|
AAD Connect sync password da conta de sincronização redefinida
|
Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Utilizadores com privilégios no AAD que também têm privilégios no AD
|
Verifica os utilizadores com privilégios do Azure AD que também são utilizadores com privilégios no AD local. O comprometimento de uma conta com privilégios no AD e no AAD pode resultar no comprometimento de ambos os ambientes. | Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Actualização de palavra-passe anormal
|
Procura contas de utilizador com uma alteração recente do pwdLastSet sem uma replicação de palavra-passe correspondente. Se a opção "User must change password at next logon" for definida e depois apagada, poderá indicar um erro administrativo ou uma tentativa de contornar a política de palavra-passe da organização. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Persistência
|
|
|
Contas com altSecurityIdentities configuradas
|
Verifica a existência de contas com o atributo altSecurityIdentities configurado. O atributo altSecurityIdentities é um atributo com vários valores utilizado para criar mapeamentos para certificados X.509 e contas Kerberos externas. Quando configurado, é possível adicionar valores que essencialmente se fazem passar por essa conta. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_a2d2
|
|
|
Contas com delegação restrita configurada para SPN fantasma
|
Procura contas que tenham a Delegação Restrita configurada para SPNs fantasma. Quando os computadores são desactivados, a sua configuração de delegação nem sempre é limpa. Essa delegação pode permitir que um atacante que tenha privilégios para escrever no atributo ServicePrincipalName de outra conta de serviço, aumente os privilégios nesses serviços. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_a2d2
|
|
|
Contas com Constrained Delegation configurada para krbtgt
|
Procura contas que tenham a delegação restrita configurada para o serviço krbtgt. A criação de uma delegação Kerberos à própria conta krbtgt permite a esse comitente (utilizador ou computador) gerar um pedido de Ticket Granting Service (TGS) para a conta krbtgt como qualquer utilizador, o que tem o efeito de gerar um Ticket Granting Ticket (TGT) semelhante a um Bilhete Dourado. | Crítico |
|
|
|
Autoridade Certificadora AD com inscrição na Web (PetitPotam e ESC8)
|
Identifica os servidores do AD CS no domínio que aceitam a autenticação NTLM para o Registo na Web. Os atacantes podem abusar de uma falha no Registo Web do AD CS que permite ataques de retransmissão NTLM para autenticar como um utilizador privilegiado. | Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Objectos AD criados nos últimos 10 dias
|
Procura quaisquer objectos AD que tenham sido criados recentemente. Permite-lhe detectar relatos desconhecidos ou ilegítimos. Significa ser utilizado para a caça de ameaças, investigação pós-investigação, ou validação de compromisso. | Informação |
|
|
|
Utilizadores privilegiados do AD que são sincronizados com o AAD
|
Verifica os utilizadores com privilégios do AD que estão sincronizados com o AAD. Quando um utilizador privilegiado do AD é sincronizado com o AAD, um comprometimento do utilizador do AAD pode resultar no comprometimento do ambiente local também. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
As unidades administrativas não estão a ser utilizadas
|
Verifica a utilização de unidades administrativas no locatário Entra
locatário. As unidades administrativas são um recurso do Entra ID que permite
restringir o âmbito administrativo de utilizadores privilegiados. As organizações que utilizam unidades administrativas podem ter mais granularidade na atribuição de funções.
| Informação |
-
MITRE ATT&CK:
Movimento Lateral
|
|
|
Administradores com palavras-passe antigas
|
Procura contas Admin cuja palavra-chave não tenha sido alterada há mais de 180 dias. Se as palavras-passe das contas Admin não forem alteradas regularmente, estas contas poderão vulneráveis a ataques de adivinhação de palavra-passe. | Aviso |
|
|
|
Acesso anónimo ao Active Directory activado
|
Procura a presença da bandeira que permite o acesso anónimo. O acesso anónimo permitiria aos utilizadores não autenticados a consulta de AD. | Crítico |
|
|
|
Acesso anónimo NSPI ao AD activado
|
Detecta quando o acesso à interface de fornecedor de serviços de nomes anónimos (NSPI) está activado. Permite ligações anónimas baseadas em RPC para AD. O NSPI raramente é activado, por isso, se se verificar que está activado, deve ser motivo de preocupação. | Aviso |
|
|
|
Segredos e certificados expirados da aplicação
|
Verifica a existência de certificados ou segredos que atingiram as suas datas de expiração. Este indicador não indica um risco direto ou uma probabilidade de compromisso. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Os contextos adicionais Application Name e Geographic Location estão desactivados na MFA
|
Verifica se o nome da aplicação e os contextos adicionais de localização geográfica estão desactivados na autenticação multifactor (MFA). A ativação dos contextos adicionais do nome da aplicação e da localização geográfica na MFA fornece um nível adicional de segurança para o início de sessão de um utilizador. | Aviso |
|
|
|
Conta Administrador do domínio (rid 500) utilizada nas últimas duas semanas
|
Verifica se o valor do atributo lastLogonTimestamp para a conta de Administrador do Domínio (rid 500) foi recentemente actualizado. Pode indicar que o utilizador foi comprometido. | Aviso |
|
|
|
Conta Administrador do domínio (rid 500) com palavra-passe antiga (180 dias)
|
Verifica se o atributo pwdLastSet na conta do Administrador do Domínio incorporado foi alterado nos últimos 180 dias. Se esta senha não for alterada regularmente, esta conta pode ser vulnerável a ataques por senha de força bruta. | Informação |
|
|
|
Conta de convidado embutida está activada
|
Verificações para assegurar que a conta "convidado" de AD embutida está desactivada. Uma conta de convidado activada permite o acesso sem palavra-passe ao domínio, o que pode apresentar um risco de segurança. | Informação |
|
|
|
Modelos de certificados que permitem aos requerentes especificar um assuntoAltName
|
Verifica se os modelos de certificado estão a permitir que os requerentes especifiquem um subjectAltName no CSR. Quando os modelos de certificado permitem que os requerentes especifiquem um subjectAltName no CSR, o resultado é que podem pedir um certificado como qualquer pessoa (por exemplo, um administrador de domínio). Quando isso é combinado com um EKU de autenticação presente no modelo de certificado, pode tornar-se extremamente perigoso. | Crítico |
|
|
|
Modelos de certificados com três ou mais configurações inseguras
|
Verifica se os modelos de certificados na floresta têm um mínimo de três configurações inseguras: A aprovação do gestor está desactivada, Não são necessárias assinaturas autorizadas, SAN activada, Autenticação EKU presente. Cada uma destas configurações pode ser explorada pelos adversários para obter acesso. | Aviso |
|
|
|
Persistência da autenticação baseada em certificados
|
Avalia a presença de funções e permissões específicas da aplicação gráfica Entra ID Microsoft que, quando combinadas, podem permitir que um utilizador estabeleça a persistência através da autenticação baseada em certificados (CBA). | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Mudanças nos especificadores de display AD nos últimos 90 dias
|
Procura alterações recentes feitas ao atributo adminContextMenu em especificadores de expositores AD. A modificação deste atributo pode potencialmente permitir que os atacantes utilizem menus de contexto para fazer com que os utilizadores executem código arbitrário. | Informação |
-
MITRE ATT&CK:
Evasão de Defesa Execução
|
|
|
Alterações à Default Domain Policy ou à Default Domain Controllers Policy nos últimos 7 dias
|
Procura alterações recentes na Política de Domínios por Defeito e na Política de Controladores de Domínios por Defeito GPO. Estes GPO controlam configurações de segurança em todo o domínio e controlador de domínio e podem ser indevidamente utilizados para obter acesso privilegiado a AD. | Informação |
-
MITRE ATT&CK:
Movimento Lateral Persistência
|
|
|
Alterações ao esquema de descritores de segurança por defeito nos últimos 90 dias
|
Detecta alterações recentes de atributos de esquema feitas no descritor de segurança padrão. Se um atacante tiver acesso à instância do esquema numa floresta, quaisquer alterações feitas podem propagar-se a objectos recentemente criados na AD, enfraquecendo potencialmente a postura de segurança da AD. | Aviso |
|
|
|
Alterações às permissões de leitura do MS LAPS
|
Procura permissões em contas de computador que possam permitir a exposição inadvertida de contas de administrador local em ambientes que utilizam Microsoft LAPS. Os atacantes podem utilizar esta capacidade para se deslocarem lateralmente através de um domínio utilizando contas de administrador local comprometidas. | Informação |
|
|
|
Alterações à lista de membros do grupo "Pre-Windows 2000 Compatible Access"
|
integrProcura alterações ao grupo de omissã "Acesso Compatível Pré-Windows 2000". É melhor assegurar que este grupo não contenha os grupos "Logon Anónimo" ou "Todos". | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Mudanças dos membros de grupos privilegiados nos últimos 7 dias
|
Procura alterações recentes nos grupos com privilégios incorporados. Pode indicar tentativas de aumentar o privilégio. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Alterações nas associações de grupos sem privilégios nos últimos 7 dias
|
Procura grupos sem privilégios com alterações de membros efectuadas nos últimos 7 dias. As alterações de associação a grupos sem privilégios podem dar acesso a recursos usando privilégios de grupo. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Verificar se os convidados têm autorização para convidar outros convidados
|
Verifique as permissões de convite de convidado. Não é recomendável permitir que os convidados enviem convites de convidados.
