其他安全警报
通常,针对任何可访问的实体(例如低特权用户)发起网络攻击,然后快速横向移动,直到攻击者获得对宝贵资产的访问权限。 有价值的资产可以是敏感帐户、域管理员或高度敏感数据。 Microsoft Defender for Identity在整个攻击终止链的源头识别这些高级威胁,并将其分类为以下阶段:
若要详细了解如何了解所有 Defender for Identity 安全警报的结构和常见组件,请参阅 了解安全警报。 有关 (TP) 、 B-TP) 的良性真 (和 误报 (FP) 的信息,请参阅 安全警报分类。
以下安全警报可帮助你识别和修正网络中 Defender for Identity 检测到 的其他 阶段可疑活动。
可疑 DCShadow 攻击 (域控制器升级) (外部 ID 2028)
上一个名称: 可疑域控制器升级 (潜在的 DCShadow 攻击)
严重性:高
说明:
域控制器影子 (DCShadow) 攻击是一种旨在使用恶意复制更改目录对象的攻击。 通过使用复制过程创建恶意域控制器,可以从任何计算机执行此攻击。
在 DCShadow 攻击中,RPC 和 LDAP 用于:
- 使用域管理员权限) 将计算机帐户注册为域控制器 (。
- 使用通过 DRSUAPI 授予的复制权限) 执行复制 (,并将更改发送到目录对象。
在此 Defender for Identity 检测中,当网络中的计算机尝试注册为恶意域控制器时,会触发安全警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 恶意域控制器 (T1207) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
验证以下权限:
- 复制目录更改。
- 复制目录更改全部。
- 有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步Active Directory 域服务权限。 可以使用 AD ACL 扫描程序或创建Windows PowerShell脚本来确定谁在域中拥有这些权限。
注意
仅 Defender for Identity 传感器支持可疑域控制器升级 (潜在的 DCShadow 攻击) 警报。
可疑 DCShadow 攻击 (域控制器复制请求) (外部 ID 2029)
上一个名称: 可疑复制请求 (潜在的 DCShadow 攻击)
严重性:高
说明:
Active Directory 复制是在一个域控制器上所做的更改与其他域控制器同步的过程。 给定必要的权限,攻击者可以授予其计算机帐户的权限,从而允许他们模拟域控制器。 攻击者试图发起恶意复制请求,允许他们在正版域控制器上更改 Active Directory 对象,这可能会使攻击者在域中保持持久性。 在此检测中,当针对受 Defender for Identity 保护的正版域控制器生成可疑复制请求时,将触发警报。 该行为指示域控制器影子攻击中使用的技术。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 恶意域控制器 (T1207) |
| MITRE 攻击子技术 | 不适用 |
建议的修正和预防步骤:
验证以下权限:
- 复制目录更改。
- 复制目录更改全部。
- 有关详细信息,请参阅在 SharePoint Server 2013 中授予配置文件同步Active Directory 域服务权限。 可以使用 AD ACL 扫描程序或创建Windows PowerShell脚本来确定域中谁拥有这些权限。
注意
(潜在 DCShadow 攻击) 警报的可疑复制请求仅由 Defender for Identity 传感器支持。
可疑 VPN 连接 (外部 ID 2025)
上一个名称: 可疑的 VPN 连接
严重性: 中等
说明:
Defender for Identity 在一个月的滑动期间了解用户 VPN 连接的实体行为。
VPN 行为模型基于用户登录的计算机以及用户从中连接的位置。
如果基于机器学习算法的用户行为存在偏差,则会打开警报。
学习期:
自第一个 VPN 连接起 30 天,每个用户在过去 30 天内至少有 5 个 VPN 连接。
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| 辅助 MITRE 策略 | 持久性 (TA0003) |
| MITRE 攻击技术 | 外部远程服务 (T1133) |
| MITRE 攻击子技术 | 不适用 |
远程代码执行尝试 (外部 ID 2019)
上一个名称: 远程代码执行尝试
严重性: 中等
说明:
泄露管理凭据或使用零日攻击的攻击者可以在域控制器或 AD FS/AD CS 服务器上执行远程命令。 这可用于获取持久性、收集信息、拒绝服务 (DOS) 攻击或任何其他原因。 Defender for Identity 检测 PSexec、远程 WMI 和 PowerShell 连接。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 执行 (TA0002) |
|---|---|
| 辅助 MITRE 策略 | 横向移动 (TA0008) |
| MITRE 攻击技术 | 命令和脚本解释器 (T1059) ,远程服务 (T1021) |
| MITRE 攻击子技术 | PowerShell (T1059.001) 、 Windows 远程管理 (T1021.006) |
建议的预防步骤:
- 限制从非第 0 层计算机远程访问域控制器。
- 实现 特权访问,仅允许经过强化的计算机连接到管理员的域控制器。
- 在域计算机上实现低特权访问,以允许特定用户创建服务。
注意
仅 Defender for Identity 传感器支持尝试使用 Powershell 命令时的远程代码执行尝试警报。
可疑服务创建 (外部 ID 2026)
上一个名称: 可疑服务创建
严重性: 中等
说明:
已在组织中的域控制器或 AD FS/AD CS 服务器上创建了可疑服务。 此警报依赖于事件 7045 来识别此可疑活动。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 执行 (TA0002) |
