Hopp til hovedinnhold

Microsoft 365 Defender Hendelser og varsler

Logo letter
Evelon AS
Jon-Alfred Smith
Bilde av en finger som trykker på en skjerm

En hendelse i Microsoft 365 Defender er en samling av korrelerte signaler, varsler og annen relevant informasjon. Den kombineres til en enkelt omfattende oversikt som gir et bilde av hele angrepet. Hendelser sikrer at elementer som ellers er spredt over ulike portaler og køer, presenteres i en sammenhengende visning, noe som forbedrer sikkerhetsteamets evne til effektivt å svare på trusler. Ved å gruppere relaterte varsler og trusseldata på denne måten får du lett øye på hvor angrepet startet, hva slags taktikk som er brukt, hvor stort omfanget er, og hvilke data som er berørt.

Eksempel på et cyberangrep

mdefender1

Angrepet innledes med spydfiske, en målrettet phishing-e-post rettet mot en bestemt bruker. Meldingen inneholder en lenke til Meterpreter, som lastes ned til enheten. Dette er ondsinnet programvare som sørger for et interaktivt skall som lar hackeren utforske målmaskinen og kjøre annen kode. Meterpreter distribueres ved hjelp av en DLL-injeksjon i minnet og skriver ingenting til disk – og kan derved ikke oppdages av tradisjonelt antivirus. Når Meterpreter-koden utføres, foretar angriperen rekognosering for å forstå hvilke brukere som har logget på enheten, og hvilke andre enheter disse har tilgang til.

Hackeren finner påloggingsinformasjon til et medlem av IT-Helpdesk ved å benytte seg av Overpass-the-Hash, en metode for å få tak i privilegert brukerlegitimasjon. En vanlig bruker vil som regel være satt opp med akkurat nok rettigheter til å gjøre jobben (prinsippet om minste privilegium). Når det oppstår et problem på en maskin og noen i IT-avdelingen logger seg på, vil det skje med en konto som har mer rettigheter. Legitimasjonen blir liggende i minnet som en hash eller et avtrykk inntil det foretas en omstart. Det er dette angripere utnytter.

Så flytter de seg sidelengs (lateralt) til andre maskiner. På en ny enhet stjeler de brukers legitimasjon, som de anvender for å få ekstern tilgang til sky-apper som OneDrive eller SharePoint. Så legger de inn en ondsinnet makro i et eksisterende Word-dokument, som de utnytter i et lateralt phishing-angrep ved å distribuere lenker til dokumentet til andre brukere i organisasjonen. For å forsvare deg trenger du all mulig varslings- og trusselinformasjon fra flere kilder samlet på ett sted, som Defender for Office 365 for phishing-e-post, Defender for Endpoint for enhetene, Defender for Identity for de kompromitterte kontoene og Defender for Cloud Apps for OneDrive og SharePoint.

Microsoft 365 Defender

For rene Microsoft 365-miljøer gir portalen mye av de samme funksjonene som en løsning for sikkerhetsinformasjon og hendelseshåndtering (SIEM) og sikkerhetsorkestrering, automatisering og respons (SOAR). Det er dessuten støtte for analyse av entitets- og brukeratferd (UEBA). Du har én enkelt glassrute for å administrere de fire Defender-produktene og motta varsler og hendelser fra dem. For mer avansert infrastruktur bør du se nærmere på Microsoft Sentinel.

mdefender2

Sikkerhetsvurderingen er forholdsvis god. Den setter seg sammen av hvordan identiteter, enheter og apper er konfigurert. For anledningen er det foretatt et angrep med Mimikatz, et hackerverktøy som får tak i legitimasjon til brukere med privilegerte rettigheter. Én enhet er berørt, og én bruker er i faresonen. OAuth-apper skal ikke interessere oss her. Når det er påvist skadevare på enheter, vil de ikke være i samsvar lenger; dermed kan man ikke logge på fra dem før den skadelige programvaren er fjernet. Truslene som krever handling, skriver seg fra Microsofts trusselintelligens.

Angrep med Mimikatz

mdefender3

Sammendraget viser en generell oversikt og relaterer angrepet til taktikker, tekniker og prosedyrer som er dokumentert i MITRE ATT&CK. Det gjør det enklere å forstå hva som foregår, og hvilke mottiltak vi må sette inn.

