Microsoft Defender for Identityアラートは、アラートが Defender for Identity または Defender XDR から発信されたかどうかに応じて、Microsoft Defender XDR ポータルに 2 つの異なる形式で表示できます。 すべてのアラートは、Defender for Identity センサーからの検出に基づいています。 レイアウトと情報の違いは、Microsoft Defender製品全体で統合されたアラート エクスペリエンスへの継続的な移行の一部です。
すべての Defender for Identity セキュリティ アラートの構造と一般的なコンポーネントを理解する方法の詳細については、「アラートの 表示と管理」を参照してください。
XDR アラート カテゴリのMicrosoft Defender for Identity
Defender for Identity セキュリティ アラートは、対応する MITRE ATT&CK 戦術によって分類されます。 これにより、Defender for Identity アラートがトリガーされたときに使用される可能性がある攻撃手法を理解しやすくなります。 このページには、調査タスクと修復タスクに役立つ各アラートに関する情報が含まれています。 このガイドには、アラートをトリガーするための条件に関する一般的な情報が含まれています。 異常ベースのアラートは、動作が確立されたベースラインから大幅に逸脱した場合にのみトリガーされることに注意してください。
初期アクセス アラート
このセクションでは、悪意のあるアクターがorganizationに最初の足掛かりを得ようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
Okta 匿名ユーザー アクセス説明: 匿名ユーザー アクセスが検出されました。 |
高 | T1078 | xdr_OktaAnonymousUserAccess |
OneLogin に対するパスワード スプレー説明: 疑わしい IP アドレスが、複数の有効なアカウントを使用して OneLogin に対して認証しようとしました。 攻撃者は、後で後続の動作を行うために有効なユーザー アカウントの資格情報を見つけようとしている可能性があります。 |
中 | T1110.003 | xdr_OneLoginPasswordSpray |
疑わしい Okta アカウント列挙説明: 不審な IP アドレスが Okta アカウントを列挙しました。 攻撃者は、後で後続の動作のために探索アクティビティを実行しようとしている可能性があります。 |
高 | T1078.004 | xdr_SuspiciousOktaAccountEnumeration |
疑わしい OneLogin MFA 疲労説明: 疑わしい IP アドレスが、ユーザー アカウントに対して複数の OneLogin 多要素認証 (MFA) チャレンジ試行を送信しました。 攻撃者がユーザーのアカウント資格情報を侵害し、MFA メカニズムをフラッディングしてバイパスしようとしている可能性があります。 |
中 | T1110.003 | xdr_OneLoginMfaFatigue |
管理者アカウントに対して行われた不審なサインイン説明: 管理者アカウントのサインインが疑わしい方法で実行されました。 この動作は、ユーザー アカウントが侵害され、悪意のあるアクティビティに使用されていることを示している可能性があります。 |
低 | T1078.001 | xdr_SuspiciousAdminAccountSignIn |
悪意のある証明書を使用した不審なサインイン説明: 悪意のある証明書を使用してorganizationにサインインしたユーザー。 この動作は、ユーザー アカウントが侵害され、悪意のあるアクティビティに使用されていること、および AAD Internals 証明書を持つ悪意のあるドメインがorganizationに登録されていることを示している可能性があります。 |
高 | T1078.001 | xdr_SignInUsingMaliciousCertificate |
Entra ID 同期アカウントを使用Microsoft Sentinelアプリへの不審なサインイン説明: Microsoft Entra ID Connect 同期アカウントは、通常とは異なる方法でMicrosoft Sentinel リソースにサインインしています。 この動作は、ユーザー アカウントが侵害され、悪意のあるアクティビティに使用されていることを示している可能性があります。 |
低 | T1078.001 | xdr_SuspiciousMicrosoftSentinelAccessByEntraIdSyncAccount |
Microsoft Entra同期アカウントで使用される不審なツール説明: 同期操作に通常使用されるMicrosoft Entra ID アカウントに対する疑わしい認証が検出されました。 この動作は、ユーザー アカウントが侵害され、攻撃者がそれを使用して悪意のあるアクティビティを実行していることを示している可能性があります。 |
