高度な脅威解析不審なアクティビティガイド

適用対象: Advanced Threat Analytics バージョン 1.9

適切な調査の後、疑わしいアクティビティは次のように分類できます。

  • 真陽性: ATA によって検出された悪意のあるアクション。

  • 無害な真陽性: ATA によって検出された実際のアクションですが、悪意のあるものではありません。侵入テストなどです。

  • 誤検知: 誤検知。アクティビティが発生しなかったことを意味します。

ATA アラートを操作する方法の詳細については、「 疑わしいアクティビティの操作」を参照してください。

ご質問やフィードバックについては、 ATAEval@microsoft.comの ATA チームにお問い合わせください。

機密性の高いグループの異常な変更

Description

攻撃者は、高い特権を持つグループにユーザーを追加します。 これは、より多くのリソースにアクセスし、永続化を得るために行います。 検出は、ユーザー グループの変更アクティビティのプロファイリングと、機密性の高いグループへの異常な追加が見られる場合のアラートに依存します。 プロファイリングは ATA によって継続的に実行されます。 アラートがトリガーされるまでの最小期間は、ドメイン コントローラーごとに 1 か月です。

ATA での機密性の高いグループの定義については、 ATA コンソールの操作を参照してください。

検出は、 ドメイン コントローラーで監査されるイベントに依存します。 ドメイン コントローラーが必要なイベントを監査できるようにするには、このツールを使用します。

調査

  1. グループの変更は正当ですか?
    まれに発生し、"正常" と学習されなかった正当なグループ変更は、アラートを引き起こす可能性があり、これは無害な真陽性と見なされます。

  2. 追加されたオブジェクトがユーザー アカウントの場合は、管理者グループに追加された後にユーザー アカウントが実行したアクションを確認します。 ATA のユーザーのページに移動して、より多くのコンテキストを取得します。 追加が行われる前または後に、アカウントに関連付けられている他の疑わしいアクティビティがありましたか? 機密グループの変更レポートをダウンロードして、同じ期間中に行われた他の変更とそれを行ったユーザーを確認します。

修復

機密性の高いグループを変更する権限を持つユーザーの数を最小限に抑えます。

Active Directory に対して該当する場合は Privileged Access Management を設定します。

コンピューターとドメイン間の信頼が失われます

Note

コンピューターとドメインの間の信頼の切断アラートは非推奨となり、1.9 より前の ATA バージョンでのみ表示されます。

Description

信頼が失われるとは、Active Directoryセキュリティ要件がこれらのコンピューターに対して有効にならない可能性があることを意味します。 これは、ベースラインのセキュリティとコンプライアンスの失敗と、攻撃者のソフト ターゲットと見なされます。 この検出では、24 時間以内にコンピューター アカウントから 5 つ以上の Kerberos 認証エラーが発生した場合にアラートがトリガーされます。

調査

調査中のコンピューターでドメイン ユーザーのサインインが許可されていますか?

  • [はい] の場合は、修復手順でこのコンピューターを無視できます。

修復

必要に応じて、マシンをドメインに再び参加させるか、コンピューターのパスワードをリセットします。

LDAP 単純バインドを使用したブルート フォース攻撃

Description

Note

疑わしい認証エラーとこの検出の主な違いは、この検出では、ATA が異なるパスワードが使用されていたかどうかを判断できることです。

ブルート フォース攻撃では、攻撃者は、少なくとも 1 つのアカウントに対して正しいパスワードが見つかるまで、さまざまなアカウントに対して多数の異なるパスワードで認証を試みます。 検出されると、攻撃者はそのアカウントを使用してサインインできます。

この検出では、ATA が多数の単純なバインド認証を検出すると、アラートがトリガーされます。 これは、多くのユーザー間でパスワードの小さなセットを使用して水平方向に行うか、数人のユーザーで大規模なパスワードセットを垂直方向に使う、またはこれら2つのオプションの任意の組み合わせで行うことができます。

調査

  1. 関連するアカウントが多数ある場合は、Download details を選択して、Excelスプレッドシートの一覧を表示します。

  2. アラートを選択して、その専用ページに移動します。 認証が成功してログイン試行が終了したかどうかを確認します。 試行はインフォグラフィックの右側に Guessed アカウント として表示されます。 "はい" の場合、ソース コンピューターから 通常使用される Guessed アカウント はありますか? [はい] の場合は、疑わしいアクティビティを 抑制 します。

  3. 推測されたアカウントがない場合、攻撃されたアカウントはソース コンピューターから通常使用されますか? [はい] の場合は、疑わしいアクティビティを 抑制 します。

