Inside Microsoft Threat Protection: Die Power der Korrelationsanalyse löst domänenübergreifende Sicherheitsvorfälle
Theoretisch kann eine Cyberattacke in jeder Phase der Angriffskette unterbrochen werden. In der Realität sollten sich die Grenzen der einzelnen Verteidigungsaktionen jedoch überlappen, um effektiv zu sein. Wenn eine Bedrohung beispielsweise per E-Mail eintrifft, müssen Unternehmen selbst bei guten Sicherheitslösungen davon ausgehen, dass diese an der E-Mail-Abwehr vorbeikommt, den Empfänger erreicht und weitere Endpunkte und Identitäten gefährden kann. Prinzipiell könnte der Angriff an Endpunkten und Identitäten erfolgreich allein von den Abwehrmaßnahmen bewältigt werden. Allerdings erhöht sich die Fähigkeit dieser Lösungen, Angriffe zu blockieren und abzuschwächen, erheblich durch die Konsolidierung von Signalen. Diese werden über die verschiedenen zu schützenden Komponenten hinweg gesammelt und analysiert.
Microsoft Threat Protection durchsucht Endpunkte, E-Mails und Dokumente, Cloud-Anwendungen und Identitätsaktivitäten kontinuierlich und nahtlos nach verdächtigen Signalen. Durch eine tiefe Korrelationslogik findet Microsoft Threat Protection automatisch Verknüpfungen zwischen verwandten Signalen über Domänen hinweg. Es verbindet verwandte vorhandene Warnmeldungen miteinander und generiert zusätzliche Warnmeldungen, wenn verdächtige Ereignisse erkannt werden, die andernfalls übersehen werden könnten. Wir nennen diese korrelierten Entitäten „Incidents/Vorfälle“.
Wie die zukunftsweisende Korrelation von Microsoft Threat Protection die Arbeit von SOC-Analysten einfacher und effizienter macht
Die Logik zur Erstellung von Vorfällen bei Microsoft Threat Protection kombiniert KI-Technologie und das kollektive Domänenwissen der Microsoft-Sicherheitsexperten und baut auf einer breiten Optik auf, um eine umfassende Abdeckung zu gewährleisten. Diese Korrelationen stimmen mit dem MITRE ATT&CK-Rahmenwerk über ein einheitliches Schema von Angriffseinheiten überein, so dass Microsoft Threat Protection die Punkte zwischen scheinbar nicht zusammenhängenden Signalen automatisch verbinden kann.
Vorfälle stellen sicher, dass Elemente, die sonst auf verschiedene Portale und Warteschlangen verteilt sind, in einer einzigen zusammenhängenden Ansicht dargestellt werden, was den Sicherheitsoperationszentren (SOC) in erheblichem Maße hilft. Erstens reduzieren sie die Arbeitsbelastung des SOC: Vorfälle sammeln und korrelieren automatisch isolierte Warnungen und andere damit zusammenhängende Sicherheitsereignisse, so dass Analysten weniger und umfangreichere Arbeitsaufgaben in ihrer Warteschlange haben. Zweitens können SOC-Analysten zusammenhängende Warnmeldungen, betroffene Anlagen und andere Beweise gemeinsam analysieren, wodurch die Notwendigkeit einer manuellen Korrelation verringert wird und es einfacher und schneller möglich ist, die gesamte Angriffsgeschichte zu verstehen und gezielte Maßnahmen zu ergreifen.
Angriffsausbreitung dargestellt
Der Grad der Ausgereiftheit der heutigen Bedrohungen, einschließlich Angriffe auf nationalstaatlicher Ebene und von Menschen betriebene Lösegeldforderungen, machen deutlich, warum eine koordinierte Verteidigung entscheidend ist, um den Schutz von Organisationen zu gewährleisten.
Um zu veranschaulichen, wie Microsoft Threat Protection vor solch ausgeklügelten Angriffen schützt, bat Microsoft sein Forschungsteam für Sicherheit, eine durchgehende Angriffskette über mehrere Domänen hinweg zu simulieren, die auf Techniken basiert, die das Microsoft Threat Protection Team bei tatsächlichen Untersuchungen beobachtet hat.
Ihr Angriff beginnt mit einer Spear-Phishing-E-Mail, die sich an einen bestimmten Benutzer richtet. Die E-Mail enthält einen Link, der bei Anklicken eine bösartige .lnk-Datei herunterlädt, die die Meterpreter-Nutzlast inszeniert. Während ihr bösartiger Code auf dem Zielgerät ausgeführt wird, führen die Angreifer eine Erkundung durch, um zu verstehen, welche Benutzer sich bei dem Gerät angemeldet haben und auf welche anderen Geräte diese Benutzer Zugriff haben. In diesem Fall finden sie beispielsweise die Anmeldedaten eines IT-Helpdesk-Teammitglieds. Indem die Angreifer dieses IT-Helpdesk-Teammitglied über Overpass-the-Hash imitieren, können sie sich seitlich zu einem zweiten Gerät bewegen.
Auf dem zweiten Gerät stehlen sie die Web-Zugangsdaten des Benutzers, die sie für den Fernzugriff auf die Cloud-Anwendungen des Benutzers wie OneDrive oder SharePoint verwenden. Auf diese Weise können die Angreifer ein böswilliges Makro in ein bestehendes Online-Word-Dokument einfügen, das sie dann in einem seitlichen Phishing-Angriff einsetzen, indem sie Links zu dem böswilligen Dokument an andere Benutzer in der Organisation verteilen.
Abbildung 1: Unser Angriffsfall-Szenario zeigt den ersten Zugriff durch Spear-Phishing und die seitliche Bewegung durch Overpass-the-Hash-Angriff
Als Microsofts Sicherheitsexperten diesen Angriff in ihrer Simulationsumgebung durchführten, war Microsoft Threat Protection in der Lage, die Aktivitäten der Angreifer zu verfolgen, während sie auf die Zielorganisation zugriffen, Fuß fassten und sich über das Netzwerk bewegten. Anschließend sammelte Microsoft Threat Protection unter Verwendung einer erweiterten Korrelation automatisch alle Signale, Warnungen und relevanten Entitäten zu einem einzigen umfassenden Vorfall, der den gesamten Angriff darstellt:
Abbildung 2: Vorfall mit Darstellung der gesamten Angriffskette und der betroffenen Entitäten
Initialer Zugriff: Korrelieren von E-Mail, Identität und Endpunktsignalen
Werfen wir einen Blick hinter die Kulissen, um zu verstehen, wie der Microsoft Threat Protection die Punkte bei einem solchen Angriff verbindet.
Wenn das Ziel-Angriffsopfer der ersten Spear-Phishing-E-Mail auf die URL in der E-Mail klickt, wird eine bösartige .lnk-Datei heruntergeladen und auf dem Gerät ausgeführt. In einem solchen Szenario kennzeichnet Office 365 Advanced Threat Protection (ATP) sowohl die E-Mail als auch die URL als bösartig und löst eine Warnung aus. Normalerweise würden SOC-Analysten diese Warnung analysieren, Angreiferindikatoren wie die bösartige URL extrahieren, manuell nach allen Geräten suchen, auf denen diese bösartige URL angeklickt wurde, und dann auf diesen Geräten Abhilfemaßnahmen ergreifen.
Microsoft Threat Protection automatisiert diesen Prozess und spart Zeit. Die Intelligenz, die hinter den Microsoft Threat Protection-Korrelationen steht, kombiniert Office 365 ATP-Signale, Microsoft Defender ATP-Ereignisse und Azure Active Directory (Azure AD)-Identitätsdaten, um die relevante bösartige URL-Klickaktivität auf den betroffenen Geräten zu finden, noch bevor die SOC-Analysten mit der Prüfung der Warnung beginnen. Die automatische Korrelation von E-Mail-, Identitäts- und Endpunktsignalen zwischen lokalen und Cloud-Units löst die Warnung „Verdächtige URL angeklickt“ („Suspicious URL clicked“) aus. Durch diese korrelationsgesteuerte Warnung hilft Microsoft Threat Protection dem SOC, sein Verständnis des Angriffs unter Verwendung aller relevanten Beweisstücke zu erweitern und die Suche nach kompromittierten Geräten zu automatisieren.
Abbildung 3: Korrelationsgesteuerte Warnung zu Microsoft Threat Protection „Verdächtige URL angeklickt“
Seitliche Bewegung: Korrelierende Überholung – der Hash-Angriff auf einem Gerät und verdächtige Anmeldung auf einem anderen
Wir haben also gesehen, wie die automatische Korrelation es Microsoft Threat Protection ermöglicht, Angreiferaktivitäten im Zusammenhang mit dem Erstzugriff aufzudecken. Dieselbe Fähigkeit deckt die nächsten Schritte in der Angriffskette auf: Diebstahl von Berechtigungsnachweisen und seitliche Bewegung.
Abbildung 4: Angriffsszenario mit Warnungen, die durch Korrelation domänenübergreifender Signale ausgelöst wurden
In der nächsten Phase verwenden die Angreifer die Overpass-the-Hash-Methode, eine bekannte Nachahmungstechnik. Sie kontrollieren ein Gerät im Netzwerk, auf dem ein Domänenbenutzer, wie das Mitglied des IT-Helpdesk-Teams, gerade angemeldet ist. Dann sammeln sie die auf dem Gerät gespeicherten NTLM-Berechtigungsnachweise, um im Namen des Benutzers ein Kerberos-Ticket zu erhalten. Das Kerberos-Ticket ist ein gültiges Ticket, das mit den Anmeldedaten des Domänenbenutzers verschlüsselt ist und es den Angreifern ermöglicht, sich als dieser Benutzer auszugeben und auf alle Ressourcen zuzugreifen, auf die der Benutzer zugreifen kann. Sobald die Angreifer die Anmeldedaten eines Benutzers mit hohen Privilegien erhalten haben, verwenden sie die gestohlenen Anmeldedaten, um sich bei anderen Geräten anzumelden und sich seitlich zu bewegen.