高 | T1078.004 | xdr_SuspiciousToolSyncAccountSignIn |
アカウントの危険なサインインを一般的でないアプリに同期する説明: 危険なセッションにサインインした Microsoft Entra ID Connect 同期アカウントは、通常とは異なるアクティビティを実行しました。 この動作は、ユーザー アカウントが侵害され、悪意のあるアクティビティに使用されていることを示している可能性があります。 |
高 | T1078.001 | xdr_RiskyEntraIDSyncAccount |
実行アラート
このセクションでは、悪意のあるアクターがorganizationで悪意のあるコードを実行しようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
疑わしいリモート サービスのインストール説明: 疑わしいサービスのインストールが検出されました。 このサービスは、悪意のある可能性のあるコマンドを実行するために作成されました。 攻撃者がこの攻撃を利用するために、盗まれた資格情報を使用している可能性があります。 これは、ハッシュパス攻撃が使用されたことを示している可能性もあります。 |
中 | T1569.002 | xdr_SuspiciousRemoteServiceInstallation |
永続性アラート
このセクションでは、悪意のあるアクターがorganizationの足掛かりを維持しようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
OAuth アプリによってユーザーが作成されました説明: OAuth アプリケーションによって新しいユーザー アカウントが作成されました。 攻撃者は、organizationの永続化のためにこのアプリケーションを侵害した可能性があります。 |
中 | T1136.003 | xdr_OAuthAppCreatedAUser |
Okta 特権 API トークンが作成されました説明: {ActorAliasName} によって API トークンが作成されました。 盗まれた場合は、攻撃者にユーザーのアクセス許可を付与できます。 |
高 | T1078.004 | xdr_OktaPrivilegedApiTokenCreated |
Okta 特権 API トークンが更新されました説明: {ActorAliasName} は、Privileged API トークンの構成をより無差別に更新しました。 盗まれた場合は、攻撃者にユーザーのアクセス許可を付与できます。 |
高 | T1078.004 | xdr_OktaPrivilegedApiTokenUpdated |
管理者アカウントによる疑わしい MFA 改ざんアクティビティ説明: 管理者アカウントは、危険な認証の後に多要素認証 (MFA) 改ざんアクティビティを実行しました。 攻撃者が管理者アカウントを侵害して、可能な横移動アクティビティの MFA 設定を操作している可能性があります。 |
低 | T1556.006 | xdr_AdminAccountTakeover |
不審なアカウントの作成説明: 侵害された OAuth アプリによって新しいユーザー アカウントが作成されました。 攻撃者は、ネットワーク全体を横方向に移動したりデータにアクセスしたりするために、後でバックドアとして使用するために新しいユーザー アカウントを準備している可能性があります。 このアラートは、侵害された OAuth アプリに関連する別の Microsoft Cloud App Security アラートに基づいてトリガーされました。 |
中 | T1136.003 | xdr_SuspiciousAccountCreation |
代替電話番号の不審な追加説明: 疑わしい方法で複数のユーザーに新しい代替電話番号が追加されました。 攻撃者がこれを行って、organizationの永続化を得た可能性があります。 |
中 | T1556.006 | xdr_SuspiciousMFAAddition |
疑わしいメールの追加説明: 疑わしい方法で複数のユーザーに対して新しいメールが追加されました。 攻撃者がこれを行って、organizationの永続化を得た可能性があります。 |
中 | T1556.006 | xdr_SuspiciousMFAAddition |
プライマリ グループ ID に対する疑わしい変更説明: ユーザーのプライマリ グループ ID が変更されました。 攻撃者がユーザー アカウントを侵害し、後で使用するためにドメインに強力なアクセス許可を持つバックドア ユーザーを割り当てた可能性があります。 |
中 | T1098 | xdr_SuspiciousChangeInUserPrimaryGroupId |
