Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для удостоверений оповещения могут отображаться на портале Microsoft Defender в двух разных форматах в зависимости от того, поступает ли оповещение из Defender для удостоверений или из Defender XDR. Все оповещения основаны на обнаружении с датчиков Defender для удостоверений. Различия в макете и информации являются частью текущего перехода к единому интерфейсу оповещений в Microsoft Defender продуктах.
Дополнительные сведения о том, как понять структуру и общие компоненты всех оповещений системы безопасности Defender для удостоверений, см. в статье Просмотр оповещений и управление ими.
Microsoft Defender для удостоверений классические категории оповещений
Оповещения системы безопасности Defender для удостоверений делятся на следующие категории или этапы, такие как этапы, наблюдаемые в типичной цепочке кибератак. Узнайте больше о каждом этапе, оповещениях, предназначенных для обнаружения каждой атаки, и об использовании оповещений для защиты сети, используя следующие ссылки:
- Оповещения о рекогносцировках и обнаружении
- Оповещения о сохраняемости и эскалации привилегий
- Оповещения о доступе к учетным данным
- Оповещения о боковом перемещении
- Другие оповещения
Оповещения о рекогносцировках и обнаружении
Рекогносцировка и обнаружение состоят из методов, которые злоумышленник может использовать для получения знаний о системе и внутренней сети. Эти методы помогают злоумышленникам наблюдать за средой и ориентироваться перед принятием решения о том, как действовать. Они также позволяют злоумышленникам исследовать, что они могут контролировать и что вокруг точки входа, чтобы узнать, как это может принести пользу их текущей цели. Для этой цели сбора информации после компрометации часто используются собственные средства операционной системы. В Microsoft Defender для удостоверений эти оповещения обычно включают внутреннее перечисление учетных записей с различными методами.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия этапа рекогносцировки и обнаружения , обнаруженные Defender для удостоверений в сети.
| Имя оповещения системы безопасности | Severity | Внешний идентификатор |
|---|---|---|
Разведывательная разведка перечисления учетных записей (LDAP)Описание: В рекогносцировке перечисления учетных записей злоумышленник использует словарь с тысячами имен пользователей или такие средства, как Ldapnomnom, чтобы угадать имена пользователей в домене. LDAP. Злоумышленник выполняет запросы Ping LDAP (cLDAP), используя эти имена, чтобы найти допустимое имя пользователя в домене. Если предположение успешно определяет имя пользователя, злоумышленник может получить ответ о том, что пользователь существует в домене. При обнаружении оповещений Defender для удостоверений определяет, откуда произошла атака перечисления учетных записей, общее количество попыток угадок и количество попыток, которые были сопоставлены. Если неизвестных пользователей слишком много, Defender для удостоверений обнаруживает это как подозрительное действие. Оповещение основано на действиях поиска LDAP с датчиков, работающих на серверах контроллеров домена. Период обучения: нет MITRE: - Основная тактика MITRE: обнаружение (TA0007) - Метод атаки MITRE: обнаружение учетных записей (T1087) - Вспомогательный метод атаки MITRE: учетная запись домена (T1087.002) |
Средняя | 2437 |
Разведывательная разведка по сопоставлению сети (DNS)Предыдущее имя: рекогносцировка с помощью DNS. Описание: DNS-сервер содержит карту всех компьютеров, IP-адресов и служб в сети. Эта информация используется злоумышленниками для сопоставления структуры сети и назначения интересных компьютеров для последующих действий в атаке. В протоколе DNS есть несколько типов запросов. Это оповещение системы безопасности Defender для удостоверений обнаруживает подозрительные запросы: запросы с помощью AXFR (передача), исходящие с серверов, не относящихся к DNS, или запросы, использующие чрезмерное количество запросов. Период обучения: восемь дней с начала мониторинга контроллера домена. MITRE: - Основная тактика MITRE: обнаружение (TA0007) - Метод атаки MITRE: обнаружение учетных записей (T1087),сканирование сетевых служб (T1046),удаленное обнаружение систем (T1018) - Подхношение атак MITRE: Н/Д Рекомендуемые действия по предотвращению: Чтобы предотвратить будущие атаки с помощью запросов AXFR, важно защитить внутренний DNS-сервер. — Защитите внутренний DNS-сервер, чтобы предотвратить разведывательную разведку с помощью DNS, отключив передачу между зонами или ограничив передачу между зонами только указанными IP-адресами. Изменение передачи между зонами — одна из задач контрольного списка, которая должна быть решена для защиты DNS-серверов от внутренних и внешних атак. |
Средняя | 2007 |
Разведывательная разведка членства пользователей и групп (SAMR)Предыдущее имя: рекогносцировка с помощью запросов служб каталогов. Описание: Разведка членства пользователей и групп используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих действий в атаке. Протокол удаленного диспетчера учетных записей безопасности (SAM-R) является одним из методов, используемых для запроса каталога для выполнения этого типа сопоставления. В этом обнаружении оповещения не активируются в первый месяц после развертывания Defender для удостоверений (период обучения). В течение периода обучения Defender для удостоверений профилирует запросы SAM-R, из которых выполняются компьютеры, как перечисление, так и отдельные запросы конфиденциальных учетных записей. Период обучения: четыре недели на контроллер домена, начиная с первого сетевого действия SAMR для конкретного контроллера домена. MITRE: - Основная тактика MITRE: обнаружение (TA0007) - Метод атаки MITRE: обнаружение учетных записей (T1087),обнаружение групп разрешений (T1069) - Вспомогательный метод атаки MITRE: учетная запись домена (T1087.002),группа домена (T1069.002) Рекомендуемые действия по предотвращению: — Применение сетевого доступа и ограничение клиентов, которым разрешено совершать удаленные вызовы групповой политики SAM. |
Средняя | 2021 |
Запрос к Honeytoken через LDAPОписание: Рекогносцировка пользователей используется злоумышленниками для сопоставления структуры каталогов и целевых привилегированных учетных записей для последующих действий в атаке. Протокол LDAP является одним из наиболее популярных методов, используемых как для законных, так и для вредоносных целей для запроса Active Directory. В этом обнаружении Microsoft Defender для удостоверений активирует это оповещение для любых действий рекогносцировки в отношении предварительно настроенного пользователя honeytoken. Период обучения: нет MITRE: - Основная тактика MITRE: обнаружение (TA0007) - Метод атаки MITRE: обнаружение учетных записей (T1087),обнаружение групп разрешений (T1069) - Вспомогательный метод атаки MITRE: учетная запись домена (T1087.002),группа домена (T1069.002) |
Низкая | 2429 |
Оповещения о сохраняемости и эскалации привилегий
После того как злоумышленник использует методы для сохранения доступа к различным локальным ресурсам, он начинает этап повышения привилегий, который состоит из методов, которые злоумышленники используют для получения разрешений более высокого уровня в системе или сети. Злоумышленники часто могут войти и исследовать сеть с непривилегизованным доступом, но требуют повышенных разрешений для выполнения своих целей. Распространенные подходы — воспользоваться преимуществами слабых мест системы, неправильной конфигурации и уязвимостей.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия этапа сохраняемости и повышения привилегий , обнаруженные Defender для удостоверений в сети.
