Explore os Indicadores de Segurança Purple Knight

Filtros
Categoria
  • Segurança da conta
  • Delegação AD
  • Infraestrutura AD
  • Azure AD
  • Segurança da Política de Grupo
  • Segurança Híbrida
  • Segurança Kerberos
  • Okta
Nome do Indicador
Descrição
Severidade
  • Todos
  • Aviso
  • Informação
  • Crítico
Quadro Normativo
IoE/IoC

Sem resultados

AAD Connect sync password da conta de sincronização redefinida
Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Utilizadores com privilégios no AAD que também têm privilégios no AD
Verifica os utilizadores com privilégios do Azure AD que também são utilizadores com privilégios no AD local. O comprometimento de uma conta com privilégios no AD e no AAD pode resultar no comprometimento de ambos os ambientes. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Actualização de palavra-passe anormal
Procura contas de utilizador com uma alteração recente do pwdLastSet sem uma replicação de palavra-passe correspondente. Se a opção "User must change password at next logon" for definida e depois apagada, poderá indicar um erro administrativo ou uma tentativa de contornar a política de palavra-passe da organização. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
  • COI
Contas com altSecurityIdentities configuradas
Verifica a existência de contas com o atributo altSecurityIdentities configurado. O atributo altSecurityIdentities é um atributo com vários valores utilizado para criar mapeamentos para certificados X.509 e contas Kerberos externas. Quando configurado, é possível adicionar valores que essencialmente se fazem passar por essa conta. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
Contas com delegação restrita configurada para SPN fantasma
Procura contas que tenham a Delegação Restrita configurada para SPNs fantasma. Quando os computadores são desactivados, a sua configuração de delegação nem sempre é limpa. Essa delegação pode permitir que um atacante que tenha privilégios para escrever no atributo ServicePrincipalName de outra conta de serviço, aumente os privilégios nesses serviços. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
Contas com Constrained Delegation configurada para krbtgt
Procura contas que tenham a delegação restrita configurada para o serviço krbtgt. A criação de uma delegação Kerberos à própria conta krbtgt permite a esse comitente (utilizador ou computador) gerar um pedido de Ticket Granting Service (TGS) para a conta krbtgt como qualquer utilizador, o que tem o efeito de gerar um Ticket Granting Ticket (TGT) semelhante a um Bilhete Dourado. Crítico
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
Autoridade Certificadora AD com inscrição na Web (PetitPotam e ESC8)
Identifica os servidores do AD CS no domínio que aceitam a autenticação NTLM para o Registo na Web. Os atacantes podem abusar de uma falha no Registo Web do AD CS que permite ataques de retransmissão NTLM para autenticar como um utilizador privilegiado. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Objectos AD criados nos últimos 10 dias
Procura quaisquer objectos AD que tenham sido criados recentemente. Permite-lhe detectar relatos desconhecidos ou ilegítimos. Significa ser utilizado para a caça de ameaças, investigação pós-investigação, ou validação de compromisso. Informação
  • MITRE ATT&CK:

    Movimento Lateral

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Utilizadores privilegiados do AD que são sincronizados com o AAD
Verifica os utilizadores com privilégios do AD que estão sincronizados com o AAD. Quando um utilizador privilegiado do AD é sincronizado com o AAD, um comprometimento do utilizador do AAD pode resultar no comprometimento do ambiente local também. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
As unidades administrativas não estão a ser utilizadas
Verifica a existência de unidades administrativas. As unidades administrativas ajudam a limitar o âmbito da autoridade de um security principal. Os atacantes que comprometem uma conta administrativa podem ter um amplo acesso através dos recursos. Utilizando unidades administrativas, é possível limitar o alcance de administradores específicos e assegurar que um único comprometimento de credenciais seja limitado e não afecte todo o ambiente. Informação
  • MITRE ATT&CK:

    Movimento Lateral

  • IOE
Administradores com palavras-passe antigas
Procura contas Admin cuja palavra-chave não tenha sido alterada há mais de 180 dias. Se as palavras-passe das contas Admin não forem alteradas regularmente, estas contas poderão vulneráveis a ataques de adivinhação de palavra-passe. Aviso
  • MITRE ATT&CK:

    Análise

  • ANSSI:

    vuln1_password_ change_priv

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Acesso anónimo ao Active Directory activado
Procura a presença da bandeira que permite o acesso anónimo. O acesso anónimo permitiria aos utilizadores não autenticados a consulta de AD. Crítico
  • MITRE ATT&CK:

    Evasão de Defesa

    Acesso Inicial

    Persistência

    Escalada de Privilégios

  • ANSSI:

    vuln2_compatível_2000_ anónimo

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Acesso anónimo NSPI ao AD activado
Detecta quando o acesso à interface de fornecedor de serviços de nomes anónimos (NSPI) está activado. Permite ligações anónimas baseadas em RPC para AD. O NSPI raramente é activado, por isso, se se verificar que está activado, deve ser motivo de preocupação. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

  • ANSSI:

    vuln1_dsheuristics_bad

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Os contextos adicionais Application Name e Geographic Location estão desactivados na MFA
Verifica se o nome da aplicação e os contextos adicionais de localização geográfica estão desactivados na autenticação multifactor (MFA). A ativação dos contextos adicionais do nome da aplicação e da localização geográfica na MFA fornece um nível adicional de segurança para o início de sessão de um utilizador. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

  • IOE
Conta Administrador do domínio (rid 500) utilizada nas últimas duas semanas
Verifica se o valor do atributo lastLogonTimestamp para a conta de Administrador do Domínio (rid 500) foi recentemente actualizado. Pode indicar que o utilizador foi comprometido. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Detectar - Análise do Âmbito do Compromisso de Credenciais

    Harden - Política de Senha Forte

  • IOE
  • COI
Conta Administrador do domínio (rid 500) com palavra-passe antiga (180 dias)
Verifica se o atributo pwdLastSet na conta do Administrador do Domínio incorporado foi alterado nos últimos 180 dias. Se esta senha não for alterada regularmente, esta conta pode ser vulnerável a ataques por senha de força bruta. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Conta de convidado embutida está activada
Verificações para assegurar que a conta "convidado" de AD embutida está desactivada. Uma conta de convidado activada permite o acesso sem palavra-passe ao domínio, o que pode apresentar um risco de segurança. Informação
  • MITRE ATT&CK:

    Análise

    Reconhecimento

  • MITRE D3FEND:

    Evitar - Bloqueio de contas

  • IOE
Modelos de certificados que permitem aos requerentes especificar um assuntoAltName
Verifica se os modelos de certificado estão a permitir que os requerentes especifiquem um subjectAltName no CSR. Quando os modelos de certificado permitem que os requerentes especifiquem um subjectAltName no CSR, o resultado é que podem pedir um certificado como qualquer pessoa (por exemplo, um administrador de domínio). Quando isso é combinado com um EKU de autenticação presente no modelo de certificado, pode tornar-se extremamente perigoso. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Análise de certificados