修復

複雑で長いパスワード は、ブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

暗号化のダウングレード アクティビティ

Description

暗号化のダウングレードは、通常、最高レベルの暗号化を使用して暗号化されるプロトコルのさまざまなフィールドの暗号化レベルをダウングレードすることによって、Kerberos を弱める方法です。 暗号化が弱いフィールドは、オフラインブルート フォース試行のターゲットとして簡単にできます。 さまざまな攻撃方法では、脆弱な Kerberos 暗号化サイファーを利用します。 この検出では、ATA はコンピューターとユーザーによって使用される Kerberos 暗号化の種類を学習し、弱い暗号が使用されている場合にアラートを生成します。(1) ソース コンピューターやユーザーにとって通常とは異なっています。(2) 既知の攻撃手法に一致します。

次の 3 種類の検出があります。

  1. スケルトン キー – ドメイン コントローラー上で実行され、パスワードを知らずに任意のアカウントでドメインに対する認証を許可するマルウェアです。 このマルウェアは、多くの場合、弱い暗号化アルゴリズムを使用して、ドメイン コントローラーでユーザーのパスワードをハッシュします。 この検出では、ドメイン コントローラーからチケットを要求するアカウントへのKRB_ERR メッセージの暗号化方法が、以前に学習した動作と比較してダウングレードされました。

  2. ゴールデン チケット – ゴールデン チケット アラートでは、ソース コンピューターからの TGS_REQ (サービス要求) メッセージの TGT フィールドの暗号化方法が、以前に学習した動作と比較してダウングレードされました。 これは、(他のゴールデン チケット検出と同様に) 時間の異常に基づいていません。 さらに、ATA によって検出された以前のサービス要求に関連付けられた Kerberos 認証要求はありませんでした。

  3. Overpass-the-Hash – 攻撃者は、弱い盗まれたハッシュを利用して、Kerberos AS 要求で強力なチケットを生成することができます。 この検出では、ソース コンピューターからのAS_REQ メッセージ暗号化の種類が、以前に学習した動作 (つまり、コンピューターが AES を使用していた) と比較してダウングレードされました。

調査

まず、アラートの説明を確認して、上記の 3 つの検出の種類のうちどれを処理するかを確認します。 詳細については、Excel スプレッドシートをダウンロードしてください。

  1. スケルトン キー - スケルトン キーがドメイン コントローラーに影響を与えたかどうかを確認します。
  2. ゴールデン チケット – Excelスプレッドシートで、Network アクティビティ タブに移動します。関連するダウングレードされたフィールドが Request Ticket Encryption Type で、Source Computer Supported Encryption Types がより強力な暗号化方法を示していることがわかります。 1.ソース コンピューターとアカウントを確認するか、複数のソース コンピューターとアカウントに共通点があるかどうかを確認します (たとえば、すべてのマーケティング担当者が、アラートがトリガーされる可能性がある特定のアプリを使用します)。 使用頻度の低いカスタム アプリケーションが、より低い暗号化暗号を使用して認証を行う場合があります。 ソース コンピューターにこのようなカスタム アプリがあるかどうかを確認します。 もしそうなら、それはおそらく良性の真陽性であり、それを 抑制 することができます。2.これらのチケットによってアクセスされるリソースを確認します。 すべてのリソースがアクセスしているリソースが 1 つある場合は、そのリソースを検証し、アクセスする必要がある有効なリソースであることを確認します。 また、ターゲット リソースが強力な暗号化方法をサポートしているかどうかを確認します。 リソース サービス アカウントの属性 msDS-SupportedEncryptionTypes を確認することで、Active Directoryでこれを確認できます。
  3. Overpass-the-Hash – Excel スプレッドシートで、Network アクティビティ タブに移動します。関連するダウングレードされたフィールドが Encrypted Timestamp Encryption TypeSource Computer Supported Encryption Types には、より強力な暗号化方法が含まれていることがわかります。 1.最近スマートカードの構成が変更された場合、ユーザーがスマートカードを使用してサインインすると、このアラートがトリガーされる場合があります。 関係するアカウントに対してこのような変更があったかどうかを確認します。 その場合、これはおそらく良性の真陽性であり 、抑制することができます 。1.これらのチケットによってアクセスされるリソースを確認します。 すべてのリソースがアクセスしているリソースが 1 つある場合は、そのリソースを検証し、アクセスする必要がある有効なリソースであることを確認します。 また、ターゲット リソースが強力な暗号化方法をサポートしているかどうかを確認します。 リソース サービス アカウントの属性 msDS-SupportedEncryptionTypes を確認することで、Active Directoryでこれを確認できます。

修復

  1. スケルトン キー – マルウェアを削除します。 詳細については、「 スケルトン キーマルウェア分析」を参照してください。

  2. ゴールデン チケット – ゴールデン チケット 疑わしいアクティビティの指示に従います。 また、ゴールデン チケットを作成するにはドメイン管理者権限が必要であるため、 ハッシュの推奨事項を渡すを実装します。