| Имя оповещения системы безопасности | Severity | Внешний идентификатор |
|---|---|---|
Предполагаемое использование Golden Ticket (понижение уровня шифрования)Предыдущее имя: Действие более ранней версии шифрования. Описание: Понижение уровня шифрования — это метод ослабления Kerberos путем понижения уровня шифрования различных полей протокола, которые обычно имеют самый высокий уровень шифрования. Ослабленное зашифрованное поле может быть более легкой целью для автономных попыток подбора. Различные методы атаки используют слабые шифры Kerberos. В этом обнаружении Defender для удостоверений изучает типы шифрования Kerberos, используемые компьютерами и пользователями, и оповещает вас, когда используется более слабый шифр, который является необычным для исходного компьютера и (или) пользователя и соответствует известным методам атаки. В оповещении Golden Ticket метод шифрования поля TGT TGS_REQ (запрос на обслуживание) с исходного компьютера был обнаружен как пониженный по сравнению с ранее изученным поведением. Это не основано на временной аномалии (как в другом обнаружении Золотого билета). Кроме того, в случае этого оповещения запрос проверки подлинности Kerberos не был связан с предыдущим запросом службы, обнаруженным Defender для удостоверений. Период обучения. Это оповещение имеет период обучения в пять дней с момента начала мониторинга контроллера домена. MITRE: - Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: повышение привилегий (TA0004),боковое движение (TA0008) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Вложенная техника атаки MITRE: Golden Ticket(T1558.001) Рекомендуемые действия по предотвращению: — Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с KB3011780, а все рядовые серверы и контроллеры домена до версии 2012 R2 обновлены с KB2496930. Дополнительные сведения см. в разделах Silver PAC и Forged PAC. |
Средняя | 2009 |
Предполагаемое использование Golden Ticket (несуществующая учетная запись)Предыдущее имя: Золотой билет Kerberos. Описание: Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. В этом обнаружении оповещение активируется несуществующей учетной записью. Период обучения: нет MITRE: - Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: повышение привилегий (TA0004),боковое движение (TA0008) - Метод атаки MITRE: кража или кузение билетов Kerberos (T1558),эксплуатация для эскалации привилегий (T1068),эксплуатация удаленных служб (T1210) - Вложенная техника атаки MITRE: Golden Ticket(T1558.001) |
Высокая | 2027 |
Предполагаемое использование Golden Ticket (аномалия билета)Описание: Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. Поддельные золотые билеты этого типа имеют уникальные характеристики, для которых предназначено обнаружение. Период обучения: нет MITRE: - Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: повышение привилегий (TA0004),боковое движение (TA0008) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Вложенная техника атаки MITRE: Golden Ticket(T1558.001) |
Высокая | 2032 |
Предполагаемое использование Golden Ticket (аномалия билета с помощью RBCD)Описание: Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. С помощью учетной записи KRBTGT можно создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. В этом обнаружении оповещение активируется золотым билетом, который был создан путем задания разрешений ограниченного делегирования на основе ресурсов (RBCD) с помощью учетной записи KRBTGT для учетной записи (пользователь\компьютер) с номером субъекта-службы. Период обучения: нет МИТРА - Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Вложенная техника атаки MITRE: Golden Ticket(T1558.001) |
Высокая | 2040 |
Предполагаемое использование Golden Ticket (аномалия времени)Предыдущее имя: Золотой билет Kerberos. Описание: Злоумышленники с правами администратора домена могут взломать учетную запись KRBTGT. Используя учетную запись KRBTGT, они могут создать билет на предоставление билета Kerberos (TGT), который обеспечивает авторизацию для любого ресурса и задать срок действия билета в любое произвольное время. Этот поддельный TGT называется "Golden Ticket" и позволяет злоумышленникам добиться сохранения сети. Это оповещение активируется, когда билет, предоставляющий билет Kerberos, используется больше допустимого времени, как указано в параметре Максимальное время существования билета пользователя. Период обучения: нет МИТРА - Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: повышение привилегий (TA0004),боковое движение (TA0008) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Вложенная техника атаки MITRE: Golden Ticket(T1558.001) |
Высокая | 2022 |
Предполагаемая атака с использованием основного ключа (понижение уровня шифрования)Предыдущее имя: Действие более ранней версии шифрования. Описание: Понижение уровня шифрования — это метод ослабления Kerberos с использованием пониженного уровня шифрования для различных полей протокола, которые обычно имеют самый высокий уровень шифрования. Ослабленное зашифрованное поле может быть более легкой целью для автономных попыток подбора. Различные методы атаки используют слабые шифры Kerberos. В этом обнаружении Defender для удостоверений изучает типы шифрования Kerberos, используемые компьютерами и пользователями. Оповещение выдается, если используется более слабый шифр, который является необычным для исходного компьютера и (или) пользователя и соответствует известным методам атаки. Скелетный ключ — это вредоносная программа, которая выполняется на контроллерах домена и позволяет выполнять проверку подлинности в домене с любой учетной записью, не зная ее пароля. Эта вредоносная программа часто использует более слабые алгоритмы шифрования для хэширования паролей пользователя на контроллере домена. В этом оповещении было понижено поведение предыдущего KRB_ERR шифрования сообщений от контроллера домена до учетной записи, запрашивающей билет. Период обучения: нет МИТРА - Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: боковое смещение (TA0008) - Метод атаки MITRE: использование удаленных служб (T1210),изменение процесса проверки подлинности (T1556) - Подхножесть атаки MITRE: проверка подлинности контроллера домена (T1556.001) |
Средняя | 2010 |
Подозрительные добавления в конфиденциальные группыОписание: Злоумышленники добавляют пользователей в группы с высоким уровнем привилегий. Добавление пользователей выполняется для получения доступа к дополнительным ресурсам и сохранения. Это обнаружение основано на профилировании действий пользователей по изменению группы и предупреждении о ненормальном добавлении в конфиденциальную группу. Профили Defender для удостоверений постоянно. Определение конфиденциальных групп в Defender для удостоверений см. в статье Работа с конфиденциальными учетными записями. Обнаружение зависит от событий, которые проверяются на контроллерах домена. Убедитесь, что контроллеры домена выполняют аудит необходимых событий. Период обучения: четыре недели на контроллер домена, начиная с первого события. MITRE: — Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: обработка учетных записей (T1098),изменение политики домена (T1484) - Подхношение атак MITRE: Н/Д Рекомендуемые действия по предотвращению: — Чтобы предотвратить будущие атаки, сведите к минимуму число пользователей, уполномоченных изменять конфиденциальные группы. — Настройте управление привилегированным доступом для Active Directory, если применимо. |
Средняя | 2024 |
Предполагаемая попытка повышения привилегий netlogon (эксплуатация CVE-2020-1472)Описание: Корпорация Майкрософт опубликовала CVE-2020-1472 , сообщая о том, что существует новая уязвимость, которая позволяет несанкционированное повышение привилегий контроллеру домена. Уязвимость, связанная с повышением привилегий, возникает, когда злоумышленник устанавливает уязвимое подключение к безопасному каналу Netlogon к контроллеру домена с помощью удаленного протокола Netlogon (MS-NRPC), также известного как уязвимость к повышению привилегий netlogon. Период обучения: нет МИТРА - Основная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: Н/Д - Подхношение атак MITRE: Н/Д Рекомендуемые действия по предотвращению: — Ознакомьтесь с нашим руководством по управлению изменениями в подключении к безопасному каналу Netlogon, которые связаны с этой уязвимостью и могут предотвратить ее. |
