Jelszópermet vizsgálata

Ez a cikk útmutatást nyújt a jelszóspray-támadások szervezeten belüli azonosításához és kivizsgálásához, valamint az információk védelme és a további kockázatok minimalizálása érdekében szükséges javítóműveletekkel kapcsolatban.

Ez a cikk a következő szakaszokat tartalmazza:

  • Előfeltételek: Ismerteti a vizsgálat megkezdése előtt teljesítendő konkrét követelményeket. Például be kell kapcsolni a naplózást, a szerepköröket és a szükséges engedélyeket, többek között.
  • Munkafolyamat: A vizsgálat végrehajtásához követendő logikai folyamatot jeleníti meg.
  • Feladatlista: A folyamatábra egyes lépéseihez tartozó tevékenységek listáját tartalmazza. Ez az ellenőrzőlista hasznos lehet szigorúan szabályozott környezetekben annak ellenőrzéséhez, hogy mit tett, vagy egyszerűen csak minőségi kapuként saját magának.
  • Vizsgálati lépések: Részletes részletes útmutatást tartalmaz ehhez a konkrét vizsgálathoz.
  • Helyreállítási: Magas szintű lépéseket tartalmaz a jelszófelfújásos támadások helyreállítására/elhárítására.
  • Hivatkozások: További olvasási és referenciaanyagokat tartalmaz.

Előfeltételek

A vizsgálat megkezdése előtt győződjön meg arról, hogy elvégezte a naplók és riasztások beállítását, valamint a további rendszerkövetelményeket.

Az Azure AD monitorozásához kövesse az Azure AD SecOps útmutatójában található javaslatokat és útmutatást.

ADFS-naplózás beállítása

Eseménynaplózás az ADFS 2016-on

A Windows Server 2016-ban a Microsoft Active Directory összevonási szolgáltatások (ADFS) alapértelmezés szerint engedélyezve vannak az alapvető naplózási szinttel. Az alapszintű naplózással a rendszergazdák öt vagy kevesebb eseményt láthatnak egyetlen kérelemhez. Állítsa be a naplózást a legmagasabb szintre, és küldje el az AD FS (& biztonsági) naplókat egy SIEM-nek az AD-hitelesítéssel és az Azure AD-vel való korrelációhoz.

Az aktuális naplózási szint megtekintéséhez használja ezt a PowerShell-parancsot:

Get-AdfsProperties

adfs

Ez a táblázat az elérhető naplózási szinteket tartalmazza.

Naplózási szint PowerShell-szintaxis Leírás
Nincs Set-AdfsProperties -AuditLevel – Nincs A naplózás le van tiltva, és a rendszer nem naplózza az eseményeket
Alapszintű (alapértelmezett) Set-AdfsProperties -AuditLevel – Alapszintű Egyetlen kérelemhez legfeljebb 5 esemény lesz naplózva
Részletes Set-AdfsProperties -AuditLevel – Részletes A rendszer minden eseményt naplóz. Ez kérésenként jelentős mennyiségű információt naplóz.

A naplózási szint emeléséhez vagy csökkentéséhez használja ezt a PowerShell-parancsot:

Set-AdfsProperties -AuditLevel

Az ADFS 2012 R2/2016/2019 biztonsági naplózásának beállítása

  1. Kattintson a Start gombra, keresse meg a Programok > felügyeleti eszközöket, majd kattintson a Helyi biztonsági házirend elemre.

  2. Lépjen a Biztonsági beállítások\Helyi házirendek\Felhasználói jogok kezelése mappába, majd kattintson duplán a Biztonsági naplók létrehozása elemre.

  3. A Helyi biztonsági beállítások lapon ellenőrizze, hogy az ADFS-szolgáltatásfiók szerepel-e a listában. Ha nincs jelen, kattintson a Felhasználó vagy csoporthozzáadása elemre, és adja hozzá a listához, majd kattintson az OK gombra.

  4. A naplózás engedélyezéséhez nyisson meg egy parancssort emelt szintű jogosultságokkal, és futtassa a következő parancsot:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Zárja be a Helyi biztonsági házirend lapot.

