Examen de pulvérisation de mots de passe

Cet article fournit une aide sur l’identification et l’examen des attaques par pulvérisation de mots de passe au sein de votre organisation, et prend les mesures correctives requises pour protéger les informations et minimiser les risques supplémentaires.

Cet article contient les sections suivantes :

  • Conditions préalables requises : décrit les exigences spécifiques que vous devez respecter avant de commencer l’examen. Par exemple, la journalisation qui doit être activée, et vous devez disposer des rôles et des autorisations nécessaires, entre autres.
  • Workflow : affiche le flux logique que vous devez suivre pour effectuer cet examen.
  • Liste de vérification : contient une liste de tâches pour chacune des étapes de l’organigramme. Cette liste de vérification peut être utile dans les environnements hautement réglementés afin de vérifier ce que vous avez fait ou simplement comme un contrôle de qualité pour vous-même.
  • Étapes d’examen : contient des instructions pas à pas détaillées pour cet examen spécifique.
  • Récupération : contient des étapes générales sur la façon de récupérer/atténuer une attaque par pulvérisation de mots de passe.
  • Références : contient des documents de référence et de lecture supplémentaires.

Prérequis

Avant de commencer l’examen, vérifiez que vous avez terminé la configuration des journaux et des alertes, ainsi que les configurations supplémentaires requises.

Pour la surveillance Azure AD, suivez nos recommandations et conseils dans notre Guide Azure AD SecOps.

Configurer la journalisation d’ADFS

Journalisation des événements sur ADFS 2016

Par défaut, les services de fédération Active Directory (AD FS) dans Windows Server 2016 disposent d’un niveau de base d’audit activé. Avec l’audit de base, les administrateurs peuvent voir cinq événements ou moins pour une requête unique. Définissez la journalisation au niveau le plus élevé et envoyez les journaux AD FS (& sécurité) à un SIEM pour mettre en corrélation l’authentification AD ainsi qu’Azure AD.

Pour afficher le niveau d’audit actuel, vous pouvez utiliser cette commande PowerShell :

Get-AdfsProperties

adfs

Cette table contient les niveaux d’audit disponibles.

Niveau d'audit Syntaxe PowerShell Description
Aucune Set-AdfsProperties-AuditLevel : Aucun L’audit est désactivé et aucun événement n’est enregistré
De base (par défaut) Set-AdfsProperties-AuditLevel : De base Pas plus de 5 événements sont consignés pour une requête unique
Commentaires Set-AdfsProperties -AuditLevel : Commentaires Tous les événements sont consignés. Cela permet de consigner une quantité importante d’informations par requête.

Pour augmenter ou diminuer le niveau d’audit, utilisez la commande PowerShell suivante :

Set-AdfsProperties -AuditLevel

Configurer la journalisation de sécurité ADFS 2012 R2/2016/2019

  1. Cliquez sur Démarrer, accédez à Programmes > Outils d’administration, puis cliquez sur Stratégie de sécurité locale.

  2. Accédez au dossier Paramètres de sécurité\Stratégies locales\Gestion des droits utilisateur, puis double-cliquez sur Générer des audits de sécurité.

  3. Sous l’onglet Paramètre de sécurité local, vérifiez que le compte de service ADFS est répertorié. S’il n’est pas présent, cliquez sur Ajouter un utilisateur ou Groupe et ajoutez-le à la liste, puis cliquez sur OK.

  4. Pour activer l’audit, ouvrez une invite de commandes avec des privilèges élevés et exécutez la commande suivante : .

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Fermez Stratégie de sécurité locale.

  6. Ensuite, ouvrez le composant logiciel enfichable Gestion ADFS, cliquez sur Démarrer, accédez aux outils d’administration des programmes>, puis cliquez sur Gestion ADFS.