Para evitar que convidados não autorizados convidem outras pessoas para a organização, considere atualizar as "Definições de convites de convidados" para restringir esta capacidade. | Aviso |
-
MITRE ATT&CK:
Movimento Lateral
|
|
|
Verificar as permissões API de risco concedidas aos service principals de applicações
|
Verificações de permissões API que podem ser arriscadas se não forem devidamente planeadas e aprovadas. Os administradores de aplicações maliciosas poderiam utilizar estas permissões para conceder privilégios administrativos a si próprios ou a outros. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Verificar se há utilizadores com fraca ou nenhuma AMF
|
Verifica o registo da autenticação multifactor (MFA) de todos os utilizadores e os métodos configurados. Devido à falta de medidas de segurança uniformes nas redes móveis, o SMS e a Voz são considerados menos seguros do que as aplicações móveis e o FIDO. Um utilizador malicioso pode falsificar/codificar códigos e enganar os utilizadores para que forneçam a autenticação. | Aviso |
-
MITRE ATT&CK:
Acesso Inicial Movimento Lateral
|
|
|
Verificar se a autenticação legacy é permitida
|
Verifica se a autenticação do legado está bloqueada, quer utilizando políticas de acesso condicional ou padrões de segurança. Permitir autenticação legada aumenta o risco de um atacante entrar no sistema usando credenciais previamente comprometidas. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Tomada de posse da conta do computador através da delegação de restrição baseada em recursos de Kerberos (RBCD)
|
Procura o atributo msDS-Allowed-ToActOnBehalfOfOtherIdentity em objectos informáticos. Os atacantes poderiam usar a configuração do Kerberos RBCD para aumentar os privilégios através de um computador que controlam, se esse computador tiver delegação no sistema alvo. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral Escalada de Privilégios
|
|
|
Contas de computador em grupos privilegiados
|
Procura contas de computador que sejam membros de um grupo privilegiado de domínio. Se uma conta de computador é um membro do grupo de domínio privilegiado, então qualquer pessoa que comprometa essa conta de computador pode agir como membro desse grupo. | Aviso |
|
|
|
Contas de computador ou de utilizador com SPN que têm delegação sem restrições
|
Procura contas de computador ou de utilizador com SPN que sejam
confiáveis para delegação Kerberos sem restrições. Estas contas
contas armazenam o Kerberos TGT dos utilizadores localmente para autenticar
a outros sistemas em seu nome.
Os computadores e os utilizadores que confiam na delegação
são facilmente alvo de ataques baseados no Kerberos.
| Aviso |
|
|
|
Computadores com versões de SO mais antigas
|
Procura contas de máquinas que estejam a correr versões mais antigas do Windows Server 2012 R2 e Windows 8.1. Os computadores que correm versões mais antigas e sem suporte de SO podem ser alvo de explorações conhecidas ou não. | Informação |
|
|
|
Computadores com palavra-passe definidos pela última vez há mais de 90 dias
|
Procura contas de computador que não tenham rodado automaticamente as suas palavras-passe. As contas de computador devem alternar automaticamente as suas palavras-passe a cada 30 dias; os objectos que não o fazem podem apresentar indícios de adulteração. | Aviso |
|
|
|
As políticas de acesso condicional contêm endereços IP privados
|
Verifica se alguma política de Acesso Condicional contém locais nomeados com endereços IP privados. Ter endereços IP privados em locais nomeados associados a políticas de Acesso Condicional pode resultar em uma postura de segurança indesejada. | Aviso |
-
MITRE ATT&CK:
Acesso Inicial
|
|
|
Política de Acesso Condicional que desactiva a persistência simbólica administrativa
|
Procura políticas de Acesso Condicional que desactivem a persistência do token para utilizadores com funções de administrador e que tenham uma frequência de início de sessão inferior ou igual a nove horas. Quando um login de administrador tem seu token armazenado em cache no cliente, ele fica vulnerável a um ataque relacionado ao token de atualização primário. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Política de Acesso Condicional que não exige uma mudança de senha de utilizadores de alto risco
|
Verifica se existe uma política de Acesso Condicional que requer uma alteração de senha se o usuário for determinado como de alto risco pela API de risco do usuário da Proteção de Identidade do Azure AD. Um risco de utilizador elevado representa uma elevada probabilidade de uma conta ter sido comprometida. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Política de Acesso Condicional que não requer AMF quando o risco de acesso tiver sido identificado
|
Verifica se existe uma política de Acesso Condicional que requer MFA se o risco da solicitação de autenticação for determinado como médio ou alto pela API de risco de entrada da Proteção de Identidade do Azure AD. Um risco de entrada médio ou alto representa uma probabilidade média a alta de que uma solicitação de autenticação não autorizada foi feita. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Política de Acesso Condicional com Avaliação de Acesso Contínuo desactivado
|
Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Caminhos de controlo perigosos expõem contentores de certificados
|
Procura entidades não predefinidas com permissões no contentor NTAuthCertificates, que contém os certificados de AC intermédios utilizados para autenticação no Active Directory.
