow potentielle) sont prises en charge uniquement par les capteurs Defender pour Identity.
Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine) (ID externe 2029)
Nom précédent : Demande de réplication suspecte (attaque DCShadow potentielle)
Gravité : élevée
Description :
La réplication Active Directory est le processus par lequel les modifications apportées à un contrôleur de domaine sont synchronisées avec d’autres contrôleurs de domaine. Compte tenu des autorisations nécessaires, les attaquants peuvent accorder des droits pour leur compte d’ordinateur, ce qui leur permet d’emprunter l’identité d’un contrôleur de domaine. Les attaquants s’efforcent de lancer une demande de réplication malveillante, ce qui leur permet de modifier des objets Active Directory sur un contrôleur de domaine authentique, ce qui peut donner aux attaquants une persistance dans le domaine. Dans cette détection, une alerte est déclenchée lorsqu’une demande de réplication suspecte est générée sur un contrôleur de domaine authentique protégé par Defender pour Identity. Le comportement indique les techniques utilisées dans les attaques fantômes de contrôleur de domaine.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Technique d’attaque MITRE | Contrôleur de domaine non autorisé (T1207) |
| Sous-technique d’attaque MITRE | S/O |
Correction suggérée et étapes de prévention :
Validez les autorisations suivantes :
- Répliquer les modifications de répertoire.
- Répliquer les modifications du répertoire.
- Pour plus d’informations, voir Accorder des autorisations services de domaine Active Directory pour la synchronisation de profils dans SharePoint Server 2013. Vous pouvez utiliser l’analyseur ad ACL ou créer un script Windows PowerShell pour déterminer qui dans le domaine dispose de ces autorisations.
Remarque
Les alertes de demande de réplication suspecte (attaque DCShadow potentielle) sont prises en charge uniquement par les capteurs Defender pour Identity.
Connexion VPN suspecte (ID externe 2025)
Nom précédent : Connexion VPN suspecte
Gravité : moyen
Description :
Defender pour Identity apprend le comportement de l’entité pour les connexions VPN des utilisateurs sur une période glissante d’un mois.
Le modèle de comportement VPN est basé sur les ordinateurs auxquels les utilisateurs se connectent et les emplacements à partir duquel les utilisateurs se connectent.
Une alerte est ouverte en cas d’écart par rapport au comportement de l’utilisateur basé sur un algorithme d’apprentissage automatique.
Période d’apprentissage :
30 jours à partir de la première connexion VPN et au moins 5 connexions VPN au cours des 30 derniers jours, par utilisateur.
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Tactique MITRE secondaire | Persistance (TA0003) |
| Technique d’attaque MITRE | Services distants externes (T1133) |
| Sous-technique d’attaque MITRE | S/O |
Tentative d’exécution de code à distance (ID externe 2019)
Nom précédent : Tentative d’exécution de code à distance
Gravité : moyen
Description :
Les attaquants qui compromettent les informations d’identification d’administration ou utilisent un exploit zero-day peuvent exécuter des commandes à distance sur votre contrôleur de domaine ou votre serveur AD FS/AD CS. Cela peut être utilisé pour obtenir la persistance, la collecte d’informations, les attaques par déni de service (DOS) ou toute autre raison. Defender pour Identity détecte les connexions PSexec, WMI distantes et PowerShell.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Exécution (TA0002) |
|---|---|
| Tactique MITRE secondaire | Mouvement latéral (TA0008) |
| Technique d’attaque MITRE | Interpréteur de commandes et de scripts (T1059),Services à distance (T1021) |
| Sous-technique d’attaque MITRE | PowerShell (T1059.001),Gestion à distance Windows (T1021.006) |
Étapes suggérées pour la prévention :
- Restreindre l’accès à distance aux contrôleurs de domaine à partir de machines non de niveau 0.
- Implémentez un accès privilégié, en autorisant uniquement les machines renforcées à se connecter aux contrôleurs de domaine pour les administrateurs.