  7. Dans le volet Actions, cliquez sur Modifier les propriétés du service de fédération.

  8. Dans la boîte de dialogue Propriétés du service de fédération, cliquez sur l’onglet Événements.

  9. Cochez les cases Audits des succès et Audits des échecs.

  10. Cliquez sur OK pour finaliser et enregistrer la configuration.

Installer Azure AD Connect Health pour ADFS

Azure Active Directory (Azure AD) Connect Health pour les agents ADFS vous permet d’avoir une meilleure visibilité de votre environnement de fédération. Il vous fournit plusieurs tableaux de bord préconfigurés, tels que les analyses de l’utilisation et des performances, ainsi que les rapports sur les adresses IP à risque.

Pour installer Connect Health pour ADFS, passez en revue les exigences pour l’utilisation d’Azure AD Connect Health, puis installez l’agent Azure ADFS Connect Health.

Configurer des alertes IP risquées à l’aide du classeur rapport IP risqué ADFS

Une fois Azure AD Connect Health pour ADFS configuré, vous devez surveiller et configurer des alertes à l’aide du classeur de rapport ADFS Risky et d’Azure Monitor. Les avantages de l’utilisation de ce rapport sont les suivants :

  • Détection d’adresses IP qui dépassent un seuil de connexions basées sur un mot de passe ayant échoué.
  • Prend en charge les connexions ayant échoué en raison d’un mot de passe incorrect ou d’un état de verrouillage extranet.
  • Prend en charge l’activation des alertes par le biais d’alertes Azure.
  • Paramètres de seuil personnalisables qui correspondent à la stratégie de sécurité d’une organisation.
  • Requêtes personnalisables et visualisations étendues pour une analyse plus approfondie.
  • Fonctionnalité étendue du rapport précédent sur les adresses IP à risque, qui sera déconseillée après le 24 janvier 2022.

Configurer des alertes d’outil SIEM sur Microsoft Sentinel

Pour configurer les alertes d’outil SIEM, suivez le tutoriel sur les alertes prêtes à l’emploi.

Intégration SIEM à Microsoft Defender pour Cloud Apps

Connectez l’outil Siem (Security Information and Event Management) à Microsoft Defender pour Cloud Apps, qui prend actuellement en charge Micro Focus ArcSight et le format d’événement commun générique (CEF).

Pour plus d’informations, consultez Integration de SIEM de type générique.

Intégration de SIEM avec API Graph

Vous pouvez connecter SIEM à l’API de sécurité Microsoft Graph à l’aide de l’une des options suivantes :

  • Utilisation directe des options d’intégration prises en charge : reportez-vous à la liste des options d’intégration prises en charge, tels qu’écrire un code pour une connexion directe de votre application afin de faire dériver des insights enrichis. Servez-vous des exemples pour commencer.
  • Utilisez les intégrations et les connecteurs natifs générés par les partenaires Microsoft : pour utiliser ces intégrations, reportez-vous aux solutions de partenaires d’API de sécurité Microsoft Graph.
  • Utilisez les connecteurs générés par Microsoft : reportez-vous à la liste des connecteurs que vous pouvez utiliser pour vous connecter à l’API par le biais de diverses solutions pour les informations de sécurité et gestion d’événements (SIEM), la réponse de sécurité et l’orchestration (SOAR), le suivi des incidents et la gestion des services (ITSM), la création de rapports, etc.

Pour plus d’informations, consultez l’intégration de solutions de sécurité à l’aide de l’API de sécurité Microsoft Graph.

Utilisation de Splunk

Vous pouvez également utiliser la plateforme Splunk pour configurer des alertes.

Workflow

Password spray investigation workflow

Vous pouvez également :

  • Téléchargez les workflows de playbook sur les réponses à la pulvérisation de mots de passe et à d’autres incidents sous la forme d’un fichier PDF.
  • Téléchargez les workflows de playbook sur les réponses à la pulvérisation de mots de passe et à d’autres incidents sous la forme d’un fichier Visio.

