Tenable.ad 指标

Tenable.ad 可以预测威胁、检测入侵并对事件和攻击做出响应,从而保护您的基础架构。您可以使用直观的面板实时监视 Active Directory,从而一目了然地识别出最危急的漏洞及建议的修正方法。借助 Tenable.ad 的攻击指标和暴露指标,您可以发现影响 Active Directory 的底层问题、识别存在风险的信任关系,并深入分析攻击的详细信息。

搜索

攻击指标

  • 可以使用各种工具来利用 DNS 服务的一些错误配置并在域控制器上执行任意代码。

  • DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。许多类型的攻击工具都利用某些 LSA RPC 调用将这些密钥从域控制器中提取出来。

  • 一名攻击者试图利用与 sAMAccountName 模拟 (CVE-2021-42287/CVE-2021-42278) 相关的漏洞。

  • NTDS 提取

    critical

    NTDS Extraction​ 攻击包括一名特权攻击者窃取以域控制器本地文件 NTDS.dit​ 表示的 Active Directory​ 域数据库的副本。攻击者可能会尝试访问 NTDS.dit​ 文件的现有备份或创建新备份以窃取凭据信息,以及获取有关域成员的其他信息,例如设备、用户和访问权限。

  • Kerberoasting 攻击包括攻击者申请 Kerberos 服务票据,以便随后对这些服务票据的加密技术部分实施离线暴力破解攻击。这些部分通过目标服务账户密码进行加密,因此如果密码复杂度过低,则密码有可能会被猜到,并导致服务账户被盗用。如要完全发挥作用,该指标需要 Tenable.ad 为每个被监控域配置好 Honey Account。

  • 在多台计算机上出现大量身份验证请求,使用 NTLM 或 Kerberos 协议并来自同一来源,这表明可能存在攻击。

  • 已使用 SAMR RPC 界面(更可能使用 BloodHound/SharpHound)枚举本地管理员组

  • PetitPotam

    critical

    PetitPotam​ 工具可用于对远程系统的目标计算机强制进行身份验证,通常目的在于执行 NTLM 中继攻击。

  • 密码喷洒攻击是指使用一些常用密码尝试访问大量帐户(用户名),也称为低速缓慢攻击

  • 密码猜测​(暴力破解)攻击是指攻击者为了最终正确猜出密码,多次提交多个密码​或密码短语。攻击者会系统地尝试所有可能,直至找到正确的密码和密码短语。


See all Indicators of Attack

暴露指标


See all Indicators of Exposure