Высокая | 2411 |
Измененные атрибуты пользователя HoneytokenОписание: Каждый объект пользователя в Active Directory имеет атрибуты, содержащие такие сведения, как имя, отчество, фамилия, номер телефона, адрес и многое другое. Иногда злоумышленники пытаются управлять этими объектами в своих интересах, например путем изменения номера телефона учетной записи, чтобы получить доступ к любой попытке многофакторной проверки подлинности. Microsoft Defender для удостоверений активирует это оповещение для любого изменения атрибута для предварительно настроенного пользователя honeytoken. Период обучения: нет МИТРА - Основная тактика MITRE: сохраняемость (TA0003) - Метод атаки MITRE: обработка учетных записей (T1098) - Подхношение атак MITRE: Н/Д |
Высокая | 2427 |
Изменено членство в группах HoneytokenОписание: В Active Directory каждый пользователь является членом одной или нескольких групп. Получив доступ к учетной записи, злоумышленники могут попытаться добавить или удалить разрешения для других пользователей, удалив или добавив их в группы безопасности. Microsoft Defender для удостоверений активирует оповещение при изменении предварительно настроенной учетной записи пользователя honeytoken. Период обучения: нет МИТРА - Основная тактика MITRE: сохраняемость (TA0003) - Метод атаки MITRE: обработка учетных записей (T1098) - Подхношение атак MITRE: Н/Д |
Высокая | 2428 |
Предполагаемая инъекция SID-HistoryОписание: SIDHistory — это атрибут в Active Directory, который позволяет пользователям сохранять свои разрешения и доступ к ресурсам при переносе учетной записи из одного домена в другой. При переносе учетной записи пользователя в новый домен идентификатор безопасности пользователя добавляется в атрибут SIDHistory учетной записи в новом домене. Этот атрибут содержит список идентификаторов безопасности из предыдущего домена пользователя. Злоумышленники могут использовать внедрение журнала SIH для повышения привилегий и обхода элементов управления доступом. Это обнаружение активируется при добавлении нового идентификатора безопасности в атрибут SIDHistory. Период обучения: нет МИТРА - Основная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: обработка учетных записей (T1134) - Вспомогательный метод атаки MITRE: внедрение истории sid-history (T1134.005) |
Высокая | 1106 |
Подозрительное изменение атрибута dNSHostName (CVE-2022-26923)Описание: Эта атака связана с несанкционированным изменением атрибута dNSHostName, что может привести к использованию известной уязвимости (CVE-2022-26923). Злоумышленники могут манипулировать этим атрибутом, чтобы нарушить целостность процесса разрешения системы доменных имен (DNS), что приводит к различным рискам безопасности, включая атаки "злоумышленник в середине" или несанкционированный доступ к сетевым ресурсам. Период обучения: нет МИТРА - Основная тактика MITRE: повышение привилегий (TA0004) - Вторичная тактика MITRE: уклонение от обороны (TA0005) - Метод атаки MITRE: эксплуатация для эскалации привилегий (T1068),манипуляция маркером доступа (T1134) - Вспомогательный метод атаки MITRE: олицетворение маркера или кража (T1134.001) |
Высокая | 2421 |
Подозрительное изменение домена AdminSdHolderОписание: Злоумышленники могут нацелиться на domain AdminSdHolder, внося несанкционированные изменения. Это может привести к уязвимостям системы безопасности, изменив дескрипторы безопасности привилегированных учетных записей. Регулярный мониторинг и защита критических объектов Active Directory необходимы для предотвращения несанкционированных изменений. Период обучения: нет МИТРА - Основная тактика MITRE: сохраняемость (TA0003) - Вторичная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: обработка учетных записей (T1098) - Подхношение атак MITRE: Н/Д |
Высокая | 2430 |
Подозрительная попытка делегирования Kerberos на созданном компьютереОписание: Эта атака связана с подозрительным запросом билета Kerberos на вновь созданном компьютере. Несанкционированные запросы билетов Kerberos могут указывать на потенциальные угрозы безопасности. Мониторинг аномальных запросов билетов, проверка учетных записей компьютеров и оперативное устранение подозрительных действий необходимы для предотвращения несанкционированного доступа и потенциального компрометации. Период обучения: нет МИТРА - Основная тактика MITRE: уклонение от обороны (TA0005) - Вторичная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: изменение политики домена (T1484) - Подхношение атак MITRE: Н/Д |
Высокая | 2422 |
Подозрительный запрос на сертификат контроллера домена (ESC8)Описание: Аномальный запрос на сертификат контроллера домена (ESC8) вызывает опасения по поводу потенциальных угроз безопасности. Это может быть попытка скомпрометировать целостность инфраструктуры сертификатов, что приведет к несанкционированным доступом и утечке данных. Период обучения: нет МИТРА - Основная тактика MITRE: уклонение от обороны (TA0005) - Вторичная тактика MITRE: Сохраняемость (TA0003),Эскалация привилегий (TA0004),Начальный доступ (TA0001) - Метод атаки MITRE: допустимые учетные записи (T1078) - Подхношение атак MITRE: Н/Д ПРИМЕЧАНИЕ. Оповещения о подозрительном запросе сертификата контроллера домена (ESC8) поддерживаются только датчиками Defender для удостоверений в AD CS. |
Высокая | 2432 |
Подозрительные изменения разрешений и параметров безопасности ad CSОписание: Злоумышленники могут использовать разрешения безопасности и параметры служб сертификатов Active Directory (AD CS) для управления выдачей сертификатов и управлением ими. Несанкционированные изменения могут привести к уязвимостям, нарушить целостность сертификатов и повлиять на общую безопасность инфраструктуры PKI. Период обучения: нет МИТРА - Основная тактика MITRE: уклонение от обороны (TA0005) - Вторичная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: изменение политики домена (T1484) - Подхношение атак MITRE: Н/Д Примечание. Подозрительные изменения оповещений о разрешениях и параметрах безопасности службы безопасности СЛУЖБЫ Active Directory поддерживаются только датчиками Defender для удостоверений в AD CS. |
Средняя | 2435 |
Подозрительное изменение отношения доверия сервера AD FSОписание: Несанкционированные изменения отношения доверия серверов AD FS могут поставить под угрозу безопасность федеративных систем идентификации. Мониторинг и защита конфигураций доверия имеют решающее значение для предотвращения несанкционированного доступа. Период обучения: нет МИТРА - Основная тактика MITRE: уклонение от обороны (TA0005) - Вторичная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: изменение политики домена (T1484) - Подхножест атаки MITRE: изменение отношения доверия к домену (T1484.002) Примечание. Подозрительные изменения отношения доверия оповещений сервера AD FS поддерживаются только датчиками Defender для удостоверений в AD FS. |
Средняя | 2420 |
Подозрительное изменение атрибута ограниченного делегирования на основе ресурсов учетной записью компьютераОписание: Несанкционированное изменение атрибута Resource-Based ограниченное делегирование учетной записью компьютера может привести к нарушениям безопасности, что позволяет злоумышленникам олицетворять пользователей и получать доступ к ресурсам. Мониторинг и защита конфигураций делегирования имеют важное значение для предотвращения неправильного использования. Период обучения: нет МИТРА - Основная тактика MITRE: уклонение от обороны (TA0005) - Вторичная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: изменение политики домена (T1484) - Подхношение атак MITRE: Н/Д |
Высокая | 2423 |
Оповещения о доступе к учетным данным
Доступ к учетным данным состоит из методов кражи учетных данных, таких как имена учетных записей и пароли. Методы, используемые для получения учетных данных, включают в себя запись ключей или дамп учетных данных. Использование законных учетных данных может предоставить злоумышленникам доступ к системам, усложнить их обнаружение и предоставить возможность создать больше учетных записей для достижения своих целей.
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия этапа доступа к учетным данным , обнаруженные Defender для удостоверений в сети.