MITRE ATT&CK

MITRE er en ikke-kommersiell spin-off fra Massachusetts Institute of Technology (MIT). ATT&CK står for Adversarial Tactics, Techniques & Common Knowledge – motstandstaktikker, -teknikker og felles kunnskap. Rammeverket representerer de typiske trinnene som cyberangrep går gjennom:

  • Rekognosering: Observasjonsstadiet der angripere vurderer nettverk og tjenester for å identifisere mulige mål og teknikker for å komme seg inn.
  • Inntrenging: Angripere bruker kunnskapen som er oppnådd i rekognoseringsfasen for å få tilgang til deler av et nettverk. Dette innebærer ofte å utforske en feil eller sikkerhetshull.
  • Utnyttelse: Denne fasen innebærer å utnytte sårbarheter og plante ondsinnet kode på systemer for å få mer tilgang.
  • Eskalering av privilegier: Angripere prøver ofte å få administrativ tilgang til kompromitterte systemer for å få tak i mer kritiske data og flytte til andre tilkoblede systemer.
  • Lateral bevegelse: Dette er å flytte sideveis til andre maskiner i nettverket og få større tilgang til mulig sensitive data.
  • Obfuskering/hindring av etterforsking: Angripere skjuler inngangspunktet for å kunne gjennomføre et nettangrep. De vil ofte kompromittere data og tømme logger for å hindre at de blir oppdaget.
  • Tjenestenekt: Denne fasen innebærer å forstyrre normal tilgang for brukere og systemer for å forhindre at angrepet overvåkes, spores eller blokkeres.
  • Eksfiltrering: Det siste utvinningsstadiet består i å få verdifulle data ut av de kompromitterte systemene.

MITRE ATT&CK-rammeverket er mer omfattende og er ikke nødvendigvis begrenset til en lineær rekkefølge av operasjoner, men gir en matrise for innbruddsteknikker.

Varsler

mdefender4

Under Varsler ser vi hva hendelsen setter seg sammen av. Flere av dem er allerede løst ved hjelp av Automatisert etterforskning og utbedring, som anvender kunstig intelligens for automatisk å granske varsler og utbedre komplekse trusler på få minutter. Det reduserer volumet av alarmer som må etterforskes individuelt. Her brukes forskjellige inspeksjonsalgoritmer og prosesser, samt runbooks – en samling rutinemessige prosedyrer og operasjoner – for å undersøke mulige sikkerhetsbrudd og iverksette øyeblikkelige utbedringstiltak.

Etterforskning

mdefender5

Enheter og brukere viser alle som er rammet. Etterforskninger lar deg følge med i de pågående utbedringsprosessene.

Bevis og respons

mdefender6

Ingen postbokser eller apper er berørt her. Det er verdt å legge merke til at vi benytter oss av kriminaltekniske termer som etterforskning og bevisføring, nødvendig i mer kompliserte tilfeller.

Grafisk fremstilling

mdefender7

Naturligvis trenger du ingen grafikk for å forstå et enkelt angrep. Men det kommer veldig godt med om det er mer omfattende og eksempelvis starter via en phishing-e-post, fortsetter på enheter, benyttes til å bevege seg lateralt i nettverket for så å eksfiltrere data.

Håndtere ondsinnete filer

mdefender8

Klikk på et varsel, her som angår Mimikatz. Så får du opp prosesstreet. Du kan åpne filfanen.

mdefender9

Det lar deg se nærmere på filen. Du får frem hvor den er observert i organisasjonen. Du kan sende den inn til Microsoft, som foretar en dypanalyse, blant annet ved å kjøre den gjennom et detonasjonskammer. Du kan se hvordan den vurderes av Virus Total.

Automatisk utbedring

mdefender10

Til slutt ser vi at skaden er automatisk utbedret, og hvor lang tid det tok.

Meldinger i innboksen

mdefender11

Du bør sette opp varslinger via e-post. Opprinnelig ble Mimikatz oppdaget av antivirus-modulen i Defender for Endpoint/Business. Men den var ikke rask nok til å fjerne den, så jeg fikk kjørt den på en Windows 11-enhet i håp om å få tak i en hash av en admin-pålogging med det mål for øye å få herredømme over domenet. Her ble jeg stanset av Endepunktsdeteksjon og respons (EDR), en av kjernefunksjonene i Defender for Endpoint og i utvidet forstand i XDR (X for extended på tvers av Defender-produktene i Microsoft 365 og Azure).

EDR monitorer kontinuerlig en myriade av aktiviteter på endepunkter og sender telemetrien til skytjenesten for videre analyse, som på sin side responderer når (potensielt) ondsinnede aktiviteter oppdages. Hendelsene omfatter oppretting av prosesser og nettverksaktiviteter, inkludert vellykkede og mislykkede tilkoblinger. Det registreres når filer lages, slettes, endres eller omdøpes; det samles også inn informasjon om utbredelsen av en fil, ulike hasher og anvendte sertifikater. EDR overvåker pålogginger, endringer i registeret, imager og drivere som lastes inn, pluss installasjonen av tjenester.

Avsluttende ord

Hensikten var å gi en innføring i Hendelser og varsler i Microsoft 365 Defender. Det ble ikke til mer enn å antyde mulighetene, som med tanke på oppdagelse og analyse representerer automatisering og sklir over i lag 1 (triage). Etterforsking på lag 2 og proaktiv jakt på lag 3 får utestå til en annen anledning.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!