- Implémentez un accès moins privilégié sur des machines de domaine pour permettre à des utilisateurs spécifiques de créer des services.
Remarque
Les alertes de tentative d’exécution de code à distance lors de la tentative d’utilisation des commandes PowerShell sont uniquement prises en charge par les capteurs Defender pour Identity.
Création suspecte de service (ID externe 2026)
Nom précédent : Création d’un service suspect
Gravité : moyen
Description :
Un service suspect a été créé sur un contrôleur de domaine ou un serveur AD FS/AD CS dans votre organization. Cette alerte s’appuie sur l’événement 7045 pour identifier cette activité suspecte.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Exécution (TA0002) |
|---|---|
| Tactique MITRE secondaire | Persistance (TA0003), Escalade des privilèges (TA0004),Évasion de défense (TA0005), Mouvement latéral (TA0008) |
| Technique d’attaque MITRE | Services distants (T1021),Interpréteur de commandes et de scripts (T1059),Services système (T1569),Créer ou modifier un processus système (T1543) |
| Sous-technique d’attaque MITRE | Exécution du service (T1569.002),Service Windows (T1543.003) |
Étapes suggérées pour la prévention :
- Restreindre l’accès à distance aux contrôleurs de domaine à partir de machines non de niveau 0.
- Implémentez l’accès privilégié pour autoriser uniquement les machines renforcées à se connecter aux contrôleurs de domaine pour les administrateurs.
- Implémentez un accès moins privilégié sur les machines de domaine pour accorder uniquement à des utilisateurs spécifiques le droit de créer des services.
Communication suspecte sur DNS (ID externe 2031)
Nom précédent : Communication suspecte sur DNS
Gravité : moyen
Description :
Le protocole DNS dans la plupart des organisations n’est généralement pas surveillé et rarement bloqué pour les activités malveillantes. Permettre à un attaquant sur un ordinateur compromis d’abuser du protocole DNS. Les communications malveillantes via DNS peuvent être utilisées pour l’exfiltration de données, la commande et le contrôle, et/ou pour échapper aux restrictions de réseau d’entreprise.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Exfiltration (TA0010) |
|---|---|
| Technique d’attaque MITRE | Exfiltration sur un autre protocole (T1048),exfiltration sur le canal C2 (T1041),transfert planifié (T1029),exfiltration automatisée (T1020), protocole de couche application (T1071) |
| Sous-technique d’attaque MITRE | DNS (T1071.004),exfiltration sur le protocole non-C2 non chiffré/obfusqué (T1048.003) |
Exfiltration de données sur SMB (ID externe 2030)
Gravité : élevée
Description :
Les contrôleurs de domaine contiennent les données organisationnelles les plus sensibles. Pour la plupart des attaquants, l’une de leurs priorités est d’obtenir l’accès au contrôleur de domaine, afin de voler vos données les plus sensibles. Par exemple, l’exfiltration du fichier Ntds.dit, stocké sur le contrôleur de domaine, permet à un attaquant de falsifier des tickets d’octroi de tickets Kerberos (TGT) fournissant l’autorisation à n’importe quelle ressource. Les TGT Kerberos falsifiés permettent à l’attaquant de définir l’expiration du ticket à n’importe quelle heure arbitraire. Une alerte d’exfiltration de données Defender pour Identity sur SMB est déclenchée lorsque des transferts suspects de données sont observés à partir de vos contrôleurs de domaine surveillés.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Exfiltration (TA0010) |
|---|---|
| Tactique MITRE secondaire | Mouvement latéral (TA0008),Commande et contrôle (TA0011) |
| Technique d’attaque MITRE | Exfiltration sur un autre protocole (T1048),transfert d’outils latéral (T1570) |
| Sous-technique d’attaque MITRE | Exfiltration sur le protocole non-C2 non chiffré/obfusqué (T1048.003) |
Suppression suspecte des entrées de base de données de certificats (ID externe 2433)
Gravité : moyen
Description :
La suppression des entrées de base de données de certificats est un indicateur rouge, indiquant une activité malveillante potentielle. Cette attaque peut perturber le fonctionnement des systèmes d’infrastructure à clé publique (PKI), ce qui a un impact sur l’authentification et l’intégrité des données.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Technique d’attaque MITRE | Suppression de l’indicateur (T1070) |
| Sous-technique d’attaque MITRE | S/O |
Remarque
Les alertes de suppression suspecte des entrées de base de données de certificats sont uniquement prises en charge par les capteurs Defender pour Identity sur AD CS.