  • IOE
Modelos de certificados com três ou mais configurações inseguras
Verifica se os modelos de certificados na floresta têm um mínimo de três configurações inseguras: A aprovação do gestor está desactivada, Não são necessárias assinaturas autorizadas, SAN activada, Autenticação EKU presente. Cada uma destas configurações pode ser explorada pelos adversários para obter acesso. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Análise de certificados

  • IOE
Persistência da autenticação baseada em certificados
Avalia a presença de funções e permissões específicas da aplicação gráfica Azure AD MSFT que, quando combinadas, podem permitir que um utilizador estabeleça a persistência através da autenticação baseada em certificados (CBA). Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Mudanças nos especificadores de display AD nos últimos 90 dias
Procura alterações recentes feitas ao atributo adminContextMenu em especificadores de expositores AD. A modificação deste atributo pode potencialmente permitir que os atacantes utilizem menus de contexto para fazer com que os utilizadores executem código arbitrário. Informação
  • MITRE ATT&CK:

    Evasão de Defesa

  • IOE
  • COI
Alterações à Default Domain Policy ou à Default Domain Controllers Policy nos últimos 7 dias
Procura alterações recentes na Política de Domínios por Defeito e na Política de Controladores de Domínios por Defeito GPO. Estes GPO controlam configurações de segurança em todo o domínio e controlador de domínio e podem ser indevidamente utilizados para obter acesso privilegiado a AD. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

    Escalada de Privilégios

  • IOE
  • COI
Alterações ao esquema de descritores de segurança por defeito nos últimos 90 dias
Detecta alterações recentes de atributos de esquema feitas no descritor de segurança padrão. Se um atacante tiver acesso à instância do esquema numa floresta, quaisquer alterações feitas podem propagar-se a objectos recentemente criados na AD, enfraquecendo potencialmente a postura de segurança da AD. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Alterações às permissões de leitura do MS LAPS
Procura permissões em contas de computador que possam permitir a exposição inadvertida de contas de administrador local em ambientes que utilizam Microsoft LAPS. Os atacantes podem utilizar esta capacidade para se deslocarem lateralmente através de um domínio utilizando contas de administrador local comprometidas. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Alterações à lista de membros do grupo "Pre-Windows 2000 Compatible Access"
integrProcura alterações ao grupo de omissã "Acesso Compatível Pré-Windows 2000". É melhor assegurar que este grupo não contenha os grupos "Logon Anónimo" ou "Todos". Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
  • COI
Mudanças dos membros de grupos privilegiados nos últimos 7 dias
Procura contas Admin cuja palavra-chave não tenha sido alterada há mais de 180 dias. Se as palavras-passe das contas Admin não forem alteradas regularmente, estas contas poderão vulneráveis a ataques de adivinhação de palavra-passe. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
  • COI
Verificar as permissões API de risco concedidas aos service principals de applicações
Verificações de permissões API que podem ser arriscadas se não forem devidamente planeadas e aprovadas. Os administradores de aplicações maliciosas poderiam utilizar estas permissões para conceder privilégios administrativos a si próprios ou a outros. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Verificar se há utilizadores com fraca ou nenhuma AMF
Verifica o registo da autenticação multifactor (MFA) de todos os utilizadores e os métodos configurados. Devido à falta de medidas de segurança uniformes nas redes móveis, o SMS e a Voz são considerados menos seguros do que as aplicações móveis e o FIDO. Um utilizador malicioso pode falsificar/codificar códigos e enganar os utilizadores para que forneçam a autenticação. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

    Movimento Lateral

  • IOE
Verificar se a autenticação legacy é permitida
Verifica se a autenticação do legado está bloqueada, quer utilizando políticas de acesso condicional ou padrões de segurança. Permitir autenticação legada aumenta o risco de um atacante entrar no sistema usando credenciais previamente comprometidas. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Verificação se os convidados detêm permissão para convidar outros convidados
Verificação das permissões de convite dos convidados. Não é recomendado permitir aos convidados o envio de convites a novos convidados. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

  • IOE
Tomada de posse da conta do computador através da delegação de restrição baseada em recursos de Kerberos (RBCD)
Procura o atributo msDS-Allowed-ToActOnBehalfOfOtherIdentity em objectos informáticos. Os atacantes poderiam usar a configuração do Kerberos RBCD para aumentar os privilégios através de um computador que controlam, se esse computador tiver delegação no sistema alvo. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

    Escalada de Privilégios

  • IOE
  • COI
Contas de computador em grupos privilegiados
Procura contas de computador que sejam membros de um grupo privilegiado de domínio. Se uma conta de computador é um membro do grupo de domínio privilegiado, então qualquer pessoa que comprometa essa conta de computador pode agir como membro desse grupo. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

    Persistência

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
Contas de computador ou de utilizadores com delegação sem restrições
Procura contas de computador ou de utilizador de confiança para a delegação de Kerberos sem constrangimentos. As contas com delegação sem restrições são facilmente alvo de ataques baseados em Kerberos. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Movimento Lateral

  • ANSSI:

    vuln2_delegation_t4d

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
Computadores com versões de SO mais antigas
Procura contas de máquinas que estejam a correr versões mais antigas do Windows Server 2012 R2 e Windows 8.1. Os computadores que correm versões mais antigas e sem suporte de SO podem ser alvo de explorações conhecidas ou não. Informação
  • MITRE ATT&CK:

    Movimento Lateral

    Persistência

  • MITRE D3FEND:

    Harden - Actualização de software

  • IOE
Computadores com palavra-passe definidos pela última vez há mais de 90 dias
"Procura contas de computador que não tenham rodado automaticamente as suas palavras-passe. As contas de computador devem alternar automaticamente as suas palavras-passe a cada 30 dias; os objectos que não o fazem podem apresentar indícios de adulteração." Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_password_ change_server_no_ change_90

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
As políticas de acesso condicional contêm endereços IP privados
Verifica se alguma política de Acesso Condicional contém locais nomeados com endereços IP privados. Ter endereços IP privados em locais nomeados associados a políticas de Acesso Condicional pode resultar em uma postura de segurança indesejada. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

  • IOE
Política de Acesso Condicional que desactiva a persistência simbólica administrativa
Procura políticas de Acesso Condicional que desactivem a persistência do token para utilizadores com funções de administrador e que tenham uma frequência de início de sessão inferior ou igual a nove horas. Quando um login de administrador tem seu token armazenado em cache no cliente, ele fica vulnerável a um ataque relacionado ao token de atualização primário. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Política de Acesso Condicional que desactiva a persistência simbólica administrativa
Procura políticas de Acesso Condicional que desactivem a persistência do token para utilizadores com funções de administrador e que tenham uma frequência de início de sessão inferior ou igual a nove horas. Quando um login de administrador tem seu token armazenado em cache no cliente, ele fica vulnerável a um ataque relacionado ao token de atualização primário. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Política de Acesso Condicional que não exige uma mudança de senha de utilizadores de alto risco
Verifica se existe uma política de Acesso Condicional que requer uma alteração de senha se o usuário for determinado como de alto risco pela API de risco do usuário da Proteção de Identidade do Azure AD. Um risco de utilizador elevado representa uma elevada probabilidade de uma conta ter sido comprometida. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Política de Acesso Condicional que não requer AMF quando o risco de acesso tiver sido identificado
Verifica se existe uma política de Acesso Condicional que requer MFA se o risco da solicitação de autenticação for determinado como médio ou alto pela API de risco de entrada da Proteção de Identidade do Azure AD. Um risco de entrada médio ou alto representa uma probabilidade média a alta de que uma solicitação de autenticação não autorizada foi feita. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Política de Acesso Condicional com Avaliação de Acesso Contínuo desactivado
Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • COI
Caminhos de controlo perigosos expõem modelos de certificados
Procura responsáveis não predefinidos com a capacidade de escrever propriedades num modelo de certificado. Os utilizadores sem privilégios com propriedades de escrita em modelos de certificado têm a capacidade de aumentar o seu acesso e criar certificados vulneráveis para registo. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_adcs_template_ control