疑わしいファイルの変更説明: ユーザーが疑わしい方法でファイルを変更しました。 |
中 | T1546.001 | xdr_SuspiciousCloudFileModification |
不審なゲスト ユーザーの招待説明: 新しいゲスト ユーザーが不審な方法で招待され、承諾されました。 攻撃者は、organization内のユーザー アカウントを侵害し、それを使用して、永続化のために未承認のユーザーを追加している可能性があります。 |
中 | T1136.003 | xdr_SuspiciousGuestUserInvitation |
不審な受信トレイ ルール説明: ユーザーがこのデバイスで不審な方法で受信トレイ ルールを変更または作成しました。 |
中 | T1114.003 | xdr_SuspiciousInboxRule |
ユーザーが作成され、機密性の高いロールに割り当てられた説明: 新しいユーザーが作成され、機密性の高いロールに割り当てられます。 攻撃者は、永続化と横移動を実行するためにユーザー アカウントを侵害した可能性があります。 |
中 | T1136.003、 T1098.003 | xdr_SuspiciousUserCreationAndSensitiveRoleAssignment |
特権エスカレーション アラート
このセクションでは、悪意のあるアクターがorganizationで高レベルのアクセス許可を取得しようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
不審な SPN がユーザーに追加されました説明: 不審なサービス プリンシパル名 (SPN) が機密性の高いユーザーに追加されました。 攻撃者は、organization内の横移動に対して昇格されたアクセス権を取得しようとしている可能性があります。 |
高 | T1098 | xdr_SuspiciousAdditionOfSpnToUser |
疑わしい証明書登録の悪用による ESC15 の悪用説明: 証明書が不審に登録されました。 攻撃者が脆弱性 (ESC と呼ばれる) を悪用して、フォレスト内の特権をエスカレートしている可能性があります。 |
高 | T1068 | xdr_SuspectedCertificateEnrollmentESC15 |
防御回避アラート
このセクションでは、悪意のあるアクターがorganizationでの検出を回避しようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
オブジェクトのプライマリ グループ ID を表示するための疑わしいアクセス拒否説明: アクセス制御リスト (ACL) は、オブジェクトのプライマリ グループ ID を表示するためにアクセスを拒否しました。 攻撃者がユーザー アカウントを侵害し、バックドア ユーザーのグループを非表示にしようとしている可能性があります。 |
中 | T1564.002 | xdr_SuspiciousDenyAccessToPrimaryGroupId |
不審なアカウントのリンク説明: クロス テナント管理アクションを通じてアカウントがリンクされました。 アクションは、MFA をバイパスしようとしてアカウントが使用される可能性があることを示す疑わしい方法で実行されました。 |
中 | T1556 | xdr_SuspiciousAccountLink |
Credential Access アラート
このセクションでは、悪意のあるアクターがorganizationからアカウント名とパスワードを盗もうとする可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
AS-REP ロースト説明: 事前認証なしでサインインしようとした回数が検出されました。 この動作は、Kerberos 認証プロトコル (特に事前認証をオフにしたアカウント) を対象とする認証サーバー応答 (AS-REP) のロースト攻撃を示している可能性があります。 |
中 | T1558.004 | xdr_AsrepRoastingAttack |
Honeytoken アクティビティ説明: Honeytoken ユーザーがサインインしようとしました |
高 | T1098 | xdr_HoneytokenSignInAttempt |
NEGOEX リレー攻撃説明: 攻撃者は NEGOEX を使用して、クライアントが接続するサーバーを偽装し、攻撃者が認証プロセスを任意のターゲットに中継できるようにします。 これにより、攻撃者はターゲットにアクセスできます。 NEGOEX は、参加しているデバイスに対してユーザー アカウントを認証するように設計Microsoft Entra認証プロトコルです。 |
高 | T1187、 T1557.001 | xdr_NegoexRelayAttack |
アプリケーションに割り当てられた Okta 特権ロール説明: {ActorAliasName} が {RoleDisplayName} ロールをアプリケーションに割り当て: {ApplicationDisplayName} |
