Diğer güvenlik uyarıları
Genellikle, düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı siber saldırılar başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla bir sonraki adıma geçer. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:
- Keşif ve bulma uyarıları
- Kalıcılık ve ayrıcalık yükseltme uyarıları
- Kimlik bilgisi erişim uyarıları
- Yanal hareket uyarıları
- Diğer
Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz. Güvenlik uyarılarını anlama. Doğru pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.
Aşağıdaki güvenlik uyarıları ağınızdaki Kimlik için Defender tarafından algılanan diğer aşama şüpheli etkinlikleri belirlemenize ve düzeltmenize yardımcı olur.
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi yükseltme) (dış kimlik 2028)
Önceki ad: Şüpheli etki alanı denetleyicisi yükseltme (olası DCShadow saldırısı)
Önem Derecesi: Yüksek
Açıklama:
Etki alanı denetleyicisi gölgesi (DCShadow) saldırısı, kötü amaçlı çoğaltma kullanarak dizin nesnelerini değiştirmek için tasarlanmış bir saldırıdır. Bu saldırı, çoğaltma işlemi kullanılarak bir sahte etki alanı denetleyicisi oluşturularak herhangi bir makineden gerçekleştirilebilir.
DCShadow saldırısında, RPC ve LDAP şunları yapmak için kullanılır:
- Makine hesabını etki alanı denetleyicisi olarak kaydedin (etki alanı yönetici haklarını kullanarak).
- DRSUAPI üzerinden çoğaltma gerçekleştirin (verilen çoğaltma haklarını kullanarak) ve dizin nesnelerine değişiklikler gönderin.
Bu Kimlik için Defender algılamasında, ağdaki bir makine sahte etki alanı denetleyicisi olarak kaydolmaya çalıştığında bir güvenlik uyarısı tetikleniyor.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| MITRE saldırı tekniği | Rogue Etki Alanı Denetleyicisi (T1207) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
Aşağıdaki izinleri doğrulayın:
- Dizin değişikliklerini çoğaltma.
- Dizin değişikliklerini çoğaltma.
- Daha fazla bilgi için bkz. SharePoint Server 2013'te profil eşitlemesi için Active Directory Domain Services izinleri verme. Ad ACL Tarayıcısı'nı kullanabilir veya etki alanında bu izinlere sahip olan kişileri belirlemek için bir Windows PowerShell betiği oluşturabilirsiniz.
Not
Şüpheli etki alanı denetleyicisi yükseltme (olası DCShadow saldırısı) uyarıları yalnızca Kimlik algılayıcıları için Defender tarafından desteklenir.
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi çoğaltma isteği) (dış kimlik 2029)
Önceki ad: Şüpheli çoğaltma isteği (olası DCShadow saldırısı)
Önem Derecesi: Yüksek
Açıklama:
Active Directory çoğaltması, bir etki alanı denetleyicisinde yapılan değişikliklerin diğer etki alanı denetleyicileriyle eşitlendiği işlemdir. Gerekli izinlere sahip olan saldırganlar, makine hesapları için haklar veleyerek bir etki alanı denetleyicisinin kimliğine bürünmelerini sağlayabilir. Saldırganlar, saldırganlara etki alanında kalıcılık kazandırabilecek orijinal bir etki alanı denetleyicisindeki Active Directory nesnelerini değiştirmelerine olanak tanıyarak kötü amaçlı bir çoğaltma isteği başlatmaya çalışır. Bu algılamada, Kimlik için Defender tarafından korunan orijinal bir etki alanı denetleyicisinde şüpheli bir çoğaltma isteği oluşturulduğunda bir uyarı tetikleniyor. Davranış, etki alanı denetleyicisi gölge saldırılarında kullanılan tekniklerin göstergesidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| MITRE saldırı tekniği | Rogue Etki Alanı Denetleyicisi (T1207) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen düzeltme ve adımlar:
Aşağıdaki izinleri doğrulayın:
- Dizin değişikliklerini çoğaltma.
