Alertas de reconhecimento e descoberta

Normalmente, os ataques cibernéticos são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos. Os ativos valiosos podem ser contas confidenciais, administradores de domínio ou dados altamente confidenciais. O Microsoft Defender para Identidade identifica essas ameaças avançadas na origem ao longo de toda a cadeia de ataque e classifica-as nas seguintes fases:

  1. Reconhecimento e descoberta
  2. Alertas de elevação de privilégio e persistência
  3. Alertas de acesso a credenciais
  4. Alertas de movimentação lateral
  5. Outros alertas

Para entender melhor a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, confira Noções básicas sobre os alertas de segurança. Para obter informações sobre TP (verdadeiro positivo), B-TP (verdadeiro positivo benigno) e FP (falso positivo), confira Classificações de alertas de segurança.

Os alertas de segurança a seguir ajudam você a identificar e corrigir as atividades suspeitas da fase de Reconhecimento e descoberta detectadas pelo Defender para Identidade na sua rede.

O reconhecimento e a descoberta consistem em técnicas que um adversário pode usar para saber mais sobre o sistema e a rede interna. Essas técnicas ajudam os adversários a observar o ambiente e orientar-se antes de decidir como agir. Também permitem que os adversários explorem o que podem controlar e o que está em torno do seu ponto de entrada para descobrir como isso poderia beneficiar seu objetivo atual. As ferramentas nativas do sistema operacional frequentemente são usadas para esse objetivo de coleta de informações pós-comprometimento. No Microsoft Defender para Identidade, esses alertas geralmente envolvem enumeração de conta interna com técnicas diferentes.

Reconhecimento de enumeração de conta (ID externo 2003)

Nome anterior: Reconhecimento usando enumeração de conta

Gravidade: Média

Descrição:

No reconhecimento de enumeração de conta, um invasor usa um dicionário com milhares de nomes de usuário ou ferramentas, como o KrbGuess, na tentativa de adivinhar nomes de usuário no domínio.

Kerberos: o invasor faz solicitações Kerberos usando esses nomes para tentar localizar um nome de usuário válido no domínio. Quando uma adivinhação determinar com êxito um nome de usuário, o invasor verá Pré-autenticação necessária, em vez do erro do Kerberos Entidade de segurança desconhecida.

NTLM: o invasor faz solicitações de autenticação NTLM usando o dicionário de nomes para tentar localizar um nome de usuário válido no domínio. Se uma adivinhação determinar com êxito um nome de usuário, o invasor verá o erro WrongPassword (0xc000006a), em vez do erro NTLM NoSuchUser (0xc0000064).

Nessa detecção de alerta, o Defender para Identidade detecta a origem do ataque de enumeração de conta, o número total de tentativas de adivinhação e quantas tentativas foram correspondidas. Se houver muitos usuários desconhecidos, o Defender para Identidade detectará isso como uma atividade suspeita. O alerta é baseado em eventos de autenticação de sensores que são executados no controlador de domínio e em servidores AD FS/AD CS.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE ATTCK Conta de domínio (T1087.002)

Sugestão de etapas para prevenção:

  1. Imponha o uso de senhas complexas e longas na organização. Senhas complexas e longas oferecem o primeiro nível de segurança necessário contra ataques de força bruta. Os ataques de força bruta são normalmente o próximo passo na kill chain de ataques cibernéticos após a enumeração.

Reconhecimento de enumeração de conta (LDAP) (ID externa 2437) (Versão preliminar)

Gravidade: Média

Descrição:

No reconhecimento de enumeração de conta, um invasor usa um dicionário com milhares de nomes de usuário ou ferramentas, como Ldapnomnom, na tentativa de adivinhar nomes de usuário no domínio.

LDAP: o invasor faz solicitações Ping LDAP (cLDAP) usando esses nomes para tentar localizar um nome de usuário válido no domínio. Se uma suposição determinar com êxito um nome de usuário, o invasor poderá receber uma resposta indicando que o usuário existe no domínio.

Nessa detecção de alerta, o Defender para Identidade detecta a origem do ataque de enumeração de conta, o número total de tentativas de adivinhação e quantas tentativas foram correspondidas. Se houver muitos usuários desconhecidos, o Defender para Identidade detectará isso como uma atividade suspeita. O alerta é baseado em atividades de pesquisa LDAP de sensores em execução em servidores de controlador de domínio.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE ATTCK Conta de domínio (T1087.002)

Reconhecimento de mapeamento de rede (DNS) (ID externo 2007)

Nome anterior: Reconhecimento usando DNS

Gravidade: Média

Descrição:

O servidor DNS contém um mapa de todos os computadores, endereços IP e serviços na rede. Essas informações são usadas por invasores para mapear a estrutura da sua rede e visar computadores interessantes para etapas posteriores de seu ataque.

Há vários tipos de consulta no protocolo DNS. Esse alerta de segurança do Defender para Identidade detecta solicitações suspeitas, seja em solicitações que usam uma AXFR (transferência) proveniente de servidores não DNS ou naquelas que usam um número excessivo de solicitações.

Período de aprendizado:

Esse alerta tem um período de aprendizado de oito dias desde o início do monitoramento do controlador de domínio.