Os utilizadores sem privilégios com permissões no contentor NTAuthCerticates têm a capacidade de aumentar o seu acesso e fazer com que o domínio confie numa AC não autorizada.
| Aviso |
|
|
|
Caminhos de controlo perigosos expõem modelos de certificados
|
Procura responsáveis não predefinidos com a capacidade de escrever propriedades num modelo de certificado. Os utilizadores sem privilégios com propriedades de escrita em modelos de certificado têm a capacidade de aumentar o seu acesso e criar certificados vulneráveis para registo. | Aviso |
|
|
|
Caminho perigoso do script de logon do GPO
|
Procura caminhos de scripts de início de sessão para scripts que não existem e onde um utilizador com poucos privilégios tem permissões na pasta principal. Também procura caminhos de scripts de início de sessão para scripts existentes que dão permissões a utilizadores com menos privilégios para modificar o script. Ao inserir um novo script ou alterar um script existente que dê a um utilizador normal permissão para alterar o script ou aceder à sua pasta principal, um atacante pode executar remotamente código numa parte maior da rede sem privilégios especiais. | Aviso |
|
|
|
Conjunto de Atributos de Confiança Perigosos
|
Identifica trusts com um dos seguintes atributos definidos: TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION ou TRUST_ATTRIBUTE_ PIM_TRUST. A definição destes atributos permite que um bilhete Kerberos seja delegado ou reduz a proteção fornecida pela filtragem SID. | Aviso |
|
|
|
Direitos de utilizador perigosos concedidos pelo GPO
|
Procura utilizadores não privilegiados a quem são concedidas permissões elevadas através de GPO. Um atacante pode potencialmente explorar os direitos de utilizador concedidos por um GPO para obter acesso a sistemas, roubar informações sensíveis ou causar outros tipos de danos. | Aviso |
|
|
|
O proprietário do Controlador do domínio não é um administrador
|
Procura contas de computador Controlador de Domínio cujo dono não seja um Administrador de Domínio, Administrador de Empresa, ou uma conta de Administrador incorporada. A obtenção de controlo de contas de máquinas DC permite um caminho fácil para comprometer o domínio. | Aviso |
|
|
|
Controladores de domínio num estado inconsistente
|
Procura controladores de domínio que possam estar num estado inconsistente, indicando um possível DC velhaco ou não funcional. Máquinas ilegítimas actuando como DC podem indicar que alguém comprometeu o ambiente (por exemplo, usando DCShadow ou ataque de DC spoofing semelhante). | Informação |
|
|
|
Controladores de domínio que não se tenham autenticado no domínio durante mais de 45 dias
|
Procura controladores de domínio que não tenham sido autenticados no domínio há mais de 45 dias. A falta de autenticação do domínio revela máquinas fora de sincronia. Se um atacante comprometer um DC offline e quebrar as credenciais ou se conectar novamente ao domínio, ele poderá introduzir alterações indesejadas no Active Directory. | Aviso |
|
|
|
Controladores de domínio com palavras-passe antigas
|
Procura contas de máquina do controlador de domínio cuja palavra-passe não tenha sido reposta há mais de 45 dias. As contas de máquina com palavras-passe mais antigas podem indicar um DC que já não está a funcionar no domínio. Além disso, os DCs com palavras-passe de contas de máquina mais antigas podem ser mais facilmente controlados. | Informação |
-
MITRE ATT&CK:
Escalada de Privilégios Desenvolvimento de Recursos
-
ANSSI:
vuln1_password_ change_dc_no_change
-
MITRE D3FEND:
Harden - Política de Senha Forte
|
|
|
Controladores de domínio com Delegação Restrita Baseada em Recursos (RBCD) activada
|
Detecta uma configuração que concede certas contas com delegação completa aos controladores de domínio. | Aviso |
|
|
|
Confiança do domínio a um domínio de terceiros sem quarentena
|
Procura fundos florestais de saída que têm a bandeira de quarentena hasteada em falso. Um atacante que tenha comprometido o domínio remoto pode criar uma conta "falsificável" para obter acesso a todos os recursos no domínio local. Se um caminho de controlo perigoso for exposto, qualquer conta "falsificável" pode também aumentar os seus privilégios até aos administradores do domínio e comprometer toda a floresta". | Aviso |
|
|
|
Domínios com níveis funcionais obsoletos
|
Procura domínios AD que tenham um nível funcional de domínio definido para Windows Server 2012 ou inferior. Níveis funcionais mais baixos significam que as novas características de segurança disponíveis no AD não podem ser alavancadas. | Informação |
|
|
|
Contas administrativas inactivas
|
Procura contas administrativas que estejam activadas, mas que não tenham entrado no sistema nos últimos 90 dias. Os atacantes que possam comprometer estas contas poderão operar sem serem notados. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
-
ANSSI:
vuln1_password_ change_priv vuln1_user_accounts_ dormant
-
MITRE D3FEND:
Evitar - Bloqueio de contas
|
|
|
Enterprise Key Admins com acesso total ao domínio
|
Procura provas de um bug em certas versões do Windows Server 2016 Adprep que concedeu acesso indevido ao grupo Enterprise Key Admins. Este problema foi corrigido numa versão posterior do Windows 2016; contudo, se esta correcção não tiver sido aplicada, este bug concede a este grupo a capacidade de replicar todas as alterações do AD (ataque DCSync). | Aviso |
|
|
|
O inquilino Entra é suscetível de sofrer um ataque de concessão de consentimento oculto
|
Verifica as permissões e configurações do aplicativo para determinar se o locatário Entra é suscetível a ataques de concessão de consentimento oculto.
Um ataque de concessão de consentimento oculto é um tipo de ataque de phishing em que um ator malicioso que controla uma aplicação com permissões Diretory.ReadWrite.All obtém acesso a uma aplicação e explora as permissões concedidas para aumentar os seus privilégios. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Administradores efémeros
|
Procura utilizadores que foram adicionados e removidos de um grupo Admin dentro de um período de 48 horas. Tais contas de curta duração podem indicar actividade maliciosa. | Informação |
|
|
|
Provas de ataque de Mimikatz DCShadow
|
Procura provas de que uma máquina foi utilizada para injectar alterações arbitrárias no AD usando um controlador de domínio "falso". Estas alterações contornam o registo de eventos de segurança e não podem ser detectadas utilizando ferramentas de monitorização padrão. | Crítico |
|
|
|
FGPP não aplicado ao Grupo
|
Procura a política de senha refinada (FGPP) direcionada a um grupo Universal ou Local de Domínio. Alterar a definição de âmbito de um grupo de Global para Universal ou Local de Domínio faz com que as definições FGPP deixem de se aplicar a esse grupo, diminuindo assim os seus controlos de segurança de palavra-passe. | Aviso |
|
|
|
Os Princípios de Segurança Estrangeiros no Grupo dos Privilegiados
|
Procura membros de grupos protegidos integrados que sejam Foreign Security Principals. Deve ser tomado especial cuidado ao incluir contas de outros domínios como membros de grupos privilegiados. Os Foreign Security Principals não têm o atributo adminCount e, portanto, podem não ser detectados por alguns instrumentos de auditoria de segurança. Adicionalmente, um atacante pode adicionar uma conta privilegiada e tentar escondê-la utilizando este método. | Aviso |
|
|
|
A floresta contém mais de 50 contas privilegiadas
|
Conta o número de contas privilegiadas na floresta. Em geral, quanto maior o número de utilizadores privilegiados, maior será o número de oportunidades para os atacantes comprometerem um desses utilizadores. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios Reconhecimento
-
ANSSI:
vuln1_privileged_members
|
|
|
Administradores globais que iniciaram sessão nos últimos 14 dias
|
Procura por Administradores Globais que tenham feito login nos últimos 14 dias. Os utilizadores que detêm a função de Administrador Global são os utilizadores mais privilegiados na Entra ID. Um atacante encontrará usuários com a função de Administrador Global como de alto valor, e um Administrador Global comprometido pode levar a vários ataques contra a organização. | Aviso |
|
|
|
gMSA não utilizado
|
Verifica a existência de objectos de Contas de Serviço Geridas pelo grupo (gMSA) activados no domínio. A funcionalidade gMSA no Windows Server 2016 permite a rotação automática de palavras-passe para contas de serviço, tornando-as muito mais difíceis de comprometer por parte dos atacantes. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
objectos gMSA com palavras-passe antigas
|
Procura contas de serviço gerido por grupos (gMSA) que não tenham rodado automaticamente as suas palavras-passe. Os objectos que não estejam a rodar as suas palavras-passe regularmente podem apresentar indícios de adulteração. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
GPO ligando a delegação ao nível do Site AD
|
Procura mandantes não privilegiados que tenham permissões de escrita no atributo GPLink ou Escreva DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do AD Site, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. | Aviso |
|
|
|
Delegação de ligação GPO ao nível da OU Domain Controllers
|
Procura mandantes não privilegiados que tenham permissões de escrita sobre o atributo GPLink ou Escreva DAC/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível da OU do controlador de domínio, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. | Aviso |
|
|
|
Delegação de direitos de ligar GPO ao nível do domínio
|
Procura utilizadores não privilegiados que detenham permissões de escrita no atributo GPLink ou Write DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do domínio, têm a capacidade de efectuar alterações em todos os utilizadores e computadores do domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. | Aviso |
|
|
|
GPO Armazenamento de hash LM fraco ativado
|
Detecta quando a configuração "Segurança de rede: Não armazenar valor de hash do Gestor de Rede na próxima alteração de palavra-passe" está desactivada no sistema operativo Windows. Quando esta definição está desactivada, os hashes do Gestor de Rede (LM), que são vulneráveis a técnicas de quebra de palavra-passe, continuam a ser armazenados durante as alterações de palavra-passe. A ativação desta definição reforça a segurança ao impedir o armazenamento de hashes LM fracos e ao solicitar a utilização de mecanismos de armazenamento de palavras-passe mais fortes. | Aviso |
|
|
|
GPO com tarefas agendadas configuradas
|
Quando uma tarefa agendada lança um executável, este indicador verifica se os utilizadores com poucos privilégios têm permissões para modificar GPOs. As tarefas agendadas configuradas através de políticas de grupo podem ser arriscadas se não forem configuradas corretamente. Podem causar problemas não intencionais e potenciais vulnerabilidades de segurança.
