› › ›

用户添加到特权组

识别在 Active Directory 中将用户添加到特权组的行为。Active Directory 中的特权帐户和组是指被授予强大权限、特权和许可的帐户和组，这些权限允许他们在 Active Directory 和加入域的系统上执行几乎任何操作。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数量: 100

参考:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-b—privileged-accounts-and-groups-in-active-directory

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
策略: 持久化
资源: 调查指南
用例: Active Directory 监控
数据源: Active Directory
数据源: 系统

版本: 211

规则作者:

Elastic
Skoetting

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 Active Directory 中用户添加到特权组的行为

Active Directory 中的特权帐户和组是指被授予强大权限、特权和许可的帐户和组，这些权限允许他们在 Active Directory 和加入域的系统上执行几乎任何操作。

攻击者可以将用户添加到特权组，以便在安全团队发现他们的其他特权帐户后，保持一定的访问级别。这使他们能够在安全团队发现被滥用的帐户后继续操作。

此规则监视与用户添加到特权组相关的事件。

可能的调查步骤

识别执行操作的用户帐户，并确定该帐户是否应该管理此组的成员。
联系帐户所有者，并确认他们是否了解此活动。
调查过去 48 小时内与用户/主机相关的其他告警。

误报分析

此攻击滥用了合法的 Active Directory 机制，因此确定该活动是否合法、管理员是否有权执行此操作，以及是否有必要授予该帐户此级别的特权非常重要。

响应和补救

根据分类的结果启动事件响应过程。
如果管理员不了解此操作，请激活您的 Active Directory 事件响应计划。
如果用户不需要管理员权限，请将该帐户从特权组中删除。
查看执行操作的管理员帐户的权限。
确定攻击者滥用的初始向量，并采取行动以防止通过同一向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

如果在版本 < 8.2 的非 elastic-agent 索引（例如 beats）上启用 EQL 规则，则事件不会定义 event.ingested，并且直到版本 8.2 才添加 EQL 规则的默认回退。因此，为了使此规则有效运行，用户需要添加自定义摄取管道，将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询

编辑

iam where winlog.api == "wineventlog" and event.action == "added-member-to-group" and
(
    (
        group.name : (
            "Admin*",
            "Local Administrators",
            "Domain Admins",
            "Enterprise Admins",
            "Backup Admins",
            "Schema Admins",
            "DnsAdmins",
            "Exchange Organization Administrators",
            "Print Operators",
            "Server Operators",
            "Account Operators"
        )
    ) or
    (
        group.id : (
            "S-1-5-32-544",
            "S-1-5-21-*-544",
            "S-1-5-21-*-512",
            "S-1-5-21-*-519",
            "S-1-5-21-*-551",
            "S-1-5-21-*-518",
            "S-1-5-21-*-1101",
            "S-1-5-21-*-1102",
            "S-1-5-21-*-550",
            "S-1-5-21-*-549",
            "S-1-5-21-*-548"
        )
    )
)

框架: MITRE ATT&CK^TM

策略
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 帐户操纵
- ID: T1098
- 参考 URL: https://attack.mitre.org/techniques/T1098/

« 将用户添加为 Azure 服务主体的所有者用户添加到管理员组 »