  • MITRE D3FEND:

    Detectar - Análise de certificados

  • IOE
  • COI
Caminho perigoso do script de logon do GPO
Procura caminhos de scripts de início de sessão para scripts que não existem e onde um utilizador com poucos privilégios tem permissões na pasta principal. Também procura caminhos de scripts de início de sessão para scripts existentes que dão permissões a utilizadores com menos privilégios para modificar o script. Ao inserir um novo script ou alterar um script existente que dê a um utilizador normal permissão para alterar o script ou aceder à sua pasta principal, um atacante pode executar remotamente código numa parte maior da rede sem privilégios especiais. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Análise de ficheiros

  • IOE
Conjunto de Atributos de Confiança Perigosos
Identifica trusts com um dos seguintes atributos definidos: TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION ou TRUST_ATTRIBUTE_ PIM_TRUST. A definição destes atributos permite que um bilhete Kerberos seja delegado ou reduz a proteção fornecida pela filtragem SID. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Política de confiança de domínio

  • IOE
  • COI
Direitos de utilizador perigosos concedidos pelo GPO
Procura utilizadores não privilegiados a quem são concedidas permissões elevadas através de GPO. Um atacante pode potencialmente explorar os direitos de utilizador concedidos por um GPO para obter acesso a sistemas, roubar informações sensíveis ou causar outros tipos de danos. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

    Harden - Política de Senha Forte

  • IOE
O proprietário do Controlador do domínio não é um administrador
Procura contas de computador Controlador de Domínio cujo dono não seja um Administrador de Domínio, Administrador de Empresa, ou uma conta de Administrador incorporada. A obtenção de controlo de contas de máquinas DC permite um caminho fácil para comprometer o domínio. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_dc

  • MITRE D3FEND:

    Harden - Permissões de configuração do sistema

  • IOE
Controladores de domínio num estado inconsistente
Procura controladores de domínio que possam estar num estado inconsistente, indicando um possível DC velhaco ou não funcional. Máquinas ilegítimas actuando como DC podem indicar que alguém comprometeu o ambiente (por exemplo, usando DCShadow ou ataque de DC spoofing semelhante). Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

    Desenvolvimento de Recursos

  • ANSSI:

    vuln1_dc_inconsistent_ uac

  • IOE
Controladores de domínio que não se tenham autenticado no domínio durante mais de 45 dias
Procura controladores de domínio que não tenham sido autenticados no domínio há mais de 45 dias. A falta de autenticação do domínio revela máquinas fora de sincronia. Se um atacante comprometer um DC offline e quebrar as credenciais ou se conectar novamente ao domínio, ele poderá introduzir alterações indesejadas no Active Directory. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_password_ change_inactive_dc

  • MITRE D3FEND:

    Isolado - Isolamento de Execução

  • IOE
Controladores de domínio com palavras-passe antigas
Procura contas de máquina do controlador de domínio cuja palavra-passe não tenha sido reposta há mais de 45 dias. As contas de máquina com palavras-passe mais antigas podem indicar um DC que já não está a funcionar no domínio. Além disso, os DCs com palavras-passe de contas de máquina mais antigas podem ser mais facilmente controlados. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

    Desenvolvimento de Recursos

  • IOE
Controladores de domínio com Delegação Restrita Baseada em Recursos (RBCD) activada
Detecta uma configuração que concede certas contas com delegação completa aos controladores de domínio. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Movimento Lateral

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_sour- cedeleg

  • IOE
  • COI
Confiança do domínio a um domínio de terceiros sem quarentena
Procura fundos florestais de saída que têm a bandeira de quarentena hasteada em falso. Um atacante que tenha comprometido o domínio remoto pode criar uma conta "falsificável" para obter acesso a todos os recursos no domínio local. Se um caminho de controlo perigoso for exposto, qualquer conta "falsificável" pode também aumentar os seus privilégios até aos administradores do domínio e comprometer toda a floresta". Aviso
  • MITRE ATT&CK:

    Movimento Lateral

  • ANSSI:

    vuln1_trusts_domain_nãofiltrado

  • MITRE D3FEND:

    Harden - Política de confiança de domínio

  • IOE
Domínios com níveis funcionais obsoletos
Procura domínios AD que tenham um nível funcional de domínio definido para Windows Server 2012 ou inferior. Níveis funcionais mais baixos significam que as novas características de segurança disponíveis no AD não podem ser alavancadas. Informação
  • MITRE ATT&CK:

    Reconhecimento

  • MITRE D3FEND:

    Harden - Actualização de software

  • IOE
Contas administrativas inactivas
Procura contas administrativas que estejam activadas, mas que não tenham entrado no sistema nos últimos 90 dias. Os atacantes que possam comprometer estas contas poderão operar sem serem notados. Aviso
  • MITRE ATT&CK:

    Análise

  • ANSSI:

    vuln1_password_ change_priv

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Enterprise Key Admins com acesso total ao domínio
Procura provas de um bug em certas versões do Windows Server 2016 Adprep que concedeu acesso indevido ao grupo Enterprise Key Admins. Este problema foi corrigido numa versão posterior do Windows 2016; contudo, se esta correcção não tiver sido aplicada, este bug concede a este grupo a capacidade de replicar todas as alterações do AD (ataque DCSync). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

  • ANSSI:

    vuln2_adupdate_bad

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Administradores efémeros
Procura utilizadores que foram adicionados e removidos de um grupo Admin dentro de um período de 48 horas. Tais contas de curta duração podem indicar actividade maliciosa. Informação
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Detectar - Análise do Âmbito do Compromisso de Credenciais

    Harden - Política de Senha Forte

  • IOE
  • COI
Provas de ataque de Mimikatz DCShadow
Procura provas de que uma máquina foi utilizada para injectar alterações arbitrárias no AD usando um controlador de domínio "falso". Estas alterações contornam o registo de eventos de segurança e não podem ser detectadas utilizando ferramentas de monitorização padrão. Crítico
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