高 | T1003.006 | xdr_OktaPrivilegedRoleAssignedToApplication |
AS-REP ロースト攻撃の可能性説明: 事前認証を必要としないアカウントに対して、疑わしい Kerberos 認証要求が行われました。 攻撃者が AS-REP ロースト攻撃を実行してパスワードを盗み、ネットワークにさらにアクセスしている可能性があります。 |
中 | T1558.004 | xdr_AsrepRoastingAttack |
ゴールデン SAML 攻撃の可能性説明: ゴールデン SAML 攻撃に関連する可能性がある特性で認証された特権ユーザー アカウント。 |
高 | T1071、 T1606.002 | xdr_PossibleGoldenSamlAttack |
NetSync 攻撃の可能性説明: NetSync は、悪用後のツールである Mimikatz のモジュールであり、ドメイン コントローラーのふりをしてターゲット デバイスのパスワードのパスワード ハッシュを要求します。 攻撃者は、この機能を使用してネットワーク内で悪意のあるアクティビティを実行して、organizationのリソースにアクセスしている可能性があります。 |
高 | T1003.006 | xdr_PossibleNetsyncAttack |
アカウント シークレットリークの可能性説明: 資格情報の詰め込みツールによってユーザー アカウントにサインインできませんでした。 エラー コードは、シークレットが有効であったが誤用されたことを示します。 ユーザー アカウントの資格情報が漏洩したか、未承認のパーティが所有している可能性があります。 |
中 | T1078 | xdr_CredentialStuffingToolObserved |
ゴールデン チケット攻撃の可能性説明: 疑わしい Kerberos チケット許可サービス (TGS) 要求が観察されました。 攻撃者は、KRBTGT アカウントの盗まれた資格情報を使用してゴールデン チケット攻撃を試みる可能性があります。 |
高 | T1558、 T1558.001 | xdr_PossibleGoldenTicketAttacks |
ゴールデン チケット攻撃の可能性 (CVE-2021-42287 の悪用)説明: 異常な Kerberos 特権属性証明書 (PAC) を含む疑わしい Kerberos チケット許可チケット (TGT) が観察されました。 攻撃者が KRBTGT アカウントの資格情報を盗み取ってゴールデン チケット攻撃を試みる可能性があります。 |
高 | T1558、 T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousPac |
可能性のある overpass-the-hash 攻撃説明: 可能性のある overpass-the-hash 攻撃が検出されました。 この種の攻撃では、攻撃者はユーザー アカウントまたは他の Kerberos キーの NT ハッシュを使用して Kerberos チケットを取得し、ネットワーク リソースへの不正なアクセスを許可します。 |
高 | T1003.006 | xdr_PossibleOverPassTheHash |
サービス プリンシパル アカウントのシークレット リークの可能性説明: 資格情報の詰め込みツールによるサービス プリンシパル アカウントへのサインインが失敗しました。 エラー コードは、シークレットが有効であったが誤用されたことを示します。 サービス プリンシパル アカウントの資格情報が漏洩したか、未承認のパーティが所有している可能性があります。 |
中 | T1078 | xdr_CredentialStuffingToolObserved |
サインインしているサービス プリンシパル アカウントが侵害された可能性がある説明: サインインしているサービス プリンシパル アカウントが侵害された可能性があります。 資格情報の詰め込みが正常に認証されました。これは、サービス プリンシパル アカウントの資格情報が漏洩したか、未承認のパーティが所有している可能性があることを示しています。 |
中 | T1078 | xdr_CredentialStuffingToolObserved |
サインインしている可能性のある侵害されたユーザー アカウント説明: 侵害された可能性のあるユーザー アカウントがサインインしている。 資格情報の詰め込みが正常に認証されました。これは、ユーザー アカウントの資格情報が漏洩したか、未承認のパーティが所有している可能性があることを示しています。 |
中 | T1078 | xdr_CredentialStuffingToolObserved |
疑わしい DMSA 関連のアクティビティが検出されました説明: 疑わしい DMSA 関連のアクティビティが検出されました。 これは、侵害されたマネージド アカウントまたは DMSA アカウントの悪用を示している可能性があります。 |
