Outros alertas de segurança
Normalmente, os ciberataques são lançados contra qualquer entidade acessível, como um utilizador com privilégios baixos e, em seguida, movem-se rapidamente lateralmente até que o atacante obtenha acesso a ativos valiosos. Os recursos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. Microsoft Defender para Identidade identifica estas ameaças avançadas na origem ao longo de toda a cadeia de eliminação de ataques e classifica-as nas seguintes fases:
- Alertas de reconhecimento e deteção
- Alertas de persistência e escalamento de privilégios
- Alertas de acesso a credenciais
- Alertas de movimento lateral
- Outro
Para saber mais sobre como compreender a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, veja Compreender os alertas de segurança. Para obter informações sobre Verdadeiro positivo (TP),Positivo verdadeiro benigno (B-TP) e Falso positivo (FP),veja Classificações de alertas de segurança.
Os seguintes alertas de segurança ajudam-no a identificar e remediar Outras atividades suspeitas de fase detetadas pelo Defender para Identidade na sua rede.
Ataque DCShadow suspeito (promoção do controlador de domínio) (ID externo 2028)
Nome anterior: Promoção suspeita do controlador de domínio (potencial ataque DCShadow)
Gravidade: Elevada
Descrição:
Um ataque de sombra de controlador de domínio (DCShadow) é um ataque concebido para alterar objetos de diretório com replicação maliciosa. Este ataque pode ser efetuado a partir de qualquer computador ao criar um controlador de domínio não autorizado através de um processo de replicação.
Num ataque DCShadow, o RPC e o LDAP são utilizados para:
- Registe a conta do computador como um controlador de domínio (utilizando direitos de administrador de domínio).
- Execute a replicação (com os direitos de replicação concedidos) através de DRSUAPI e envie alterações para objetos de diretório.
Nesta deteção do Defender para Identidade, é acionado um alerta de segurança quando um computador na rede tenta registar-se como um controlador de domínio não autorizado.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Controlador de Domínio Não Autorizado (T1207) |
| Sub-técnica de ataque MITRE | N/D |
Passos sugeridos para a prevenção:
Valide as seguintes permissões:
- Replicar alterações de diretório.
- Replicar o diretório altera tudo.
- Para obter mais informações, veja Conceder permissões Active Directory Domain Services para sincronização de perfis no SharePoint Server 2013. Pode utilizar o Scanner da ACL do AD ou criar um script Windows PowerShell para determinar quem tem estas permissões no domínio.
Nota
Os alertas suspeitos de promoção do controlador de domínio (potencial ataque DCShadow) são suportados apenas pelos sensores do Defender para Identidade.
Ataque DCShadow suspeito (pedido de replicação do controlador de domínio) (ID externo 2029)
Nome anterior: Pedido de replicação suspeita (potencial ataque DCShadow)
Gravidade: Elevada
Descrição:
A replicação do Active Directory é o processo através do qual as alterações efetuadas num controlador de domínio são sincronizadas com outros controladores de domínio. Dadas as permissões necessárias, os atacantes podem conceder direitos para a respetiva conta de computador, permitindo-lhes representar um controlador de domínio. Os atacantes esforçam-se por iniciar um pedido de replicação maliciosa, permitindo-lhes alterar objetos do Active Directory num controlador de domínio genuíno, o que pode dar persistência aos atacantes no domínio. Nesta deteção, é acionado um alerta quando é gerado um pedido de replicação suspeita contra um controlador de domínio genuíno protegido pelo Defender para Identidade. O comportamento é indicativo das técnicas utilizadas em ataques sombra do controlador de domínio.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Controlador de Domínio Não Autorizado (T1207) |
| Sub-técnica de ataque MITRE | N/D |
Remediação sugerida e passos para prevenção:
Valide as seguintes permissões:
- Replicar alterações de diretório.
- Replicar o diretório altera tudo.
- Para obter mais informações, veja Conceder permissões Active Directory Domain Services para sincronização de perfis no SharePoint Server 2013. Pode utilizar o Scanner da ACL do AD ou criar um script Windows PowerShell para determinar quem no domínio tem estas permissões.
Nota
Os alertas de pedidos de replicação suspeitas (potencial ataque DCShadow) são suportados apenas pelos sensores do Defender para Identidade.
Ligação VPN suspeita (ID externo 2025)
Nome anterior: Ligação VPN suspeita
Gravidade: Média
Descrição:
O Defender para Identidade aprende o comportamento das entidades das ligações VPN dos utilizadores durante um período deslizante de um mês.