| Имя оповещения системы безопасности | Severity | Внешний идентификатор |
|---|---|---|
Предполагаемое использование Golden Ticket (поддельные данные авторизации)Предыдущее имя: повышение привилегий с использованием поддельных данных авторизации. Описание: Известные уязвимости в более старых версиях Windows Server позволяют злоумышленникам управлять сертификатом привилегированных атрибутов (PAC), полем в билете Kerberos, содержащим данные авторизации пользователя (в Active Directory это членство в группах), предоставляя злоумышленникам дополнительные привилегии. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Вложенная техника атаки MITRE: Golden Ticket (T1558.001) Рекомендуемые действия по предотвращению: — Убедитесь, что все контроллеры домена с операционными системами до Windows Server 2012 R2 установлены с KB3011780, а все рядовые серверы и контроллеры домена до версии 2012 R2 обновлены с KB2496930. Дополнительные сведения см. в разделах Silver PAC и Forged PAC. |
Высокая | 2013 |
Вредоносный запрос master ключа API защиты данныхПредыдущее имя: Вредоносный запрос конфиденциальной информации для защиты данных. Описание: API защиты данных (DPAPI) используется Windows для безопасной защиты паролей, сохраненных браузерами, зашифрованными файлами и другими конфиденциальными данными. Контроллеры домена хранят резервную копию master ключа, который можно использовать для расшифровки всех секретов, зашифрованных с помощью DPAPI, на компьютерах Windows, присоединенных к домену. Злоумышленники могут использовать ключ master для расшифровки всех секретов, защищенных DPAPI на всех компьютерах, присоединенных к домену. В этом обнаружении оповещение Defender для удостоверений активируется, когда DPAPI используется для получения ключа master резервной копии. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: учетные данные из хранилищ паролей (T1555) - Подхношение атак MITRE: Н/Д |
Высокая | 2020 |
Предполагаемая атака методом подбора (Kerberos, NTLM)Предыдущее имя: подозрительные сбои проверки подлинности. Описание: При атаке методом подбора злоумышленник пытается пройти проверку подлинности с помощью нескольких паролей в разных учетных записях, пока не будет найден правильный пароль или с помощью одного пароля в крупномасштабном распылении паролей, который работает по крайней мере для одной учетной записи. Найдя правильный пароль, атакующий входит в систему через соответствующую учетную запись. При таком обнаружении оповещение активируется при наличии большого количества сбоев проверки подлинности с помощью Kerberos, NTLM или при обнаружении распыления паролей. При использовании Kerberos или NTLM этот тип атаки обычно выполняется по горизонтали, используя небольшой набор паролей для нескольких пользователей, вертикальную с большим набором паролей для нескольких пользователей или любое их сочетание. В распылении паролей после успешного перечисления списка допустимых пользователей из контроллера домена злоумышленники пытаются использовать один тщательно созданный пароль для всех известных учетных записей пользователей (один пароль для нескольких учетных записей). Если начальное распыление паролей завершается сбоем, они пытаются повторить попытку, используя другой тщательно созданный пароль, обычно после ожидания 30 минут между попытками. Время ожидания позволяет злоумышленникам избежать активации большинства пороговых значений блокировки учетных записей на основе времени. Распыление паролей быстро стало любимым методом как злоумышленников, так и тестировщиков пера. Атаки с распылением паролей оказываются эффективными при получении первоначального плацдарма в организации и для последующих бокового перемещения, пытаясь повысить привилегии. Минимальный период до запуска оповещения составляет одну неделю. Период обучения: одна неделя MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: метод подбора (T1110) - Вложенная техника атаки MITRE: угадывание паролей (T1110.001),распыление паролем (T1110.003) Рекомендуемые действия по предотвращению: — Применение сложных и длинных паролей в организации. Это обеспечивает необходимый первый уровень безопасности от будущих атак методом подбора. |
Средняя | 2023 |
Разведывательная разведка субъекта безопасности (LDAP)Описание: Рекогносцировка субъекта безопасности используется злоумышленниками для получения критически важных сведений о среде домена. Сведения, помогающие злоумышленникам сопоставлять структуру домена и определять привилегированные учетные записи для использования на последующих шагах в цепочке уничтожения атак. Протокол LDAP — это один из самых популярных методов, используемых как для законных, так и для вредоносных целей для запроса Active Directory. Рекогносцировка, ориентированная на LDAP, обычно используется в качестве первого этапа атаки Kerberoasting. Атаки Kerberoasting используются для получения целевого списка имен субъектов безопасности (SPN), для которого злоумышленники затем пытаются получить билеты на сервер предоставления билетов (TGS). Чтобы разрешить Defender для удостоверений точно профилировать и изучать законных пользователей, в первые 10 дней после развертывания Defender для удостоверений оповещения этого типа не активируются. После завершения начального этапа обучения Defender для удостоверений оповещения создаются на компьютерах, выполняющих подозрительные запросы перечисления LDAP или запросы, предназначенные для конфиденциальных групп, использующих методы, которые ранее не наблюдались. Период обучения: 15 дней на компьютер, начиная со дня первого события, наблюдаемого с компьютера. MITRE: - Основная тактика MITRE: обнаружение (TA0007) - Вторичная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: обнаружение учетных записей (T1087) - Вспомогательный метод атаки MITRE: учетная запись домена (T1087.002) Конкретные действия по профилактике kerberoasting: — Требуется использование длинных и сложных паролей для пользователей с учетными записями субъекта-службы. - Замените учетную запись пользователя групповой управляемой учетной записью службы (gMSA). > Примечание.> Оповещения рекогносцировки субъекта безопасности (LDAP) поддерживаются только датчиками Defender для удостоверений. |
Средняя | 2038 |
Предполагаемое воздействие имени субъекта-службы KerberosОписание: Злоумышленники используют средства для перечисления учетных записей служб и соответствующих имен субъектов-служб (имен субъектов-служб), запроса билета службы Kerberos для служб, сбора билетов службы предоставления билетов (TGS) из памяти и извлечения их хэшей и сохранения их для последующего использования в автономной атаке методом подбора. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Подтехника атаки MITRE: Kerberoasting (T1558.003) |
Высокая | 2410 |
Подозреваемая атака as-REP RoastingОписание: Злоумышленники используют средства для обнаружения учетных записей с отключенной предварительной проверки подлинности Kerberos и отправки запросов AS-REQ без зашифрованной метки времени. В ответ они получают сообщения AS-REP с данными TGT, которые могут быть зашифрованы с помощью небезопасного алгоритма, например RC4, и сохраняют их для последующего использования при атаке на взлом паролей в автономном режиме (аналогично Kerberoasting) и предоставляют учетные данные в виде открытого текста. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Подхножия атак MITRE: AS-REP Roasting (T1558.004) Рекомендуемые действия по предотвращению: — Включение предварительной проверки подлинности Kerberos. Дополнительные сведения об атрибутах учетной записи и способах их исправления см. в разделе Небезопасные атрибуты учетной записи. |
Высокая | 2412 |
Подозрительное изменение атрибута sAMNameAccount (использование CVE-2021-42278 и CVE-2021-42287)Описание: Злоумышленник может создать простой путь к пользователю Администратор домена в среде Active Directory без исправлений. Эта атака эскалации позволяет злоумышленникам легко повысить свои привилегии до уровня Администратор домена после компрометации обычного пользователя в домене. При проверке подлинности с помощью Kerberos в Центре распространения ключей (KDC) запрашиваются билет-предоставление билета (TGT) и служба предоставления билетов (TGS). Если для TGS была запрошена учетная запись, которую не удалось найти, KDC попытается выполнить поиск по ней еще раз с конечным значением $. При обработке запроса TGS KDC завершает поиск компьютера инициатора запроса DC1 , созданного злоумышленником. Таким образом, KDC выполняет другой поиск, добавляя конечный $. Поиск выполняется успешно. В результате KDC выдает билет, используя привилегии DC1$. Объединяя CVES CVE-2021-42278 и CVE-2021-42287, злоумышленник с учетными данными пользователя домена может использовать их для предоставления доступа в качестве администратора домена. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: манипуляция маркером доступа (T1134),Эксплуатация для эскалации привилегий (T1068),Красть или подделывайте билеты Kerberos (T1558) - Вспомогательный метод атаки MITRE: олицетворение маркера или кража (T1134.001) |
