用户添加到特权组

编辑

用户添加到特权组编辑

识别被添加到 Active Directory 中的特权组的用户。Active Directory 中的特权帐户和组被授予了强大的权限、特权和许可，允许它们在 Active Directory 和域加入的系统上执行几乎任何操作。

规则类型: eql

规则索引:

winlogbeat-*
logs-system.*
logs-windows.*

严重程度: 中等

风险评分: 47

每隔: 5m

从: now-9m (日期数学格式，另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考资料:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-b—privileged-accounts-and-groups-in-active-directory

标签:

领域: 端点
操作系统: Windows
用例: 威胁检测
战术: 持久性
资源: 调查指南
用例: Active Directory 监控
数据源: Active Directory

版本: 110

规则作者:

Elastic
Skoetting

规则许可证: Elastic 许可证 v2

调查指南编辑

分类和分析

调查在 Active Directory 中添加特权组的用户

Active Directory 中的特权帐户和组被授予了强大的权限、特权和许可，允许它们在 Active Directory 和域加入的系统上执行几乎任何操作。

攻击者可以将用户添加到特权组中，以便如果他们的其他特权帐户被安全团队发现，他们可以保持访问权限。这使他们能够在安全团队发现被滥用的帐户后继续操作。

此规则监控与用户被添加到特权组相关的事件。

可能的调查步骤

识别执行该操作的用户帐户，以及该帐户是否应该管理此组的成员。
联系帐户所有者并确认他们是否知道此活动。
调查过去 48 小时内与用户/主机相关的其他警报。

误报分析

此攻击滥用了合法的 Active Directory 机制，因此重要的是要确定该活动是否合法，管理员是否有权执行此操作，以及是否需要授予该帐户此权限级别。

响应和修复

根据分类结果启动事件响应流程。
如果管理员不知道该操作，请激活您的 Active Directory 事件响应计划。
如果用户不需要管理员权限，请从特权组中删除该帐户。
查看执行该操作的管理员帐户的特权。
确定攻击者滥用的初始载体，并采取措施防止通过相同的载体重新感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则，版本 <8.2 的事件将不会定义 event.ingested，并且直到版本 8.2 才添加了 EQL 规则的默认回退。因此，为了使此规则有效运行，用户需要添加自定义的摄取管道以将 event.ingested 填充为 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

iam where winlog.api == "wineventlog" and event.action == "added-member-to-group" and
(
    (
        group.name : (
            "Admin*",
            "Local Administrators",
            "Domain Admins",
            "Enterprise Admins",
            "Backup Admins",
            "Schema Admins",
            "DnsAdmins",
            "Exchange Organization Administrators",
            "Print Operators",
            "Server Operators",
            "Account Operators"
        )
    ) or
    (
        group.id : (
            "S-1-5-32-544",
            "S-1-5-21-*-544",
            "S-1-5-21-*-512",
            "S-1-5-21-*-519",
            "S-1-5-21-*-551",
            "S-1-5-21-*-518",
            "S-1-5-21-*-1101",
            "S-1-5-21-*-1102",
            "S-1-5-21-*-550",
            "S-1-5-21-*-549",
            "S-1-5-21-*-548"
        )
    )
)

框架: MITRE ATT&CK^TM

战术
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 帐户操作
- ID: T1098
- 参考 URL: https://attack.mitre.org/techniques/T1098/

« 用户作为 Azure 服务主体的拥有者被添加用户帐户暴露于 Kerberoasting »