- Dizin değişikliklerini çoğaltma.
- Daha fazla bilgi için bkz. SharePoint Server 2013'te profil eşitlemesi için Active Directory Domain Services izinleri verme. Ad ACL Tarayıcısı'nı kullanabilir veya etki alanında kimlerin bu izinlere sahip olduğunu belirlemek için bir Windows PowerShell betiği oluşturabilirsiniz.
Not
Şüpheli çoğaltma isteği (olası DCShadow saldırısı) uyarıları yalnızca Kimlik için Defender algılayıcıları tarafından desteklenir.
Şüpheli VPN bağlantısı (dış kimlik 2025)
Önceki ad: Şüpheli VPN bağlantısı
Önem Derecesi: Orta
Açıklama:
Kimlik için Defender, bir aylık kayan bir süre boyunca kullanıcıların VPN bağlantıları için varlık davranışını öğrenir.
VPN davranışı modeli, kullanıcıların oturum açtığı makineleri ve kullanıcıların bağlandığı konumları temel alır.
Bir makine öğrenmesi algoritmasına göre kullanıcının davranışından sapma olduğunda bir uyarı açılır.
Öğrenme dönemi:
İlk VPN bağlantısından 30 gün sonra ve kullanıcı başına son 30 gün içinde en az 5 VPN bağlantısı.
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003) |
| MITRE saldırı tekniği | Dış Uzak Hizmetler (T1133) |
| MITRE saldırı alt tekniği | Yok |
Uzaktan kod yürütme girişimi (dış kimlik 2019)
Önceki ad: Uzaktan kod yürütme girişimi
Önem Derecesi: Orta
Açıklama:
Yönetici kimlik bilgilerini tehlikeye atan veya sıfır gün açık kullanan saldırganlar, etki alanı denetleyicinizde veya AD FS /AD CS sunucunuzda uzak komutlar yürütebilir. Bu, kalıcılık kazanmak, bilgi toplamak, hizmet reddi (DOS) saldırıları veya başka herhangi bir neden için kullanılabilir. Kimlik için Defender PSexec, Uzak WMI ve PowerShell bağlantılarını algılar.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Yürütme (TA0002) |
|---|---|
| İkincil MITRE taktiği | YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Komut ve Betik Yorumlayıcısı (T1059),Uzak Hizmetler (T1021) |
| MITRE saldırı alt tekniği | PowerShell (T1059.001), Windows Uzaktan Yönetimi (T1021.006) |
Önleme için önerilen adımlar:
- Katman 0 olmayan makinelerden etki alanı denetleyicilerine uzaktan erişimi kısıtlayın.
- Ayrıcalıklı erişim uygulayarak yalnızca sağlamlaştırılmış makinelerin yöneticiler için etki alanı denetleyicilerine bağlanmasına izin verin.
- Belirli kullanıcılara hizmet oluşturma hakkı vermek için etki alanı makinelerinde daha az ayrıcalıklı erişim uygulayın.
Not
PowerShell komutlarının kullanılmaya çalışıldığında uzaktan kod yürütme girişimi uyarıları yalnızca Kimlik için Defender algılayıcıları tarafından desteklenir.
Şüpheli hizmet oluşturma (dış kimlik 2026)
Önceki ad: Şüpheli hizmet oluşturma
Önem Derecesi: Orta
Açıklama:
Kuruluşunuzdaki bir etki alanı denetleyicisinde veya AD FS / AD CS sunucusunda şüpheli bir hizmet oluşturuldu. Bu uyarı, bu şüpheli etkinliği tanımlamak için olay 7045'e dayanır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Yürütme (TA0002) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003), Privilege Escalation (TA0004), Defense Evasion (TA0005), Lateral Movement (TA0008) |
| MITRE saldırı tekniği | Uzak Hizmetler (T1021), Komut ve Betik Yorumlayıcısı (T1059), Sistem Hizmetleri (T1569), Sistem İşlemi Oluşturma veya Değiştirme (T1543) |
| MITRE saldırı alt tekniği | Hizmet Yürütme (T1569.002), Windows Hizmeti (T1543.003) |
Önleme için önerilen adımlar:
- Katman 0 olmayan makinelerden etki alanı denetleyicilerine uzaktan erişimi kısıtlayın.