Высокая | 2419 |
Действие проверки подлинности HoneytokenПредыдущее имя: действие Honeytoken. Описание: Учетные записи Honeytoken — это учетные записи приманки, настроенные для выявления и отслеживания вредоносных действий, в которых участвуют эти учетные записи. Учетные записи Honeytoken следует оставить неиспользуемыми при наличии привлекательного имени, чтобы заманить злоумышленников (например, SQL-Администратор). Любые действия проверки подлинности из них могут указывать на вредоносное поведение. Дополнительные сведения об учетных записях honeytoken см. в разделе Управление конфиденциальными учетными записями или учетными записями honeytoken. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Вторичная тактика MITRE: обнаружение - Метод атаки MITRE: обнаружение учетных записей (T1087) - Вспомогательный метод атаки MITRE: учетная запись домена (T1087.002) |
Средняя | 2014 |
Предполагаемая атака DCSync (репликация служб каталогов)Предыдущее имя: Вредоносная репликация служб каталогов. Описание: Репликация Active Directory — это процесс, в котором изменения, внесенные на одном контроллере домена, синхронизируются со всеми остальными контроллерами домена. При необходимых разрешениях злоумышленники могут инициировать запрос на репликацию, что позволяет им получать данные, хранящиеся в Active Directory, включая хэши паролей. В этом обнаружении оповещение активируется при инициировании запроса репликации с компьютера, который не является контроллером домена. > Примечание.> Если у вас есть контроллеры домена, на которых не установлены датчики Defender для удостоверений, на них не распространяется действие Defender для удостоверений. При развертывании нового контроллера домена на незарегистрированном или незащищенном контроллере домена defender для удостоверений может не сразу определить его как контроллер домена. Настоятельно рекомендуется установить датчик Defender для удостоверений на каждом контроллере домена, чтобы получить полное покрытие. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) — **Вторичная тактика MITRE Сохраняемость (TA0003) - Метод атаки MITRE: дамп учетных данных ОС (T1003) - Вспомогательный метод атаки MITRE: DCSync (T1003.006) Рекомендуемые действия для предотвращения: Проверьте следующие разрешения: — Реплицировать изменения каталога. — Реплицировать все изменения каталога. — Дополнительные сведения см. в статье Предоставление разрешений доменные службы Active Directory для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения. |
Высокая | 2006 |
Предполагаемое чтение ключа DKM AD FSОписание: Сертификат подписи маркеров и расшифровки маркеров, включая закрытые ключи службы федерации Active Directory (AD FS) (AD FS), хранятся в базе данных конфигурации AD FS. Сертификаты шифруются с помощью технологии, называемой диспетчером ключей распространения. AD FS создает и использует эти ключи DKM при необходимости. Для выполнения таких атак, как Golden SAML, злоумышленнику потребуются закрытые ключи, которые подписывают объекты SAML так же, как учетная запись krbtgt необходима для атак Golden Ticket. Используя учетную запись пользователя AD FS, злоумышленник может получить доступ к ключу DKM и расшифровать сертификаты, используемые для подписывания маркеров SAML. Это обнаружение пытается найти все субъекты, которые пытаются считывать ключ DKM объекта AD FS. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: незащищенные учетные данные (T1552)<br — подсхипок атаки MITRE: незащищенные учетные данные: закрытые ключи (T1552.004) |
Высокая | 2413 |
Предполагаемая атака DFSCoerce с использованием протокола распределенной файловой системыОписание: Атака DFSCoerce может использоваться для принудительного выполнения контроллером домена проверки подлинности на удаленном компьютере, который находится под контролем злоумышленника с помощью API MS-DFSNM, который активирует проверку подлинности NTLM. Это, в конечном счете, позволяет субъекту угрозы запустить атаку ретранслятора NTLM. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: принудительная проверка подлинности (T1187) - Вложенная техника атаки :MITRE:Н/Д |
Высокая | 2426 |
Подозрительная попытка делегирования Kerberos с помощью метода BronzeBit (эксплуатация CVE-2020-17049)Описание: Используя уязвимость (CVE-2020-17049), злоумышленники пытаются подозрительное делегирование Kerberos с помощью метода BronzeBit. Это может привести к несанкционированной эскалации привилегий и поставить под угрозу безопасность процесса проверки подлинности Kerberos. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: украсть или подделыть билеты Kerberos (T1558) - Подхношение атак MITRE: Н/Д |
Средняя | 2048 |
Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с использованием подозрительного сертификатаОписание: Аномальные попытки проверки подлинности с использованием подозрительных сертификатов в службы федерации Active Directory (AD FS) (AD FS) могут указывать на потенциальные нарушения безопасности. Мониторинг и проверка сертификатов во время проверки подлинности AD FS имеют решающее значение для предотвращения несанкционированного доступа. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: подделывайте учетные данные веб-сайта (T1606) - Подхношение атак MITRE: Н/Д > Примечание.> Проверка подлинности аномальных службы федерации Active Directory (AD FS) (AD FS) с использованием оповещений о подозрительных сертификатах поддерживается только датчиками Defender для удостоверений в AD FS. |
Высокая | 2424 |
Предполагаемое поглощение учетной записи с использованием теневых учетных данныхОписание: Использование теневых учетных данных при попытке захвата учетной записи предполагает вредоносные действия. Злоумышленники могут попытаться использовать ненадежные или скомпрометированные учетные данные, чтобы получить несанкционированный доступ и контроль над учетными записями пользователей. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Метод атаки MITRE: дамп учетных данных ОС (T1003) - Подхношение атак MITRE: Н/Д |
Высокая | 2431 |
Подозрительный запрос билета KerberosОписание: Эта атака связана с подозрением на аномальные запросы билетов Kerberos. Злоумышленники могут попытаться использовать уязвимости в процессе проверки подлинности Kerberos, что может привести к несанкционированным доступом и компрометации инфраструктуры безопасности. Период обучения: нет MITRE: - Основная тактика MITRE: доступ к учетным данным (TA0006) - Вторичная тактика MITRE: коллекция (TA0009) - Метод атаки MITRE: Злоумышленник в середине (T1557) - Подтехника атаки MITRE: ОТРАВЛЕНИЕ LLMNR/NBT-NS и ретранслятор SMB (T1557.001) |
Высокая | 2418 |
Оповещения о боковом перемещении
Боковое движение состоит из методов, которые злоумышленники используют для входа в удаленные системы в сети и управления ими. Для выполнения их основной цели часто требуется изучение сети, чтобы найти свою цель, а затем получить к ней доступ. Достижение их цели часто включает в себя переключение между несколькими системами и счетами для получения прибыли. Злоумышленники могут установить собственные средства удаленного доступа для выполнения бокового перемещения или использовать законные учетные данные с собственными средствами сети и операционной системы, которые могут быть скрытыми. Microsoft Defender для удостоверений может охватывать различные сквозные атаки (передача билета, передача хэша и т. д.) или другие операции с контроллером домена, такие как PrintNightmare или удаленное выполнение кода.
| Имя оповещения системы безопасности | Severity | Внешний идентификатор |
|---|---|---|
Предполагаемая попытка использования в службе диспетчера очереди печати WindowsОписание: Злоумышленники могут использовать службу диспетчера очереди печати Windows для выполнения привилегированных операций с файлами ненадлежащим образом. Злоумышленник, который имеет (или получает) возможность выполнять код в целевом объекте и успешно использует уязвимость, может запустить произвольный код с привилегиями SYSTEM в целевой системе. При выполнении на контроллере домена атака позволит скомпрометированной учетной записи, не являющейся администратором, выполнять действия с контроллером домена в качестве SYSTEM. Это позволяет любому злоумышленнику, который входит в сеть, мгновенно повысить привилегии администратора домена, украсть все учетные данные домена и распространить вредоносные программы в качестве Администратор домена. Период обучения: нет MITRE: - Основная тактика MITRE: боковое движение (TA0008) - Метод атаки MITRE: использование удаленных служб (T1210) - Вложенная техника атаки MITRE. Н/Д. Рекомендуемые шаги для предотвращения: — Из-за риска компрометации контроллера домена установите обновления для системы безопасности CVE-2021-34527 на контроллерах домена Windows перед установкой на рядовых серверах и рабочих станциях. — Вы можете использовать встроенную оценку безопасности Defender для удостоверений, которая отслеживает доступность служб очереди печати на контроллерах домена. Дополнительные сведения. |