    Isolado - Isolamento de Execução

  • IOE
  • COI
FGPP não aplicado ao Grupo
Procura a política de senha refinada (FGPP) direcionada a um grupo Universal ou Local de Domínio. Alterar a definição de âmbito de um grupo de Global para Universal ou Local de Domínio faz com que as definições FGPP deixem de se aplicar a esse grupo, diminuindo assim os seus controlos de segurança de palavra-passe. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Persistência

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Os Princípios de Segurança Estrangeiros no Grupo dos Privilegiados
Procura membros de grupos protegidos integrados que sejam Foreign Security Principals. Deve ser tomado especial cuidado ao incluir contas de outros domínios como membros de grupos privilegiados. Os Foreign Security Principals não têm o atributo adminCount e, portanto, podem não ser detectados por alguns instrumentos de auditoria de segurança. Adicionalmente, um atacante pode adicionar uma conta privilegiada e tentar escondê-la utilizando este método. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Persistência

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
A floresta contém mais de 50 contas privilegiadas
Conta o número de contas privilegiadas na floresta. Em geral, quanto maior o número de utilizadores privilegiados, maior será o número de oportunidades para os atacantes comprometerem um desses utilizadores. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

    Reconhecimento

  • ANSSI:

    vuln1_privileged_members

  • IOE
gMSA não utilizado
Verifica a existência de objectos de Contas de Serviço Geridas pelo grupo (gMSA) activados no domínio. A funcionalidade gMSA no Windows Server 2016 permite a rotação automática de palavras-passe para contas de serviço, tornando-as muito mais difíceis de comprometer por parte dos atacantes. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
objectos gMSA com palavras-passe antigas
Procura contas de serviço gerido por grupos (gMSA) que não tenham rodado automaticamente as suas palavras-passe. Os objectos que não estejam a rodar as suas palavras-passe regularmente podem apresentar indícios de adulteração. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
GPO ligando a delegação ao nível do Site AD
Procura mandantes não privilegiados que tenham permissões de escrita no atributo GPLink ou Escreva DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do AD Site, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. Aviso
  • MITRE ATT&CK:

    Execução

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Delegação de ligação GPO ao nível da OU Domain Controllers
Procura mandantes não privilegiados que tenham permissões de escrita sobre o atributo GPLink ou Escreva DAC/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível da OU do controlador de domínio, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. Aviso
  • MITRE ATT&CK:

    Execução

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Delegação de direitos de ligar GPO ao nível do domínio
Procura utilizadores não privilegiados que detenham permissões de escrita no atributo GPLink ou Write DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do domínio, têm a capacidade de efectuar alterações em todos os utilizadores e computadores do domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Contas de hóspedes que estiveram inactivos durante mais de 30 dias
Verificações de contas de hóspedes que não assinaram, usando um sinal interactivo ou não interactivo, durante os últimos 30 dias. Contas de hóspedes inactivas deixam uma porta aberta para o seu inquilino Azure. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Convidados não aceites nos últimos 30 dias
Verifica a existência de convites de convidados que não foram aceites no prazo de 30 dias após o convite. Os convites de convidados obsoletos representam um risco de segurança e devem ser eliminados. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Os utilizadores convidados não estão sujeitos a restrições
Os utilizadores convidados são restringidos no tenant. Os atacantes podem utilizar utilizadores convidados sem restrições para efectuar a contagem de utilizadores e grupos no tenant. Informação
  • MITRE ATT&CK:

    Reconhecimento

  • IOE
Funções personalizadas com privilégios elevados
Verifica a existência de funções personalizadas que concedem privilégios elevados para permitir que um utilizador execute acções nas palavras-passe e MFA de outros utilizadores. As funções personalizadas concedem privilégios elevados e podem representar um risco de segurança significativo se não forem geridas corretamente. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Hereditariedade activada no objecto AdminSDHolder
Os cheques por herança são activados na Lista de Controlo de Acesso (ACL) do objecto AdminSDHolder, o que poderia indicar uma tentativa de modificar permissões em objectos privilegiados que estão sujeitos a AdminSDHolder (por exemplo, utilizadores ou grupos com adminCount=1). As alterações ao objecto AdminSDHolder são muito raras. Os administradores devem saber que foi feita uma alteração e ser capazes de articular a razão da alteração. Se a alteração não foi intencional, a probabilidade de compromisso é muito elevada. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Evasão de Defesa

  • IOE
  • COI
Conta Kerberos krbtgt com palavra-passe antiga
Procura uma conta de utilizador krbtgt cuja palavra-passe não tenha sido alterada nos últimos 180 dias. Se a palavra-passe da conta krbtgt for comprometida, os ataques Golden Ticket podem ser efectuados para obter acesso a qualquer recurso de um domínio AD. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_krbtgt

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Configuração da delegação de transição do protocolo Kerberos
Procura serviços que tenham sido configurados para permitir a transição do protocolo Kerberos, que basicamente diz que um serviço delegado pode utilizar qualquer protocolo de autenticação disponível. Serviços comprometidos podem reduzir a qualidade do seu protocolo de autenticação que é mais facilmente comprometida (por exemplo, NTLM). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

    Escalada de Privilégios

  • IOE
  • COI
Conta krbtgt com Delegação Restrita Baseada em Recursos (RBCD) activada
Procura uma conta krbtgt que tenha a Delegação restrita baseada em recursos (RBCD) definida. Normalmente, as delegações não devem ser criadas na conta krbtgt; se forem encontradas, podem representar um risco significativo e devem ser mitigadas rapidamente. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
  • COI
A assinatura do LDAP não é necessária nos Controladores de Domínios
Procura controladores de domínio onde a assinatura do LDAP não é necessária. O tráfego de rede não assinado é exposto a ataques MITM (Man-in-the-Middle), onde os atacantes alteram os pacotes e os reencaminham para o servidor LDAP, levando o servidor a tomar decisões baseadas em pedidos forjados do cliente LDAP. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
MFA não configurada para contas privilegiadas
Verifica se a Autenticação Multi-Factor (MFA) está activada para utilizadores com direitos administrativos. As contas com acesso privilegiado são alvos mais vulneráveis aos atacantes. Um compromisso de um utilizador privilegiado representa um risco significativo e, portanto, requer protecção extra. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Existem mais de 5 Administradores Globais
Verifica a presença de cinco ou mais Administradores Globais. Os Administradores Globais controlam o seu ambiente do Azure AD e têm acesso a todas as funcionalidades administrativas e controlo total do Azure AD. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Foi criado um novo token de API
Verifica se um novo token de API foi criado nos últimos 7 dias. Os tokens de API com privilégios elevados permitem acesso e ações não autorizados no Okta. Se um invasor obtiver acesso à senha do token, ele poderá aproveitá-la para consultar e executar ações que podem levar à persistência e comprometer o ambiente. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Foi concedida uma nova autorização a um grupo
Verifica se alguma permissão foi concedida a um grupo nos últimos 7 dias. Os membros de um grupo com privilégios elevados podem executar ações significativas no Okta. Portanto, é importante saber quais grupos concedem privilégios fortes. Informação
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Foi concedida uma nova permissão ao utilizador
Verifica se alguma permissão foi concedida a um usuário nos últimos 7 dias. Os usuários com privilégios elevados podem executar ações significativas no Okta. Portanto, é importante identificar e monitorar os usuários aos quais foram concedidos privilégios elevados para reduzir o risco de acesso não autorizado e possível uso indevido de dados confidenciais. Informação
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Foi concedida uma nova permissão de Super Admin ao utilizador
Verifica os utilizadores a quem foram concedidas permissões de "Super Admin" nos últimos 7 dias. Os usuários com privilégios de "Super Admin" têm privilégios extensivos e controle sobre aspectos críticos do ambiente Okta. A concessão não autorizada ou excessiva da permissão "Super Admin" pode aumentar significativamente o risco de comprometimento e acesso não autorizado ao Okta. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Foram concedidas novas permissões de Super Admin a um grupo
Verifica os grupos em que as permissões "Super Admin" foram concedidas nos últimos 7 dias. Os membros de um grupo com privilégios de "Super Admin" têm acesso extensivo e podem executar ações significativas no Okta. Portanto, é importante monitorar e controlar de perto quais grupos recebem esses privilégios fortes para evitar o acesso não autorizado e o possível comprometimento do ambiente Okta. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Utilizadores não-administrativos podem registar aplicações personalizadas
Verifica se existe uma política de autorização que permita aos utilizadores não administradores registar aplicações personalizadas. Se os utilizadores não-administradores tiverem permissão para registar aplicações empresariais personalizadas, os atacantes podem utilizar essa lacuna para registar aplicações nefastas, que podem depois aproveitar para obter permissões adicionais. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Acesso sem falhas à chave DPAPI
Verifica os controladores de domínio para os princípios não faltosos que estão autorizados a recuperar a chave de reserva do domínio DPAPI. Com estas permissões, um atacante poderia recuperar todos os dados do domínio encriptados através de DPAPI. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_permissions_dpapi