  3. Overpass-the-Hash – 関係するアカウントが機密でない場合は、そのアカウントのパスワードをリセットします。 これにより、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなりますが、既存のチケットは有効期限が切れるまで引き続き使用できます。 機密性の高いアカウントの場合は、ゴールデン チケットの疑わしいアクティビティと同様に、KRBTGT アカウントを 2 回リセットすることを検討する必要があります。 KRBTGT を 2 回リセットすると、このドメイン内のすべての Kerberos チケットが無効になるため、その前に計画を立てます。 KRBTGT アカウントの記事のガイダンスを参照してください。 これは横移動手法であるため、「 ハッシュの推奨事項を渡す」のベスト プラクティスに従ってください。

Honeytoken アクティビティ

Description

Honeytoken アカウントは、これらのアカウントを含む悪意のあるアクティビティを特定して追跡するために設定された、おとりアカウントです。 Honeytoken アカウントは、攻撃者を誘惑する魅力的な名前 (たとえば、SQL-Admin) を持ちながら、未使用のままにする必要があります。 彼らのいかなる活動も、悪意のある行動を示す可能性があります。

ハニー トークン アカウントの詳細については、 ATA のインストール - 手順 7 を参照してください。

調査

  1. ソース コンピューターの所有者が、疑わしいアクティビティ ページで説明されている方法 (Kerberos、LDAP、NTLM など) を使用して、Honeytoken アカウントを認証に使用したかどうかを確認します。

  2. ソース コンピューターのプロファイル ページを参照し、そこから認証された他のアカウントを確認します。 Honeytoken アカウントを使用した場合は、それらのアカウントの所有者に確認してください。

  3. これは非対話型ログインである可能性があるため、ソース コンピューターで実行されているアプリケーションまたはスクリプトを確認してください。

手順 1 から 3 を実行した後、無害な使用の証拠がない場合は、これが悪意があると仮定します。

修復

Honeytoken アカウントが意図した目的にのみ使用されていることを確認します。そうしないと、多くのアラートが生成される可能性があります。

Pass-the-Hash 攻撃を使用した ID の盗難

Description

Pass-the-Hash は、攻撃者が 1 台のコンピューターからユーザーの NTLM ハッシュを盗み、それを使用して別のコンピューターにアクセスする横移動手法です。

調査

ハッシュは、対象ユーザーが所有または定期的に使用するコンピューターから使用されたか。 "はい" の場合、アラートは誤検知であり、そうでない場合は、おそらく真陽性です。

修復

  1. 関係するアカウントが機密性の高くない場合は、そのアカウントのパスワードをリセットします。 パスワードをリセットすると、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなります。 既存のチケットは有効期限が切れるまで引き続き使用できます。

  2. 関連するアカウントが機密性の高い場合は、ゴールデン チケットの疑わしいアクティビティと同様に、KRBTGT アカウントを 2 回リセットすることを検討してください。 KRBTGT を 2 回リセットすると、すべてのドメイン Kerberos チケットが無効になるため、その前に影響を考慮してください。 KRBTGT アカウントの記事のガイダンスを参照してください。 これは通常横移動手法であるため、「 ハッシュの推奨事項を渡す」のベスト プラクティスに従ってください。

Pass-the-Ticket 攻撃を使用した ID 盗難

Description

Pass-the-Ticket は、攻撃者が 1 台のコンピューターから Kerberos チケットを盗み、盗まれたチケットを再利用して別のコンピューターにアクセスするために使用する横移動手法です。 この検出では、2 つ (またはそれ以上) の異なるコンピューターで Kerberos チケットが使用されていることが確認されます。

調査

  1. [ 詳細のダウンロード ] ボタンを選択すると、関連する IP アドレスの完全な一覧が表示されます。 サブネットの一方または両方のコンピューターの IP アドレスは、VPN や WiFi などの不足している DHCP プールから割り当てられていますか? IP アドレスは共有されますか? たとえば、NAT デバイスでしょうか? これらの質問のいずれかに対する回答が "はい" の場合、アラートは誤検知です。

  2. ユーザーに代わってチケットを転送するカスタム アプリケーションはありますか? もしそうなら、それは良性の真陽性です。

修復

  1. 関係するアカウントが機密性の高くない場合は、そのアカウントのパスワードをリセットします。 パスワードのリセットにより、攻撃者はパスワード ハッシュから新しい Kerberos チケットを作成できなくなります。 既存のチケットは有効期限が切れるまで使用できます。

  2. 機密性の高いアカウントの場合は、ゴールデン チケットの疑わしいアクティビティと同様に、KRBTGT アカウントを 2 回リセットすることを検討する必要があります。 KRBTGT を 2 回リセットすると、このドメイン内のすべての Kerberos チケットが無効になるため、その前に計画を立てます。 KRBTGT アカウントの記事のガイダンスを参照してください。 これは横移動手法であるため、「 ハッシュの推奨事項を渡す」のベスト プラクティスに従ってください。

Kerberos ゴールデン チケット アクティビティ

Description

ドメイン管理者権限を持つ攻撃者は 、KRBTGT アカウントを侵害する可能性があります。 攻撃者は KRBTGT アカウントを使用して、任意のリソースに承認を提供する Kerberos チケット許可チケット (TGT) を作成できます。 チケットの有効期限は任意の時刻に設定できます。 この偽の TGT は "ゴールデン チケット" と呼ばれ、攻撃者がネットワークで永続化を実現し、維持することができます。