|---|---|
| 辅助 MITRE 策略 | 持久性 (TA0003) 、 特权提升 (TA0004) 、 防御规避 (TA0005) 、 横向移动 (TA0008) |
| MITRE 攻击技术 | 远程服务 (T1021) 、 命令和脚本解释器 (T1059) 、 系统服务 (T1569) 、 创建或修改系统进程 (T1543) |
| MITRE 攻击子技术 | 服务执行 (T1569.002) 、 Windows 服务 (T1543.003) |
建议的预防步骤:
- 限制从非第 0 层计算机远程访问域控制器。
- 实现 特权访问 ,仅允许经过强化的计算机连接到管理员的域控制器。
- 在域计算机上实现低特权访问,仅授予特定用户创建服务的权限。
通过 DNS (外部 ID 2031) 进行可疑通信
上一名称:通过 DNS 进行可疑通信
严重性: 中等
说明:
大多数组织中的 DNS 协议通常不受监视,很少阻止恶意活动。 允许攻击者在受攻击的计算机上滥用 DNS 协议。 通过 DNS 进行恶意通信可用于数据外泄、命令和控制以及/或逃避公司网络限制。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 外泄 (TA0010) |
|---|---|
| MITRE 攻击技术 | 通过替代协议 (T1048) 进行外泄、通过 C2 通道 (T1041) 外泄、计划传输 (T1029) 、自动外泄 (T1020) 、应用层协议 (T1071) |
| MITRE 攻击子技术 | DNS (T1071.004) , 通过未加密/模糊处理的非 C2 协议进行外泄 (T1048.003) |
SMB (外部 ID 2030)
严重性:高
说明:
域控制器保存最敏感的组织数据。 对于大多数攻击者来说,他们的首要任务之一是获取域控制器访问权限,从而窃取最敏感的数据。 例如,存储在 DC 上的 Ntds.dit 文件的外泄允许攻击者伪造 Kerberos 票证授予票证 (TGT) 向任何资源提供授权。 伪造的 Kerberos TGT 使攻击者能够将票证过期时间设置为任意时间。 当从受监视的域控制器观察到可疑的数据传输时,将触发 Defender for Identity Data 外泄 SMB 警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 外泄 (TA0010) |
|---|---|
| 辅助 MITRE 策略 | 横向移动 (TA0008) ,命令和控制 (TA0011) |
| MITRE 攻击技术 | 通过替代协议 (T1048) 外泄 , 横向工具传输 (T1570) |
| MITRE 攻击子技术 | 通过未加密/模糊处理的非 C2 协议进行外泄 (T1048.003) |
可疑删除证书数据库条目 (外部 ID 2433)
严重性: 中等
说明:
删除证书数据库条目是一个危险标志,指示潜在的恶意活动。 此攻击可能会中断公钥基础结构 (PKI) 系统的功能,从而影响身份验证和数据完整性。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 指示器删除 (T1070) |
| MITRE 攻击子技术 | 不适用 |
注意
仅 AD CS 上的 Defender for Identity 传感器支持可疑删除证书数据库条目警报。
可疑禁用 AD CS 的审核筛选器 (外部 ID 2434)
严重性: 中等
说明:
在 AD CS 中禁用审核筛选器可以允许攻击者在不检测到的情况下操作。 此攻击旨在通过禁用会标记可疑活动的筛选器来逃避安全监视。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 损害防御 (T1562) |
| MITRE 攻击子技术 | 禁用 Windows 事件日志 (T1562.002) |
目录服务还原模式密码更改 (外部 ID 2438)
严重性: 中等
说明:
目录服务还原模式 (DSRM) 是Microsoft Windows Server操作系统中的一种特殊启动模式,允许管理员修复或还原 Active Directory 数据库。 当 Active Directory 出现问题且无法正常启动时,通常使用此模式。 DSRM 密码是在将服务器提升为域控制器期间设置的。 在此检测中,当 Defender for Identity 检测到 DSRM 密码已更改时,将触发警报。 建议调查源计算机和发出请求的用户,以了解 DSRM 密码更改是否是通过合法的管理操作发起的,或者它是否引发了对未经授权的访问或潜在安全威胁的担忧。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 持久性 (TA0003) |
|---|---|
| MITRE 攻击技术 | 帐户操作 (T1098) |
| MITRE 攻击子技术 | 不适用 |
可能的 Okta 会话盗窃
严重性:高
说明:
在会话盗窃中,攻击者会窃取合法用户的 Cookie,并从其他位置使用它。 建议调查执行操作的源 IP,以确定这些操作是否合法,以及 IP 地址是否由用户使用。
学习期:
2 周
MITRE:
| 主要 MITRE 策略 | 集合 (TA0009) |
|---|---|
| MITRE 攻击技术 | 浏览器会话劫持 (T1185) |
| MITRE 攻击子技术 | 不适用 |
组策略篡改 (外部 ID 2440) (预览版)
严重性: 中等
说明:
组策略中检测到可疑更改,导致 Windows Defender 防病毒停用。 此活动可能指示具有提升权限的攻击者存在安全漏洞,攻击者可能正在设置分发勒索软件的阶段。
建议的调查步骤:
了解 GPO 更改是否合法
否则,还原更改
了解组策略的链接方式,以估计其影响范围
学习期:
None
MITRE:
| 主要 MITRE 策略 | 防御规避 (TA0005) |
|---|---|
| MITRE 攻击技术 | 颠覆信任控制 (T1553) |
| MITRE 攻击技术 | 颠覆信任控制 (T1553) |
| MITRE 攻击子技术 | 不适用 |