共用方式為


其他安全性警示

一般而言,網路攻擊會針對任何可存取的實體啟動,例如低許可權用戶,然後稍後快速移動,直到攻擊者取得寶貴的資產存取權為止。 寶貴的資產可以是敏感性帳戶、網域系統管理員或高度敏感數據。 適用於身分識別的 Microsoft Defender 會識別整個攻擊殺傷鏈中來源的這些進階威脅,並將其分類為下列階段:

  1. 偵察和探索警示
  2. 持續性和許可權提升警示
  3. 認證存取警示
  4. 橫向移動警示
  5. 其他

若要深入瞭解如何瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件,請參閱 瞭解安全性警示。 如需真陽性 (TP)、良性真陽性 (B-TP)誤判 (FP)的相關信息,請參閱安全性警示分類

下列安全性警示可協助您識別並補救 網路中適用於身分識別的 Defender 偵測到的其他 階段可疑活動。

可疑的DCShadow攻擊 (域控制器升級) (外部標識碼 2028)

舊名稱: 可疑的域控制器升級(潛在的DCShadow攻擊)

嚴重性:高

描述

域控制器陰影 (DCShadow) 攻擊是一種攻擊,其設計目的是使用惡意復寫來變更目錄物件。 使用複寫程式建立 Rogue 域控制器,即可從任何電腦執行此攻擊。

在DCShadow攻擊中,RPC和LDAP可用來:

  1. 將電腦帳戶註冊為域控制器(使用網域管理員許可權)。
  2. 透過DRSUAPI執行複寫(使用授與的複寫許可權),並將變更傳送至目錄物件。

在此適用於身分識別的 Defender 偵測中,當網路中的計算機嘗試註冊為 Rogue 域控制器時,就會觸發安全性警示。

學習期間

MITRE

主要 MITRE 策略 防禦逃避 (TA0005)
MITRE 攻擊技術 流氓域控制器 (T1207)
MITRE 攻擊子技術 N/A

預防的建議步驟

驗證下列權限:

  1. 複寫目錄變更。
  2. 複寫目錄變更全部。
  3. 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與配置檔同步處理 Active Directory 網域服務 許可權。 您可以使用 AD ACL 掃描器 或建立 Windows PowerShell 腳本來判斷網域中具有這些許可權的人員。

注意

只有適用於身分識別的 Defender 感測器才支援可疑域控制器升級(潛在的 DCShadow 攻擊)警示。

可疑的DCShadow攻擊 (域控制器複寫要求) (外部標識碼 2029)

先前的名稱: 可疑的複寫要求(潛在的DCShadow攻擊)

嚴重性:高

描述

Active Directory 複寫是一個域控制器上所做的變更與其他域控制器同步處理的程式。 鑒於必要的許可權,攻擊者可以授與其計算機帳戶的許可權,讓他們模擬域控制器。 攻擊者會努力起始惡意復寫要求,讓他們變更正版域控制器上的 Active Directory 物件,這可讓攻擊者在網域中保持持續性。 在此偵測中,當針對 Defender for Identity 保護的真正域控制器產生可疑的復寫要求時,就會觸發警示。 行為表示域控制器陰影攻擊中使用的技術。

學習期間

MITRE

主要 MITRE 策略 防禦逃避 (TA0005)
MITRE 攻擊技術 流氓域控制器 (T1207)
MITRE 攻擊子技術 N/A

建議的補救和預防步驟:

驗證下列權限:

  1. 複寫目錄變更。
  2. 複寫目錄變更全部。
  3. 如需詳細資訊,請參閱在 SharePoint Server 2013 中授與配置檔同步處理 Active Directory 網域服務 許可權。 您可以使用 AD ACL 掃描器 或建立 Windows PowerShell 腳本來判斷網域中誰具有這些許可權。

注意

只有適用於身分識別的 Defender 感測器支援可疑的複寫要求(潛在的 DCShadow 攻擊)警示。

可疑的 VPN 連線(外部識別碼 2025)