Désactivation suspecte des filtres d’audit d’AD CS (ID externe 2434)
Gravité : moyen
Description :
La désactivation des filtres d’audit dans AD CS peut permettre aux attaquants de fonctionner sans être détectés. Cette attaque vise à échapper à la surveillance de la sécurité en désactivant les filtres qui signaleraient autrement les activités suspectes.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Technique d’attaque MITRE | Défenses impaires (T1562) |
| Sous-technique d’attaque MITRE | Désactiver la journalisation des événements Windows (T1562.002) |
Modification du mot de passe du mode de restauration des services d’annuaire (ID externe 2438)
Gravité : moyen
Description :
Le mode de restauration des services d’annuaire (DSRM) est un mode de démarrage spécial dans les systèmes d’exploitation Microsoft Windows Server qui permet à un administrateur de réparer ou de restaurer la base de données Active Directory. Ce mode est généralement utilisé en cas de problèmes avec Active Directory et qu’un démarrage normal n’est pas possible. Le mot de passe DSRM est défini lors de la promotion d’un serveur vers un contrôleur de domaine. Dans cette détection, une alerte est déclenchée lorsque Defender pour Identity détecte qu’un mot de passe DSRM est modifié. Nous vous recommandons d’examiner l’ordinateur source et l’utilisateur qui a fait la demande pour comprendre si la modification du mot de passe DSRM a été lancée à partir d’une action administrative légitime ou si elle soulève des préoccupations concernant un accès non autorisé ou des menaces de sécurité potentielles.
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Persistance (TA0003) |
|---|---|
| Technique d’attaque MITRE | Manipulation de compte (T1098) |
| Sous-technique d’attaque MITRE | S/O |
Possible vol de session Okta
Gravité : élevée
Description :
En cas de vol de session, les attaquants volent les cookies d’un utilisateur légitime et les utilisent à d’autres emplacements. Nous vous recommandons d’examiner l’adresse IP source qui effectue les opérations pour déterminer si ces opérations sont légitimes ou non, et que l’adresse IP est utilisée par l’utilisateur.
Période d’apprentissage :
2 semaines
MITRE :
| Tactique MITRE principale | Collection (TA0009) |
|---|---|
| Technique d’attaque MITRE | Détournement de session de navigateur (T1185) |
| Sous-technique d’attaque MITRE | S/O |
falsification stratégie de groupe (ID externe 2440) (préversion)
Gravité : moyen
Description :
Une modification suspecte a été détectée dans stratégie de groupe, entraînant la désactivation de Windows Defender Antivirus. Cette activité peut indiquer une violation de la sécurité par un attaquant disposant de privilèges élevés qui pourrait définir le stade de la distribution de rançongiciels.
Étapes suggérées pour l’examen :
Comprendre si la modification de l’objet de stratégie de groupe est légitime
Si ce n’était pas le cas, annulez la modification
Comprendre comment la stratégie de groupe est liée pour estimer son étendue d’impact
Période d’apprentissage :
Aucun
MITRE :
| Tactique MITRE principale | Évasion de défense (TA0005) |
|---|---|
| Technique d’attaque MITRE | Subvert Trust Controls (T1553) |
| Technique d’attaque MITRE | Subvert Trust Controls (T1553) |
| Sous-technique d’attaque MITRE | S/O |