Check-list

Déclencheurs d’investigation

  • Réception d’un déclencheur à partir de SIEM, des journaux de pare-feu ou d’Azure AD
  • Fonctionnalité de pulvérisation de mots de passe ou adresse IP à risque Azure AD Identity Protection
  • Nombre élevé de connexions ayant échoué (ID de l’événement 411)
  • Pic Azure AD Connect Health pour ADFS
  • Autre incident de sécurité (par exemple, hameçonnage)
  • Activité inexpliquée, par exemple connexion à partir d’un emplacement inconnu ou obtention d’invites MFA inattendues par l’utilisateur

Investigation

  • Sur quoi porte l’alerte ?
  • Pouvez-vous confirmer qu’il s’agit d’une pulvérisation de mots de passe ?
  • Déterminez la chronologie de l’attaque.
  • Déterminez la ou les adresses IP de l’attaque.
  • Filtrer les connexions réussies pour cette période, ainsi que l’adresse IP, y compris quand le mot de passe est correct mais que MFA échoue
  • Vérifier le rapport MFA
  • Y a-t-il quelque chose d’anormal sur le compte, tel que l’utilisation d’un nouvel appareil, d’un nouveau système d’exploitation ou d’une nouvelle adresse IP ? Utilisez Defender pour Cloud Apps ou Azure Information Protection pour détecter les activités suspectes.
  • Informez les autorités locales/les tiers pour obtenir de l’aide.
  • Si vous soupçonnez un compromis, vérifiez si une exfiltration des données a eu lieu.
  • Vérifiez si le compte associé présente un comportement suspect et recherchez une corrélation avec d’autres comptes et services possibles, ainsi que d’autres adresses IP malveillantes.
  • Vérifier les comptes de tous les utilisateurs travaillant dans le même bureau ou ayant le même accès délégué : hygiène de mot de passe (assurez-vous qu’ils n’utilisent pas le mot de passe du compte compromis)
  • Exécuter l’aide ADFS

Corrections

Pour obtenir une aide sur l’activation des fonctionnalités, consultez la section Références.

Récupération

Vous pouvez également télécharger les check-lists de playbook sur la pulvérisation de mots de passe et d’autres incidents sous la forme d’un fichier Excel.

Étapes d’investigation

Réponse aux incidents de pulvérisation de mots de passe

Essayons de comprendre quelques techniques d’attaque par pulvérisation de mots de passe avant de poursuivre l’examen.

Compromission de mot de passe : un attaquant a deviné avec succès le mot de passe de l’utilisateur, mais n’a pas pu accéder au compte en raison d’autres contrôles, tels que l’authentification multifacteur (MFA).

Compromission de compte : un attaquant a deviné avec succès le mot de passe de l’utilisateur et a réussi à accéder au compte.

Détection de l’environnement

Identifier le type d’authentification

La première étape consiste à vérifier le type d’authentification utilisé pour un locataire ou un domaine vérifié que vous examinez.

Pour obtenir l’état d’authentification d’un nom de domaine spécifique, utilisez la commande PowerShell Get-MsolDomain. Voici un exemple :

Connect-MsolService
Get-MsolDomain -DomainName "contoso.com"

L’authentification est-elle fédérée ou managée ?

Si l’authentification est fédérée, les connexions réussies sont stockées dans Azure AD. Les échecs de connexion se trouvent dans leur fournisseur d’identité (IDP). Pour plus d’informations, consultez résolution des problèmes et journalisation des événements ADFS.

Si le type d’authentification est managé (cloud uniquement, synchronisation de hachage du mot de passe (PHS) ou authentification directe (PTA)), les connexions réussies et non réussies sont stockées dans les journaux de connexion Azure AD.

Notes

La fonctionnalité de Déploiement par étapes permet de fédérer le nom de domaine du locataire, mais des utilisateurs spécifiques doivent être gérés. Déterminez si des utilisateurs sont membres de ce groupe.

Azure AD Connect Health est-il activé pour ADFS ?

La journalisation avancée est-elle activée dans ADFS ?

Les journaux sont-ils stockés dans SIEM ?