  6. Ezután nyissa meg az ADFS Management beépülő modult, kattintson a Start gombra, keresse meg a Programok > felügyeleti eszközeit, majd kattintson az ADFS-kezelés elemre.

  7. A Műveletek panelen kattintson az Összevonási szolgáltatás tulajdonságainak szerkesztése elemre.

  8. Az Összevonási szolgáltatás tulajdonságai párbeszédpanelen kattintson az Események fülre.

  9. Jelölje be a Sikernaplók és a Hibanaplók jelölőnégyzeteket.

  10. Kattintson az OK gombra a konfiguráció befejezéséhez és mentéséhez.

Az Azure AD Connect Health telepítése az ADFS-hez

Az Azure Active Directory (Azure AD) Connect Health for ADFS-ügynökkel jobban áttekintheti az összevonási környezetet. Számos előre konfigurált irányítópultot biztosít, például a használatot, a teljesítményfigyelést és a kockázatos IP-jelentéseket.

Az ADFS Connect Health telepítéséhez tekintse át az Azure AD Connect Health használatára vonatkozó követelményeket, majd telepítse az Azure ADFS Connect Health-ügynököt.

Kockázatos IP-riasztások beállítása az ADFS kockázatos IP-jelentés munkafüzetével

Miután konfigurálta az Azure AD Connect Health for ADFS-t, az ADFS kockázatos IP-jelentés munkafüzetével és az Azure Monitorral kell monitoroznia és beállítania a riasztásokat. A jelentés használatának előnyei a következők:

  • Olyan IP-címek észlelése, amelyek túllépik a sikertelen jelszóalapú bejelentkezések küszöbértékét.
  • Támogatja a hibás jelszó vagy az extranetes zárolási állapot miatt meghiúsult bejelentkezéseket.
  • Támogatja a riasztások Azure-riasztásokon keresztüli engedélyezését.
  • Testre szabható küszöbérték-beállítások, amelyek megfelelnek a szervezet biztonsági szabályzatának.
  • Testre szabható lekérdezések és bővített vizualizációk további elemzéshez.
  • Az előző kockázatos IP-jelentés kibővített funkciói, amelyek 2022. január 24. után megszűnnek.

SIEM-eszközriasztások beállítása a Microsoft Sentinelen

A SIEM-eszközök riasztásainak beállításához tekintse át a dobozon kívüli riasztásokkal kapcsolatos oktatóanyagot.

SIEM-integráció a Microsoft Defender for Cloud Apps szolgáltatásba

Csatlakoztassa a Biztonsági információk és eseménykezelés (SIEM) eszközt a Microsoft Defender for Cloud Appshez, amely jelenleg támogatja a Micro Focus ArcSightot és az általános általános eseményformátumot (CEF).

További információ: Általános SIEM-integráció.

SIEM-integráció a Graph API-val

A SIEM-et a Microsoft Graph Security API-val az alábbi lehetőségek egyikével csatlakoztathatja:

  • Közvetlenül a támogatott integrációs lehetőségek használatával – Tekintse meg a támogatott integrációs lehetőségek listáját, például kód írásával, hogy közvetlenül összekapcsolja az alkalmazást a részletes elemzések kinyeréséhez. Használja ki a mintákat az első lépésekhez.
  • A Microsoft-partnerek által létrehozott natív integrációk és összekötők használata – Az integrációk használatához tekintse meg a Microsoft Graph Security API partnermegoldásait.
  • A Microsoft által létrehozott összekötők használata – Tekintse meg azoknak az összekötőknek a listáját, amelyek segítségével a biztonsági incidensek és események kezelése (SIEM), a biztonsági válasz és vezénylés (SOAR), az incidenskövetés és a szolgáltatáskezelés (ITSM), a jelentéskészítés és egyéb megoldások segítségével csatlakozhat az API-hoz.

További információt a Microsoft Graph Security API-val végzett biztonsági megoldásintegrációkban talál.

A Splunk használata

A riasztások beállításához a Splunk platformot is használhatja.

Munkafolyamat

Password spray investigation workflow

További lehetőségek:

  • Töltse le a jelszópermetet és más incidensmegoldási forgatókönyv-munkafolyamatokat PDF-fájlként.
  • Visio-fájlként töltse le a jelszópermetet és az egyéb incidensmegoldási forgatókönyv-munkafolyamatokat.