先前的名稱: 可疑的 VPN 連線

嚴重性:中

描述

適用於身分識別的 Defender 會了解使用者 VPN 連線在一個月滑動期間內的實體行為。

VPN 行為模型是以使用者登入的計算機和使用者所連線的位置為基礎。

當以機器學習演算法為基礎的用戶行為有偏差時,就會開啟警示。

學習期間

從第一個 VPN 連線起 30 天,以及過去 30 天內至少 5 個 VPN 連線,每位使用者。

MITRE

主要 MITRE 策略 防禦逃避 (TA0005)
次要 MITRE 策略 持續性 (TA0003)
MITRE 攻擊技術 外部遠端服務 (T1133)
MITRE 攻擊子技術 N/A

遠端程式代碼執行嘗試 (外部識別碼 2019)

舊名稱: 遠端程式代碼執行嘗試

嚴重性:中

描述

入侵系統管理認證或使用零時差惡意探索的攻擊者,可以在域控制器或 AD FS / AD CS 伺服器上執行遠端命令。 這可用於取得持續性、收集資訊、阻斷服務 (DOS) 攻擊或任何其他原因。 適用於身分識別的 Defender 會偵測 PSexec、遠端 WMI 和 PowerShell 連線。

學習期間

MITRE

主要 MITRE 策略 執行 (TA0002)
次要 MITRE 策略 橫向運動 (TA0008)
MITRE 攻擊技術 命令和文稿解釋器 (T1059)遠端服務 (T1021)
MITRE 攻擊子技術 PowerShell (T1059.001)Windows 遠端管理 (T1021.006)

預防的建議步驟:

  1. 限制從非第0層機器遠端存取域控制器。
  2. 作特殊許可權存取,只允許強化的計算機連線到系統管理員的域控制器。
  3. 在網域機器上實作較不具特殊許可權的存取權,以允許特定使用者建立服務。

注意

只有適用於身分識別的 Defender 感測器才支持嘗試使用 Powershell 命令時的遠端程式代碼執行嘗試警示。

可疑的服務建立 (外部標識碼 2026)

上一個名稱: 可疑的服務建立

嚴重性:中

描述

已在您組織中的域控制器或AD FS / AD CS 伺服器上建立可疑的服務。 此警示依賴事件 7045 來識別此可疑活動。

學習期間

MITRE

主要 MITRE 策略 執行 (TA0002)
次要 MITRE 策略 持續性(TA0003)特權提升(TA0004)防禦逃避(TA0005)橫向運動(TA0008)
MITRE 攻擊技術 遠端服務 (T1021)命令和腳本解釋器 (T1059)系統服務 (T1569)建立或修改系統進程 (T1543)
MITRE 攻擊子技術 服務執行 (T1569.002)Windows 服務 (T1543.003)

預防的建議步驟

  1. 限制從非第0層機器遠端存取域控制器。
  2. 實作 特殊許可權存取 ,只允許強化的計算機連線到系統管理員的域控制器。
  3. 在網域機器上實作較不具特殊許可權的存取權,只授與特定使用者建立服務的許可權。

透過 DNS 的可疑通訊 (外部識別碼 2031)

上一個名稱:透過 DNS 的可疑通訊

嚴重性:中

描述

大多數組織中的 DNS 通訊協定通常不會受到監視,而且很少會封鎖惡意活動。 在遭入侵的計算機上啟用攻擊者,以濫用 DNS 通訊協定。 透過 DNS 的惡意通訊可用於數據外洩、命令和控制,以及/或逃避公司網路限制。

學習期間

MITRE

主要 MITRE 策略 外洩 (TA0010)
MITRE 攻擊技術 透過替代通訊協定的外洩 (T1048)、透過 C2 通道外洩 (T1041)、排程傳輸 (T1029)、自動外洩 (T1020)應用層通訊協定 (T1071)
MITRE 攻擊子技術 DNS (T1071.004)未加密/模糊化非 C2 通訊協定的外洩 (T1048.003)

SMB 上的資料外流 (外部識別碼 2030)