Pour vérifier si vous stockez et mettez en corrélation des journaux dans Security Information and Event Management (SIEM) ou dans tout autre système, vérifiez les points suivants :

  • Log Analytics : requêtes prédéfinies
  • Sentinel : requêtes prédéfinies
  • Splunk : requêtes prédéfinies
  • Journaux de pare-feu
  • UAL si > 30 jours

Compréhension des rapports Azure AD et MFA

Il est important que vous compreniez les journaux qui s’affichent pour pouvoir détecter des compromissions. Ci-dessous se trouvent nos guides rapides pour découvrir les connexions Azure AD et les rapports MFA qui peuvent vous aider. Reportez-vous à ces articles :

Déclencheurs d’incident

Un déclencheur d’incident est un événement ou une série d’événements provoquant le déclenchement d’une alerte prédéfinie. Par exemple, le nombre de tentatives d’utilisation d’un mot de passe incorrect a dépassé votre seuil prédéfini. Ci-dessous se trouvent des exemples de déclencheurs qui peuvent être alertés lors d’attaques par pulvérisation de mots de passe, ainsi que l’emplacement où ces alertes ont été déclenchées. Les déclencheurs d’incident incluent :

  • Utilisateurs

  • IP

  • Chaîne d’agent utilisateur

  • Date/heure

  • Anomalies

  • Tentatives d’utilisation de mot de passe incorrect

    pwdattemptsGraphique illustrant le nombre de tentatives de mot de passe incorrectes

Les pics inhabituels de l’activité sont des indicateurs clés via Azure AD Health Connect (en supposant qu’il est installé). Les autres indicateurs sont :

  • L’alerte par le biais d’un serveur SIEM montre un pic lorsque vous rassemblez les journaux.
  • Taille de journal supérieure à la normale pour les connexions ADFS non réussies (il peut s’agir d’une alerte dans l’outil SIEM).
  • Augmentation du nombre d’ID d’événement 342/411 : le nom d’utilisateur ou le mot de passe est incorrect. Ou 516 pour le verrouillage extranet.
  • Seuil de demande d’authentification non réussie atteint : adresse IP à risque dans Azure AD ou une alerte d’outil SIEM/erreurs 342 et 411 (pour pouvoir afficher ces informations, la journalisation avancée doit être activée.)

Adresses IP à risque dans le portail Azure AD Health Connect

Une adresse IP à risque vous alerte lorsque le seuil personnalisé a été atteint pour les mots de passe incorrects en une heure, pour les mots de passe incorrects en une journée, de même que pour les verrouillages extranet.

Example of risky IP report data

Données de rapport sur les adresses IP à risque

Les détails des tentatives non réussies sont disponibles sous les onglets adresse IP et verrouillages extranet.

ipaddresstable

Adresse IP et verrouillages extranet dans le rapport sur les adresses IP à risque

Détecter la pulvérisation de mots de passe dans Azure Identity Protection

Azure Identity Protection est une fonctionnalité d’Azure AD Premium P2 qui dispose d’une fonctionnalité de recherche et d’alerte de risque de détection de pulvérisation de mots de passe que vous pouvez utiliser pour obtenir des informations supplémentaires ou pour configurer automatiquement les corrections.

Example of password spray attack

Détails d’une attaque par pulvérisation de mots de passe

Indicateurs d’attaque faible et lente

Les indicateurs d’attaques faible et lente sont ceux où les seuils pour le verrouillage de compte ou les mots de passe incorrects ne sont pas atteints. Vous pouvez détecter ces indicateurs via :

  • Défaillances dans l’ordre des LAG
  • Défaillances avec attributs répétitifs (agent utilisateur, AppID cible, bloc/emplacement IP)
  • Minutage : les pulvérisations automatisées ont tendance à avoir un intervalle de temps plus régulier entre les tentatives.

Examen et atténuation

Notes

Vous pouvez effectuer des examens et des atténuations simultanément lors d’attaques soutenues/en cours.

  1. Activez la connexion avancée sur ADFS si elle n’est pas déjà activée.

  2. Déterminez la date et l’heure du début de l’attaque.

  3. Déterminez l’adresse IP de l’attaquant (plusieurs sources et plusieurs adresses IP peuvent être possibles) à partir du pare-feu, d’ADFS, de SIEM ou d’Azure AD.

  4. Une fois la pulvérisation de mots de passe confirmée, vous devriez informer les organismes locaux (police, tiers, entre autres).