Ellenőrzőlista

Vizsgálati eseményindítók

  • Eseményindító érkezett a SIEM-ből, a tűzfalnaplókból vagy az Azure AD-ből
  • Az Azure AD Identity Protection jelszóspray szolgáltatása vagy kockázatos IP-címe
  • Nagy számú sikertelen bejelentkezés (411-es eseményazonosító)
  • Kiugróan magas az ADFS-hez készült Azure AD Connect Health
  • Egy másik biztonsági incidens (például adathalászat)
  • Megmagyarázhatatlan tevékenységek, például ismeretlen helyről való bejelentkezés vagy váratlan MFA-kérések

Vizsgálat

  • Mi a riasztás?
  • Meg tudja erősíteni, hogy ez egy jelszó spray?
  • A támadás idővonalának meghatározása.
  • Határozza meg a támadás IP-címét.
  • Szűrjön a sikeres bejelentkezésekre erre az időszakra és IP-címre, beleértve a sikeres jelszót, de a sikertelen MFA-t
  • MFA-jelentés ellenőrzése
  • Van valami szokatlan a fiókon, például új eszköz, új operációs rendszer, új IP-cím? A Defender for Cloud Apps vagy az Azure Information Protection használatával észlelheti a gyanús tevékenységeket.
  • Segítségért tájékoztassa a helyi hatóságokat/harmadik feleket.
  • Ha biztonsági sérülésre gyanakszik, ellenőrizze, hogy van-e adatkiszivárgás.
  • Ellenőrizze a társított fiókot, hogy gyanús-e a viselkedés, és ellenőrizze, hogy kapcsolódik-e más lehetséges fiókokhoz és szolgáltatásokhoz, valamint más rosszindulatú IP-címekhez.
  • Ellenőrizze az ugyanabban az irodában/delegált hozzáférésben dolgozó összes felhasználó fiókját – jelszóhigiéniát (győződjön meg arról, hogy nem ugyanazt a jelszót használják, mint a feltört fiók)
  • Az ADFS futtatása – súgó

Kezelési lehetőségek

A szolgáltatások engedélyezéséről a Hivatkozások szakaszban talál útmutatást.

Helyreállítási

Excel-fájlként letöltheti a jelszószórót és az egyéb incidens-forgatókönyvek ellenőrzőlistáit is.

Vizsgálati lépések

Jelszószórásos incidens válasza

A vizsgálat megkezdése előtt ismerkedjünk meg néhány jelszóspray-támadási technikával.

Jelszó sérülése: Egy támadó sikeresen kitalálta a felhasználó jelszavát, de más vezérlők, például a többtényezős hitelesítés (MFA) miatt nem tudott hozzáférni a fiókhoz.

Fiók biztonsága: Egy támadó sikeresen kitalálta a felhasználó jelszavát, és sikeresen hozzáférést szerzett a fiókhoz.

Környezetfelderítés

Hitelesítési típus azonosítása

Első lépésként ellenőriznie kell, hogy milyen hitelesítési típust használ a vizsgálat alatt lévő bérlői/ellenőrzött tartományhoz.

Egy adott tartománynév hitelesítési állapotának lekéréséhez használja a Get-MsolDomain PowerShell parancsot. Bemutatunk egy példát:

Connect-MsolService
Get-MsolDomain -DomainName "contoso.com"

A hitelesítés összevont vagy felügyelt?

Ha a hitelesítés összevont, akkor a sikeres bejelentkezések az Azure AD-ben lesznek tárolva. A sikertelen bejelentkezések az identitásszolgáltatójukban (IDP) lesznek. További információ: ADFS hibaelhárítás és eseménynaplózás.

Ha a hitelesítési típus felügyelt (csak felhőben, jelszókivonat-szinkronizálás (PHS) vagy átmenő hitelesítés (PTA)), akkor a sikeres és sikertelen bejelentkezések az Azure AD bejelentkezési naplóiban lesznek tárolva.