- Yalnızca sağlamlaştırılmış makinelerin yöneticiler için etki alanı denetleyicilerine bağlanmasına izin vermek için ayrıcalıklı erişim uygulayın.
- Yalnızca belirli kullanıcılara hizmet oluşturma hakkı vermek için etki alanı makinelerinde daha az ayrıcalıklı erişim uygulayın.
DNS üzerinden şüpheli iletişim (dış kimlik 2031)
Önceki ad: DNS üzerinden şüpheli iletişim
Önem Derecesi: Orta
Açıklama:
Çoğu kuruluşta DNS protokolü genellikle izlenmiyor ve kötü amaçlı etkinlikler için nadiren engelleniyor. Güvenliği aşılmış bir makinede bir saldırganın DNS protokollerini kötüye kullanmasına olanak sağlama. DNS üzerinden kötü amaçlı iletişim, veri sızdırma, komut ve denetim ve/veya kurumsal ağ kısıtlamalarını aşmak için kullanılabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Sızdırma (TA0010) |
|---|---|
| MITRE saldırı tekniği | Alternatif Protokol Üzerinde Filtrasyon (T1048), C2 Kanalı Üzerinden Filtrasyon (T1041), Zamanlanmış Aktarım (T1029), Otomatik Sızdırma (T1020), Uygulama Katmanı Protokolü (T1071) |
| MITRE saldırı alt tekniği | DNS (T1071.004), Şifrelenmemiş/Gizlenen C2 Dışı Protokol (T1048.003) Üzerinden Sızdırma |
SMB üzerinden veri sızdırma (dış kimlik 2030)
Önem Derecesi: Yüksek
Açıklama:
Etki alanı denetleyicileri en hassas kuruluş verilerini barındırıyor. Çoğu saldırgan için en önemli önceliklerinden biri etki alanı denetleyicisi erişimi elde etmek ve en hassas verilerinizi çalmaktır. Örneğin, DC'de depolanan Ntds.dit dosyasının sızdırması, bir saldırganın herhangi bir kaynağa yetkilendirme sağlayan bilet (TGT) veren Kerberos bileti oluşturmasına olanak tanır. Sahte Kerberos TGT'leri, saldırganın anahtar süre sonunu rastgele bir zamana ayarlamasına olanak tanır. İzlenen etki alanı denetleyicilerinizden şüpheli veri aktarımları gözlemlendiğinde SMB üzerinden Kimlik için Defender Veri sızdırma uyarısı tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Sızdırma (TA0010) |
|---|---|
| İkincil MITRE taktiği | YanAl Hareket (TA0008),Komuta ve Kontrol (TA0011) |
| MITRE saldırı tekniği | Alternatif Protokol Üzerinde Filtrasyon (T1048), YanAl Takım Aktarımı (T1570) |
| MITRE saldırı alt tekniği | Şifrelenmemiş/Karartılmış C2 Olmayan Protokol Üzerinde Sızdırma (T1048.003) |
Sertifika veritabanı girdilerinin şüpheli silinmesi (dış kimlik 2433)
Önem Derecesi: Orta
Açıklama:
Sertifika veritabanı girdilerinin silinmesi, olası kötü amaçlı etkinlikleri gösteren kırmızı bir bayraktır. Bu saldırı, Ortak Anahtar Altyapısı (PKI) sistemlerinin çalışmasını kesintiye uğratarak kimlik doğrulamasını ve veri bütünlüğünü etkileyebilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| MITRE saldırı tekniği | Gösterge Kaldırma (T1070) |
| MITRE saldırı alt tekniği | Yok |
Not
Sertifika veritabanı girişleri uyarılarının şüpheli silinmesi yalnızca AD CS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
