侦查和发现警报
通常,针对任何可访问的实体(例如低特权用户)发起网络攻击,然后快速横向移动,直到攻击者获得对宝贵资产的访问权限。 有价值的资产可以是敏感帐户、域管理员或高度敏感数据。 Microsoft Defender for Identity在整个攻击终止链的源头识别这些高级威胁,并将其分类为以下阶段:
- 侦查和发现
- 持久性和特权提升警报
- 凭据访问警报
- 横向移动警报
- 其他警报
若要详细了解如何了解所有 Defender for Identity 安全警报的结构和常见组件,请参阅 了解安全警报。 有关 (TP) 、 B-TP) 的良性真 (和 误报 (FP) 的信息,请参阅 安全警报分类。
以下安全警报可帮助你识别和修正网络中 Defender for Identity 检测到 的侦查和发现 阶段可疑活动。
侦查和发现包括攻击者可用于获取有关系统和内部网络的知识的技术。 这些技术可帮助攻击者在决定如何行动之前观察环境并定位自己。它们还允许攻击者探索他们可以控制的内容以及其入口点周围的内容,以发现它如何有利于其当前目标。 本机操作系统工具通常用于此入侵后信息收集目标。 在Microsoft Defender for Identity中,这些警报通常涉及使用不同技术的内部帐户枚举。
帐户枚举侦查 (外部 ID 2003)
上一个名称: 使用帐户枚举进行侦查
严重性: 中等
说明:
在帐户枚举侦查中,攻击者使用包含数千个用户名的字典或 KrbGuess 等工具来猜测域中的用户名。
Kerberos:攻击者使用这些名称发出 Kerberos 请求,以尝试在域中查找有效的用户名。 当猜测成功确定用户名时,攻击者会收到 “需要预身份验证 ”错误,而不是 安全主体未知 的 Kerberos 错误。
NTLM:攻击者使用名称字典发出 NTLM 身份验证请求,以尝试在域中查找有效的用户名。 如果猜测成功确定用户名,则攻击者会收到 ErrorPassword (0xc000006a) 而不是 NoSuchUser (0xc0000064) NTLM 错误。
在此警报检测中,Defender for Identity 会检测帐户枚举攻击来自何处、猜测尝试总数以及匹配的尝试次数。 如果未知用户过多,Defender for Identity 会将其检测为可疑活动。 警报基于域控制器和 AD FS/AD CS 服务器上运行的传感器的身份验证事件。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) |
建议的预防步骤:
- 在组织中强制实施 复杂密码和长密码 。 复杂而长的密码提供针对暴力攻击的必要第一级安全性。 暴力攻击通常是枚举之后网络攻击杀伤链的下一步。
帐户枚举侦查 (LDAP) (外部 ID 2437) (预览版)
严重性: 中等
说明:
在帐户枚举侦查中,攻击者使用包含数千个用户名的字典或 Ldapnomnom 等工具来猜测域中的用户名。
LDAP:攻击者 (cLDAP 发出 LDAP Ping 请求,) 使用这些名称尝试在域中查找有效的用户名。 如果猜测成功确定用户名,攻击者可能会收到一个响应,指示用户存在于域中。
在此警报检测中,Defender for Identity 会检测帐户枚举攻击来自何处、猜测尝试总数以及匹配的尝试次数。 如果未知用户过多,Defender for Identity 会将其检测为可疑活动。 警报基于域控制器服务器上运行的传感器的 LDAP 搜索活动。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) |
网络映射侦查 (DNS) (外部 ID 2007)
上一个名称: 使用 DNS 进行侦查
严重性: 中等
说明:
DNS 服务器包含网络中所有计算机、IP 地址和服务映射。 攻击者使用此信息来映射网络结构,并针对感兴趣的计算机进行后续攻击。
DNS 协议中有多种查询类型。 此 Defender for Identity 安全警报可检测可疑请求,无论是使用 AXFR (传输) 源自非 DNS 服务器的请求,还是使用过多请求数的请求。
学习期:
此警报的学习期为 8 天,从域控制器监视开始开始。
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) 、 网络服务扫描 (T1046) 、 远程系统发现 (T1018) |
| MITRE 攻击子技术 | 不适用 |
建议的预防步骤:
请务必通过保护内部 DNS 服务器来防止将来使用 AXFR 查询的攻击。
- 通过禁用区域传输或仅 将区域传输限制 为指定的 IP 地址,保护内部 DNS 服务器以防止使用 DNS 进行侦查。 修改区域传输是应解决的清单中的一项任务,用于 保护 DNS 服务器免受内部和外部攻击。