O modelo de comportamento de VPN baseia-se nas máquinas nas quais os utilizadores iniciam sessão e nas localizações a partir das quais os utilizadores se ligam.
É aberto um alerta quando existe um desvio do comportamento do utilizador com base num algoritmo de machine learning.
Período de aprendizagem:
30 dias a partir da primeira ligação VPN e, pelo menos, 5 ligações VPN nos últimos 30 dias, por utilizador.
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003) |
| Técnica de ataque MITRE | Serviços Remotos Externos (T1133) |
| Sub-técnica de ataque MITRE | N/D |
Tentativa de execução remota de código (ID externo 2019)
Nome anterior: Tentativa de execução remota de código
Gravidade: Média
Descrição:
Os atacantes que comprometem as credenciais administrativas ou utilizam uma exploração de zero dias podem executar comandos remotos no controlador de domínio ou no servidor AD FS/AD CS. Isto pode ser utilizado para obter persistência, recolher informações, ataques denial of service (DOS) ou qualquer outro motivo. O Defender para Identidade deteta ligações PSexec, Remote WMI e PowerShell.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Execução (TA0002) |
|---|---|
| Tática MITRE secundária | Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Intérprete de Comandos e Scripts (T1059),Serviços Remotos (T1021) |
| Sub-técnica de ataque MITRE | PowerShell (T1059.001), Gestão Remota do Windows (T1021.006) |
Passos sugeridos para a prevenção:
- Restringir o acesso remoto a controladores de domínio de computadores que não são da Camada 0.
- Implemente o acesso privilegiado, permitindo que apenas as máquinas virtuais endurecidas se liguem a controladores de domínio para administradores.
- Implemente o acesso com menos privilégios em máquinas de domínio para permitir aos utilizadores específicos o direito de criar serviços.
Nota
Os alertas de tentativa de execução de código remoto sobre a tentativa de utilização de comandos do PowerShell só são suportados pelos sensores do Defender para Identidade.
Criação de serviços suspeitos (ID externo 2026)
Nome anterior: Criação de serviços suspeitos
Gravidade: Média
Descrição:
Foi criado um serviço suspeito num controlador de domínio ou num servidor AD FS/AD CS na sua organização. Este alerta baseia-se no evento 7045 para identificar esta atividade suspeita.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Execução (TA0002) |
|---|---|
| Tática MITRE secundária | Persistência (TA0003), Escalamento de Privilégios (TA0004), Evasão de Defesa (TA0005), Movimento Lateral (TA0008) |
| Técnica de ataque MITRE | Serviços Remotos (T1021), Interpretador de Comandos e Scripts (T1059), Serviços do Sistema (T1569), Criar ou Modificar Processo do Sistema (T1543) |
| Sub-técnica de ataque MITRE | Execução do Serviço (T1569.002), Serviço Windows (T1543.003) |
Passos sugeridos para a prevenção:
- Restringir o acesso remoto a controladores de domínio de computadores que não são da Camada 0.
- Implemente o acesso privilegiado para permitir que apenas computadores endurecidos se liguem a controladores de domínio para administradores.
- Implemente o acesso com menos privilégios em máquinas de domínio para dar apenas a utilizadores específicos o direito de criar serviços.
Comunicação suspeita através de DNS (ID externo 2031)
Nome anterior: Comunicação suspeita através de DNS
Gravidade: Média
Descrição:
Normalmente, o protocolo DNS na maioria das organizações não é monitorizado e raramente bloqueado para atividades maliciosas. Ativar um atacante numa máquina comprometida, para abusar do protocolo DNS. A comunicação maliciosa através de DNS pode ser utilizada para transferência de dados, comando e controlo e/ou para evitar restrições de rede empresarial.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Exfiltração (TA0010) |
|---|---|
| Técnica de ataque MITRE | Exfiltração Através do Protocolo Alternativo (T1048), Exfiltração através do Canal C2 (T1041), Transferência Agendada (T1029), Exfiltração Automatizada (T1020), Protocolo de Camada de Aplicação (T1071) |
| Sub-técnica de ataque MITRE | DNS (T1071.004), Exfiltration over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Transferência de dados não autorizada através de SMB (ID externo 2030)
Gravidade: Elevada
Descrição:
