Skip to main content
Lanterna Home

Splunk Lantern

Detecção de tentativas de descoberta de confiança no domínio

  1. Last updated
  2. Save as PDF

Os fundos de confiança de domínio fornecem um mecanismo para um domínio permitir o acesso a recursos com base nos procedimentos de autenticação de outro domínio, permitindo que os utilizadores do domínio fidedigno acedam a recursos no domínio de confiança. Os invasores podem tentar realizar a descoberta de confiança no domínio, pois as informações que descobrem podem ajudá-los a identificar oportunidades de movimento lateral em Windows ambientes multi-domínios/florestais.

As relações de confiança de domínio podem ser enumeradas utilizando a chamada API DSENumerateDomainTrusts () Win32, os método.NET e o LDAP. O Windows O utilitário Nltest é conhecido por ser utilizado por adversários para enumerar fundos de confiança de domínio.

Estas pesquisas procuram atividades consistentes com invasores que tentam realizar a descoberta de confiança no domínio.

R dados exigidos

Normalizado dados de detecção e resposta de terminais (EDR) , preenchendo o nó Processos do Modelo de dados de ponto final no Modelo Comum de Informação (CIM). Para obter informações sobre a instalação e utilização do CIM, consulte o Documentação do Modelo de Informação Comum .

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.

Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização: