Skip to main content

Splunk Lantern

Detecção de tentativas de descoberta de confiança no domínio

Os fundos de confiança de domínio fornecem um mecanismo para um domínio permitir o acesso a recursos com base nos procedimentos de autenticação de outro domínio, permitindo que os utilizadores do domínio fidedigno acedam a recursos no domínio de confiança. Os invasores podem tentar realizar a descoberta de confiança no domínio, pois as informações que descobrem podem ajudá-los a identificar oportunidades de movimento lateral em Windows ambientes multi-domínios/florestais.

As relações de confiança de domínio podem ser enumeradas utilizando a chamada API DSENumerateDomainTrusts () Win32, os método.NET e o LDAP. O Windows O utilitário Nltest é conhecido por ser utilizado por adversários para enumerar fundos de confiança de domínio.

Estas pesquisas procuram atividades consistentes com invasores que tentam realizar a descoberta de confiança no domínio.

R dados exigidos

Normalizado dados de detecção e resposta de terminais (EDR) , preenchendo o nó Processos do Modelo de dados de ponto final no Modelo Comum de Informação (CIM). Para obter informações sobre a instalação e utilização do CIM, consulte o Documentação do Modelo de Informação Comum .

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.

Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização: