ESCU Alert - New Local Admin Analysis

چرا این هشدار صادر می‌شود؟

این قانون به دنبال همبستگی بین دو رویداد مهم است: ۱. ایجاد یک حساب کاربری جدید (Event ID 4720) و ۲. اضافه شدن همان حساب به گروه مدیران (Administrators) (Event ID 4732) در یک بازه زمانی کوتاه (۱۸۰ دقیقه). این رفتار نشان‌دهنده تلاش برای ایجاد یک حساب کاربری مخفی با دسترسی بالا است.

Event IDs: 4720 (Account Created) + 4732 (Member Added to Admin Group)
Time Window: 180 Minutes
Technique: Create Account (T1136) / Persistence

مهاجمان پس از نفوذ اولیه، برای تداوم دسترسی و ارتقای سطح دسترسی، یک حساب کاربری جدید ساخته و بلافاصله آن را به گروه مدیران اضافه می‌کنند تا در صورت تغییر پسورد حساب اصلی، همچنان راه ورود داشته باشند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

توسط کاربر غیر مجاز: اگر کاربری که حساب جدید را ساخته، خود جزو مدیران شبکه نباشد و با روش‌های ارتقای دسترسی (Exploit) این کار را کرده باشد.
نام‌های فریبنده: ایجاد کاربر با نام‌هایی که سعی در مخفی شدن دارند، مانند support_test، win_update_user یا admin123.
زمان‌بندی سریع: فاصله بسیار کم (چند ثانیه) بین ایجاد کاربر و اضافه شدن به گروه ادمین، که نشان‌دهنده اجرای اسکریپت خودکار است.

سناریوهای متوسط

استفاده از خط فرمان: ایجاد حساب با استفاده از دستورات net user و net localgroup به جای رابط گرافیکی.
ساعات غیرکاری: انجام عملیات ساخت و ارتقای کاربر در نیمه‌شب یا روزهای تعطیل توسط پرسنل فناوری اطلاعات.

سناریوهای کم‌خطر (مثبت کاذب)

فرآیندهای تایید شده: اسکریپت‌های نصب نرم‌افزار سازمانی که برای سرویس‌های خود یک کاربر ایجاد می‌کنند (مانند ابزارهای اسکنر امنیتی).
عملیات پشتیبانی: ایجاد حساب موقت توسط تیم پشتیبانی برای رفع مشکلات سیستم کاربر (باید با تیکت پشتیبانی مطابقت داشته باشد).

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید یا مثبت کاذب بودن، این موارد را بررسی کنید:

نشانه قطعی خطر: اگر کاربر ایجاد کننده (src_user) دسترسی لازم را نداشته باشد و نام کاربر جدید (user) مشکوک باشد، نفوذ قطعی است.

بررسی هویت سازنده: چه کسی دستور ساخت را داده است؟ (src_user). آیا این کاربر مجوز ساخت حساب ادمین را دارد؟
بررسی هدف: نام حساب کاربری جدید چیست؟ آیا از استاندارد نام‌گذاری سازمان پیروی می‌کند؟
انطباق با درخواست‌ها: آیا در سامانه مدیریت خدمات (ITSM) درخواستی برای دسترسی ادمین جدید ثبت شده است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Windows Security Event Log
EventCode 4720 (User Created)
EventCode 4732 (Group Addition)

دیتامدل‌های مورد استفاده

Wineventlog_Security

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های امنیتی ویندوز، این فیلدها حیاتی هستند:

user (New Account)

src_user (Actor)

dest (Hostname)

EventCode

Group_Name