  5. Assemblez et surveillez les ID de l’événement suivants pour ADFS :

    ADFS 2012 R2

    • Événement d’audit 403 : agent utilisateur qui effectue la demande
    • Événement d’audit 411 : demandes d’authentification non réussies
    • Événement d’audit 516 : verrouillage extranet
    • Événement d’audit 342 : demandes d’authentification non réussies
    • Événement d’audit 412 : connexion réussie
  6. Pour collecter l’événement d’audit 411 : demandes d’authentification non réussies, utilisez le scriptsuivant :

    PARAM ($PastDays = 1, $PastHours) 
    #************************************************ 
    #ADFSBadCredsSearch.ps1 
    #Version 1.0 
    #Date: 6-20-2016 
    #Author: Tim Springston [MSFT] 
    #Description: This script will parse the ADFS server's (not proxy) security ADFS 
    #for events which indicate an incorrectly entered username or password. The script can specify a 
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for  
    #review of UPN, IP address of submitter, and timestamp.  
    #************************************************ 
    cls 
    if ($PastHours -gt 0) 
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))} 
    else 
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))    } 
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv" 
    $CS = get-wmiobject -class win32_computersystem 
    $Hostname = $CS.Name + '.' + $CS.Domain 
    $Instances = @{} 
    $OSVersion = gwmi win32_operatingsystem 
    [int]$BN = $OSVersion.Buildnumber  
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"} 
    else {$ADFSLogName = "AD FS/Admin"} 
    $Users = @() 
    $IPAddresses = @() 
    $Times = @() 
    $AllInstances = @() 
    Write-Host "Searching event log for bad credential events..." 
    if ($BN -ge 9200) {Get-Winevent  -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} |  % { 
    $Instance = New-Object PSObject 
    $UPN = $_.Properties[2].Value 
    $UPN = $UPN.Split("-")[0] 
    $IPAddress = $_.Properties[4].Value 
    $Users += $UPN 
    $IPAddresses += $IPAddress 
    $Times += $_.TimeCreated 
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN 
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress 
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString() 
    $AllInstances += $Instance 
    $Instance = $null 
    } 
    } 
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation  
    Write-Host "Data collection finished. The output file can be found at >$outputfile`." 
    $AllInstances = $null
    

ADFS 2016/2019

En plus des ID d’événement ci-dessus, assemblez l’événement d’audit 1203 : nouvelle erreur de validation des informations d’identification.

  1. Rassemblez toutes les connexions réussies pour cette heure sur ADFS (si fédérées). Une connexion et une déconnexion rapide (au cours de la même seconde) peuvent indiquer qu’un mot de passe a été deviné avec succès et qu’il fait l’objet d’une tentative d’utilisation de la part de l’attaquant.
  2. Rassemblez tous les événements Azure AD réussis ou interrompus dans cette période de temps pour les scénarios fédérés et managés.

Surveiller et assembler les ID d’événement à partir d’Azure AD

Découvrez comment trouver la signification des journaux d’erreur.

Les ID d’événement suivants d’Azure AD sont pertinents :

  • 50057 : un compte utilisateur a été désactivé
  • 50055 : le mot de passe a expiré
  • 50072 : l’utilisateur a été invité à fournir une MFA
  • 50074 : MFA requise
  • 50079 : l’utilisateur doit enregistrer les informations de sécurité
  • 53003 : l’utilisateur a été bloqué par l’accès conditionnel
  • 53004 : impossible de configurer la MFA en raison d’une activité suspecte
  • 530032 : bloqué par l’accès conditionnel sur la stratégie de sécurité
  • Réussite, échec, interruption de l’état de connexion

Assembler les ID d’événement à partir du playbook Sentinel

Vous pouvez récupérer tous les ID d’événement à partir du Playbook Sentinel qui est disponible sur GitHub.

Isoler et confirmer une attaque

Isolez les évènements de connexion réussis et interrompus ADFS et Azure AD. Il s’agit de vos comptes d’intérêt.