| Informação |
|
|
|
Contas de hóspedes que estiveram inactivos durante mais de 30 dias
|
Verificações de contas de hóspedes que não assinaram, usando um sinal interactivo ou não interactivo, durante os últimos 30 dias. Contas de hóspedes inactivas deixam uma porta aberta para o seu inquilino Azure. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Convidados não aceites nos últimos 30 dias
|
Verifica a existência de convites de convidados que não foram aceites no prazo de 30 dias após o convite. Os convites de convidados obsoletos representam um risco de segurança e devem ser eliminados. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Os utilizadores convidados não estão sujeitos a restrições
|
Os utilizadores convidados são restringidos no tenant. Os atacantes podem utilizar utilizadores convidados sem restrições para efectuar a contagem de utilizadores e grupos no tenant. | Informação |
-
MITRE ATT&CK:
Reconhecimento
|
|
|
Funções personalizadas com privilégios elevados
|
Verifica a existência de funções personalizadas que concedem privilégios elevados para permitir que um utilizador execute acções nas palavras-passe e MFA de outros utilizadores. As funções personalizadas concedem privilégios elevados e podem representar um risco de segurança significativo se não forem geridas corretamente. | Aviso |
|
|
|
Hereditariedade activada no objecto AdminSDHolder
|
Os cheques por herança são activados na Lista de Controlo de Acesso (ACL) do objecto AdminSDHolder, o que poderia indicar uma tentativa de modificar permissões em objectos privilegiados que estão sujeitos a AdminSDHolder (por exemplo, utilizadores ou grupos com adminCount=1). As alterações ao objecto AdminSDHolder são muito raras. Os administradores devem saber que foi feita uma alteração e ser capazes de articular a razão da alteração. Se a alteração não foi intencional, a probabilidade de compromisso é muito elevada. | Crítico |
-
MITRE ATT&CK:
Evasão de Defesa Escalada de Privilégios
|
|
|
Conta Kerberos krbtgt com palavra-passe antiga
|
Procura uma conta de utilizador krbtgt cuja palavra-passe não tenha sido alterada nos últimos 180 dias. Se a palavra-passe da conta krbtgt for comprometida, os ataques Golden Ticket podem ser efectuados para obter acesso a qualquer recurso de um domínio AD. | Aviso |
|
|
|
Configuração da delegação de transição do protocolo Kerberos
|
Procura serviços que tenham sido configurados para permitir a transição do protocolo Kerberos, que basicamente diz que um serviço delegado pode utilizar qualquer protocolo de autenticação disponível. Serviços comprometidos podem reduzir a qualidade do seu protocolo de autenticação que é mais facilmente comprometida (por exemplo, NTLM). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral Escalada de Privilégios
|
|
|
Conta krbtgt com Delegação Restrita Baseada em Recursos (RBCD) activada
|
Procura uma conta krbtgt que tenha a Delegação restrita baseada em recursos (RBCD) definida. Normalmente, as delegações não devem ser criadas na conta krbtgt; se forem encontradas, podem representar um risco significativo e devem ser mitigadas rapidamente. | Crítico |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_a2d2
|
|
|
Existem menos de 2 administradores globais
|
Verifica a presença de menos de dois Administradores Globais. Este indicador está alinhado com as recomendações da Microsoft de que os clientes devem ter pelo menos dois Administradores Globais no locatário. | Informação |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Lista de utilizadores de risco (nível médio ou elevado)
|
Verifica a existência de utilizadores de risco no inquilino com um nível de risco médio ou elevado. Os utilizadores de risco são indivíduos ou contas que apresentam comportamentos que aumentam a probabilidade de incidentes ou violações de segurança, tais como práticas de autenticação fracas, suscetibilidade a phishing, padrões de atividade invulgares, acesso a recursos a partir de dispositivos ou redes não seguros ou privilégios elevados. Estes utilizadores representam riscos significativos, podendo levar ao comprometimento de credenciais, violações de dados ou ameaças internas. | Aviso |
-
MITRE ATT&CK:
Acesso Inicial
|
|
|
MFA não configurada para contas privilegiadas
|
Verifica se a Autenticação Multi-Factor (MFA) está activada para utilizadores com direitos administrativos. As contas com acesso privilegiado são alvos mais vulneráveis aos atacantes. Um compromisso de um utilizador privilegiado representa um risco significativo e, portanto, requer protecção extra. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Existem mais de 10 administradores privilegiados
|
Verifica a presença de 10 ou mais Funções Privilegiadas Atribuídas. Este indicador alinha-se com as recomendações da Microsoft de que os clientes não tenham mais de 10 atribuições de funções privilegiadas. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Existem mais de 5 Administradores Globais
|
Verifica a presença de cinco ou mais Administradores Globais. Os Administradores Globais controlam o seu ambiente do Azure AD e têm acesso a todas as funcionalidades administrativas e controlo total do Azure AD. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Foi criado um novo token de API
|
Verifica se um novo token de API foi criado nos últimos 7 dias. Os tokens de API com privilégios elevados permitem acesso e ações não autorizados no Okta. Se um invasor obtiver acesso à senha do token, ele poderá aproveitá-la para consultar e executar ações que podem levar à persistência e comprometer o ambiente. | Aviso |
|
|
|
Foi concedida uma nova autorização a um grupo
|
Verifica se alguma permissão foi concedida a um grupo nos últimos 7 dias. Os membros de um grupo com privilégios elevados podem executar ações significativas no Okta. Portanto, é importante saber quais grupos concedem privilégios fortes. | Informação |
|
|
|
Foi concedida uma nova permissão ao utilizador
|
Verifica se alguma permissão foi concedida a um usuário nos últimos 7 dias. Os usuários com privilégios elevados podem executar ações significativas no Okta. Portanto, é importante identificar e monitorar os usuários aos quais foram concedidos privilégios elevados para reduzir o risco de acesso não autorizado e possível uso indevido de dados confidenciais. | Informação |
|
|
|
Foi concedida uma nova permissão de Super Admin ao utilizador
|
Verifica os utilizadores a quem foram concedidas permissões de "Super Admin" nos últimos 7 dias. Os usuários com privilégios de "Super Admin" têm privilégios extensivos e controle sobre aspectos críticos do ambiente Okta. A concessão não autorizada ou excessiva da permissão "Super Admin" pode aumentar significativamente o risco de comprometimento e acesso não autorizado ao Okta. | Aviso |
|
|
|
Foram concedidas novas permissões de Super Admin a um grupo
|
Verifica os grupos em que as permissões "Super Admin" foram concedidas nos últimos 7 dias. Os membros de um grupo com privilégios de "Super Admin" têm acesso extensivo e podem executar ações significativas no Okta. Portanto, é importante monitorar e controlar de perto quais grupos recebem esses privilégios fortes para evitar o acesso não autorizado e o possível comprometimento do ambiente Okta. | Aviso |
|
|
|
Utilizadores não-administrativos podem registar aplicações personalizadas
|
Verifica se existe uma política de autorização que permita aos utilizadores não administradores registar aplicações personalizadas. Se os utilizadores não-administradores tiverem permissão para registar aplicações empresariais personalizadas, os atacantes podem utilizar essa lacuna para registar aplicações nefastas, que podem depois aproveitar para obter permissões adicionais. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Acesso sem falhas à chave DPAPI