高 | T1555 | xdr_SuspiciousDmsaAction |
疑わしいゴールデン gMSA 関連のアクティビティ説明: 機密性の高いグループマネージド サービス アカウント (gMSA) オブジェクトに対して疑わしい読み取りアクティビティが行われました。これは、ゴールデン gMSA 攻撃を利用しようとしている脅威アクターに関連付けられる可能性があります。 |
高 | T1555 | xdr_SuspiciousGoldenGmsaActivity |
疑わしい Kerberos 認証 (AP-REQ)説明: 疑わしい Kerberos アプリケーション要求 (AP-REQ) が検出されました。 攻撃者は、サービス アカウントの盗まれた資格情報を使用して、シルバー チケット攻撃を試みる可能性があります。 この種の攻撃では、攻撃者はネットワーク内の特定のサービスのサービス チケット (チケット付与サービスまたは TGS) を偽造します。これにより、攻撃者は最初の侵害後にドメイン コントローラーと対話することなく、そのサービスにアクセスできます。 |
高 | T1558、 T1558.002 | xdr_SuspiciousKerberosApReq |
疑わしい Kerberos 認証 (AS-REQ)説明: チケット許可チケット (TGT) に対する疑わしい Kerberos 認証要求 (AS-REQ) が観察されました。 この異常な TGT 要求は、攻撃者によって特別に作成されたと疑われます。 攻撃者は、盗まれた資格情報を使用してこの攻撃を利用している可能性があります。 |
中 | T1550、 T1558 | xdr_SusKerberosAuth_AsReq |
疑わしい Kerberos 認証 (TGS-REQ を使用した TGT 要求)説明: User to Self (S4U2self) 拡張機能に関連する疑わしい Kerberos チケット付与サービス要求 (TGS-REQ) が観察されました。 この異常な TGS 要求は、攻撃者によって特別に作成されたと疑われます。 |
中 | T1550、 T1558 | xdr_SusKerberosAuth_S4U2selfTgsReq |
ESXi グループの疑わしい作成説明: 疑わしい VMware ESXi グループがドメインに作成されました。 これは、攻撃者が攻撃の後の手順に対してより多くのアクセス許可を取得しようとしていることを示している可能性があります。 |
高 | T1098 | xdr_SuspiciousUserAdditionToEsxGroup |
ブルート フォース攻撃の疑い (LDAP)前の名前: LDAP 簡易バインドを使用したブルート フォース攻撃。 説明: ブルート フォース攻撃では、攻撃者は、少なくとも 1 つのアカウントに対して正しいパスワードが見つかるまで、さまざまなアカウントに対してさまざまなパスワードで認証を試みます。 検出されると、攻撃者はそのアカウントを使用してログインできます。 この検出では、Defender for Identity が多数の単純なバインド認証を検出すると、アラートがトリガーされます。 このアラートは、多数のユーザーに対して小規模なパスワード セットを使用して 水平方向に 実行されたブルート フォース攻撃、少数のユーザーに対する大規模なパスワード セットを 垂直方向に 実行する攻撃、または 2 つのオプションの任意の組み合わせを検出します。 このアラートは、ドメイン コントローラーと AD FS/AD CS サーバーで実行されているセンサーからの認証イベントに基づいています。 学習期間: なし 予防のための推奨される手順: - organizationに複雑で長いパスワードを適用します。 これにより、将来のブルートフォース攻撃に対して必要な第 1 レベルのセキュリティが提供されます。 - organizationで LDAP クリア テキスト プロトコルが今後使用されないようにします。 |
中 |
TA0006 T1110 T1110.001 T1110.003 |
xdr_LdapBindBruteforce |
検出アラート
このセクションでは、悪意のあるアクターがorganizationに関する情報を収集しようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
Okta 同期サービス プリンシパルの列挙説明: Okta 同期サービス アカウントを見つけるための不審な LDAP (ライトウェイト ディレクトリ アクセス プロトコル) 列挙が検出されました。 この動作は、ユーザー アカウントが侵害され、攻撃者がそれを使用して悪意のあるアクティビティを実行していることを示している可能性があります。 |
高 | T1087.002 | xdr_OktaSyncServicePrincipalEnumeration |
