Tenable.ad インジケーター

Tenable.ad は、脅威の予測、違反の検出、インシデントや攻撃への対応により、インフラストラクチャの安全を確保します。直感的なダッシュボードを使用してアクティブなディレクトリをリアルタイムに監視し、最も重大な脆弱性とその推奨修正案を一目で確認できます。Tenable.ad の攻撃インジケーターと露出インジケーターは、アクティブなディレクトリに影響を与える根本的な問題の検出、危険な信頼関係の特定、攻撃の詳細な分析を可能にします。

検索

攻撃インジケーター

  • さまざまなツールを使って、DNS サービスの何らかの設定ミスを悪用し、ドメインコントローラーに対して任意のコードを実行する可能性があります。

  • DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSA RPC コールを使ってドメインコントローラーからこのキーを抽出するための、さまざまな攻撃ツールが存在します。

  • 攻撃者が sAMAccountName なりすまし (CVE-2021-42287 / CVE-2021-42278) に関連する脆弱性を悪用しようとしました。

  • NTDS 抽出

    critical

    NTDS Extraction 攻撃の構成要素は、特権攻撃者がドメインコントローラーのローカルファイル NTDS.dit によって表される Active Directory ドメインデータベースのコピーを盗み出すことです。攻撃者は、NTDS.dit ファイルの既存のバックアップにアクセスしたり新しいバックアップを作成したりして、資格情報を盗んだり、デバイス、ユーザー、アクセス権などのドメインメンバーに関するその他の情報を取得したりする可能性があります。

  • Kerberoasting 攻撃では、攻撃者は Kerberos サービスチケットを要求し、このサービスチケットの暗号化された技術的な部分に対して後からオフラインのブルートフォースアタックを実行します。これらの部分はターゲットとなったサービスアカウントのパスワードによって暗号化されているため、パスワード複雑度が低すぎる場合、パスワードが推測され、サービスアカウントが侵害される可能性があります。このインジケーターが十分に機能するための前提条件として、監視対象ドメインごとに Tenable.ad ハニーアカウントが適切に構成されている必要があります。

  • 複数のコンピューターに対し、NTLM または Kerberos プロトコルを使用して同じソースから大量の認証要求が送信された場合、攻撃の兆候である可能性があります。

  • ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して SAMR RPC インターフェイスで列挙されました。

  • PetitPotam

    critical

    PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。

  • パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。

  • パスワード推測 (ブルートフォース)攻撃は、推測がいずれは当たることを期待して、攻撃者が大量のパスワード (またはパスフレーズ)を送信する攻撃です。攻撃者は、正しいパスワードまたはパスフレーズが見つかるまで、考えうるすべてのパスワードまたはパスフレーズを体系的にチェックします。


See all Indicators of Attack

露出インジケーター


See all Indicators of Exposure