|
Verifica os controladores de domínio quanto a responsáveis não predefinidos que têm permissão para recuperar a chave de cópia de segurança DPAPI do domínio (utilizando LsaRetrievePrivateData). Com estas permissões, um atacante pode recuperar todos os dados do domínio encriptados através da DPAPI. | Aviso |
|
|
|
Acesso sem falha à chave de raiz gMSA
|
Procura por principiantes não faltosos com permissões para ler o atributo msKds-RootKeyData na chave de raiz KDS. Os utilizadores com permissões de leitura desta propriedade podem comprometer todas as contas gMSA na floresta. | Aviso |
|
|
|
Titulares não faltosos com direitos DC Sync no domínio
|
Procura os princípios de segurança com Replicating Changes All ou Replicating Directory Altera as permissões no objecto de contexto de nomenclatura de domínios. Os princípios de segurança com estas permissões no objecto de contexto de nomenclatura de domínios podem potencialmente recuperar hashes de palavra-passe para utilizadores num domínio AD (ataque DCSync). | Crítico |
|
|
|
Valor não por defeito em ms-Mcs-AdmPwd SearchFlags
|
Procura por alterações nas Flags de pesquisa padrão no esquema ms-Mcs-AdmPwd. Algumas bandeiras podem inadvertidamente fazer com que a palavra-passe seja visível para utilizadores não intencionais, permitindo que um atacante a utilize como uma porta traseira furtiva. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Utilizadores não privilegiados com acesso a palavras-passe gMSA
|
Procura os principais membros do MSDS-groupMSAmembership que não estejam nos grupos de administração incorporados. Um atacante que controla o acesso à conta gMSA pode recuperar palavras-passe para recursos geridos com gMSA. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Permissões de esquemas não normalizados
|
Procura entidades adicionais com quaisquer permissões para além de Read genérico para as partições de esquema. Por predefinição, as permissões de modificação no esquema estão limitadas aos Administradores do esquema. Estas permissões concedem à entidade de confiança controlo total sobre o Active Directory. | Aviso |
|
|
|
Utilizador do DAA não sincronizado que é elegível para um papel privilegiado
|
Verifica os utilizadores do Azure AD que são elegíveis para uma função de privilégios elevados e têm o atributo proxyAddress, mas não estão sincronizados com uma conta do AD. Um atacante pode utilizar a correspondência SMTP para sincronizar utilizadores controlados do AD com utilizadores do AAD que sejam elegíveis para funções de privilégios elevados. Este processo substitui a palavra-passe do AAD e pode resultar num aumento de privilégios no AAD. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Replicação do NTFRS SYSVOL
|
Procura indicação de utilização de FRS para replicação SYSVOL. NTFRS é um protocolo mais antigo que foi substituído pelo DFSR. Atacantes que podem manipular vulnerabilidades NTFRS para comprometer o SYSVOL podem potencialmente alterar GPOs e scripts de logon para propagar malware e mover-se lateralmente através do ambiente. | Aviso |
-
MITRE ATT&CK:
Colecção
-
ANSSI:
vuln2_sysvol_ntfrs
|
|
|
Objectos em grupos privilegiados sem adminCount=1 (SDProp)
|
Procura objectos em grupos privilegiados incorporados cujo atributo adminCount não esteja definido para 1. Se um objeto nestes grupos tiver um adminCount diferente de 1, isso pode significar que as DACLs foram definidas manualmente (sem herança) ou que existe um problema com o SDProp. | Informação |
-
MITRE ATT&CK:
Evasão de Defesa Persistência
|
|
|
Objectos com delegação restrita configurada
|
Procura quaisquer objectos que tenham valores no atributo msDS-AllowedToDelegateTo (ou seja, delegação restrita) e não tem o bit UserAccountControl para o conjunto de transição de protocolo. Os atacantes podem utilizar delegações para se deslocarem lateralmente ou aumentar os privilégios se comprometerem um serviço em que se confia delegar. | Informação |
|
|
|
Grupos de operadores já não protegidos por AdminSDHolder e SDProp
|
Verifica se a dwAdminSDExMask no dsHeurstics foi definida, o que indica uma mudança no comportamento do SDProp que poderia comprometer a segurança. Uma alteração ao comportamento do AdminSDHolder SDProp poderia indicar uma tentativa de evasão à defesa. | Aviso |
|
|
|
Grupos de operadores que não estão vazios
|
Procura grupos de operadores (Operadores de Conta, Operadores de Servidor, Operadores de Backup, Operadores de Impressão) que contenham membros. Estes grupos têm acesso por escrito a recursos críticos no domínio; os atacantes que são membros destes grupos podem assumir o controlo indirecto do domínio. | Aviso |
|
|
|
Confiança florestal de saída com a História da SID activada
|
Procura relações de confiança de floresta de saída que tenham o sinalizador TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL definido como verdadeiro. Se este sinalizador estiver definido, uma ligação de confiança entre florestas para um domínio é tratada como uma ligação de confiança externa para efeitos de filtragem de SID. Este atributo atenua a filtragem mais rigorosa efectuada nas relações de confiança entre florestas. | Aviso |
|
|
|
Verificação da política de palavras-passe
|
Avalia todas as políticas de senha e verifica se elas estão de acordo com as recomendações da Okta. Uma política de senha forte é crucial para evitar o acesso não autorizado ao ambiente por meio de ataques de força bruta. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Alterações de permissão no objecto AdminSDHolder
|
Procura alterações na Lista de Controlo de Acesso (ACL) no objecto AdminSDHolder. Pode indicar uma tentativa de modificar as permissões em objectos privilegiados que estão sujeitos a AdminSDHolder. | Crítico |
|
|
|
Utilizadores primários com SPN que não suportam encriptação AES no protocolo Kerberos
|
Mostra todos os utilizadores primários com serviçoPrincipalNames (SPNs) que não suportam o tipo de encriptação AES-128 ou AES-256. A encriptação AES é mais forte do que a encriptação RC4. A configuração de utilizadores primários com SPNs que suportam a encriptação AES não mitigará ataques como o kerberoasting. No entanto, força a encriptação AES por defeito, o que significa que é possível monitorizar para a encriptação ataques de downgrade para RC4 (ataques de kerberoasting). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Os directores com delegação de autenticação restrita habilitados para um serviço DC
|
Procura computadores e utilizadores que tenham a delegação restrita activada para um serviço em execução num DC. Se um atacante conseguir criar uma delegação deste tipo, pode autenticar-se nesse serviço utilizando qualquer utilizador que não esteja protegido contra a delegação. | Aviso |
|
|
|
Príncipes com delegação restrita usando transição de protocolo permitida para um serviço de CD
|
Procura computadores e utilizadores que tenham restringido a delegação utilizando a transição de protocolo definida contra um serviço em funcionamento num CD. Se um atacante pode criar tal delegação para um serviço que possa controlar ou comprometer um serviço existente, pode efectivamente ganhar um TGS para qualquer utilizador com privilégios para o CD. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_t2a4d
|
|
|
O serviço de spooler de impressão está activado num CD
|
Procura controladores de domínio que tenham o serviço de spooler de impressão em execução, que está ativado por predefinição. Foram encontradas várias falhas críticas nos serviços de spooler de impressão do Windows, que afectam diretamente os spoolers de impressão instalados nos controladores de domínio, permitindo a execução remota de código. | Crítico |
|
|
|
Contas privilegiadas com uma palavra-passe que nunca expira
