6 Neue Erkennungen sind neu in der öffentlichen Vorschau

Juli 2024 Update
6 neue Erkennungen sind neu in der öffentlichen Vorschau:

• Möglicher NetSync-Angriff
  NetSync ist ein Modul in Mimikatz, einem Post-Exploitation-Tool, das den Passwort-Hash eines Zielgeräts anfordert, indem es vorgibt, ein Domain-Controller zu sein. Ein Angreifer könnte mit dieser Funktion bösartige Aktivitäten innerhalb des Netzwerks durchführen, um Zugriff auf die Ressourcen des Unternehmens zu erhalten.
• Mögliche Übernahme eines Microsoft Entra Seamless SSO-Kontos
  Ein Microsoft Entra seamless SSO (single sign-on) Kontoobjekt, AZUREADSSOACC, wurde verdächtig verändert. Ein Angreifer könnte seitlich von der lokalen Umgebung in die Cloud wechseln.
• Verdächtige LDAP-Abfrage
  Eine verdächtige LDAP-Abfrage (Lightweight Directory Access Protocol), die mit einem bekannten Angriffstool verbunden ist, wurde entdeckt. Ein Angreifer könnte eine Erkundung für spätere Schritte durchführen.
  Verdächtiger SPN wurde zu einem Benutzer hinzugefügt
  Ein verdächtiger Service Principal Name (SPN) wurde zu einem sensiblen Benutzer hinzugefügt. Ein Angreifer könnte versuchen, erweiterten Zugriff zu erlangen, um sich innerhalb des Unternehmens zu bewegen.
• Verdächtige Erstellung einer ESXi-Gruppe
  In der Domäne wurde eine verdächtige VMWare ESXi-Gruppe erstellt. Dies könnte darauf hindeuten, dass ein Angreifer versucht, mehr Berechtigungen für spätere Schritte in einem Angriff zu erhalten.
• Verdächtige ADFS-Authentifizierung
  Ein der Domäne beigetretenes Konto hat sich mit Active Directory Federation Services (ADFS) von einer verdächtigen IP-Adresse aus angemeldet. Ein Angreifer könnte die Anmeldedaten eines Benutzers gestohlen haben und sie nutzen, um sich innerhalb der Organisation zu bewegen.
  Defender for Identity Version 2.238
  Diese Version enthält Verbesserungen und Fehlerbehebungen für Cloud-Dienste und den Defender for Identity-Sensor.