Высокий или Средний | 2415 |
Попытка удаленного выполнения кода через DNSОписание: 11.12.2018 корпорация Майкрософт опубликовала cve-2018-8626, в котором сообщается, что на dns-серверах Windows существует обнаруженная уязвимость удаленного выполнения кода. В этой уязвимости серверы не могут правильно обрабатывать запросы. Злоумышленник, который успешно использует уязвимость, может запустить произвольный код в контексте учетной записи локальной системы. Серверы Windows, настроенные в настоящее время как DNS-серверы, подвержены риску этой уязвимости. В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется при выполнении запросов DNS, подозреваемых в использовании уязвимости безопасности CVE-2018-8626 к контроллеру домена в сети. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - **Вторичная тактика MITRE **: Повышение привилегий (TA0004) - Метод атаки MITRE: эксплуатация для эскалации привилегий (T1068),эксплуатация удаленных служб (T1210) - Подхношение атак MITRE: Н/Д Предлагаемое исправление и действия по предотвращению: — Убедитесь, что все DNS-серверы в среде обновлены и установлены исправления для CVE-2018-8626. |
Средняя | 2036 |
Подозрение на кражу удостоверений (pass-the-hash)Предыдущее имя: кража удостоверений с помощью атаки Pass-the-Hash. Описание: Pass-the-Hash — это метод бокового смещения, при котором злоумышленники похищают хэш NTLM пользователя с одного компьютера и используют его для получения доступа к другому компьютеру. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - Метод атаки MITRE: использование альтернативного материала для проверки подлинности (T1550) - Вспомогательный метод атаки MITRE: передача хэша (T1550.002) |
Высокая | 2017 |
Подозрение на кражу удостоверений (pass-the-ticket)Предыдущее имя: кража удостоверений с помощью атаки Pass-the-Ticket. Описание: Pass-the-Ticket — это метод бокового перемещения, при котором злоумышленники похищают билет Kerberos с одного компьютера и используют его для получения доступа к другому компьютеру, повторно используя украденный билет. В этом обнаружении билет Kerberos используется на двух (или более) разных компьютерах. Период обучения: нет MITRE: ** - **Основная тактика MITRE **: Боковое движение (TA0008) - Метод атаки MITRE: использование альтернативного материала для проверки подлинности (T1550) - Вложенная техника атаки MITRE: передача билета (T1550.003) |
Высокий или Средний | 2018 |
Предполагаемое изменение проверки подлинности NTLMОписание: В июне 2019 г. корпорация Майкрософт опубликовала статью Уязвимость системы безопасности CVE-2019-1040, сообщающую об обнаружении новой уязвимости незаконного изменения в Microsoft Windows, когда атака "человек в середине" может успешно обойти защиту NTLM MIC (проверка целостности сообщений). Вредоносные субъекты, которые успешно используют эту уязвимость, могут понизить уровень функций безопасности NTLM и могут успешно создавать сеансы проверки подлинности от имени других учетных записей. Эта уязвимость подвержена риску незапатированных серверов Windows Server. При таком обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда запросы проверки подлинности NTLM, подозреваемые в использовании уязвимости безопасности, определенной в CVE-2019-1040 , выполняются к контроллеру домена в сети. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) **- Вторичная тактика MITRE **: Повышение привилегий (TA0004) - Метод атаки MITRE: эксплуатация для эскалации привилегий (T1068),эксплуатация удаленных служб (T1210) - Подхношение атак MITRE: Н/Д Рекомендуемые действия по предотвращению: — Принудительное использование запечатанных NTLMv2 в домене с помощью групповой политики уровня проверки подлинности Network Security: LAN Manager . Дополнительные сведения см. в разделе Инструкции по настройке групповой политики для контроллеров домена на уровне проверки подлинности LAN Manager . — Убедитесь, что все устройства в среде обновлены и исправлены для CVE-2019-1040. |
Средняя | 2039 |
Предполагаемая атака ретранслятора NTLM (учетная запись Exchange)Описание: Учетную запись Exchange Server компьютера можно настроить для активации проверки подлинности NTLM с помощью Exchange Server учетной записи компьютера на удаленный HTTP-сервер, запущенный злоумышленником. Сервер ожидает, пока Exchange Server обмен данными ретранслирует собственную конфиденциальную проверку подлинности на любой другой сервер или, что еще более интересно, в Active Directory по протоколу LDAP, и захватывает сведения о проверке подлинности. После того как сервер ретрансляции получит проверку подлинности NTLM, он предоставляет запрос, который был первоначально создан целевым сервером. Клиент отвечает на запрос, не позволяя злоумышленнику принять ответ и использует его для продолжения согласования NTLM с целевым контроллером домена. В этом обнаружении оповещение активируется, когда Defender для удостоверений определяет использование учетных данных учетной записи Exchange из подозрительного источника. Период обучения: нет MITRE: - Основная тактика MITRE: боковое движение (TA0008) - Вторичная тактика MITRE: повышение привилегий (TA0004) - Метод атаки MITRE: эксплуатация для эскалации привилегий (T1068),эксплуатация удаленных служб (T1210),человек в середине (T1557) - Подтехника атаки MITRE: ОТРАВЛЕНИЕ LLMNR/NBT-NS и ретранслятор SMB (T1557.001) Рекомендуемые действия по предотвращению: — Принудительное использование запечатанных NTLMv2 в домене с помощью групповой политики уровня проверки подлинности Network Security: LAN Manager . Дополнительные сведения см. в разделе Инструкции по настройке групповой политики для контроллеров домена на уровне проверки подлинности LAN Manager . |
Средний или низкий, если наблюдается использование подписанного протокола NTLM версии 2 | 2037 |
Предполагаемая атака путепровода с хэшом (Kerberos)Предыдущее имя: необычная реализация протокола Kerberos (потенциальная атака с помощью overpass-the-hash). Описание: Злоумышленники используют средства, реализующие различные протоколы, такие как Kerberos и SMB, нестандартными способами. Хотя Microsoft Windows принимает этот тип сетевого трафика без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Поведение указывает на использование таких методов, как over-pass-the-hash, метод подбора и расширенные эксплойты программ-шантажистов, такие как WannaCry. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - Метод атаки MITRE: использование удаленных служб (T1210),использование альтернативного материала для проверки подлинности (T1550) - Подхножка атаки MITRE: передача has (T1550.002),передача билета (T1550.003) |
Средняя | 2002 |
Предполагаемое использование сертификата Kerberos изгоевОписание: Несанкционированная атака на сертификат — это метод сохраняемости, используемый злоумышленниками после получения контроля над организацией. Злоумышленники компрометирует сервер центра сертификации (ЦС) и создают сертификаты, которые можно использовать в качестве учетных записей backdoor в будущих атаках. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008)**Вторичная тактика MITRE **: Сохраняемость (TA0003), Эскалация привилегий (TA0004) - Метод атаки MITRE: Н/Д - Подхношение атак MITRE: Н/Д |
Высокая | 2047 |
Предполагаемая обработка пакетов SMB (эксплуатация CVE-2020-0796)Описание: 12.03.2020 корпорация Майкрософт опубликовала cve-2020-0796, в котором сообщается, что новая уязвимость удаленного выполнения кода существует в том, как протокол Microsoft Server Message Block 3.1.1 (SMBv3) обрабатывает определенные запросы. Злоумышленник, который успешно воспользовался уязвимостью, может получить возможность выполнять код на целевом сервере или клиенте. Неотпатированные серверы Windows подвержены риску этой уязвимости. В этом обнаружении оповещение системы безопасности Defender для удостоверений активируется, когда пакет SMBv3, подозреваемый в использовании уязвимости безопасности CVE-2020-0796, создается в отношении контроллера домена в сети. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - Метод атаки MITRE: использование удаленных служб (T1210) - Подхношение атак MITRE: Н/Д Рекомендуемые действия по предотвращению: — Если у вас есть компьютеры с операционными системами, которые не поддерживают KB4551762, рекомендуется отключить функцию сжатия SMBv3 в среде, как описано в разделе Обходные решения . — Убедитесь, что все устройства в среде обновлены и установлены исправления для CVE-2020-0796. |
Высокая | 2406 |