|
Identifica as contas privilegiadas (adminCount = 1) onde a bandeira "Password Never Expires" está colocada. Contas de utilizadores cujas palavras-passe nunca expiram são alvos maduros para adivinhar a palavra-passe de força bruta. Se estas contas forem também contas administrativas ou privilegiadas, isto torna-as mais um alvo. | Aviso |
|
|
|
Grupo privilegiado contém conta de convidado
|
Verifica se algum papel privilegiado foi atribuído a contas de convidados. Os atacantes externos cobiçam contas privilegiadas, uma vez que fornecem uma via rápida para os sistemas mais críticos de uma organização. As contas de convidados representam uma entidade externa que não sofre a mesma segurança que os utilizadores no seu tenant; portanto, atribuir-lhes papéis privilegiados representa um risco acrescido. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Objectos privilegiados com proprietários desprivilegiados
|
Procura objectos privilegiados (adminCount =1) que são propriedade de uma conta sem privilégios. Qualquer compromisso de uma conta sem privilégios poderia resultar na modificação da delegação de um objecto privilegiado. | Aviso |
|
|
|
Credenciais de utilizadores privilegiados em cache no RODC
|
Procura utilizadores privilegiados com credenciais que se encontram em cache nos RODCs. Embora não seja imediatamente indicativo de um ataque, as contas de utilizadores privilegiados são sensíveis e não devem ser colocadas em cache nos RODCs, uma vez que a sua segurança física não é tão robusta como um DC completo. | Informação |
-
MITRE ATT&CK:
Movimento Lateral Escalada de Privilégios
|
|
|
Utilizadores privilegiados que são deficientes
|
Procura contas de utilizadores privilegiados que estejam incapacitados. Se uma conta privilegiada for desactivada, deve ser removida do(s) seu(s) grupo(s) privilegiado(s) para evitar o seu uso indevido inadvertido. | Informação |
|
|
|
Utilizadores privilegiados com ServiçoNomes PRINCIPAIS definidos
|
Procura contas com o atributo adminCount definido como 1 AND ServicePrincipalNames (SPNs) definido na conta. As contas privilegiadas que têm um SPN definido são alvos de ataques baseados em Kerberos que podem elevar os privilégios a essas contas. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
-
ANSSI:
vuln1_spn_priv
|
|
|
Utilizadores privilegiados com uma política de senha fraca
|
Procura utilizadores privilegiados em cada domínio que não tenham uma política de senhas forte aplicada, de acordo com o quadro ANSSI . Verifica tanto a Política de Palavra-passe de Grão Fino (FGPP) como a política de palavra-passe aplicada ao domínio. Uma senha forte definida pela ANSSI tem pelo menos oito caracteres e é actualizada o mais tardar de três em três anos. As senhas fracas são mais fáceis de quebrar através de ataques de força bruta e podem proporcionar aos atacantes oportunidades de se moverem lateralmente ou de aumentarem os privilégios. O risco é ainda maior para as contas privilegiadas, pois quando comprometidas melhoram a hipótese de o atacante avançar rapidamente dentro da rede. | Crítico |
|
|
|
Funções de ID Entra proibidas atribuídas
|
Verifica a atribuição de funções no Entra ID que estão obsoletas ou proibidas de serem usadas. As funções obsoletas ou marcadas como "nunca usar" podem representar riscos de segurança significativos se forem atribuídas. Essas funções podem ter permissões não intencionais ou podem não ser mantidas adequadamente, potencialmente levando a vulnerabilidades de segurança. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Grupo de Utilizadores Protegidos não em uso
|
Detecta quando os utilizadores privilegiados não são um membro do grupo de Utilizadores Protegidos. O grupo de Utilizadores Protegidos proporciona aos utilizadores privilegiados uma protecção adicional contra ataques directos de roubo de credenciais. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
-
ANSSI:
vuln3_protected_users
|
|
|
Consultar políticas que tenham o atributo de lista de negação ldap definido
|
Verifica a existência de listas de negação de IP LDAP (atributo ldapipdenylist) em vários domínios num ambiente AD. Entradas não autorizadas ou inesperadas na lista de negação de IP LDAP podem sugerir uma violação de segurança ou uma tentativa de limitar o acesso a recursos críticos de forma maliciosa. | Informação |
|
|
|
O tipo de encriptação RC4 ou DES é suportado pelos Controladores de Domínio
|
Verifica se a encriptação RC4 ou DES é suportada por controladores de domínio. RC4 e DES são considerados uma forma insegura de encriptação, susceptível a vários ataques criptográficos. Vulnerabilidades múltiplas no algoritmo RC4 ou DES permitem ataques MITM (Man-in-the-Middle) e decifrar. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Actividade recente de criação de conta privilegiada
|
Procura utilizadores ou grupos com privilégios (adminCount = 1) que tenham sido criados recentemente. Permite-lhe detetar contas e grupos privilegiados que foram criados sem conhecimento prévio. Informativo | Informação |
|
|
|
Mudanças recentes na história lateral de objectos
|
Detecta quaisquer alterações recentes à sIDHistoria sobre objectos, incluindo alterações a contas não-privilegiadas onde são adicionados SIDs privilegiados. Os atacantes precisam de acesso privilegiado ao AD para poderem escrever à sIDHistory, mas se tais direitos existirem, então escrever SIDs privilegiados em contas de utilizadores regulares é uma forma furtiva de criar contas de backdoor. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Delegação condicionada baseada em recursos aplicada à conta AZUREADSSOACC
|
Procura a Delegação Restrita Baseada em Recursos configurada para a conta SSO do Azure, AZUREADSSOACC. Uma conta com a Delegação Restrita Baseada em Recursos permitiria que essa entidade gerasse um pedido de Serviço de Concessão de Títulos (TGS) para o inquilino do Azure em nome da conta AZUREADSSOACC como qualquer utilizador e se fizesse passar por esse utilizador. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral
|
|
|
Palavras-passe reversíveis encontradas nas GPO
|
Procura no SYSVOL por GPOs que contêm palavras-passe que podem ser facilmente decifradas por um atacante (as chamadas entradas "Cpassword"). Esta área é uma das primeiras coisas que os atacantes procuram quando têm acesso a um ambiente AD. | Crítico |
|
|
|
Caching arriscado de credenciais RODC
|
Procura uma Política de Replicação de Senha que permita objectos privilegiados. Se os utilizadores privilegiados estiverem na lista de permissão, podem ser expostos a roubo de credenciais num RODC. | Aviso |
|
|
|
Security Defaults não activados
|
Quando não há políticas de Conditional Accessconfiguradas, este indicador verifica se os Security Defaults estão activados. Recomenda-se que os Security Defaults sejam utilizados para Tenants que não tenham políticas de Conditional Access configuradas. Os Security Defaults exigirão MFA, bloquearão a autenticação básica (legacy) e exigirão autenticação adicional ao aceder ao portal Azure, Azure PowerShell, e Azure CLI. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Acesso Inicial
|
|
|
Redefinição de senha de autoatendimento ativada para funções privilegiadas
|
Verifica se os utilizadores em funções privilegiadas no Entra ID podem utilizar a reposição de palavra-passe de autosserviço. A redefinição de senha de autoatendimento (SSPR) é benéfica nas organizações para os usuários finais, mas tem compensações de segurança para contas privilegiadas. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Credenciais sombra em objectos privilegiados
|
Procura utilizadores com acesso de escrita ao atributo msDS-KeyCredentialLink de utilizadores privilegiados e controladores de domínio
privilegiados e controladores de domínio.