この検出では、Kerberos チケット許可チケット (TGT) が、ユーザー チケット セキュリティ ポリシーの 最大有効期間 で指定されている許容時間を超えると、アラートがトリガーされます。

調査

  1. グループ ポリシーの [ユーザー チケットの最長有効期間 ] 設定に最近 (過去数時間以内に) 変更が加えられたかどうか。 "はい" の場合は、アラートを 閉じます (誤検知でした)。

  2. このアラートに関係する ATA ゲートウェイは仮想マシンですか? "はい" の場合、最近保存された状態から再開されましたか? [はい] の場合は、このアラートを 閉じます

  3. 上記の質問に対する回答が [いいえ] の場合は、これが悪意があると仮定します。

修復

KRBTGT アカウントの記事のガイダンスに従って、Kerberos チケット付与チケット (KRBTGT) パスワードを 2 回変更します。 KRBTGT を 2 回リセットすると、このドメイン内のすべての Kerberos チケットが無効になるため、その前に計画を立てます。 また、ゴールデン チケットを作成するにはドメイン管理者権限が必要であるため、 ハッシュの推奨事項を渡すを実装します。

悪意のあるデータ保護の個人情報要求

Description

Data Protection API (DPAPI) は、ブラウザー、暗号化されたファイル、およびその他の機密データによって保存されたパスワードを安全に保護するために Windows によって使用されます。 ドメイン コントローラーには、ドメインに参加している Windows マシンで DPAPI で暗号化されたすべてのシークレットの暗号化を解除するために使用できるバックアップ マスター キーが保持されています。 攻撃者は、そのマスター キーを使用して、ドメインに参加しているすべてのマシンで DPAPI によって保護されているシークレットを復号化できます。 この検出では、DPAPI を使用してバックアップ マスター キーを取得するときにアラートがトリガーされます。

調査

  1. ソース コンピューターは、Active Directoryに対して組織が承認した高度なセキュリティ スキャナーを実行していますか?

  2. はい、常にそうする必要がある場合は、疑わしいアクティビティを 閉じて除外 します。

  3. 「はい」、かつこれを行うべきでない場合は、その疑わしいアクティビティを終了します

修復

DPAPI を使用するには、攻撃者にドメイン管理者権限が必要です。 ハッシュの推奨事項を渡すを実装します。

ディレクトリ サービスの悪意のあるレプリケーション

Description

Active Directory レプリケーションは、1 つのドメイン コントローラーで行われた変更が他のすべてのドメイン コントローラーと同期されるプロセスです。 必要なアクセス許可が与えられると、攻撃者はレプリケーション要求を開始し、パスワード ハッシュを含む Active Directory に格納されているデータを取得できます。

この検出では、ドメイン コントローラーではないコンピューターからレプリケーション要求が開始されると、アラートがトリガーされます。

調査

  1. 問題のコンピューターはドメイン コントローラーですか? たとえば、レプリケーションの問題が発生した新しく昇格されたドメイン コントローラーなどです。 [はい] の場合は、疑わしいアクティビティを 閉じます
  2. 問題のコンピューターは、Active Directoryからデータをレプリケートしているはずですか? たとえば、Microsoft Entra Connect。 [はい] の場合は、疑わしいアクティビティを 閉じて除外 します。
  3. ソース コンピューターまたはアカウントを選択して、そのプロファイル ページに移動します。 レプリケーションの時間の前後に何が発生したかを確認し、ログインしたユーザー、アクセスしたリソースなど、通常とは異なるアクティビティを検索します。

修復

次のアクセス許可を検証します。

  • ディレクトリの変更をレプリケートする

  • ディレクトリの変更をすべてレプリケートする

詳細については、「SharePoint Server 2013でのプロファイル同期用Active Directory Domain Servicesにアクセス許可を付与する方法」を参照してください。 AD ACL スキャナーを利用するか、Windows PowerShell スクリプトを作成して、ドメイン内のユーザーがこれらのアクセス許可を持っているかを判断できます。

大規模なオブジェクトの削除

Description

一部のシナリオでは、攻撃者は情報を盗むだけでなく、サービス拒否 (DoS) 攻撃を実行します。 多数のアカウントを削除することは、DoS 攻撃を試みる方法の 1 つです。

この検出では、すべてのアカウントの 5 つ以上の% が削除されるたびにアラートがトリガーされます。 検出には、削除されたオブジェクト コンテナーへの読み取りアクセスが必要です。 削除されたオブジェクト コンテナーに対する読み取り専用アクセス許可の構成については、「ディレクトリ オブジェクトの表示またはアクセス許可の設定」で、削除されたオブジェクト コンテナーに対するアクセス許可を変更するを参照してください。