Exchange Server удаленное выполнение кода (CVE-2021-26855)Описание: Некоторые уязвимости Exchange можно использовать в сочетании, чтобы разрешить удаленное выполнение кода без проверки подлинности на устройствах под управлением Exchange Server. Корпорация Майкрософт также наблюдала последующие действия по имплантации веб-оболочки, выполнению кода и краже данных во время атак. Эту угрозу может усугубить тот факт, что многие организации публикуют Exchange Server развертывания в Интернете для поддержки мобильных и рабочих сценариев. Во многих наблюдаемых атаках одним из первых шагов, предпринятых злоумышленниками после успешной эксплуатации CVE-2021-26855, которая позволяет удаленное выполнение кода без проверки подлинности, было обеспечение постоянного доступа к скомпрометированной среде через веб-оболочку. Злоумышленники могут создавать результаты обхода проверки подлинности из-за необходимости обрабатывать запросы к статическим ресурсам как запросы с проверкой подлинности на серверной части, так как такие файлы, как скрипты и образы, должны быть доступны даже без проверки подлинности. Предварительные требования: Defender для удостоверений требует, чтобы событие Windows 4662 было включено и собрано для отслеживания этой атаки. Сведения о настройке и сборе этого события см. в статье Настройка коллекции событий Windows и следуйте инструкциям в разделе Включение аудита для объекта Exchange. Период обучения: нет MITRE: **- Основная тактика MITRE **: Боковое движение (TA0008) - Метод атаки MITRE: использование удаленных служб (T1210) - Подхношение атак MITRE: Н/Д Рекомендуемые действия по предотвращению: Обновите серверы Exchange с помощью последних исправлений для системы безопасности. Уязвимости устранены в Обновления безопасности Exchange Server за март 2021 г. |
Высокая | 2414 |
Предполагаемая атака методом подбора (SMB)Предыдущее имя: необычная реализация протокола (возможное использование вредоносных средств, таких как Hydra). Описание: Злоумышленники используют средства, реализующие различные протоколы, такие как SMB, Kerberos и NTLM, нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Поведение указывает на методы подбора. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - Метод атаки MITRE: метод подбора (T1110) - Вложенная техника атаки MITRE: угадывание паролей (T1110.001),распыление паролем (T1110.003) Рекомендуемые действия по предотвращению: — Применение сложных и длинных паролей в организации. Сложные и длинные пароли обеспечивают необходимый первый уровень безопасности от будущих атак методом подбора. - Отключение SMBv1 |
Средняя | 2033 |
Предполагаемая атака программы-шантажиста WannaCryПредыдущее имя: необычная реализация протокола (потенциальная атака программы-шантажиста WannaCry). Описание: Злоумышленники используют средства, реализующие различные протоколы нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Поведение указывает на методы, используемые расширенными программами-шантажистами, такими как WannaCry. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - Метод атаки MITRE: использование удаленных служб (T1210) - Подхношение атак MITRE: Н/Д Рекомендуемые действия по предотвращению: — Исправьте все компьютеры, обязательно применяя обновления для системы безопасности. - Отключение SMBv1 |
Средняя | 2035 |
Предполагаемое использование платформы взлома MetasploitПредыдущее имя: необычная реализация протокола (возможное использование средств взлома Metasploit). Описание: Злоумышленники используют средства, реализующие различные протоколы (SMB, Kerberos, NTLM) нестандартными способами. Хотя этот тип сетевого трафика принимается Windows без предупреждений, Defender для удостоверений может распознавать потенциальные вредоносные намерения. Это поведение свидетельствует о таких методах, как использование платформы взлома Metasploit. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - Метод атаки MITRE: использование удаленных служб (T1210) - Подхношение атак MITRE: Н/Д Предлагаемое исправление и действия по предотвращению: - Отключение SMBv1 |
Средняя | 2034 |
Подозрительное использование сертификата по протоколу Kerberos (PKINIT)Описание: Злоумышленники используют уязвимости в расширении PKINIT протокола Kerberos с помощью подозрительных сертификатов. Это может привести к краже удостоверений и несанкционированного доступа. Возможные атаки включают использование недопустимых или скомпрометированных сертификатов, атаки типа "злоумышленник в середине" и плохое управление сертификатами. Регулярные аудиты безопасности и соблюдение рекомендаций PKI имеют решающее значение для снижения этих рисков. Период обучения: нет MITRE: - **Основная тактика MITRE **: боковое движение (TA0008) - Метод атаки MITRE: использование альтернативного материала для проверки подлинности (T1550) - Подхношение атак MITRE: Н/Д **Примечание. Оповещения о подозрительном использовании сертификатов по протоколу Kerberos (PKINIT) поддерживаются только датчиками Defender для удостоверений в AD CS. |
Высокая | 2425 |
Предполагаемая атака с передачей хэша (тип принудительного шифрования)Описание: Атаки с использованием принудительного шифрования могут использовать уязвимости в протоколах, таких как Kerberos. Злоумышленники пытаются управлять сетевым трафиком, минуя меры безопасности и получая несанкционированный доступ. Для защиты от таких атак требуются надежные конфигурации шифрования и мониторинг. Период обучения: один месяц МИТРА - **Основная тактика MITRE **: Боковое движение (TA0008)**Вторичная тактика MITRE **: Уклонение от обороны (TA0005) - Метод атаки MITRE: использование альтернативного материала для проверки подлинности (T1550) - Подхногия атак MITRE: передача хэша (T1550.002),передача билета (T1550.003) |
Средняя | 2008 |
Другие оповещения
Следующие оповещения системы безопасности помогают выявлять и устранять подозрительные действия других этапов, обнаруженные Defender для удостоверений в сети.
| Имя оповещения системы безопасности | Severity | Внешний идентификатор |
|---|---|---|
Предполагаемая атака DCShadow (повышение уровня контроллера домена)Предыдущее имя: подозрительное повышение уровня контроллера домена (потенциальная атака DCShadow). Описание: Теневая атака контроллера домена (DCShadow) — это атака, предназначенная для изменения объектов каталога с помощью вредоносной репликации. Эту атаку можно выполнить с любого компьютера, создав с помощью процесса репликации фальшивый контроллер домена. В атаке DCShadow RPC и LDAP используются для: — Регистрация учетной записи компьютера в качестве контроллера домена (с использованием прав администратора домена). — выполнять репликацию (используя предоставленные права репликации) по DRSUAPI и отправлять изменения в объекты каталога. В этом обнаружении Defender для удостоверений оповещение системы безопасности активируется, когда компьютер в сети пытается зарегистрироваться в качестве незаконного контроллера домена. Период обучения: нет MITRE: - Основная тактика MITRE: уклонение от обороны (TA0005) - Метод атаки MITRE: несанкционированный контроллер домена (T1207) - Подтехнизация атак MITRE: Н/Д Рекомендуемые действия по предотвращению: Проверьте следующие разрешения: — Реплицировать изменения каталога. — Реплицировать все изменения каталога. — Дополнительные сведения см. в статье Предоставление разрешений доменные службы Active Directory для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ad ACL или создать скрипт Windows PowerShell, чтобы определить, у кого есть эти разрешения в домене. Примечание. Оповещения о подозрительном продвижении контроллера домена (потенциальная атака DCShadow) поддерживаются только датчиками Defender для удостоверений. |
Высокая | 2028 |
Предполагаемая атака DCShadow (запрос на репликацию контроллера домена)Предыдущее имя: подозрительный запрос на репликацию (потенциальная атака DCShadow). Описание: Репликация Active Directory — это процесс синхронизации изменений, внесенных на одном контроллере домена, с другими контроллерами домена. При необходимых разрешениях злоумышленники могут предоставить права для учетной записи компьютера, что позволяет им олицетворять контроллер домена. Злоумышленники стремятся инициировать вредоносный запрос на репликацию, позволяя им изменять объекты Active Directory на подлинном контроллере домена, что может обеспечить злоумышленникам сохраняемость в домене. В этом обнаружении оповещение активируется при создании подозрительного запроса репликации для подлинного контроллера домена, защищенного Defender для удостоверений. Поведение указывает на методы, используемые в атаках теневых контроллеров домена. Период обучения: нет MITRE: - Основная тактика MITRE: уклонение от обороны (TA0005) - Метод атаки MITRE: несанкционированный контроллер домена (T1207) - Подтехнизация атак MITRE: Н/Д Предлагаемое исправление и действия по предотвращению: Проверьте следующие разрешения: — Реплицировать изменения каталога. — Реплицировать все изменения каталога. — Дополнительные сведения см. в статье Предоставление разрешений доменные службы Active Directory для синхронизации профилей в SharePoint Server 2013. Вы можете использовать средство проверки ACL AD или создать скрипт Windows PowerShell, чтобы определить, кто в домене имеет эти разрешения. Примечание. Оповещения о подозрительных запросах репликации (потенциальная атака DCShadow) поддерживаются только датчиками Defender для удостоверений. |