Os utilizadores que podem escrever nestes objectos privilegiados e o
Kerberos PKINIT está ativado podem elevar os privilégios para estes
objectos. | Aviso |
|
|
|
A assinatura SMB não é necessária nos controladores de domínio
|
Procura controladores de domínio onde a assinatura SMB não é necessária. O tráfego de rede não assinado é suscetível a ataques que abusam do protocolo NTLM challenge-response. Um exemplo comum de tais ataques é o SMB Relay, em que um atacante é posicionado entre o cliente e o servidor para capturar pacotes de dados transmitidos entre os dois, obtendo assim
obter acesso não autorizado ao servidor ou a outros servidores na rede. | Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
SMBv1 está activo nos Domain Controllers
|
Procura Domain Controllers onde o protocolo SMBv1 está activo. SMBv1 é um protocolo antigo (tornado obsoleto pela Microsoft em 2014), que é considerado inseguro e susceptível a todo o tipo de ataques. | Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
|
Conta de computador SSO com palavra-passe definida pela última vez há mais de 90 dias
|
Verifica a conta de computador SSO do Azure (AZUREADSSOACC) para determinar se a senha foi alterada nos últimos 90 dias. A palavra-passe da conta de computador SSO do Azure não é alterada automaticamente a cada 30 dias. Se a palavra-passe desta conta for comprometida, um atacante pode gerar um pedido de Serviço de Concessão de Bilhetes (TGS) para a conta AZUREADSSOACC como qualquer utilizador, o que tem o efeito de gerar um bilhete para o Azure e fazer-se passar por esse utilizador. | Aviso |
|
|
|
Credenciais suspeitas em entidades de serviço da Microsoft
|
Verifica se determinadas entidades de serviço da Microsoft possuem segredos atribuídos a elas. No Entra ID, é possível atribuir credenciais, como segredos ou chaves, a entidades de serviço para aplicativos da Microsoft. Em certos cenários, isso permitiria que você agisse com os mesmos direitos que o aplicativo tem usando fluxos de concessão de credenciais de cliente OAuth 2.0 contra a API do Microsoft Graph. | Crítico |
-
MITRE ATT&CK:
Evasão de Defesa Persistência Escalada de Privilégios
|
|
|
SYSVOL Alterações executáveis
|
Procura modificações em ficheiros executáveis dentro do SYSVOL. As alterações aos ficheiros executáveis no SYSVOL devem ser contabilizadas ou investigadas para procurar um potencial enfraquecimento da postura de segurança. | Informação |
|
|
|
Contas de confiança com palavras-passe antigas
|
Procura contas fiduciárias cuja palavra-chave não tenha sido alterada no último ano. As contas fiduciárias facilitam a autenticação através dos trusts e devem ser protegidas como contas de utilizadores privilegiados. Normalmente, as senhas das contas fiduciárias são rodadas automaticamente, pelo que uma conta fiduciária sem uma alteração recente de senha poderia indicar uma conta fiduciária órfã. | Informação |
|
|
|
Contas inesperadas no Cert Publishers Group
|
Verifica se o Grupo de Editores de Certificados contém membros que não se espera que estejam lá. Os indivíduos que pertencem ao Grupo de Editores de Certificados têm a capacidade de introduzir uma Autoridade de Certificação (CA) potencialmente prejudicial num ambiente ADCS em que todos os clientes confiam. | Aviso |
|
|
|
Contas sem privilégios com adminCount=1
|
Procura quaisquer utilizadores ou grupos que possam estar sob o controlo da SDProp (adminCount=1) mas que já não sejam membros de grupos privilegiados. Pode ser a prova de um atacante que tentou cobrir os seus rastos e remover um utilizador que usou para se comprometer. | Informação |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Proprietário não privilegiado de um grupo privilegiado
|
Verifica a presença de um proprietário sem privilégios de um grupo com funções privilegiadas. A atribuição de funções a um grupo em vez de diretores individuais simplifica o processo de adição ou remoção de utilizadores e garante permissões consistentes para todos os membros do grupo. No entanto, o proprietário do grupo pode adicionar-se a si próprio ao grupo em qualquer altura, o que representa um risco de escalonamento de privilégios se o proprietário for um responsável sem privilégios. | Aviso |
-
MITRE ATT&CK:
Movimento Lateral Persistência
|
|
|
Directores sem privilégios como administradores do DNS
|
Procura qualquer membro do grupo Admins do DNS que não seja um utilizador privilegiado. Os membros deste grupo podem ser delegados a administradores não-AD (por exemplo, administradores com responsabilidades de rede, tais como DNS, DHCP, etc.), o que pode resultar em que estas contas sejam alvos privilegiados de compromisso. | Aviso |
-
MITRE ATT&CK:
Execução Escalada de Privilégios
-
ANSSI:
vuln1_dnsadmins vuln1_permissions_msdn
|
|
|
Utilizadores sem privilégios podem adicionar contas de computador ao domínio
|
Verifica se os membros do domínio sem privilégios têm permissão para adicionar contas de computador a um domínio. A capacidade de adicionar contas de computador a um domínio pode ser abusada por ataques baseados no Kerberos. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral
|
|
|
Consentimento sem restrições permitido a utilizadores
|
Verifica se os utilizadores estão autorizados a adicionar aplicações de editores não verificados. Quando os utilizadores têm permissão para consentir quaisquer aplicações de terceiros, há um risco considerável de que uma aplicação permitida tome acções intrusivas ou arriscadas. | Aviso |
-
MITRE ATT&CK:
Movimento Lateral Persistência
|
|
|
Configuração DNS sem segurança
|
Procura zonas DNS configuradas com ZONE_UPDATE_UNSECURE, o que permite actualizar um registo DSN de forma anónima. Um atacante poderia aproveitar esta exposição para adicionar um novo registo DSN ou substituir um registo DNS existente para falsificar uma interface de gestão, depois esperar por ligações de entrada a fim de roubar credenciais. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_dnszone_bad_ prop
|
|
|
Contas de utilizadores que armazenam palavras-passe com cifra reversível
|
Identifica contas com a bandeira "ENCRYPTED_TEXT_PWD_ALLOWED" activada. Os atacantes podem ser capazes de inferir as palavras-passe destes utilizadores a partir do texto cifrado e assumir o controlo destas contas. | Informação |
|
|
|
Contas de utilizadores que utilizam encriptação DES
|
Identifica contas de utilizador com o conjunto de bandeiras "Usar tipos de encriptação Kerberos DES para esta conta". Os atacantes podem facilmente decifrar senhas DES utilizando ferramentas amplamente disponíveis, tornando estas contas maduras para a aquisição. | Informação |
|
|
|
Contas de utilizador com palavra-passe não necessárias
|
Identifica as contas de utilizador onde não é necessária uma palavra-passe. As contas com fracos controlos de acesso são frequentemente alvo de ataques de movimento lateral ou como meio de persistência no ambiente. | Informação |
