Microsoft Active Directory Federation Services: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1152	Кража/экспорт сертификатов ADFS	Правило обнаруживает экспорт криптографических сертификатов на сервере ADFS, что может свидетельствовать о подготовке атаки Golden SAML. Экспорт сертификатов используется атакующими для последующей подделки SAML-токенов и обхода механизмов аутентификации в домене.	Persistence (TA0003) Defense Evasion (TA0005) Credential Access (TA0006) Unsecured Credentials (T1552) Private Keys (T1552.004) Forge Web Credentials (T1606) SAML Tokens (T1606.002) Steal or Forge Authentication Certificates (T1649)
RV-D-1154	Множественные неудачные попытки аутентификации в ADFS	Для получения доступа к учетным записям и сервисам, защищенным федеративной аутентификацией, атакующий может выполнять перебор паролей через веб-интерфейс ADFS. Правило обнаруживает множественные неудачные попытки проверки учетных данных в ADFS (Token validation failed с причиной `The user name or password is incorrect`) за ограниченный промежуток времени, что может указывать на атаку brute force.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1155	Успешный подбор пароля в ADFS	Для получения несанкционированного доступа к учетной записи атакующий может выполнить перебор паролей через службу ADFS. Правило обнаруживает успешную аутентификацию в ADFS после серии неуспешных попыток входа с причиной `The user name or password is incorrect`, что с высокой вероятностью указывает на успешный подбор пароля и компрометацию учетной записи.	Credential Access (TA0006) Valid Accounts (T1078) Domain Accounts (T1078.002) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1158	Изменение Claims Provider Trust в ADFS	Для управления источниками удостоверений в ADFS используются объекты Claims Provider Trust. Изменение или добавление таких доверий может повлиять на процесс аутентификации и авторизации пользователей. Правило обнаруживает изменения и административные операции с Claims Provider Trust в ADFS, зафиксированные в журналах службы и PowerShell, что может указывать на попытку вмешательства в конфигурацию федеративной аутентификации.	Persistence (TA0003) Privilege Escalation (TA0004) Defense Evasion (TA0005) Account Manipulation (T1098) Modify Authentication Process (T1556)

RV-D-1152

Кража/экспорт сертификатов ADFS

Правило обнаруживает экспорт криптографических сертификатов на сервере ADFS, что может свидетельствовать о подготовке атаки Golden SAML. Экспорт сертификатов используется атакующими для последующей подделки SAML-токенов и обхода механизмов аутентификации в домене.

Persistence (TA0003)
Defense Evasion (TA0005)
Credential Access (TA0006)
Unsecured Credentials (T1552)
Private Keys (T1552.004)
Forge Web Credentials (T1606)
SAML Tokens (T1606.002)
Steal or Forge Authentication Certificates (T1649)

RV-D-1154

Множественные неудачные попытки аутентификации в ADFS

Для получения доступа к учетным записям и сервисам, защищенным федеративной аутентификацией, атакующий может выполнять перебор паролей через веб-интерфейс ADFS. Правило обнаруживает множественные неудачные попытки проверки учетных данных в ADFS (Token validation failed с причиной The user name or password is incorrect) за ограниченный промежуток времени, что может указывать на атаку brute force.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1155

Успешный подбор пароля в ADFS

Для получения несанкционированного доступа к учетной записи атакующий может выполнить перебор паролей через службу ADFS. Правило обнаруживает успешную аутентификацию в ADFS после серии неуспешных попыток входа с причиной The user name or password is incorrect, что с высокой вероятностью указывает на успешный подбор пароля и компрометацию учетной записи.

Credential Access (TA0006)
Valid Accounts (T1078)
Domain Accounts (T1078.002)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1158

Изменение Claims Provider Trust в ADFS

Для управления источниками удостоверений в ADFS используются объекты Claims Provider Trust. Изменение или добавление таких доверий может повлиять на процесс аутентификации и авторизации пользователей. Правило обнаруживает изменения и административные операции с Claims Provider Trust в ADFS, зафиксированные в журналах службы и PowerShell, что может указывать на попытку вмешательства в конфигурацию федеративной аутентификации.

Persistence (TA0003)
Privilege Escalation (TA0004)
Defense Evasion (TA0005)
Account Manipulation (T1098)
Modify Authentication Process (T1556)

Была ли полезна эта страница?