Indicators of Attack
Indicators of Attack sind Anzeichen für potenzielle oder laufende Angriffe auf das Active Directory. Anders als IoEs, die auf Schwachstellen hinweisen, zeigen IoAs verdächtige Aktivitäten an, die auf einen tatsächlichen Angriff hindeuten könnten.
Sie finden diese Informationen in unserem Dashboard unter dem Reiter „Indicators of Attack“.
Benachrichtigung
Sie werden automatisch bei allen neu gefundenen potenziellen Angriffen per E-Mail benachrichtigt.
Diese Alarme sollten sofort untersucht werden, um Angriffe frühzeitig zu erkennen und rechtzeitig reagieren zu können.
Nach der Untersuchung sollte jeder IoA klassifiziert werden. Dies dient zum einen zur Dokumentation und hilft Kollegen:Innen, um zu verstehen, ob ein Vorfall bereits untersucht und abgeschlossen wurde.
Dabei gibt die drei Hauptkategorien „Angriff„, „Erwartet“ und „False Positive„
Erkannte Angriffe
| Titel | Auswirkung / Beschreibung | Anmerkung |
|---|---|---|
| DC shadow | Neuer Domaincontroller erstellt | Nur Active Directory |
| Neues Mitglied in privilegierte Gruppe | Benutzer wurde einer privilegierten Gruppe hinzugefügt | |
| Passwort Guessing | Mehrere fehlgeschlagene Anmeldeversuche wurden bei einem Benutzerkonto festgestellt | In Entra nur mit P1 / P2 Lizenz |
| Passwort Spraying | In der letzten Stunde wurde bei mehreren Benutzerkonten ein falsches Passwort eingegeben. | In Entra nur mit P1 / P2 Lizenz |
| Interaktion mit Honeytoken-Benutzer | Wurden Attribute des hinterlegten Honeytoken-Benutzers geändert oder ist eine Anmeldung fehlgeschlagen, wird dieser Alarm erzeugt. | |
| DCSync | Bald verfügbar | |
| Silver Ticket | Bald verfügbar | |
| Golden Ticket | Bald verfügbar | |
| Kerberoasting | Bald verfügbar | |
| PetitPotam | Bald verfügbar | |
| Credential Dumping | Bald verfügbar | |
| SAM Name Impersonation | Bald verfügbar |
Nicht die richtige Antwort gefunden?
Wir helfen gerne weiter! Schreiben Sie uns an support@sec-auditor.com