ESCU Alert - AD Object Modification Spike Analysis

چرا این هشدار صادر می‌شود؟

این قانون به دنبال شناسایی افزایش غیرعادی و ناگهانی در فعالیت‌های مربوط به تغییرات گروه‌ها یا اشیاء در اکتیو دایرکتوری است. این شامل رویدادهایی مانند تغییر مجوزها (ACL)، ایجاد، تغییر یا حذف گروه‌های امنیتی می‌شود. اگر کاربری در یک بازه زمانی کوتاه (۵ دقیقه) بیش از ۱۰ تغییر ایجاد کند و این تعداد از میانگین رفتاری او بسیار بیشتر باشد (Outlier)، هشدار فعال می‌شود.

Event Codes: 4670, 4727, 4731, 4734, 4735, 4764
Logic: Statistical Outlier Detection (Avg + StDev)
Technique: Account Manipulation (T1098) / Permission Modification

تغییرات انبوه می‌تواند نشان‌دهنده فعالیت یک باج‌افزار برای تغییر دسترسی‌ها، تلاش یک نفوذگر برای ایجاد درهای پشتی (Backdoor) در گروه‌های متعدد، یا اشتباه ادمین در اجرای اسکریپت‌ها باشد.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

حذف انبوه گروه‌ها: تلاش برای حذف تعداد زیادی از گروه‌های امنیتی که می‌تواند باعث اختلال در سرویس‌دهی (DoS) شود.
تغییرات ACL گسترده: تغییر مجوزهای دسترسی روی تعداد زیادی شیء در دایرکتوری، که ممکن است مقدمه‌ای برای باج‌افزار یا استقرار بدافزار باشد.
افزودن به گروه‌های حساس: اضافه کردن چندین کاربر به گروه‌هایی مانند Domain Admins در زمان کوتاه.

سناریوهای متوسط

ایجاد انبوه حساب‌ها: ساخت تعداد زیادی کاربر یا گروه جدید توسط یک حساب کاربری غیر ادمین ارشد (که ممکن است نشان‌دهنده تلاش برای ارتقای دسترسی باشد).
فعالیت خارج از ساعت کاری: انجام تغییرات مدیریتی انبوه در ساعات غیرمعمول.

سناریوهای کم‌خطر (مثبت کاذب)

اسکریپت‌های مدیریتی: اجرای اسکریپت‌های PowerShell توسط ادمین‌های مجاز برای سازماندهی مجدد واحدهای سازمانی (OU) یا به‌روزرسانی گروه‌ها.
ابزارهای همگام‌سازی: فعالیت سرویس‌هایی مانند Azure AD Connect که تغییرات را به صورت دسته‌ای اعمال می‌کنند.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: تغییرات انبوه روی گروه‌های حساس (مثل AdminSDHolder) توسط کاربری که معمولاً چنین وظایفی ندارد.

هویت کاربر (src_user): چه کسی تغییرات را اعمال کرده است؟ آیا این کاربر مجاز به مدیریت AD است؟
نوع اشیاء (object): تغییرات روی چه گروه‌ها یا اشیائی اعمال شده است؟ (گروه‌های ادمین، کاربران عادی یا پرینترها).
حجم تغییرات (objectCount): تعداد تغییرات چقدر از حد معمول بیشتر است؟ (مقایسه با baseline).

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Windows Security Event Logs
EventCodes: 4670, 4727, 4731, 4734, 4735, 4764

دیتامدل‌های مورد استفاده

Wineventlog_Security

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های امنیتی در Splunk، این فیلدها حیاتی هستند:

src_user (Actor)

object (Target Group/User)

objectCount

EventCode

signature