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087), Verificação de serviço de rede (T1046), Descoberta de sistema remoto (T1018)
Subtécnica de ataque MITRE ATTCK N/D

Sugestão de etapas para prevenção:

É importante prevenir contra ataques futuros usando consultas AXFR protegendo seu servidor DNS interno.

Reconhecimento de usuário e endereço IP (SMB) (ID externo 2012)

Nome anterior: Reconhecimento usando enumeração de sessão SMB

Gravidade: Média

Descrição:

A enumeração usando o protocolo SMB permite que os invasores obtenham informações sobre onde os usuários que fizeram logon recentemente. Depois que os invasores têm essas informações, eles podem se movimentar lateralmente na rede para chegar a uma conta confidencial específica.

Nessa detecção, um alerta é disparado quando uma enumeração de sessão SMB é executada em um controlador de domínio.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087), Descoberta de conexões de rede do sistema (T1049)
Subtécnica de ataque MITRE ATTCK Conta de domínio (T1087.002)

Reconhecimento de usuário e de associação de grupo (SAMR) (ID externo 2021)

Nome anterior: Reconhecimento usando consultas de serviços de diretório

Gravidade: Média

Descrição:

O reconhecimento de usuário e de associação a um grupo é usado pelos invasores para mapear a estrutura de diretório e visar contas com privilégios para as próximas etapas do ataque. O protocolo SAM-R (Gerenciador de Contas de Segurança Remoto) é um dos métodos usados para consultar o diretório para executar esse tipo de mapeamento. Nessa detecção, nenhum alerta é disparado no primeiro mês após a implantação do Defender para Identidade (período de aprendizado). Durante o período de aprendizado, o Defender para Identidade analisa quais consultas SAM-R são feitas de quais computadores, tanto consultas de enumeração quanto individuais de contas confidenciais.

Período de aprendizado:

Quatro semanas por controlador de domínio, a contar da primeira atividade de rede do SAMR em relação ao DC específico.

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087), Descoberta de grupo de permissões (T1069)
Subtécnica de ataque MITRE ATTCK Conta de domínio (T1087.002), Grupo de domínio (T1069.002)

Sugestão de etapas para prevenção:

  1. Aplique o acesso à rede e restrinja os clientes autorizados a fazer chamadas remotas à política de grupo SAM.

Reconhecimento de atributos do Active Directory (LDAP) (ID externo 2210)

Gravidade: Média

Descrição:

O reconhecimento de LDAP no Active Directory é usado por invasores para obter informações críticas sobre o ambiente do domínio. Essas informações podem ajudar os invasores a mapear a estrutura do domínio, bem como identificar contas privilegiadas para uso em etapas posteriores na kill chain de ataque. O protocolo LDAP é um dos métodos mais populares usados em consultas do Active Directory, tanto para fins legítimos quanto mal-intencionados.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087), Execução de comando indireto (T1202), Descoberta de grupos de permissões (T1069)
Subtécnica de ataque MITRE ATTCK Conta de domínio (T1087.002), Grupos de domínio (T1069.002)

Honeytoken consultado por meio de SAM-R (ID externo 2439)

Gravidade: Baixa

Descrição:

O reconhecimento de usuário é usado pelos invasores para mapear a estrutura de diretório e visar contas com privilégios para as próximas etapas do ataque. O protocolo SAM-R (Gerenciador de Contas de Segurança Remoto) é um dos métodos usados para consultar o diretório para executar esse tipo de mapeamento. Nessa detecção, o Microsoft Defender para Identidade vai disparar esse alerta para as atividades de reconhecimento com relação a um usuário honeytoken pré-configurado.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE ATTCK Conta de domínio (T1087.002)

Honeytoken consultado por meio de LDAP (ID externo 2429)

Gravidade: Baixa

Descrição:

O reconhecimento de usuário é usado pelos invasores para mapear a estrutura de diretório e visar contas com privilégios para as próximas etapas do ataque. O protocolo LDAP é um dos métodos mais populares usados em consultas do Active Directory, tanto para fins legítimos quanto mal-intencionados.

Nessa detecção, o Microsoft Defender para Identidade vai disparar esse alerta para as atividades de reconhecimento com relação a um usuário honeytoken pré-configurado.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Descoberta (TA0007)
Técnica de ataque MITRE Descoberta de conta (T1087)
Subtécnica de ataque MITRE ATTCK Conta de domínio (T1087.002)

Enumeração de conta Okta suspeita

Gravidade: Alta

Descrição:

Na enumeração de contas, os invasores tentarão adivinhar nomes de usuários realizando logins no Okta com usuários que não pertencem à organização. Recomendamos investigar os IPs de origem que executam as tentativas com falha e determinar se são legítimos ou não.

Período de aprendizado:

Nenhum

MITRE:

Tática MITRE primária Acesso Inicial (TA0001), Evasão de Defesa (TA0005), Persistência (TA0003), Escalonamento de Privilégios (TA0004)
Técnica de ataque MITRE Contas válidas (T1078)
Subtécnica de ataque MITRE ATTCK Contas de nuvem (T1078.004)

Confira também