<p>SID history 특성에서 권한이 있는 SID를 사용하는 사용자 또는 컴퓨터 계정을 검사합니다.</p>


<p>마이그레이션 시나리오에서 관리자는 SID History 방식을 사용하지만 공격자는 이것을 악용하여 자신의 권한을 상승할 수 있습니다.</p>


초기 액세스

내부 확산 이동

지속성

권한 상승

신뢰할 수 있는 관계

다른 인증 자료 사용

액세스 토큰 조작

위험한 SID History 특성이 있는 계정

현재 도메인에서 부여했든 트러스트된 도메인에서 부여했든, SID History에 있는 개체에 권한이 있는 경우, 공격자의 백도어일 수 있습니다. 일반적으로 SID History는 AD 도메인을 마이그레이션하는 동안에만 사용되므로, 현재의 계정과 동일한 도메인에서 비롯된 SID History가 있는 것은 매우 의심스럽습니다.

위험한 SID History

그룹의 SID history는 동일한 도메인에서 비롯됩니다. 일반적으로 SID History는 AD 도메인을 마이그레이션하는 동안에만 사용되므로, 현재의 계정과 동일한 도메인의 SID History가 있는 것은 매우 의심스럽습니다.

그룹의 의심스러운 SID History

현재 도메인에서 부여했든 트러스트된 도메인에서 부여했든, SID History에 있는 개체에 권한이 있는 경우, 공격자의 백도어일 수 있습니다.

그룹의 권한 있는 SID History

사용자에 대한 권한 있는 SID History

사용자의 SID history는 동일한 도메인에서 비롯됩니다. 일반적으로 SID History는 AD 도메인을 마이그레이션하는 동안에만 사용되므로, 현재의 계정과 동일한 도메인의 SID History가 있는 것은 매우 의심스럽습니다.

탐지

위험한 SID History 특성이 있는 계정

high

설명

솔루션

참고 항목

지표 세부 정보