調査

削除されたアカウントの一覧を確認し、大規模な削除を正当化するパターンまたはビジネス上の理由があるかどうかを判断します。

修復

Active Directoryでアカウントを削除できるユーザーのアクセス許可を削除します。 詳細については、「 ディレクトリ オブジェクトの権限の表示または設定」を参照してください

偽造承認データを使用した特権エスカレーション

Description

以前のバージョンのWindows Serverの既知の脆弱性により、攻撃者は特権属性証明書 (PAC) を操作できます。 PAC は Kerberos チケットのフィールドで、ユーザー承認データ (グループ メンバーシップActive Directory) があり、攻撃者に追加の特権を付与します。

調査

  1. アラートを選択して詳細ページにアクセスします。

  2. ターゲット コンピューター ( ACCESSED 列の下) に MS14-068 (ドメイン コントローラー) または MS11-013 (サーバー) のパッチが適用されていますか? [はい] の場合は、疑わしいアクティビティを 閉じます (誤検知です)。

  3. ターゲット コンピューターに修正プログラムが適用されていない場合、ソース コンピューターは PAC を変更することがわかっている OS/アプリケーションを ( FROM 列の下で) 実行しますか? [はい] の場合は、疑わしいアクティビティを 抑制 します (無害な真陽性です)。

  4. 前の 2 つの質問に対する回答が [いいえ] であった場合は、このアクティビティが悪意があると仮定します。

修復

Windows Server 2012 R2 までのオペレーティング システムを持つすべてのドメイン コントローラーが KB3011780 と共にインストールされ、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーがKB2496930で最新であることを確認します。 詳細については、「 Silver PAC 」および「 偽造 PAC」を参照してください。

アカウント列挙を利用した偵察

Description

アカウント列挙偵察では、攻撃者は何千ものユーザー名を持つディクショナリ、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測しようとします。 攻撃者は、これらの名前を使用して Kerberos 要求を行い、ドメイン内の有効なユーザー名を見つけようとします。 予測がユーザー名を正しく特定した場合、攻撃者は事前認証が必要というKerberosエラーを受け取ることになり、セキュリティ プリンシパル不明というエラーではありません。

この検出では、ATA は、攻撃の発生元、推測試行の合計数、および一致した回数を検出できます。 不明なユーザーが多すぎると、ATA によって疑わしいアクティビティとして検出されます。

調査

  1. アラートを選択して詳細ページに移動します。

    1. このホスト マシンは、アカウント (たとえば、Exchange サーバー) が存在するかどうかについてドメイン コントローラーにクエリを実行する必要がありますか?

  2. この動作を生成できるスクリプトまたはアプリケーションがホスト上で実行されていますか?

    これらの質問のいずれかに対する回答が [はい] の場合は、疑わしいアクティビティを 閉じて (無害な真陽性です)、そのホストを疑わしいアクティビティから除外します。

  3. Excel スプレッドシートでアラートの詳細をダウンロードすると、既存のアカウントと既存でないアカウントに分けて、アカウントの試行の一覧を簡単に確認できます。 スプレッドシートの既存以外のアカウント シートを見ると、アカウントが使い慣れているように見える場合は、無効になっているアカウントまたは会社を離れた従業員である可能性があります。 この場合、辞書から試行が行われる可能性は低いです。 ほとんどの場合、Active Directoryにまだ存在するアカウントを確認しているアプリケーションまたはスクリプトです。これは、無害な真陽性であることを意味します。

  4. 名前があまり知られていない場合、推測試行は、Active Directory内の既存のアカウント名と一致しましたか? 一致が見つからない場合、試行は無駄でしたが、時間の経過と同時に更新されるかどうかを確認するには、アラートに注意する必要があります。

  5. 推測の試行のいずれかが既存のアカウント名と一致する場合、攻撃者は環境内にアカウントが存在することを認識し、検出されたユーザー名を使用してブルート フォースを使用してドメインにアクセスしようとします。 推測されたアカウント名で、追加の疑わしいアクティビティがないか確認します。 一致するアカウントのいずれかが機密性の高いアカウントであるかどうかを確認します。

修復

複雑で長いパスワード は、ブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

ディレクトリサービスのクエリを使用した偵察

Description

ディレクトリ サービスの偵察は、攻撃の後の手順でディレクトリ構造をマップし、特権アカウントをターゲットにするために攻撃者によって使用されます。 Security Account Manager Remote (SAM-R) プロトコルは、ディレクトリに対してクエリを実行してこのようなマッピングを実行するために使用する方法の 1 つです。

この検出では、ATA がデプロイされた後の最初の月にアラートはトリガーされません。 学習期間中、SAM-R クエリがどのコンピューターから行われたかを ATA プロファイルが記録し、これは機密性の高いアカウントに対する列挙クエリや個別のクエリの両方を含みます。

調査

  1. アラートを選択して詳細ページに移動します。 実行されたクエリ (エンタープライズ管理者、管理者など) と、クエリが成功したかどうかを確認します。

  2. このようなクエリは、問題のソース コンピューターから行われると想定されていますか。

  3. はい、アラートが更新された場合は、疑わしいアクティビティを 抑制 します。

  4. "はい" で、この操作を実行しなくなった場合は、疑わしいアクティビティを 閉じます

  5. 関連するアカウントに関する情報がある場合:そのようなクエリは、そのアカウントによって行われると想定されていますか、それとも通常、そのアカウントはソース コンピューターにサインインしますか?