Megjegyzés

A szakaszos bevezetés funkció lehetővé teszi a bérlő tartománynevének összevonását, de adott felhasználók kezelését. Állapítsa meg, hogy a felhasználók tagjai-e ennek a csoportnak.

Engedélyezve van az Azure AD Connect Health az ADFS-ben?

Engedélyezve van a speciális naplózás az ADFS-ben?

A naplók az SIEM-ben vannak tárolva?

Ha ellenőrizni szeretné, hogy biztonsági információ- és eseménykezelésben (SIEM) vagy más rendszerben tárolja-e és korrelálja-e a naplókat, ellenőrizze az alábbiakat:

  • Log Analytics – előre összeállított lekérdezések
  • Sentinel – előre összeállított lekérdezések
  • Splunk – előre összeállított lekérdezések
  • Tűzfalnaplók
  • UAL, ha > 30 nap

Az Azure AD és az MFA jelentéskészítésének ismertetése

Fontos, hogy tisztában legyen azokkal a naplókkal, amelyeket lát, hogy megállapíthassa a biztonsági rést. Az alábbiakban az Azure AD-Sign-Ins és az MFA-jelentéskészítést ismertető rövid útmutatók nyújtanak segítséget. Tekintse meg az alábbi cikkeket:

Incidensindítók

Az incidens-eseményindító olyan esemény vagy eseménysorozat, amely előre definiált riasztás aktiválását okozza. Erre példa az, hogy a helytelen jelszó-kísérletek száma meghaladta az előre meghatározott küszöbértéket. Az alábbiakban további példákat talál a jelszófeltöréses támadások esetén riasztást küldő eseményindítókra, valamint arra, hogy hol jelennek meg ezek a riasztások. Az incidensindítók a következők:

  • Felhasználók

  • IP

  • Felhasználói ügynök sztringjei

  • Dátum/idő

  • Rendellenességek

  • Hibás jelszókísérletek

    pwdattemptsA hibás jelszóra tett kísérletek számát ábrázoló grafikon

A szokatlan tevékenységnövekedések kulcsfontosságú mutatók az Azure AD Health Connecten keresztül (feltéve, hogy ez telepítve van). Egyéb mutatók a következők:

  • A SIEM-alapú riasztások kiugrást jeleznek a naplók rendezésekor.
  • Nagyobb, mint a normál naplóméret az ADFS sikertelen bejelentkezései esetén (ez riasztás lehet az SIEM-eszközben).
  • Nagyobb mennyiségű 342/411 eseményazonosító – a felhasználónév vagy a jelszó helytelen. Vagy 516 extranetes zárolás miatt.
  • Sikertelen hitelesítési kérelem küszöbértékének elérése – Kockázatos IP-cím az Azure AD-ben vagy az SIEM-eszköz riasztásában/342-as és 411-as hibák esetén is (Az információk megtekintéséhez be kell kapcsolni a speciális naplózást.)

Kockázatos IP-cím az Azure AD Health Connect portálon

A kockázatos IP-cím riasztást küld, ha egy óra alatt elérte a testreszabott küszöbértéket a hibás jelszavak miatt, és a helytelen jelszavak száma egy nap alatt, valamint extranetes zárolások.

Example of risky IP report data

Kockázatos IP-jelentésadatok

A sikertelen kísérletek részletei az IP-cím és az extranetes zárolások lapján érhetők el.

ipaddresstable

IP-cím és extranetes zárolások a kockázatos IP-jelentésben

Jelszópermet észlelése az Azure Identity Protectionben

Az Azure Identity Protection egy prémium szintű Azure AD P2 szolgáltatás, amely jelszófeltörés-észlelési kockázati riasztással és keresési funkcióval rendelkezik, amellyel további információkhoz juthat, vagy automatikus szervizelést állíthat be.

Example of password spray attack

Jelszóspray-támadás részletei

Alacsony és lassú támadásjelzők

Az alacsony és lassú támadások azt jelzik, hogy a fiókzárolás vagy a rossz jelszavak küszöbértékeit nem éri el a rendszer. Ezeket a mutatókat a következőkkel észlelheti:

  • Hibák globális címlista-sorrendben
  • Ismétlődő attribútumokkal (UA, célalkalmazás-azonosító, IP-blokk/hely) kapcsolatos hibák
  • Időzítés – az automatizált spray-k általában rendszeresebb időközzel rendelkeznek a kísérletek között.