AD CS denetim filtrelerinin şüpheli devre dışı bırakılması (dış kimlik 2434)
Önem Derecesi: Orta
Açıklama:
AD CS'de denetim filtrelerinin devre dışı bırakılması, saldırganların algılanmadan çalışmasına izin verebilir. Bu saldırı, şüpheli etkinliklere bayrak ekleyebilecek filtreleri devre dışı bırakarak güvenlik izlemeden kaçınmayı amaçlar.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| MITRE saldırı tekniği | Zayıf Savunmalar (T1562) |
| MITRE saldırı alt tekniği | Windows Olay Günlüğünü Devre Dışı Bırak (T1562.002) |
Dizin Hizmetleri Geri Yükleme Modu Parola Değişikliği (dış kimlik 2438)
Önem Derecesi: Orta
Açıklama:
Dizin Hizmetleri Geri Yükleme Modu (DSRM), Microsoft Windows Server işletim sistemlerinde bir yöneticinin Active Directory veritabanını onarmasına veya geri yüklemesine olanak tanıyan özel bir önyükleme modudur. Bu mod genellikle Active Directory ile ilgili sorunlar olduğunda ve normal önyükleme mümkün olmadığında kullanılır. DSRM parolası, sunucunun etki alanı denetleyicisine yükseltilirken ayarlanır. Bu algılamada, Kimlik için Defender bir DSRM parolası değiştirildiğini algıladığında bir uyarı tetikleniyor. DSRM parola değişikliğinin meşru bir yönetim eyleminden başlatılıp başlatılmadığını veya yetkisiz erişim veya olası güvenlik tehditleriyle ilgili endişeler oluşturup oluşturmadığını anlamak için kaynak bilgisayarı ve isteği gönderen kullanıcıyı araştırmanızı öneririz.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| MITRE saldırı tekniği | Hesap Düzenleme (T1098) |
| MITRE saldırı alt tekniği | Yok |
Olası Okta oturumu hırsızlığı
Önem Derecesi: Yüksek
Açıklama:
Oturum hırsızlığında saldırganlar meşru kullanıcının tanımlama bilgilerini çalar ve diğer konumlardan kullanır. Bu işlemlerin meşru olup olmadığını ve IP adresinin kullanıcı tarafından kullanılıp kullanılmadığını belirlemek için işlemleri gerçekleştiren kaynak IP'nin araştırılmasını öneririz.
Öğrenme dönemi:
2 hafta
MITRE:
| Birincil MITRE taktiği | Koleksiyon (TA0009) |
|---|---|
| MITRE saldırı tekniği | Tarayıcı Oturumu Ele Geçirme (T1185) |
| MITRE saldırı alt tekniği | Yok |
grup ilkesi Kurcalama (dış kimlik 2440) (Önizleme)
Önem Derecesi: Orta
Açıklama:
grup ilkesi'de windows Defender Virüsten Koruma devre dışı bırakılmasına neden olan şüpheli bir değişiklik algılandı. Bu etkinlik, fidye yazılımı dağıtma aşamasını ayarlayabilen yükseltilmiş ayrıcalıklara sahip bir saldırgan tarafından güvenlik ihlali olduğunu gösterebilir.
Araştırma için önerilen adımlar:
GPO değişikliğinin geçerli olup olmadığını anlama
Aksi takdirde değişikliği geri alın
Etki kapsamını tahmin etmek için grup ilkesinin nasıl bağlantılı olduğunu anlama
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| MITRE saldırı tekniği | Güven Denetimlerini Tersine Çevir (T1553) |
| MITRE saldırı tekniği | Güven Denetimlerini Tersine Çevir (T1553) |
| MITRE saldırı alt tekniği | Yok |