    • はい、アラートが更新された場合は、疑わしいアクティビティを 抑制 します。

    • "はい" で、この操作を実行しなくなった場合は、疑わしいアクティビティを 閉じます

    • 上記のすべてに対する答えがまったくなかった場合は、これが悪意があると仮定します。

  6. 関連したアカウントに関する情報がない場合は、エンドポイントに移動し、アラートの時点でログインしたアカウントを確認できます。

修復

  1. コンピューターで脆弱性スキャン ツールが実行されていますか?
  2. 攻撃でクエリを実行した特定のユーザーとグループが特権アカウントか高価値アカウント (つまり、CEO、CFO、IT 管理など) であるかを調査します。 その場合は、エンドポイント上の他のアクティビティを確認し、クエリされたアカウントがログインしているコンピューターを監視します。これは、おそらく横移動のターゲットであるためです。

DNS を使用した偵察

Description

DNS サーバーには、ネットワーク内のすべてのコンピューター、IP アドレス、およびサービスのマップが含まれています。 この情報は、攻撃者がネットワーク構造をマップし、攻撃の後の手順で興味深いコンピューターをターゲットにするために使用されます。

DNS プロトコルには、いくつかのクエリの種類があります。 ATA は、DNS 以外のサーバーから送信された AXFR (転送) 要求を検出します。

調査

  1. ソース マシン (送信元...) は DNS サーバーですか? "はい" の場合、これはおそらく誤検知です。 検証するには、アラートを選択して詳細ページに移動します。 テーブルの [クエリ] で、 クエリが実行されたドメインを確認します。 これらは既存のドメインですか? "はい" の場合は、疑わしいアクティビティを 閉じます (誤検知です)。 また、将来の誤検知を防ぐために、ATA ゲートウェイとソース コンピューターの間で UDP ポート 53 が開いていることを確認します。
  2. ソース マシンはセキュリティ スキャナーを実行していますか? [はい] の場合は、ATA 内のエンティティを直接 [閉じて除外] で除外するか、[除外] ページを使用して除外します ([構成] の [ATA 管理者が使用可能] の下)。
  3. 上記のすべての質問に対する回答が [いいえ] の場合は、ソース コンピューターに焦点を当てて調査を続けます。 ソース コンピューターを選択して、そのプロファイル ページに移動します。 誰がログインしたか、どのリソースにアクセスしたかなど、通常とは異なるアクティビティを検索して、要求の時間の前後に何が起こったかを確認します。

修復

DNS を使用した偵察の発生を防ぐために内部 DNS サーバーをセキュリティで保護するには、ゾーン転送を無効にするか、指定された IP アドレスのみに制限します。 ゾーン転送の制限の詳細については、「ゾーン転送の 制限」を参照してください。 ゾーン転送の変更は、 内部攻撃と外部攻撃の両方から DNS サーバーをセキュリティで保護するために対処するチェックリストの 1 つのタスクです。

SMB セッションの列挙を用いた偵察

Description

サーバー メッセージ ブロック (SMB) 列挙により、攻撃者はユーザーが最近ログオンした場所に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を横方向に移動して、特定の機密性の高いアカウントに移動できます。

この検出では、ドメイン コントローラーに対して SMB セッション列挙が実行されると、アラートがトリガーされます。

調査

  1. アラートを選択して詳細ページに移動します。 操作を実行したアカウントと、公開されたアカウント (存在する場合) を確認します。

    • ソース コンピューターで何らかのセキュリティ スキャナーが実行されていますか? [はい] の場合は、疑わしいアクティビティを 閉じて除外 します。

  2. 操作を実行した関連ユーザーを確認します。 通常、ソースコンピューターにログオンしますか、それともそのような操作を行うべき管理者ですか?