In solchen Fällen löst Azure ATP eine Warnung über das verdächtige Kerberos-Ticket aus, was auf einen möglichen Overpass-the-Hash-Angriff hinweist. Was würden SOC-Analytiker zu diesem Zeitpunkt tun, wenn sie einen Overpass-the-Hash-Alarm untersuchen? Sie würden wahrscheinlich damit beginnen, alle Benutzer aufzuzählen, die sich auf dem kompromittierten Gerät angemeldet haben. Sie würden auch alle anderen Anmeldungen dieser Benutzer und weitere Aktivitäten, die sich auf andere Geräte im Netzwerk ausbreiten, aufzählen, während sie gedanklich einen Angriffsgraphen erstellen.
Um wertvolle Zeit zu sparen und manuelle Arbeit zu vermeiden, ermittelt Microsoft Threat Protection, dass die Aktivität der seitlichen Bewegung mit dem früheren Erstzugriff zusammenhängt. Infolgedessen korreliert Microsoft Threat Protection diese Aktivität sowie die beteiligten Benutzer und Geräte mit demselben Vorfall, wodurch andere verwandte Aktivitäten aufgedeckt und als zusätzliche Warnmeldungen im selben Vorfall angezeigt werden.
Abbildung 5: Korrelation der Overpass-the-Hash-Warnung
Microsoft Threat Protection findet auch verwandte Anmeldungsereignisse (Sign-in events) die dem Overpass-the-Hash-Angriff folgen, um den Fußabdruck des imitierten Benutzers nachzuverfolgen, und gibt Warnmeldungen für böswillige Anmeldungen des Angreifers aus. Auf diese Weise kann Microsoft Threat Protection eine Reihe von Anmeldungsereignissen im Rohformat (die für sich allein betrachtet möglicherweise keinen Kontext für die Erkennung haben) zu Warnmeldungen machen. Die korrelationsgesteuerte Warnung „Erfolgreiche Anmeldung mit möglicherweise gestohlenen Anmeldeinformationen“ (“Successful logon using potentially stolen credentials”) kennzeichnet sofort die gefährdeten Endpunkte und zeigt den Beginn der böswilligen Aktivität in der Zeitleiste an.
Abbildung 6: Korrelationsgesteuerte Warnungen können dabei helfen, den Beginn des Angriffs zu bestimmen
Laterales Phishing: Korrelation von E-Mail-, Cloud- und Gerätedaten
Anhand der Breite und Tiefe der aus dem Vorfall verfügbaren Informationen können die SOC-Analysten ihre Untersuchungen weiter ausbauen. Mit der Go-Hunt-Aktion können SOC-Analysten eine umfassende, vordefinierte Abfrage ausführen, um von Endpunkten bis zur Cloud nach relevanten oder ähnlichen Bedrohungen und böswilligen Aktivitäten zu suchen. Das ist unabhängig davon, ob diese von innerhalb des Netzwerks oder außerhalb der Organisationsgrenzen ausgegangen sind.
Abbildung 7: Generierung einer Jagd-/Suchabfrage mit einem einzigen Klick
In diesem Angriffsszenario offenbart die von Go Hunt automatisch generierte Abfrage sofort verdächtige OneDrive-Aktivitäten: Während der Benutzer von Großbritannien aus operiert, scheint jemand aus Schweden mit demselben Kontonamen eine .docx-Datei heruntergeladen und durch eine ähnliche Datei mit der Erweiterung .doc ersetzt zu haben, was auf die Einfügung des bösartigen Makros hinweist.
Abbildung 8: „Go Hunt“ auf den kompromittierten Benutzer zeigt verdächtige Aktivitäten
SOCs können die Verbreitung der ersetzten Datei mithilfe einer zusätzlichen Suchabfrage, die E-Mail-, OneDrive- und Gerätedaten kombiniert, weiterverfolgen, um weitere betroffene Benutzer und Geräte zu finden, so dass SOC-Analysten beurteilen können, ob zusätzliche Kompromisse aufgetreten sind, und Abhilfemaßnahmen ergreifen können.