Высокая | 2029 |
Подозрительное VPN-подключениеПредыдущее имя: подозрительное VPN-подключение. Описание: Defender для удостоверений изучает поведение сущности для VPN-подключений пользователей в течение одного месяца. Модель поведения VPN основана на компьютерах, в которые входят пользователи, и расположениях, из которые пользователи подключаются. Оповещение открывается при отклонении от поведения пользователя на основе алгоритма машинного обучения. Период обучения: 30 дней с момента первого VPN-подключения и по крайней мере 5 VPN-подключений за последние 30 дней на пользователя. MITRE: - Основная тактика MITRE: уклонение от обороны (TA0005) - Вторичная тактика MITRE: сохраняемость (TA0003) - Метод атаки MITRE: внешние удаленные службы (T1133) - Подтехнизация атак MITRE: Н/Д |
Средняя | 2025 |
Попытка удаленного выполнения кодаПредыдущее имя: попытка удаленного выполнения кода. Описание: Злоумышленники, которые компрометируют учетные данные администратора или используют эксплойт нулевого дня, могут выполнять удаленные команды на контроллере домена или сервере AD FS или AD CS. Это можно использовать для получения сохраняемой информации, сбора информации, атак типа "отказ в обслуживании" (DOS) или по любой другой причине. Defender для удостоверений обнаруживает подключения PSexec, Remote WMI и PowerShell. Период обучения: нет MITRE: - Основная тактика MITRE: выполнение (TA0002) - Вторичная тактика MITRE: боковое смещение (TA0008) - Метод атаки MITRE: интерпретатор команд и сценариев (T1059),удаленные службы (T1021) - Подтехнизация атак MITRE: PowerShell (T1059.001),удаленное управление Windows (T1021.006) Рекомендуемые действия по предотвращению: — ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0. — Реализуйте привилегированный доступ, позволяя только защищенным компьютерам подключаться к контроллерам домена для администраторов. — Реализуйте менее привилегированный доступ на компьютерах домена, чтобы предоставить определенным пользователям право создавать службы. Примечание. Оповещения о попытках удаленного выполнения кода при попытке использования команд PowerShell поддерживаются только датчиками Defender для удостоверений. |
Средняя | 2019 |
Подозрительное создание службыПредыдущее имя: подозрительное создание службы. Описание: Подозрительная служба создана на контроллере домена или сервере AD FS/AD CS в вашей организации. Это оповещение использует событие 7045 для выявления этого подозрительного действия. Период обучения: нет MITRE: - Основная тактика MITRE: выполнение (TA0002) - **Вторичная тактика MITRE: сохраняемость (TA0003),повышение привилегий (TA0004),уклонение от защиты (TA0005),боковое движение (TA0008) - Метод атаки MITRE: удаленные службы (T1021),интерпретатор команд и сценариев (T1059),системные службы (T1569),создание или изменение системного процесса (T1543) - Подтехнизация атак MITRE: выполнение службы (T1569.002),служба Windows (T1543.003) Рекомендуемые действия по предотвращению: — ограничьте удаленный доступ к контроллерам домена с компьютеров, не относящихся к уровню 0. — Реализуйте привилегированный доступ , чтобы разрешить только защищенным компьютерам подключаться к контроллерам домена для администраторов. — реализуйте менее привилегированный доступ на компьютерах домена, чтобы предоставить только определенным пользователям право создавать службы. |
Средняя | 2026 |
Подозрительная связь через DNSПредыдущее имя: подозрительная связь через DNS. Описание: Протокол DNS в большинстве организаций обычно не отслеживается и редко блокируется для вредоносных действий. Позволяет злоумышленнику на скомпрометированном компьютере злоупотреблять протоколом DNS. Вредоносное взаимодействие через DNS можно использовать для кражи данных, команд и управления и (или) обхода ограничений корпоративной сети. Период обучения: нет MITRE: - Основная тактика MITRE: Кража (TA0010) - Метод атаки MITRE: Exfiltration Over Alternative Protocol (T1048),Exfiltration over C2 Channel (T1041),Запланированная передача (T1029),Автоматизированная утечка (T1020),Протокол уровня приложений (T1071) - Подтехнический набор атак MITRE: DNS (T1071.004),exfiltration overenencrypted/Obfuscated Non-C2 Protocol (T1048.003) |
Средняя | 2031 |
Кража данных через SMBОписание: Контроллеры домена содержат наиболее конфиденциальные организационные данные. Для большинства злоумышленников одним из их главных приоритетов является получение доступа к контроллеру домена, чтобы украсть наиболее конфиденциальные данные. Например, кража файла Ntds.dit, хранящегося в контроллере домена, позволяет злоумышленнику подделать билет Kerberos, предоставляя билеты (TGT), предоставляя авторизацию для любого ресурса. Поддельные TGT Kerberos позволяют злоумышленнику установить срок действия билета на любое произвольное время. Оповещение о краже данных в Defender для удостоверений по протоколу SMB активируется при обнаружении подозрительной передачи данных от отслеживаемых контроллеров домена. Период обучения: нет MITRE: - Основная тактика MITRE: Кража (TA0010) - Вторичная тактика MITRE: боковое смещение (TA0008),команда и управление (TA0011) - Метод атаки MITRE: exfiltration over Alternative Protocol (T1048),боковое перемещение инструментов (T1570) - Подтехнический анализ атак MITRE: кража по протоколу T1048.003 без шифрования или замаскированного шифрования ( T1048.003) |
Высокая | 2030 |
Подозрительное удаление записей базы данных сертификатовОписание: Удаление записей базы данных сертификатов является красным флагом, указывающим на потенциальные вредоносные действия. Эта атака может нарушить работу систем инфраструктуры открытых ключей (PKI), повлияв на проверку подлинности и целостность данных. Период обучения: нет MITRE: - Основная тактика MITRE: уклонение от обороны (TA0005) - Метод атаки MITRE: удаление индикаторов (T1070)- Подтехнизация атаки MITRE: Н/Д Примечание. Подозрительные удаления оповещений о записях базы данных сертификатов поддерживаются только датчиками Defender для удостоверений в AD CS. |
Средняя | 2433 |
Подозрительное отключение фильтров аудита ad CSОписание: Отключение фильтров аудита в AD CS может позволить злоумышленникам работать без обнаружения. Эта атака направлена на обход мониторинга безопасности путем отключения фильтров, которые в противном случае помечают подозрительные действия. Период обучения: нет MITRE: - Основная тактика MITRE: уклонение от обороны (TA0005) - Метод атаки MITRE: ухудшить защиту (T1562) - Подтехнизация атак MITRE: отключение ведения журнала событий Windows (T1562.002) |
Средняя | 2434 |
Изменение пароля в режиме восстановления служб каталоговОписание: Режим восстановления служб каталогов (DSRM) — это специальный режим загрузки в операционных системах Microsoft Windows Server, который позволяет администратору восстанавливать или восстанавливать базу данных Active Directory. Этот режим обычно используется при возникновении проблем с Active Directory и обычной загрузке невозможно. Пароль DSRM устанавливается во время повышения уровня сервера до контроллера домена. В этом обнаружении оповещение активируется, когда Defender для удостоверений обнаруживает изменение пароля DSRM. Мы рекомендуем изучить исходный компьютер и пользователя, который сделал запрос, чтобы понять, было ли изменение пароля DSRM инициировано из законного административного действия или вызывает опасения по поводу несанкционированного доступа или потенциальных угроз безопасности. Период обучения: нет MITRE: - Основная тактика MITRE: сохраняемость (TA0003)- Метод атаки MITRE: манипуляция учетными записями (T1098)- Подтехнизация атаки MITRE: Н/Д |
Средняя | 2438 |
изменение групповая политикаОписание: Подозрительное изменение было обнаружено в групповая политика, что привело к отключению Windows антивирусная программа Defender. Это действие может указывать на нарушение безопасности злоумышленником с повышенными привилегиями, который может создать почву для распространения программ-шантажистов. Рекомендуемые действия для исследования: — Узнайте, является ли изменение объекта групповой политики допустимым. - Если это не так, отменить изменения изменения. — Узнайте, как связана групповая политика, чтобы оценить ее область влияния. Период обучения: нет MITRE: Основная тактика MITRE: уклонение от обороны (TA0005) - Метод атаки MITRE: подрыв элементов управления доверием (T1553) - Подтехнизация атак MITRE: Н/Д |
Средняя | 2440 |
Примечание.
Чтобы отключить оповещения системы безопасности, обратитесь в службу поддержки.