  3. はい、アラートが更新された場合は、疑わしいアクティビティを 抑制 します。

  4. 「はい」、更新する必要がない場合は、疑わしいアクティビティを終了してください

  5. 上記のすべてに対する答えがいいえの場合は、アクティビティが悪意があると仮定します。

修復

  1. ソース コンピューターを含みます。
  2. 攻撃を実行したツールを見つけて削除します。

リモート実行の試行が検出されました

Description

管理者の資格情報を侵害したり、ゼロデイ攻撃を使用したりする攻撃者は、ドメイン コントローラーでリモート コマンドを実行できます。 これは、永続化、情報の収集、サービス拒否 (DOS) 攻撃などの理由で使用できます。 ATA は、PSexec 接続とリモート WMI 接続を検出します。

調査

  1. これは、管理ワークステーションだけでなく、ドメイン コントローラーに対して管理タスクを実行する IT チーム メンバーやサービス アカウントでも一般的です。 この場合、同じ管理者またはコンピューターがタスクを実行しているためにアラートが更新される場合は、アラートを 抑制 します。
  2. 問題のコンピューターは、ドメイン コントローラーに対してこのリモート実行を実行できますか?
    • 問題のアカウントは、ドメイン コントローラーに対してこのリモート実行を実行できますか?
    • 両方の質問に対する回答が "はい" の場合は、アラートを 閉じます
  3. いずれかの質問に対する回答が no の場合、このアクティビティは真陽性と見なす必要があります。 コンピューターとアカウントのプロファイルを確認して、試行のソースを見つけよう。 ソース コンピューターまたはアカウントを選択して、そのプロファイル ページに移動します。 ログインしたユーザー、アクセスしたリソースなど、異常なアクティビティを検索して、これらの試行の時間の前後に何が起こったかを確認します。

修復

  1. 階層 0 以外のマシンからドメイン コントローラーへのリモート アクセスを制限します。

  2. 特権アクセスを実装して、強化されたマシンのみが管理者のドメイン コントローラーに接続できるようにします。

機密性の高いアカウント資格情報が公開される > アカウント資格情報を公開しているサービス

Note

この疑わしいアクティビティは非推奨となり、1.9 より前の ATA バージョンでのみ表示されます。 ATA 1.9 以降については、「 レポート」を参照してください。

Description

一部のサービスでは、アカウント資格情報がプレーン テキストで送信されます。 これは、機密性の高いアカウントでも発生する可能性があります。 ネットワーク トラフィックを監視する攻撃者は、悪意のある目的でこれらの資格情報をキャッチして再利用できます。 機密性の高いアカウントのクリア テキスト パスワードはアラートをトリガーしますが、機密性の高いアカウントの場合、5 つ以上の異なるアカウントが同じソース コンピューターからクリア テキスト パスワードを送信するとアラートがトリガーされます。

調査

アラートを選択して詳細ページに移動します。 公開されたアカウントを確認します。 このようなアカウントが多数ある場合は、Download details を選択して、Excelスプレッドシートの一覧を表示します。

通常、LDAP 単純バインドを使用するソース コンピューターにはスクリプトまたはレガシ アプリケーションがあります。

修復

ソース コンピューター上の構成を確認し、LDAP 単純バインドを使用しないことを確認します。 LDAP 単純バインドを使用する代わりに、LDAP SALS または LDAPS を使用できます。

疑わしい認証エラー

Description

ブルート フォース攻撃では、攻撃者は、少なくとも 1 つのアカウントに対して正しいパスワードが見つかるまで、さまざまなアカウントに対して多数の異なるパスワードで認証を試みます。 検出されると、攻撃者はそのアカウントを使用してサインインできます。

この検出では、Kerberos または NTLM を使用した多くの認証エラーが発生したときにアラートがトリガーされます。これは、多くのユーザーに対して少数のパスワードセットを使用して水平方向に発生する可能性があります。または少数のユーザーに大量のパスワードを使用して垂直方向に。またはこれら 2 つのオプションの任意の組み合わせ。 アラートがトリガーされるまでの最小期間は 1 週間です。

調査

  1. ダウンロードの詳細を選択して、Excelスプレッドシートの完全な情報を表示します。 次の情報を取得できます。
    • 攻撃されたアカウントの一覧
    • ログイン試行が正常な認証で終了した推測されたアカウントの一覧
    • NTLM を使用して認証試行が実行された場合は、関連するイベント アクティビティが表示されます
    • 認証の試行が Kerberos を使用して実行された場合は、関連するネットワーク アクティビティが表示されます
  2. ソース コンピューターを選択して、そのプロファイル ページに移動します。 ログインしたユーザー、アクセスしたリソースなど、異常なアクティビティを検索して、これらの試行の時間の前後に何が起こったかを確認します。
  3. NTLM を使用して認証が実行され、アラートが何度も発生し、ソース マシンがアクセスしようとしたサーバーに関する十分な情報がない場合は、関連するドメイン コントローラーで NTLM 監査を 有効にする必要があります。 これを行うには、イベント 8004 を有効にします。 これは、ソース コンピューター、ユーザー アカウント、およびソース コンピューターがアクセスしようとした サーバー に関する情報を含む NTLM 認証イベントです。 認証検証を送信したサーバーがわかったら、認証プロセスをより深く理解するために、4624 などのイベントを確認してサーバーを調査する必要があります。

修復

複雑で長いパスワード は、ブルート フォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。

疑わしいサービスの作成

Description

攻撃者は、ネットワーク上で疑わしいサービスを実行しようとします。 ATA は、疑わしいと思われる新しいサービスがドメイン コントローラーに作成されたときにアラートを生成します。 このアラートはイベント 7045 に依存し、ATA ゲートウェイまたはライトウェイト ゲートウェイでカバーされている各ドメイン コントローラーから検出されます。

調査

  1. 対象のコンピューターが管理ワークステーションである場合、または IT チーム メンバーとサービス アカウントが管理タスクを実行するコンピューターである場合、これは誤検知である可能性があり、必要に応じてアラートを 抑制 して除外リストに追加する必要があります。

  2. サービスは、このコンピューターで認識できるものですか?