Fazit: Die Punkte verbinden und die Vorfälle mit mehr Signalen bereichern, die die Geschichte erzählen
In diesem Blog haben wir die einzigartige Fähigkeit von Microsoft Threat Protection demonstriert, Signale zwischen E-Mails und Dokumenten, Geräten, Identitäten und Cloud-Anwendungen zu korrelieren und Angriffsbeweise in einer einheitlichen Form zu präsentieren. Vorfälle verbessern die SOC-Effizienz erheblich, da sie die Verwendung verschiedener Portale und das manuelle Auffinden und Verbinden von Ereignissen überflüssig machen sowie die Untersuchung und umfassende Reaktion auf Angriffe ermöglichen. Die Vorfallansicht zeigt Warnungen, betroffene Entitäten und verwandte Aktivitäten aus allen Microsoft 365-Sicherheitslösungen in einer einheitlichen Ansicht.
Automatische Korrelationen bereichern die Vorfälle, indem sie relevante Ereignisse konsolidieren und neue Warnungen vor bösartigen Aktivitäten auslösen, die von keinem einzelnen Produkt allein gekennzeichnet werden konnten. Diese Korrelationen zeichnen eine nahtlose Angriffsgeschichte über die Grenzen hinweg, indem sie einen Angriffsgraphen erstellen, den SOC-Analysten verfolgen können, beginnend mit dem frühesten Erstzugriff.
Abbildung 9: Automatische Korrelation zwischen Domänen
Microsoft Threat Protection (MTP) macht sich die Leistungsfähigkeit der Microsoft 365-Sicherheitsprodukte zunutze und bietet eine beispiellos koordinierte Verteidigung, die Angriffe in der Microsoft 365-Umgebung eines Unternehmens erkennt, korreliert, blockiert, behebt und verhindert.
Bestehende Microsoft 365-Lizenzen ermöglichen den Zugriff auf die Funktionen von Microsoft Threat Protection im Microsoft 365-Sicherheitszentrum ohne zusätzliche Kosten. MTP nutzt für die domänenübergreifende Transparenz die Analysen und Erkenntnisse aus den Sicherheitsprodukten Office 365 Advanced Threat Protection (ATP), Azure ATP, Microsoft Defender ATP und Microsoft Cloud App Security.
Der Vorteil ist, dass MTP die SOC-Analysten in die Lage versetzt, Angriffsbeweise automatisch zu fusionieren und eine konsolidierte Ansicht einer Angriffskette und der betroffenen Anlagen sowie eine Ein-Klick-Bereinigung mit einfach zu lesenden Analysten-Workflows bereitstellt.
Informieren Sie sich über Lizenz- und andere Anforderungen für die Bereitstellung und Verwendung von Microsoft Threat Protection.
Anforderungen an die Lizenzierung
Mit jeder dieser Lizenzen erhalten Sie ohne zusätzliche Kosten Zugang zu den Funktionen von Microsoft Threat Protection im Microsoft 365-Sicherheitscenter:
- Microsoft 365 E5 or A5
- Microsoft 365 E5 Security or A5 Security
- Windows 10 Enterprise E5 or A5
- Enterprise Mobility + Security (EMS) E5 or A5
- Office 365 E5 or A5
- Microsoft Defender Advanced Threat Protection
- Azure Advanced Threat Protection
- Microsoft Cloud App Security
- Office 365 Advanced Threat Protection (Plan 2)
Beachten Sie, dass die Testlizenzen für Office 365 derzeit keinen Zugriff auf Microsoft Threat Protection beinhalten.
Weitere Beiträge zum Thema Microsoft Threat Protection:
- Juli 2020 – FileProfile()-Funktion
Verwenden Sie diese Funktion in Ihren erweiterten Jagd-/Suchabfragen, um die Ergebnisse mit umfassenden Dateiinformationen anzureichern.– Identitäts- und Anwendungstabellen
Mit den Tabellen IdentityLogonEvents, IdentityQueryEvents und AppFileEvents im erweiterten Hunting-Schema erhalten Sie Einblick in Authentication Events, Active Directory-Abfragen und anwendungsbezogene Aktivitäten.– Go hunt – Jagen gehen
Schnelles Umschwenken von der Untersuchung eines Vorfalls zur Inspektion eines bestimmten Ereignisses, eines Benutzers, eines Geräts oder anderer Entitätstypen durch abfragebasierte erweiterte Jagdmöglichkeiten bzw. Suchfunktionen.
-> Weitere Inside Microsoft Threat Protection Blogs:
- Mapping attack chains from cloud to endpoint
- Attack modeling for finding and stopping lateral movement
- Correlating and consolidating attacks into incidents
Tipp!
Es gibt einen guten ca. 12-minütigen englischen Demo-Film (Interactive Guide Microsoft Threat Protection) der die Funktionsweise von Microsoft Threat Protection schrittweise erklärt.
Bei weitergehenden Fragen zu Microsoft Threat Protection sowie Lizenzfragen wenden Sie sich gerne an uns.