機密性の高い LDAP 属性に関連する偵察説明: 機密性の高いライトウェイト ディレクトリ アクセス プロトコル (LDAP) 属性に関連する偵察アクティビティがこのデバイスで検出されました。 攻撃者がユーザー アカウントを侵害し、次の手順で使用する情報を探している可能性があります。 |
中 | T1087.002 | xdr_LdapSensitiveAttributeRecon |
疑わしい LDAP クエリ説明: 既知の攻撃ツールに関連付けられている疑わしい Lightweight Directory Access Protocol (LDAP) クエリが検出されました。 攻撃者は、後の手順で偵察を実行している可能性があります。 |
高 | T1087.002 | xdr_SuspiciousLdapQuery |
LDAP を使用した Active Directory 属性の偵察説明: Active Directory LDAP 偵察は、ドメイン環境に関する重要な情報を取得するために攻撃者によって使用されます。 この情報は、攻撃者がドメイン構造をマップし、攻撃キル チェーンの後の手順で使用する特権アカウントを特定するのに役立ちます。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory を照会するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。 学習期間: なし |
中 |
TA0007 T1087 T1049 T1087.002 |
xdr_LdapSensitiveAttributeReconnaissanceSecurityAlert |
ユーザーと IP アドレスの偵察 (SMB)前の名前: SMB セッション列挙を使用した偵察。 説明: サーバー メッセージ ブロック (SMB) プロトコルを使用した列挙により、攻撃者はユーザーが最近ログオンした場所に関する情報を取得できます。 攻撃者がこの情報を取得したら、ネットワーク内を横方向に移動して、特定の機密性の高いアカウントに移動できます。 この検出では、ドメイン コントローラーに対して SMB セッション列挙が実行されると、アラートがトリガーされます。 学習期間: なし |
中 |
TA0007 T1087 T1046 T1018 |
xdr_SmbSessionEnumeration |
AD FS でのアカウント列挙偵察前の名前: アカウント列挙を使用した偵察。 説明: アカウント列挙偵察では、攻撃者は何千ものユーザー名を持つ辞書、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測します。 このアラート検出では、Defender for Identity は、アカウント列挙攻撃の発生元、推測試行の合計数、一致した試行回数を検出します。 不明なユーザーが多すぎる場合は、Defender for Identity によって疑わしいアクティビティとして検出されます。 このアラートは、ドメイン コントローラーと AD FS/AD CS サーバーで実行されているセンサーからの認証イベントに基づいています。 学習期間: なし 予防のための推奨される手順: organizationで複雑なパスワードと長いパスワードを適用します。 複雑で長いパスワードは、ブルートフォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。 ブルート フォース攻撃は、通常、列挙に続くサイバー攻撃キル チェーンの次の手順です。 |
中 |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertAdfs |
Kerberos でのアカウント列挙偵察前の名前: アカウント列挙を使用した偵察。 説明: アカウント列挙偵察では、攻撃者は何千ものユーザー名を持つ辞書、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測します。 攻撃者は、これらの名前を使用して Kerberos 要求を行い、ドメイン内の有効なユーザー名を検索しようとします。 推測によってユーザー名が正常に決定されると、攻撃者はセキュリティ プリンシパル不明の Kerberos エラーの代わりに必要な事前認証を取得します。 このアラート検出では、Defender for Identity は、アカウント列挙攻撃の発生元、推測試行の合計数、一致した試行回数を検出します。 不明なユーザーが多すぎる場合は、Defender for Identity によって疑わしいアクティビティとして検出されます。 このアラートは、ドメイン コントローラーと AD FS/AD CS サーバーで実行されているセンサーからの認証イベントに基づいています。 学習期間: なし 予防のための推奨される手順: organizationで複雑なパスワードと長いパスワードを適用します。 複雑で長いパスワードは、ブルートフォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。 ブルート フォース攻撃は、通常、列挙に続くサイバー攻撃キル チェーンの次の手順です。 |