用户和 IP 地址侦查 (SMB) (外部 ID 2012)
上一个名称: 使用 SMB 会话枚举进行侦查
严重性: 中等
说明:
使用服务器消息块 (SMB) 协议的枚举使攻击者能够获取有关用户最近登录位置的信息。 攻击者获得此信息后,即可在网络中横向移动,以访问特定的敏感帐户。
在此检测中,当对域控制器执行 SMB 会话枚举时,将触发警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) 、系统网络Connections发现 (T1049) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) |
用户和组成员身份侦查 (SAMR) (外部 ID 2021)
上一个名称: 使用目录服务查询进行侦查
严重性: 中等
说明:
攻击者使用用户和组成员身份侦查来映射目录结构和目标特权帐户,以供后续攻击步骤使用。 安全帐户管理器远程 (SAM-R) 协议是用于查询目录以执行此类映射的方法之一。 在此检测中,在部署 Defender for Identity 的第一个月内不会触发警报, (学习期间) 。 在学习期间,Defender for Identity 配置文件从哪些计算机(包括敏感帐户的枚举和单个查询)进行 SAM-R 查询。
学习期:
从 SAMR 针对特定 DC 的第一个网络活动开始,每个域控制器四周。
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) ,权限组发现 (T1069) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) , 域组 (T1069.002) |
建议的预防步骤:
- 应用网络访问并限制允许对 SAM 组策略进行远程调用的客户端。
Active Directory 属性侦查 (LDAP) (外部 ID 2210)
严重性: 中等
说明:
攻击者使用 Active Directory LDAP 侦查来获取有关域环境的关键信息。 此信息可帮助攻击者映射域结构,并确定特权帐户,以便在攻击终止链的后续步骤中使用。 轻型目录访问协议 (LDAP) 是用于查询 Active Directory 的合法和恶意目的的最常用方法之一。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) 、间接命令执行 (T1202) 、权限组发现 (T1069) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) ,域组 (T1069.002) |
通过 SAM-R (外部 ID 2439) 查询了 Honeytoken
严重性: 低
说明:
攻击者使用用户侦查来映射目录结构,并针对特权帐户进行后续攻击。 安全帐户管理器远程 (SAM-R) 协议是用于查询目录以执行此类映射的方法之一。 在此检测中,Microsoft Defender for Identity针对预配置蜜标用户的任何侦查活动触发此警报
学习期:
None
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) |
通过 LDAP (外部 ID 2429) 查询了 Honeytoken
严重性: 低
说明:
攻击者使用用户侦查来映射目录结构,并针对特权帐户进行后续攻击。 轻型目录访问协议 (LDAP) 是用于查询 Active Directory 的合法和恶意目的的最常用方法之一。
在此检测中,Microsoft Defender for Identity将针对预配置的蜜标用户触发任何侦察活动警报。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 发现 (TA0007) |
|---|---|
| MITRE 攻击技术 | 帐户发现 (T1087) |
| MITRE 攻击子技术 | 域帐户 (T1087.002) |
可疑的 Okta 帐户枚举
严重性:高
说明:
在帐户枚举中,攻击者将尝试通过与不属于组织的用户一起登录到 Okta 来猜测用户名。 建议调查执行失败尝试的源 IP,并确定这些尝试是否合法。
学习期:
None
MITRE:
| 主要 MITRE 策略 | 初始访问 (TA0001) 、 防御规避 (TA0005) 、 持久性 (TA0003) 、 特权提升 (TA0004) |
|---|---|
| MITRE 攻击技术 | 有效帐户 (T1078) |
| MITRE 攻击子技术 | 云帐户 (T1078.004) |