    • 問題の アカウント は、このサービスのインストールを許可されていますか?

    • 両方の質問に対する回答が [はい] の場合は、アラートを 閉じる か、除外リストに追加します。

  3. どちらかの質問に対する答えが 「いいえ」の場合、これは真陽性と見なす必要があります。

修復

  • ドメイン マシンに対して低い特権アクセスを実装して、特定のユーザーのみが新しいサービスを作成する権限を許可します。

異常な動作に基づく ID 盗難の疑い

Description

ATA は、3 週間のスライディング期間におけるユーザー、コンピューター、リソースのエンティティの動作を学習します。 動作モデルは、エンティティがログインしたマシン、エンティティがアクセスを要求したリソース、およびこれらの操作が行われた時間というアクティビティに基づいています。 ATA は、機械学習アルゴリズムに基づいてエンティティの動作から逸脱した場合にアラートを送信します。

調査

  1. 問題のユーザーは、これらの操作を実行しているはずですか?

  2. 次のケースを潜在的な誤検知と考えます。休暇から戻ったユーザー、職務の一部として過剰なアクセスを実行する IT 担当者 (たとえば、特定の日または 1 週間のヘルプ デスク サポートの急増)、リモート デスクトップ アプリケーション。+ アラートを 閉じて除外 すると、ユーザーは検出の一部ではなくなります

修復

この異常な動作が発生した原因に応じて、さまざまなアクションを実行する必要があります。 たとえば、ネットワークがスキャンされた場合、(承認されていない限り) ソース マシンをネットワークからブロックする必要があります。

通常とは異なるプロトコルの実装

Description

攻撃者は、さまざまなプロトコル (SMB、Kerberos、NTLM) を標準以外の方法で実装するツールを使用します。 この種類のネットワーク トラフィックは警告なしでWindowsで受け入れられますが、ATA は潜在的な悪意のある意図を認識できます。 この動作は、Over-Pass-the-Hash などの手法と、WannaCry などの高度なランサムウェアによって使用される悪用を示しています。

調査

異常なプロトコルを特定する – 疑わしいアクティビティのタイムラインから、疑わしいアクティビティを選択して詳細ページにアクセスします。プロトコルは矢印の上に表示されます: Kerberos または NTLM。

  • Kerberos: 多くの場合、Mimikatz などのハッキング ツールが Overpass-the-Hash 攻撃を使用した可能性がある場合にトリガーされます。 ソース コンピューターが、Kerberos RFC に準拠していない独自の Kerberos スタックを実装するアプリケーションを実行しているかどうかを確認します。 その場合、それは良性の真陽性であり、アラートを 閉じることができます。 アラートが引き続きトリガーされ、引き続き発生する場合は、アラートを 抑制 できます。

  • NTLM: WannaCry または Metasploit、Medusa、Hydra などのツールを使用できます。

アクティビティが WannaCry 攻撃であるかどうかを判断するには、次の手順を実行します。

  1. ソース コンピューターが Metasploit、Medusa、Hydra などの攻撃ツールを実行しているかどうかを確認します。

  2. 攻撃ツールが見つからない場合は、ソース コンピューターが独自の NTLM または SMB スタックを実装するアプリケーションを実行しているかどうかを確認します。

  3. そうでない場合は、WannaCry スキャナー スクリプト (たとえば、疑わしいアクティビティに関係するソース コンピューターに対して このスキャナー ) を実行することによって WannaCry が原因かどうかを確認します。 スキャナーでコンピューターが感染または脆弱であると検出された場合は、コンピューターにパッチを適用し、マルウェアを削除してネットワークからブロックします。

  4. コンピューターが感染または脆弱であることがスクリプトで検出されなかった場合でも、感染している可能性がありますが、SMBv1 が無効になっているか、コンピューターにパッチが適用されている可能性があり、スキャン ツールに影響します。

修復

すべてのマシンに最新のパッチを適用し、すべてのセキュリティ更新プログラムが適用されていることを確認します。

  1. SMBv1 を無効にする

  2. WannaCry の削除

  3. 一部の身代金ソフトウェアの制御に含まれるデータは、復号化されることがあります。 復号化は、ユーザーがコンピューターを再起動またはオフにしていない場合にのみ可能です。 詳細については、「WannaCrypt ランサムウェア ワーム ターゲットの古いシステム」を参照してください。

Note

疑わしいアクティビティアラートを無効にするには、サポートにお問い合わせください。

こちらも参照ください

  • Last updated on