中 |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertKerberos |
NTLM でのアカウント列挙偵察前の名前: アカウント列挙を使用した偵察。 説明: アカウント列挙偵察では、攻撃者は何千ものユーザー名を持つ辞書、または KrbGuess などのツールを使用して、ドメイン内のユーザー名を推測します。 攻撃者は、ドメイン内の有効なユーザー名を見つけるために、名前の辞書を使用して NTLM 認証要求を行います。 推測でユーザー名が正常に特定された場合、攻撃者は NoSuchUser (0xc0000064) NTLM エラーではなく、WrongPassword (0xc000006a) を取得します。 このアラート検出では、Defender for Identity は、アカウント列挙攻撃の発生元、推測試行の合計数、一致した試行回数を検出します。 不明なユーザーが多すぎる場合は、Defender for Identity によって疑わしいアクティビティとして検出されます。 このアラートは、ドメイン コントローラーと AD FS/AD CS サーバーで実行されているセンサーからの認証イベントに基づいています。 学習期間: なし 予防のための推奨される手順: organizationで複雑なパスワードと長いパスワードを適用します。 複雑で長いパスワードは、ブルートフォース攻撃に対して必要な第 1 レベルのセキュリティを提供します。 ブルート フォース攻撃は、通常、列挙に続くサイバー攻撃キル チェーンの次の手順です。 |
中 |
TA0007 T1087 T1087.002 |
xdr_AccountEnumerationHintSecurityAlertNtlm |
横移動アラート
このセクションでは、悪意のあるアクターがorganization内のリソースまたは ID 間を移動しようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
可能な認証サイロ バイパス説明: このデバイスで、認証サイロ ポリシーをバイパスし、サイロで保護されたサービスに対する認証を試みた可能性が検出されました。 |
高 | T1550 | xdr_PossibleAuthenticationSiloBypass |
Microsoft Entra シームレス SSO アカウントの引き継ぎの可能性説明: Microsoft Entraシームレス SSO (シングル サインオン) アカウント オブジェクト AZUREADSSOACC が疑わしい変更されました。 攻撃者は、オンプレミス環境からクラウドに横方向に移動している可能性があります。 |
高 | T1556 | xdr_SuspectedAzureSsoAccountTakeover |
パスワード同期後の疑わしいアクティビティ説明: ユーザーは、最近のパスワード同期後にアプリケーションに対して一般的でないアクションを実行しました。攻撃者がユーザーのアカウントを侵害して、organizationで悪意のあるアクティビティを実行した可能性があります。 |
中 | T1021.007 | xdr_SuspiciousActivityAfterPasswordSync |
暗号化ファイル システム リモート プロトコル経由の疑わしいネットワーク接続説明: 敵対者は、暗号化ファイル システム リモート プロトコルを悪用して、特権ファイル操作を不適切に実行する可能性があります。 この攻撃では、攻撃者は、コンピューター アカウントからの認証を強制し、証明書サービスに中継することで、Active Directory ネットワーク内の特権をエスカレートできます。 この攻撃により、攻撃者は、暗号化ファイル システム リモート (EFSRPC) プロトコルの欠陥を悪用し、それを Active Directory 証明書サービスの欠陥でチェーンすることで、Active Directory (AD) ドメインを引き継ぐことができます。 学習期間: なし |
高または中 |
TA0008 T1210 |
xdr_SuspiciousConnectionOverEFDRPC |
コレクションのアラート
このセクションでは、悪意のあるアクターが目的のデータをorganizationから収集しようとしている可能性があることを示すアラートについて説明します。
| セキュリティ アラート名 | 重要度 | MITRE テクニック | ディテクタ ID |
|---|---|---|---|
Okta セッションの盗難の可能性説明: 盗まれた可能性のある Okta セッション Cookie を使用する新しい接続が開始されました。 攻撃者がセッション Cookie を盗み、悪意のあるアクションを実行するためにそれを使用している可能性があります。 |
高 | T1539 | xdr_PossibleOktaSessionTheft |