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Acesso sem falha à chave de raiz gMSA
Procura por principiantes não faltosos com permissões para ler o atributo msKds-RootKeyData na chave de raiz KDS. Os utilizadores com permissões de leitura desta propriedade podem comprometer todas as contas gMSA na floresta. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_permissions_ gmsa_keys

    vuln2_permissions_ gmsa_keys

  • IOE
  • COI
Titulares não faltosos com direitos DC Sync no domínio
Procura os princípios de segurança com Replicating Changes All ou Replicating Directory Altera as permissões no objecto de contexto de nomenclatura de domínios. Os princípios de segurança com estas permissões no objecto de contexto de nomenclatura de domínios podem potencialmente recuperar hashes de palavra-passe para utilizadores num domínio AD (ataque DCSync). Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_permissions_naming_context

  • IOE
Valor não por defeito em ms-Mcs-AdmPwd SearchFlags
Procura por alterações nas Flags de pesquisa padrão no esquema ms-Mcs-AdmPwd. Algumas bandeiras podem inadvertidamente fazer com que a palavra-passe seja visível para utilizadores não intencionais, permitindo que um atacante a utilize como uma porta traseira furtiva. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
  • COI
Utilizadores não privilegiados com acesso a palavras-passe gMSA
Procura os principais membros do MSDS-groupMSAmembership que não estejam nos grupos de administração incorporados. Um atacante que controla o acesso à conta gMSA pode recuperar palavras-passe para recursos geridos com gMSA. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
  • COI
Permissões de esquemas não normalizados
Procura entidades adicionais com quaisquer permissões para além de Read genérico para as partições de esquema. Por predefinição, as permissões de modificação no esquema estão limitadas aos Administradores do esquema. Estas permissões concedem à entidade de confiança controlo total sobre o Active Directory. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de configuração do sistema

  • IOE
  • COI
Utilizador do DAA não sincronizado que é elegível para um papel privilegiado
Verifica os utilizadores do Azure AD que são elegíveis para uma função de privilégios elevados e têm o atributo proxyAddress, mas não estão sincronizados com uma conta do AD. Um atacante pode utilizar a correspondência SMTP para sincronizar utilizadores controlados do AD com utilizadores do AAD que sejam elegíveis para funções de privilégios elevados. Este processo substitui a palavra-passe do AAD e pode resultar num aumento de privilégios no AAD. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Replicação do NTFRS SYSVOL
Procura indicação de utilização de FRS para replicação SYSVOL. NTFRS é um protocolo mais antigo que foi substituído pelo DFSR. Atacantes que podem manipular vulnerabilidades NTFRS para comprometer o SYSVOL podem potencialmente alterar GPOs e scripts de logon para propagar malware e mover-se lateralmente através do ambiente. Aviso
  • MITRE ATT&CK:

    Colecção

  • ANSSI:

    vuln2_sysvol_ntfrs

  • IOE
Correspondência de números activada na MFA
Verifica se a correspondência de números está activada na autenticação MFA da Microsoft. Quando a correspondência de números está activada na MFA, os utilizadores são propensos a ataques de bombardeamento de MFA. O bombardeamento de MFA é uma tática em que um atacante envia spam ao utilizador com pedidos de MFA e o utilizador aceita o pedido sem saber ou sem querer. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

  • IOE
Objectos em grupos de omissão sem adminCount=1 (SDProp)
Procura objectos em grupos de omissão protegidos cujo atributo adminCount não está definido como 1. Se um objecto dentro destes grupos tiver um adminCount não igual a 1, pode significar que os DACLs foram definidos manualmente (sem herança) ou que existe um problema com o processo SDProp. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Persistência

  • IOE
  • COI
Objectos com delegação restrita configurada
Procura quaisquer objectos que tenham valores no atributo msDS-AllowedToDelegateTo (ou seja, delegação restrita) e não tem o bit UserAccountControl para o conjunto de transição de protocolo. Os atacantes podem utilizar delegações para se deslocarem lateralmente ou aumentar os privilégios se comprometerem um serviço em que se confia delegar. Informação
  • MITRE ATT&CK:

    Movimento Lateral

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Grupos de operadores já não protegidos por AdminSDHolder e SDProp
Verifica se a dwAdminSDExMask no dsHeurstics foi definida, o que indica uma mudança no comportamento do SDProp que poderia comprometer a segurança. Uma alteração ao comportamento do AdminSDHolder SDProp poderia indicar uma tentativa de evasão à defesa. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Grupos de operadores que não estão vazios
Procura grupos de operadores (Operadores de Conta, Operadores de Servidor, Operadores de Backup, Operadores de Impressão) que contenham membros. Estes grupos têm acesso por escrito a recursos críticos no domínio; os atacantes que são membros destes grupos podem assumir o controlo indirecto do domínio. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Confiança florestal de saída com a História da SID activada
Procura relações de confiança de floresta de saída que tenham o sinalizador TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL definido como verdadeiro. Se este sinalizador estiver definido, uma ligação de confiança entre florestas para um domínio é tratada como uma ligação de confiança externa para efeitos de filtragem de SID. Este atributo atenua a filtragem mais rigorosa efectuada nas relações de confiança entre florestas. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

  • ANSSI:

    vuln1_trusts_forest_forest_sidy- história

  • MITRE D3FEND:

    Harden - Política de confiança de domínio

  • IOE
Verificação da política de palavras-passe
Avalia todas as políticas de senha e verifica se elas estão de acordo com as recomendações da Okta. Uma política de senha forte é crucial para evitar o acesso não autorizado ao ambiente por meio de ataques de força bruta. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Alterações de permissão no objecto AdminSDHolder
Procura alterações na Lista de Controlo de Acesso (ACL) no objecto AdminSDHolder. Pode indicar uma tentativa de modificar as permissões em objectos privilegiados que estão sujeitos a AdminSDHolder. Crítico
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_ adminsdholder

    vuln1_privileged_mem- bers_perm

  • IOE
  • COI
Utilizadores primários com SPN que não suportam encriptação AES no protocolo Kerberos
Mostra todos os utilizadores primários com serviçoPrincipalNames (SPNs) que não suportam o tipo de encriptação AES-128 ou AES-256. A encriptação AES é mais forte do que a encriptação RC4. A configuração de utilizadores primários com SPNs que suportam a encriptação AES não mitigará ataques como o kerberoasting. No entanto, força a encriptação AES por defeito, o que significa que é possível monitorizar para a encriptação ataques de downgrade para RC4 (ataques de kerberoasting). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Os directores com delegação de autenticação restrita habilitados para um serviço DC
Procura computadores e utilizadores que tenham a delegação restrita activada para um serviço em execução num DC. Se um atacante conseguir criar uma delegação deste tipo, pode autenticar-se nesse serviço utilizando qualquer utilizador que não esteja protegido contra a delegação. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Príncipes com delegação restrita usando transição de protocolo permitida para um serviço de CD
Procura computadores e utilizadores que tenham restringido a delegação utilizando a transição de protocolo definida contra um serviço em funcionamento num CD. Se um atacante pode criar tal delegação para um serviço que possa controlar ou comprometer um serviço existente, pode efectivamente ganhar um TGS para qualquer utilizador com privilégios para o CD. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_t2a4d

  • IOE
  • COI
O serviço de spooler de impressão está activado num CD
Procura controladores de domínio que tenham o serviço de spooler de impressão em execução, que está ativado por predefinição. Foram encontradas várias falhas críticas nos serviços de spooler de impressão do Windows, que afectam diretamente os spoolers de impressão instalados nos controladores de domínio, permitindo a execução remota de código. Crítico
  • MITRE ATT&CK:

    Execução

    Movimento Lateral

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Actualização de software

  • IOE
Contas privilegiadas com uma palavra-passe que nunca expira
Identifica as contas privilegiadas (adminCount = 1) onde a bandeira "Password Never Expires" está colocada. Contas de utilizadores cujas palavras-passe nunca expiram são alvos maduros para adivinhar a palavra-passe de força bruta. Se estas contas forem também contas administrativas ou privilegiadas, isto torna-as mais um alvo. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_dont_expire_priv

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Grupo privilegiado contém conta de convidado
Verifica se algum papel privilegiado foi atribuído a contas de convidados. Os atacantes externos cobiçam contas privilegiadas, uma vez que fornecem uma via rápida para os sistemas mais críticos de uma organização. As contas de convidados representam uma entidade externa que não sofre a mesma segurança que os utilizadores no seu tenant; portanto, atribuir-lhes papéis privilegiados representa um risco acrescido. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Objectos privilegiados com proprietários desprivilegiados
Procura objectos privilegiados (adminCount =1) que são propriedade de uma conta sem privilégios. Qualquer compromisso de uma conta sem privilégios poderia resultar na modificação da delegação de um objecto privilegiado. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_ adminsdholder

  • IOE
Credenciais de utilizadores privilegiados em cache no RODC
Procura utilizadores privilegiados com credenciais que se encontram em cache nos RODCs. Embora não seja imediatamente indicativo de um ataque, as contas de utilizadores privilegiados são sensíveis e não devem ser colocadas em cache nos RODCs, uma vez que a sua segurança física não é tão robusta como um DC completo. Informação
  • MITRE ATT&CK:

    Movimento Lateral

    Escalada de Privilégios

  • IOE
Utilizadores privilegiados que são deficientes
Procura contas de utilizadores privilegiados que estejam incapacitados. Se uma conta privilegiada for desactivada, deve ser removida do(s) seu(s) grupo(s) privilegiado(s) para evitar o seu uso indevido inadvertido. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Utilizadores privilegiados com ServiçoNomes PRINCIPAIS definidos
Procura contas com o atributo adminCount definido como 1 AND ServicePrincipalNames (SPNs) definido na conta. As contas privilegiadas que têm um SPN definido são alvos de ataques baseados em Kerberos que podem elevar os privilégios a essas contas. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_spn_priv

  • IOE
  • COI
Utilizadores privilegiados com uma política de senha fraca
Procura utilizadores privilegiados em cada domínio que não tenham uma política de senhas forte aplicada, de acordo com o quadro ANSSI . Verifica tanto a Política de Palavra-passe de Grão Fino (FGPP) como a política de palavra-passe aplicada ao domínio. Uma senha forte definida pela ANSSI tem pelo menos oito caracteres e é actualizada o mais tardar de três em três anos. As senhas fracas são mais fáceis de quebrar através de ataques de força bruta e podem proporcionar aos atacantes oportunidades de se moverem lateralmente ou de aumentarem os privilégios. O risco é ainda maior para as contas privilegiadas, pois quando comprometidas melhoram a hipótese de o atacante avançar rapidamente dentro da rede. Crítico
  • MITRE ATT&CK:

    Análise

  • ANSSI:

    vuln2_privileged_mem- bers_password

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
  • COI
Grupo de Utilizadores Protegidos não em uso
Detecta quando os utilizadores privilegiados não são um membro do grupo de Utilizadores Protegidos. O grupo de Utilizadores Protegidos proporciona aos utilizadores privilegiados uma protecção adicional contra ataques directos de roubo de credenciais. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln3_protected_users

  • IOE
O tipo de encriptação RC4 ou DES é suportado pelos Controladores de Domínio
Verifica se a encriptação RC4 ou DES é suportada por controladores de domínio. RC4 e DES são considerados uma forma insegura de encriptação, susceptível a vários ataques criptográficos. Vulnerabilidades múltiplas no algoritmo RC4 ou DES permitem ataques MITM (Man-in-the-Middle) e decifrar. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Actividade recente de criação de conta privilegiada
Procura utilizadores ou grupos com privilégios (adminCount = 1) que tenham sido criados recentemente. Permite-lhe detetar contas e grupos privilegiados que foram criados sem conhecimento prévio. Informativo Informação
  • MITRE ATT&CK:

    Persistência

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Mudanças recentes na história lateral de objectos
Detecta quaisquer alterações recentes à sIDHistoria sobre objectos, incluindo alterações a contas não-privilegiadas onde são adicionados SIDs privilegiados. Os atacantes precisam de acesso privilegiado ao AD para poderem escrever à sIDHistory, mas se tais direitos existirem, então escrever SIDs privilegiados em contas de utilizadores regulares é uma forma furtiva de criar contas de backdoor. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
  • COI
Delegação condicionada baseada em recursos aplicada à conta AZUREADSSOACC
Procura a Delegação Restrita Baseada em Recursos configurada para a conta SSO do Azure, AZUREADSSOACC. Uma conta com a Delegação Restrita Baseada em Recursos permitiria que essa entidade gerasse um pedido de Serviço de Concessão de Títulos (TGS) para o inquilino do Azure em nome da conta AZUREADSSOACC como qualquer utilizador e se fizesse passar por esse utilizador. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

  • IOE
Palavras-passe reversíveis encontradas nas GPO
Procura no SYSVOL por GPOs que contêm palavras-passe que podem ser facilmente decifradas por um atacante (as chamadas entradas "Cpassword"). Esta área é uma das primeiras coisas que os atacantes procuram quando têm acesso a um ambiente AD. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

  • MITRE D3FEND:

    Detectar - Análise de ficheiros emulados

  • IOE
Caching arriscado de credenciais RODC
Procura uma Política de Replicação de Senha que permita objectos privilegiados. Se os utilizadores privilegiados estiverem na lista de permissão, podem ser expostos a roubo de credenciais num RODC. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_rodc_priv_ revelado

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Security Defaults não activados
Quando não há políticas de Conditional Accessconfiguradas, este indicador verifica se os Security Defaults estão activados. Recomenda-se que os Security Defaults sejam utilizados para Tenants que não tenham políticas de Conditional Access configuradas. Os Security Defaults exigirão MFA, bloquearão a autenticação básica (legacy) e exigirão autenticação adicional ao aceder ao portal Azure, Azure PowerShell, e Azure CLI. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Acesso Inicial

  • IOE
SMBv1 está activo nos Domain Controllers
Procura Domain Controllers onde o protocolo SMBv1 está activo. SMBv1 é um protocolo antigo (tornado obsoleto pela Microsoft em 2014), que é considerado inseguro e susceptível a todo o tipo de ataques. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Conta de computador SSO com palavra-passe definida pela última vez há mais de 90 dias
Verifica a conta de computador SSO do Azure (AZUREADSSOACC) para determinar se a senha foi alterada nos últimos 90 dias. A palavra-passe da conta de computador SSO do Azure não é alterada automaticamente a cada 30 dias. Se a palavra-passe desta conta for comprometida, um atacante pode gerar um pedido de Serviço de Concessão de Bilhetes (TGS) para a conta AZUREADSSOACC como qualquer utilizador, o que tem o efeito de gerar um bilhete para o Azure e fazer-se passar por esse utilizador. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_password_ change_server_no_ change_90

  • IOE
SYSVOL Alterações executáveis
Procura modificações em ficheiros executáveis dentro do SYSVOL. As alterações aos ficheiros executáveis no SYSVOL devem ser contabilizadas ou investigadas para procurar um potencial enfraquecimento da postura de segurança. Aviso
  • MITRE ATT&CK:

    Persistência da execução

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Análise de ficheiros

  • IOE
  • COI
Contas de confiança com palavras-passe antigas
Procura contas fiduciárias cuja palavra-chave não tenha sido alterada no último ano. As contas fiduciárias facilitam a autenticação através dos trusts e devem ser protegidas como contas de utilizadores privilegiados. Normalmente, as senhas das contas fiduciárias são rodadas automaticamente, pelo que uma conta fiduciária sem uma alteração recente de senha poderia indicar uma conta fiduciária órfã. Informação
  • MITRE ATT&CK:

    Acesso Inicial

  • ANSSI:

    vuln2_trusts_accounts

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Directores sem privilégios como administradores do DNS
Procura qualquer membro do grupo Admins do DNS que não seja um utilizador privilegiado. Os membros deste grupo podem ser delegados a administradores não-AD (por exemplo, administradores com responsabilidades de rede, tais como DNS, DHCP, etc.), o que pode resultar em que estas contas sejam alvos privilegiados de compromisso. Aviso
  • MITRE ATT&CK:

    Execução

  • ANSSI:

    vuln1_dnsadmins

    vuln1_permissions_msdn

  • IOE
Utilizadores sem privilégios podem adicionar contas de computador ao domínio
Verifica se os membros do domínio sem privilégios têm permissão para adicionar contas de computador a um domínio. A capacidade de adicionar contas de computador a um domínio pode ser abusada por ataques baseados no Kerberos. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

  • IOE
Contas desprotegidas com adminCount=1
Procura quaisquer utilizadores ou grupos que possam estar sob o controlo da SDProp (adminCount=1) mas que já não sejam membros de grupos privilegiados. Pode ser a prova de um atacante que tentou cobrir os seus rastos e remover um utilizador que usou para se comprometer. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
  • COI
Consentimento sem restrições permitido a utilizadores
Verifica se os utilizadores estão autorizados a adicionar aplicações de editores não verificados. Quando os utilizadores têm permissão para consentir quaisquer aplicações de terceiros, há um risco considerável de que uma aplicação permitida tome acções intrusivas ou arriscadas. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

    Persistência

  • IOE
Configuração DNS sem segurança
Procura zonas DNS configuradas com ZONE_UPDATE_UNSECURE, o que permite actualizar um registo DSN de forma anónima. Um atacante poderia aproveitar esta exposição para adicionar um novo registo DSN ou substituir um registo DNS existente para falsificar uma interface de gestão, depois esperar por ligações de entrada a fim de roubar credenciais. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_dnszone_bad_ prop

  • IOE
Contas de utilizadores que armazenam palavras-passe com cifra reversível
Identifica contas com a bandeira "ENCRYPTED_TEXT_PWD_ALLOWED" activada. Os atacantes podem ser capazes de inferir as palavras-passe destes utilizadores a partir do texto cifrado e assumir o controlo destas contas. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln3_reversible_password

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Contas de utilizadores que utilizam encriptação DES
Identifica contas de utilizador com o conjunto de bandeiras "Usar tipos de encriptação Kerberos DES para esta conta". Os atacantes podem facilmente decifrar senhas DES utilizando ferramentas amplamente disponíveis, tornando estas contas maduras para a aquisição. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_kerberos_properties_deskey

  • IOE
Contas de utilizador com palavra-passe não necessárias
Identifica as contas de utilizador onde não é necessária uma palavra-passe. As contas com fracos controlos de acesso são frequentemente alvo de ataques de movimento lateral ou como meio de persistência no ambiente. Informação
  • MITRE ATT&CK:

    Movimento Lateral

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Ativação do utilizador nos últimos 7 dias
Verifica os usuários que foram ativados nos últimos 7 dias. Os usuários ativados têm a capacidade de autenticar e executar ações dentro do ambiente Okta. Portanto, é importante monitorar e verificar o status de ativação dos usuários para garantir que somente indivíduos autorizados tenham acesso. Informação
  • MITRE ATT&CK:

    Persistência

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Desativação de utilizadores nos últimos 7 dias
Verifica os usuários que foram desativados nos últimos 7 dias. Os usuários desativados não têm mais a capacidade de autenticar e executar ações no ambiente Okta. No entanto, um invasor pode desativar intencionalmente um usuário para interromper o funcionamento do ambiente ou para ocultar suas atividades. É importante monitorar e verificar o status de desativação dos usuários para garantir que ele esteja alinhado com os controles de acesso pretendidos. Informação
  • IOE
Utilizadores e computadores com IDs de grupos primários não faltosos
Devolve uma lista de todos os utilizadores e computadores cujos IDs de grupo primários (PGIDs) não são os valores por defeito para utilizadores de domínio e computadores. A modificação do ID de grupo primário é uma forma furtiva de um atacante escalar privilégios sem desencadear a auditoria de atributos de membro para alterações de membros de grupo. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_primary_group_ id_1000

    vuln3_primary_group_ id_nochange

  • IOE
  • COI
Utilizadores e computadores sem PGID legível
Encontra utilizadores e computadores que não conseguem ler o ID do Grupo Primário (PGID). Pode ser causado pela remoção da permissão de leitura padrão, que poderia indicar uma tentativa de ocultar o utilizador (em combinação com a remoção do atributo memberOf). Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

  • IOE
  • COI
Utilizadores ou dispositivos inactivos durante pelo menos 90 dias
Verifica os utilizadores ou dispositivos que não iniciaram sessão nos últimos 90 dias. Os utilizadores ou dispositivos que estiveram inactivos durante 90 dias ou mais provavelmente já não estão a ser utilizados e deixam uma porta aberta para o inquilino do Azure AD. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Utilizadores com pré autenticação Kerberos desactivada
Procura utilizadores com a pré-autenticação de Kerberos desactivada. Estes utilizadores podem ser alvo de ataques de ASREP-Roasting (como "Kerberoasting"). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_kerberos_prop- erties_preauth_priv

    vuln2_kerberos_prop- erties_preauth

  • IOE
Utilizadores com palavras-passe antigas
Procura contas de utilizador cuja palavra-chave não tenha sido alterada em mais de 180 dias. Estas contas podem ser alvo de ataques de adivinhação da palavra-passe. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Persistência

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Utilizadores marcados para não expirar a palavra-passe
Identifica as contas de utilizador marcadas com "Password Never Expires". Estas contas podem ser alvos potenciais de ataques por brute force. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_dont_expire

  • IOE
Utilizadores com permissões para definir conta de confiança no servidor
Verifica as permissões do cabeçalho do NC do domínio para ver se o sinalizador Server_Trust_Account está definido nos objectos de computador. Um atacante que consiga semear utilizadores autenticados com estas permissões pode utilizar o seu acesso para promover qualquer computador que controle para o estado de Controlador de Domínio, permitindo a escalada de privilégios para os serviços AD e a realização de ataques de acesso a credenciais como o DCSync. Crítico
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Utilizadores com ServiçoPrincipalNome Definido
Fornece uma forma de inventariar visualmente todas as contas de utilizador que têm ServicePrincipalNames (SPNs) definidos. Geralmente, os SPNs são definidos apenas para serviços "Kerberizados"; outras contas com um SPN podem ser motivo de preocupação. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Utilizadores sem autenticação multifactor (MFA)
Verifica todos os utilizadores para identificar aqueles que não se registaram para a autenticação multifactor (MFA). Os utilizadores que não estão configurados com MFA correm um risco elevado de serem comprometidos. Isto representa uma ameaça significativa não só para o utilizador, mas também para todo o ambiente. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

  • IOE
Fraca encriptação de certificados
Procura certificados armazenados no Active Directory com tamanho de chave inferior a 2048 bits ou que utilizem encriptação DSA. Os certificados fracos podem ser utilizados por atacantes para obter acesso a sistemas que utilizam autenticação de certificados. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_certificates_vuln

  • MITRE D3FEND:

    Harden - Autenticação baseada em certificados

  • IOE
SIDs privilegiados bem conhecidos na sIDHistory
Procura princípios de segurança que contenham SID específicos de contas de grupos privilegiados incorporados dentro do atributo sIDHistory. Permite que esses princípios de segurança tenham os mesmos privilégios que essas contas privilegiadas, mas de uma forma que não é óbvia para controlar (por exemplo, através da adesão a um grupo). Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • ANSSI:

    vuln2_sidhistory_dan- gerous vuln3_sidhistory_presente

  • IOE
  • COI
Escrever o acesso ao RBCD em CD
Procura utilizadores que não estejam em Administradores de Domínios, Administradores de Empresas, ou grupos de Administradores Incorporados que tenham acesso de escrita na Delegação Restrita Baseada em Recursos (RBCD) para controladores de domínios. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Escrever o acesso ao RBCD na conta krbtgt
Procura utilizadores que não estejam em Admins de Domínios, Enterprise Admins, ou grupos de Admins Incorporados que tenham acesso por escrito na Resource-Based Constrained Delegation (RBCD) para a conta krbtgt. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Vulnerabilidade Zerologon
Procura uma vulnerabilidade de segurança ao CVE-2020-1472, que foi remendado pela Microsoft em Agosto de 2020. Sem esta correcção, um atacante não autenticado pode explorar o CVE-2020-1472 para elevar os seus privilégios e obter acesso administrativo ao domínio. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE

Indicadores de segurança actualizados regularmente pela nossa equipa de investigação de ameaças

Purple Knight analisa o ambiente do Active Directory em busca de mais de 150 indicadores de segurança de exposição ou comprometimento - incluindo configurações arriscadas e vulnerabilidades não corrigidas - que podem levar a um ataque.

Quem desenvolve a investigação?

A nossa equipa de investigação especializada, liderada pelo nosso CTO e Microsoft MVP Guy Teverovsky, estuda continuamente como os cibercriminosos planeiam explorar o AD e desenvolve indicadores para descobrir os pontos fracos no AD, antes que os atacantes o façam.

Mais de 100 anos

experiência combinada em tecnologia Microsoft

O que dizem os utilizadores do Purple Knight ?

 

Purple Knight é uma ferramenta poderosa com um conjunto de scripts que faz um trabalho fantástico ao  mostrar alguns dos aspectos escondidos do seu AD que estão apenas à espera de serem descobertos pela pessoa errada.Patrick Emerick Engenheiro de Sistemas Sénior | Bethel School District
Recomendo o Purple Knight pela sua facilidade de utilização - dá-lhe um conjunto de notas rápidas com base no interface gráfico, assim como uma lista de acções de remediação para começar a trabalhar.Jim Shakespear Director de Segurança Informática | Universidade do Sul do Utah
O Purple Knight é o primeiro utilitário que utilizei e que aprofunda o tema da segurança do Active Directory. Funciona tão bem, que não precisei de encontrar mais nada.Micah Clark IT Manager | Central Utah Emergency Communications
O relatório Purple Knight ajudou-nos a corrigir imediatamente vários itens, tais como remover ou desabilitar contas do Active Directory que não deviam ter sido ativadas. E depois ajudou-nos a desenvolver um plano de manutenção a longo prazo.CISO empresa industrial canadiana