|
|
|
Ativação do utilizador nos últimos 7 dias
|
Verifica os usuários que foram ativados nos últimos 7 dias. Os usuários ativados têm a capacidade de autenticar e executar ações dentro do ambiente Okta. Portanto, é importante monitorar e verificar o status de ativação dos usuários para garantir que somente indivíduos autorizados tenham acesso. | Informação |
|
|
|
O consentimento do utilizador é permitido para aplicações de risco
|
Verifica a existência de uma política de autorização da Entra ID que permite aos utilizadores conceder consentimento para aplicações de risco. Para aumentar a segurança, é recomendável definir a propriedade allowUserConsentForRiskyApps como false. Isto impede que os utilizadores concedam consentimento a aplicações de risco de forma independente. | Aviso |
|
|
|
Desativação de utilizadores nos últimos 7 dias
|
Verifica os usuários que foram desativados nos últimos 7 dias. Os usuários desativados não têm mais a capacidade de autenticar e executar ações no ambiente Okta. No entanto, um invasor pode desativar intencionalmente um usuário para interromper o funcionamento do ambiente ou para ocultar suas atividades. É importante monitorar e verificar o status de desativação dos usuários para garantir que ele esteja alinhado com os controles de acesso pretendidos. | Informação |
|
|
|
Utilizadores e computadores com IDs de grupos primários não faltosos
|
Devolve uma lista de todos os utilizadores e computadores cujos IDs de grupo primários (PGIDs) não são os valores por defeito para utilizadores de domínio e computadores. A modificação do ID de grupo primário é uma forma furtiva de um atacante escalar privilégios sem desencadear a auditoria de atributos de membro para alterações de membros de grupo. | Informação |
|
|
|
Utilizadores e computadores sem PGID legível
|
Encontra utilizadores e computadores que não conseguem ler o ID do Grupo Primário (PGID). Pode ser causado pela remoção da permissão de leitura padrão, que poderia indicar uma tentativa de ocultar o utilizador (em combinação com a remoção do atributo memberOf). | Aviso |
-
MITRE ATT&CK:
Evasão de Defesa
|
|
|
Utilizadores ou dispositivos inactivos durante pelo menos 90 dias
|
Verifica os utilizadores ou dispositivos que não iniciaram sessão nos últimos 90 dias. Os utilizadores ou dispositivos que estiveram inactivos durante 90 dias ou mais provavelmente já não estão a ser utilizados e deixam uma porta aberta para o inquilino do Azure AD. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
|
Utilizadores com pré autenticação Kerberos desactivada
|
Procura utilizadores com a pré-autenticação de Kerberos desactivada. Estes utilizadores podem ser alvo de ataques de ASREP-Roasting (como "Kerberoasting"). | Aviso |
|
|
|
Utilizadores com palavras-passe antigas
|
Procura contas de utilizador cuja palavra-chave não tenha sido alterada em mais de 180 dias. Estas contas podem ser alvo de ataques de adivinhação da palavra-passe. | Aviso |
|
|
|
Utilizadores marcados para não expirar a palavra-passe
|
Identifica as contas de utilizador marcadas com "Password Never Expires". Estas contas podem ser alvos potenciais de ataques por brute force. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
-
ANSSI:
vuln2_dont_expire
|
|
|
Utilizadores com permissões para definir conta de confiança no servidor
|
Verifica as permissões do cabeçalho do NC do domínio para ver se o sinalizador Server_Trust_Account está definido nos objectos de computador. Um atacante que consiga semear utilizadores autenticados com estas permissões pode utilizar o seu acesso para promover qualquer computador que controle para o estado de Controlador de Domínio, permitindo a escalada de privilégios para os serviços AD e a realização de ataques de acesso a credenciais como o DCSync. | Crítico |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
|
Utilizadores com ServiçoPrincipalNome Definido
|
Fornece uma forma de inventariar visualmente todas as contas de utilizador que têm ServicePrincipalNames (SPNs) definidos. Geralmente, os SPNs são definidos apenas para serviços "Kerberizados"; outras contas com um SPN podem ser motivo de preocupação. | Aviso |
|
|
|
Utilizadores com o atributo userPassword definido
|
Verifica se o atributo userPassword existe nas contas. O atributo userPassword guarda as palavras-passe em texto simples e pode ser consultado através de LDAP, o que pode potencialmente expor as palavras-passe.
| Aviso |
|
|
|
Utilizadores sem autenticação multifactor (MFA)
|
Verifica todos os utilizadores para identificar aqueles que não se registaram para a autenticação multifactor (MFA). Os utilizadores que não estão configurados com MFA correm um risco elevado de serem comprometidos. Isto representa uma ameaça significativa não só para o utilizador, mas também para todo o ambiente. | Aviso |
-
MITRE ATT&CK:
Acesso Inicial
|
|
|
Fraca encriptação de certificados
|
Procura certificados armazenados no Active Directory com tamanho de chave inferior a 2048 bits ou que utilizem encriptação DSA. Os certificados fracos podem ser utilizados por atacantes para obter acesso a sistemas que utilizam autenticação de certificados. | Aviso |
|
|
|
SIDs privilegiados bem conhecidos na sIDHistory
|
Procura princípios de segurança que contenham SID específicos de contas de grupos privilegiados incorporados dentro do atributo sIDHistory. Permite que esses princípios de segurança tenham os mesmos privilégios que essas contas privilegiadas, mas de uma forma que não é óbvia para controlar (por exemplo, através da adesão a um grupo). | Crítico |
|
|
|
Atalhos graváveis encontrados no GPO
|
Procura atalhos nos Objectos de Política de Grupo (GPOs) que podem ser gravados por utilizadores com poucos privilégios. Quando utilizadores com poucos privilégios têm a capacidade de modificar atalhos nos GPOs, isso pode levar a riscos de segurança e modificações não autorizadas. | Aviso |
|
|
|
Escrever o acesso ao RBCD em CD
|
Procura utilizadores que não estejam em Administradores de Domínios, Administradores de Empresas, ou grupos de Administradores Incorporados que tenham acesso de escrita na Delegação Restrita Baseada em Recursos (RBCD) para controladores de domínios. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Escrever o acesso ao RBCD na conta krbtgt
|
Procura utilizadores que não estejam em Admins de Domínios, Enterprise Admins, ou grupos de Admins Incorporados que tenham acesso por escrito na Resource-Based Constrained Delegation (RBCD) para a conta krbtgt. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
|
Vulnerabilidade Zerologon
|
Procura uma vulnerabilidade de segurança ao CVE-2020-1472, que foi remendado pela Microsoft em Agosto de 2020. Sem esta correcção, um atacante não autenticado pode explorar o CVE-2020-1472 para elevar os seus privilégios e obter acesso administrativo ao domínio. | Crítico |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|