Bloquer l’adresse IP ADFS 2012R2, ainsi que les versions ultérieures pour l’authentification fédérée. Voici un exemple :

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Collecter les journaux ADFS

Collectez plusieurs ID d’événement sur une période définie. Voici un exemple :

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Rassembler les journaux ADFS dans Azure AD

Les rapports de connexion Azure AD incluent l’activité de connexion ADFS lorsque vous utilisez Azure AD Connect Health. Filtrer les journaux de connexion avec un émetteur de jeton de type « fédéré ».

Voici un exemple de commande PowerShell pour récupérer des journaux de connexion pour une adresse IP spécifique :

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Recherchez également dans le portail Azure les délais d’exécution, les adresses IP et les connexions réussies et interrompues, comme indiqué dans ces images.

timeframe

Recherche de connexions dans un délai d’exécution spécifique

ipaddress

Recherche de connexions sur une adresse IP spécifique

status

Recherche de connexions en fonction de l’état

Vous pouvez ensuite télécharger ces données sous forme de fichier .csv pour l’analyse. Pour plus d’informations, consultez Rapports d’activité de connexion dans le portail Azure Active Directory.

Classer les résultats par ordre de priorité

Il est important de pouvoir réagir à la menace la plus critique. Il peut s’agir d’un attaquant qui a réussi à obtenir l’accès à un compte et qui peut donc accéder aux données et les exfiltrer. L’attaquant dispose du mot de passe, mais il ne peut pas accéder au compte. Par exemple, l’attaquant dispose du mot de passe, mais n’arrive pas à contourner la MFA. En outre, l’attaquant peut ne pas deviner correctement les mots de passe, mais il continue d’essayer. Au cours de l’analyse, privilégiez ces résultats :

  • Connexions réussies par une adresse IP d’un attaquant connu
  • Connexion interrompue par une adresse IP d’un attaquant connu
  • Connexions non réussies par une adresse IP d’un attaquant connu
  • Autres connexions réussies par une adresse IP inconnue

Vérifier l’authentification héritée

La plupart des attaques utilisent l’authentification héritée. Il existe plusieurs façons de déterminer le protocole de l’attaque.

  1. Dans Azure AD, accédez à Connexions et filtrez sur Application cliente.

  2. Sélectionnez tous les protocoles d’authentification répertoriés.

    authenticationcheck

    Liste des protocoles hérités

  3. Ou, si vous disposez d’un espace de travail Azure, vous pouvez utiliser le classeur d’authentification héritée prédéfini situé dans le portail Azure Active Directory sous Surveillance et Classeurs.

    workbook

    Classeur d’authentification héritée

Bloquer l’adresse IP Azure AD pour le scénario managé (PHS, notamment la mise en lots)

  1. Accédez à Nouveaux emplacements nommés.

    Example of a new named location

  2. Créer une stratégie d’autorité de certification pour cibler toutes les applications et bloquer uniquement cet emplacement nommé.

L’utilisateur a-t-il utilisé ce système d’exploitation, cette adresse IP, cet ISP, cet appareil ou ce navigateur auparavant ?

Si l’utilisateur ne les a pas utilisés auparavant et que cette activité est inhabituelle, marquez l’utilisateur et examinez toutes ses activités.

L’adresse IP est-elle marquée comme « à risque » ?

Veillez à enregistrer les mots de passe réussis mais pas les réponses d’authentification multifacteur (MFA) non réussies, car cette activité indique que l’attaquant obtient le mot de passe, mais ne contourne pas la MFA.
Mettez de côté les comptes qui semblent disposer d’une connexion normale, par exemple, MFA réussie, emplacement et adresse IP qui ne sortent pas de l’ordinaire.

Rapport MFA

Il est important de vérifier également les journaux MFA, car un attaquant a pu deviner correctement un mot de passe, mais n’arrive pas à contourner l’invite MFA. Les journaux Azure AD MFA affichent les détails d’authentification des événements lorsqu’un utilisateur est invité à une authentification multifacteur. Vérifiez et assurez-vous qu’il n’existe pas de grande quantité de journaux MFA suspects dans Azure AD. Pour plus d’informations, consultez comment utiliser le rapport des connexions pour examiner les événements d’authentification multifacteur Azure AD.