Os controladores de domínio contêm os dados organizacionais mais confidenciais. Para a maioria dos atacantes, uma das principais prioridades é obter acesso ao controlador de domínio, para roubar os seus dados mais confidenciais. Por exemplo, a transferência exfiltração do ficheiro Ntds.dit, armazenado no DC, permite a um atacante falsificar permissões de concessão de permissão Kerberos (TGT) que fornecem autorização a qualquer recurso. Os TGTs Kerberos falsificados permitem que o atacante defina a expiração da permissão para qualquer hora arbitrária. Um exfiltração de Dados do Defender para Identidade através de um alerta SMB é acionado quando são observadas transferências suspeitas de dados a partir dos controladores de domínio monitorizados.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Exfiltração (TA0010) |
|---|---|
| Tática MITRE secundária | Movimento Lateral (TA0008),Comando e Controlo (TA0011) |
| Técnica de ataque MITRE | Exfiltration Over Alternative Protocol (T1048), Lateral Tool Transfer (T1570) |
| Sub-técnica de ataque MITRE | Exfiltração Através do Protocolo Não Encriptado/Obfuscated Não C2 (T1048.003) |
Eliminação suspeita das entradas da base de dados de certificados (ID externo 2433)
Gravidade: Média
Descrição:
A eliminação de entradas de base de dados de certificados é um sinalizador vermelho que indica uma potencial atividade maliciosa. Este ataque pode interromper o funcionamento dos sistemas de Infraestrutura de Chaves Públicas (PKI), afetando a autenticação e a integridade dos dados.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Remoção do Indicador (T1070) |
| Sub-técnica de ataque MITRE | N/D |
Nota
A eliminação suspeita dos alertas de entradas da base de dados de certificados só é suportada pelos sensores do Defender para Identidade no AD CS.
Desativação suspeita de filtros de auditoria do AD CS (ID externo 2434)
Gravidade: Média
Descrição:
Desativar os filtros de auditoria no AD CS pode permitir que os atacantes operem sem serem detetados. Este ataque visa evitar a monitorização de segurança ao desativar filtros que, de outra forma, sinalizariam atividades suspeitas.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Defesas com Deficiência (T1562) |
| Sub-técnica de ataque MITRE | Desativar o Registo de Eventos do Windows (T1562.002) |
Alteração da Palavra-passe do Modo de Restauro dos Serviços de Diretório (ID externo 2438)
Gravidade: Média
Descrição:
O Modo de Restauro dos Serviços de Diretório (DSRM) é um modo de arranque especial no Microsoft Windows Server sistemas operativos que permite a um administrador reparar ou restaurar a base de dados do Active Directory. Normalmente, este modo é utilizado quando existem problemas com o Active Directory e o arranque normal não é possível. A palavra-passe DSRM é definida durante a promoção de um servidor para um controlador de domínio. Nesta deteção, é acionado um alerta quando o Defender para Identidade deteta que uma palavra-passe DSRM é alterada. Recomendamos que investigue o computador de origem e o utilizador que efetuou o pedido para compreender se a alteração da palavra-passe DSRM foi iniciada a partir de uma ação administrativa legítima ou se esta levanta preocupações sobre o acesso não autorizado ou potenciais ameaças de segurança.
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Persistência (TA0003) |
|---|---|
| Técnica de ataque MITRE | Manipulação de Contas (T1098) |
| Sub-técnica de ataque MITRE | N/D |
Possível roubo de sessão okta
Gravidade: Elevada
Descrição:
No roubo de sessão, os atacantes roubam os cookies de utilizador legítimo e utilizam-nos noutras localizações. Recomendamos que investigue o IP de origem que executa as operações para determinar se essas operações são legítimas ou não e se o endereço IP é utilizado pelo utilizador.
Período de aprendizagem:
2 semanas
MITRE:
| Tática mitre primária | Coleção (TA0009) |
|---|---|
| Técnica de ataque MITRE | Hijacking de Sessão do Browser (T1185) |
| Sub-técnica de ataque MITRE | N/D |
Política de Grupo Adulteração (ID externo 2440) (Pré-visualização)
Gravidade: Média
Descrição:
Foi detetada uma alteração suspeita no Política de Grupo, resultando na desativação do Windows Antivírus do Defender. Esta atividade pode indicar uma falha de segurança por parte de um atacante com privilégios elevados que podem estar a definir a fase de distribuição de ransomware.
Passos sugeridos para investigação:
Compreender se a alteração do GPO é legítima
Caso contrário, reverta a alteração
Compreender como a política de grupo está ligada, para estimar o âmbito de impacto
Período de aprendizagem:
Nenhum
MITRE:
| Tática mitre primária | Evasão à Defesa (TA0005) |
|---|---|
| Técnica de ataque MITRE | Subverter Controlos de Confiança (T1553) |
| Técnica de ataque MITRE | Subverter Controlos de Confiança (T1553) |
| Sub-técnica de ataque MITRE | N/D |