Der AD Security Überprüfung Sensor stellt sicher, dass keine kritischen Zugriffe auf den Domain-Controller erfolgen. Dabei führt der Sensor folgende verschiedene Prüfungen durch:
KerberosAttackDetection
Über 10 falsche passive Anmeldungen innerhalb von 10 Minuten erzeugen einen Alarm
Eine passive Anmeldung über Kerberos bezeichnet einen Authentifizierungsprozess, bei dem Benutzer nicht aktiv ihre Anmeldedaten eingeben müssen. Stattdessen wird ein Authentifizierungsticket automatisch verwendet, um den Benutzer zu identifizieren und Zugriff zu gewähren. Dies geschieht oft im Hintergrund, beispielsweise wenn ein Benutzer in einer Domäne arbeitet, die von Kerberos verwaltet wird.
KerberoastingDetection
Es wird eine veraltete Verschlüsselung verwendet: RC4-HMAC.
Diese Verschlüsselungsmethode ist anfällig und kann relativ einfach entschlüsselt werden.
Hier können Tools helfen, wie beispielweise IIS Crypto oder Anleitungen wie diese.
BruteForceUserDetection
Über 10 falsche Anmeldungen innerhalb von 10 Minuten.
AdminNetworkShareDetection
Es wurde auf persönliche oder sensible Ordner über die Administratorfreigabe zugegriffen innerhalb von 10 Minuten.
Aktuell sind folgende Ordner "überwacht".
- "Users"
- "Windows\Boot“
- "Windows\Start Menu\Programs\Startup"
- "ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
- "ProgramData\MySQL\"
- "Windows\System32\"
In Zukunft soll es hier möglich sein weitere Ordner ergänzen zu können.