Vérifications supplémentaires

Dans Defender pour Cloud Apps, examinez les activités et l’accès aux fichiers du compte compromis. Pour plus d'informations, consultez les pages suivantes :

Vérifiez si l’utilisateur a accès à des ressources supplémentaires, telles que des machines virtuelles, des autorisations de compte de domaine, un stockage, entre autres.
Si les données ont fait l’objet d’une violation, vous devez informer d’autres organismes, tels que la police.

Actions correctives immédiates

  1. Modifiez le mot de passe d’un compte qui pourrait avoir fait l’objet d’une violation ou dont le mot de passe aurait été découvert. En outre, bloquez l’utilisateur. Veillez à suivre les instructions relatives à la révocation de l’accès d’urgence.
  2. Marquez un compte qui a été compromis comme « compromis » dans Azure Identity Protection.
  3. Bloquez l’adresse IP de l’attaquant. Soyez prudent lors de l’exécution de cette action, car les attaquants peuvent utiliser des VPN légitimes, ce qui peut générer plus de risques puisqu’ils modifient également les adresses IP. Si vous utilisez l’authentification cloud, bloquez l’adresse IP dans Defender pour Cloud Apps ou Azure AD. Si elle est fédérée, vous devez bloquer l’adresse IP au niveau du pare-feu devant le service ADFS.
  4. Bloquez l’authentification héritée si elle est utilisée (cette action peut toutefois avoir un impact sur l’activité).
  5. Activez la MFA si ce n’est pas déjà fait.
  6. Activer Identity Protection pour le risque d’utilisateur et le risque de connexion
  7. Vérifiez les données qui ont été compromises (e-mails, SharePoint, OneDrive, applications). Découvrez comment utiliser le filtre d’activité dans Defender pour Cloud Apps.
  8. Maintenez l’hygiène du mot de passe. Pour plus d’informations, consultez Protection par mot de passe dans Azure AD.
  9. Vous pouvez également vous référer à Aide ADFS.

Récupération

Protection par mot de passe

Implémentez la protection par mot de passe sur Azure AD et localement en activant les listes des mots de passe interdits personnalisés. Cette configuration empêche les utilisateurs de définir des mots de passe faibles ou associés à votre organisation :

pwdprotection

Activation de la protection par mot de passe

Pour plus d’informations, consultez comment se défendre contre les attaques par pulvérisation de mots de passe.

Étiquetage d’adresse IP

Étiquetez les adresses IP dans Defender pour Cloud Apps pour recevoir des alertes liées à l’utilisation ultérieure :

Example of tagging an IP address

Étiquetage d’adresses IP

Dans Defender pour Cloud Apps, adresse IP « balise » pour l’étendue IP et configurez une alerte pour cette plage d’adresses IP pour une référence future et une réponse accélérée.

Example of setting up an IP address alert

Définition d’alertes pour une adresse IP spécifique

Configurer des alertes

Selon les besoins de votre organisation, vous pouvez configurer des alertes.

Configurez les alertes dans votre outil SIEM et examinez l’amélioration des écarts de journalisation. Intégrez la journalisation ADFS, Azure AD, Office 365 et Defender pour Cloud Apps.

Configurez le seuil et les alertes dans ADFS Health Connect et dans le portail d’adresse IP à risque.

Example of configuring threshold settings

Configurer les paramètres de seuil

Example of configuring notifications

Configurer les notifications

Découvrez la configuration des alertes dans le portail Identity Protection.

Configurer des stratégies de risque de connexion avec l’accès conditionnel ou Identity Protection

  • Informer les utilisateurs finaux, les parties prenantes principales, les opérations de première ligne, les équipes techniques, les équipes de cybersécurité et de communications
  • Examiner le contrôle de sécurité et apporter les modifications nécessaires pour améliorer ou renforcer le contrôle de sécurité au sein de votre organisation
  • Suggérer l’évaluation de la configuration Azure AD
  • Exécuter des exercices de simulateur d’attaque réguliers

Références

Prérequis

Corrections

Récupération

Playbooks sur les réponses aux incidents supplémentaires

Vérifiez les aides afin d’identifier et d’examiner ces types d’attaques supplémentaires :

Ressources pour répondre aux incidents