嚴重性:高

描述

域控制器會保存最敏感的組織數據。 對於大多數攻擊者來說,其最優先的一項是取得域控制器存取權,以竊取您最敏感的數據。 例如,儲存在 DC 上的 Ntds.dit 檔案外洩,可讓攻擊者偽造 Kerberos 票證,授與票證(TGT)以授權給任何資源。 偽造的 Kerberos TGT 可讓攻擊者將票證到期設定為任何任意時間。 從受監視的域控制器觀察到可疑的數據傳輸時,會觸發SMB警示的適用於身分識別數據的Defender外洩。

學習期間

MITRE

主要 MITRE 策略 外洩 (TA0010)
次要 MITRE 策略 橫向移動 (TA0008)指揮和控制 (TA0011)
MITRE 攻擊技術 透過替代通訊協定 (T1048) 外洩, 橫向工具傳輸 (T1570)
MITRE 攻擊子技術 未加密/模糊化非 C2 通訊協定的外洩 (T1048.003)

可疑刪除憑證資料庫專案 (外部標識碼 2433)

嚴重性:中

描述

刪除憑證資料庫專案是紅色旗標,表示潛在的惡意活動。 此攻擊可能會中斷公鑰基礎結構 (PKI) 系統的運作,進而影響驗證和數據完整性。

學習期間

MITRE

主要 MITRE 策略 防禦逃避 (TA0005)
MITRE 攻擊技術 指標移除 (T1070)
MITRE 攻擊子技術 N/A

注意

AD CS 上的適用於身分識別的 Defender 僅支援可疑刪除憑證資料庫專案警示。

可疑停用 AD CS 的稽核篩選 (外部識別碼 2434)

嚴重性:中

描述

停用AD CS中的稽核篩選器可讓攻擊者在不偵測到的情況下運作。 此攻擊旨在藉由停用會標幟可疑活動的篩選來逃避安全性監視。

學習期間

MITRE

主要 MITRE 策略 防禦逃避 (TA0005)
MITRE 攻擊技術 受損防禦 (T1562)
MITRE 攻擊子技術 停用 Windows 事件記錄 (T1562.002)

目錄服務還原模式密碼變更 (外部識別碼 2438)

嚴重性:中

描述

目錄服務還原模式 (DSRM) 是 Windows Server 操作系統中Microsoft特殊開機模式,可讓系統管理員修復或還原 Active Directory 資料庫。 當 Active Directory 發生問題且無法正常開機時,通常會使用此模式。 DSRM 密碼會在將伺服器升級至域控制器期間設定。 在此偵測中,當適用於身分識別的 Defender 偵測到 DSRM 密碼變更時,就會觸發警示。 建議您調查來源計算機和提出要求的使用者,以瞭解 DSRM 密碼變更是否從合法的系統管理動作起始,或如果它引發未經授權存取或潛在安全性威脅的擔憂。

學習期間

MITRE

主要 MITRE 策略 持續性 (TA0003)
MITRE 攻擊技術 帳戶操作 (T1098)
MITRE 攻擊子技術 N/A

可能的Okta會話竊取

嚴重性:高

描述

在會話竊取中,攻擊者會竊取合法使用者的Cookie,並從其他位置使用它。 建議您調查執行作業的來源IP,以判斷這些作業是否合法,而且該IP位址是由使用者使用。

學習期間

2 週

MITRE

主要 MITRE 策略 集合 (TA0009)
MITRE 攻擊技術 瀏覽器會話劫持 (T1185)
MITRE 攻擊子技術 N/A

組策略竄改 (外部標識碼 2440) (預覽)

嚴重性:中

描述

組策略中偵測到可疑的變更,導致 Windows Defender 防病毒軟體停用。 此活動可能表示攻擊者具有較高許可權的安全性缺口,而攻擊者可能會設定散發勒索軟體的階段。 

調查的建議步驟:

  1. 瞭解 GPO 變更是否合法

  2. 如果不是,請還原變更

  3. 瞭解組策略如何連結,以估計其影響範圍

學習期間

MITRE

主要 MITRE 策略 防禦逃避 (TA0005)
MITRE 攻擊技術 顛覆信任控制件 (T1553)
MITRE 攻擊技術 顛覆信任控制件 (T1553)
MITRE 攻擊子技術 N/A

另請參閱