Vizsgálat és kockázatcsökkentés

Megjegyzés

A tartós/folyamatos támadások során egyidejűleg is elvégezheti a vizsgálatot és a kockázatcsökkentést.

  1. Kapcsolja be a speciális naplózást az ADFS-ben, ha még nincs bekapcsolva.

  2. Határozza meg a támadás kezdő dátumát és időpontját.

  3. Határozza meg a támadó IP-címét (több forrás és több IP-cím is lehet) a tűzfalról, az ADFS-ről, a SIEM-ről vagy az Azure AD-ről.

  4. A jelszófeltörés megerősítését követően előfordulhat, hogy tájékoztatnia kell a helyi ügynökségeket (rendőrség, harmadik felek, többek között).

  5. Az ADFS következő eseményazonosítóinak rendezése és monitorozása:

    ADFS 2012 R2

    • 403-as naplózási esemény – a kérést küldő felhasználói ügynök
    • 411-as naplózási esemény – sikertelen hitelesítési kérések
    • 516-os naplózási esemény – extranetes zárolás
    • 342-as naplózási esemény – sikertelen hitelesítési kérések
    • 412-s naplózási esemény – Sikeres bejelentkezés
  6. A 411-edik auditesemény sikertelen hitelesítési kéréseinek gyűjtéséhez használja a következő szkriptet:

    PARAM ($PastDays = 1, $PastHours) 
    #************************************************ 
    #ADFSBadCredsSearch.ps1 
    #Version 1.0 
    #Date: 6-20-2016 
    #Author: Tim Springston [MSFT] 
    #Description: This script will parse the ADFS server's (not proxy) security ADFS 
    #for events which indicate an incorrectly entered username or password. The script can specify a 
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for  
    #review of UPN, IP address of submitter, and timestamp.  
    #************************************************ 
    cls 
    if ($PastHours -gt 0) 
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))} 
    else 
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))    } 
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv" 
    $CS = get-wmiobject -class win32_computersystem 
    $Hostname = $CS.Name + '.' + $CS.Domain 
    $Instances = @{} 
    $OSVersion = gwmi win32_operatingsystem 
    [int]$BN = $OSVersion.Buildnumber  
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"} 
    else {$ADFSLogName = "AD FS/Admin"} 
    $Users = @() 
    $IPAddresses = @() 
    $Times = @() 
    $AllInstances = @() 
    Write-Host "Searching event log for bad credential events..." 
    if ($BN -ge 9200) {Get-Winevent  -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} |  % { 
    $Instance = New-Object PSObject 
    $UPN = $_.Properties[2].Value 
    $UPN = $UPN.Split("-")[0] 
    $IPAddress = $_.Properties[4].Value 
    $Users += $UPN 
    $IPAddresses += $IPAddress 
    $Times += $_.TimeCreated 
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN 
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress 
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString() 
    $AllInstances += $Instance 
    $Instance = $null 
    } 
    } 
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation  
    Write-Host "Data collection finished. The output file can be found at >$outputfile`." 
    $AllInstances = $null
    

ADFS 2016/2019

A fenti eseményazonosítókkal együtt állítsa össze az 1203-as naplózási esemény friss hitelesítőadat-érvényesítési hibáját.

  1. Az összes sikeres bejelentkezés rendezése erre az időre az ADFS-en (ha összevont). A gyors bejelentkezés és kijelentkezés (ugyanazon a másodpercen belül) azt jelezheti, hogy a támadó sikeresen kitalálta és kipróbálta a jelszót.
  2. Az Azure AD ezen időszakon belüli sikeres vagy megszakított eseményeinek összeválogatása összevont és felügyelt forgatókönyvek esetén is.

Eseményazonosítók monitorozása és rendezése az Azure AD-ből

Megtudhatja, hogyan keresheti meg a hibanaplók jelentését.

Az Azure AD következő eseményazonosítói relevánsak:

  • 50057 – A felhasználói fiók le lett tiltva
  • 50055 – A jelszó lejárt
  • 50072 – A felhasználó az MFA megadását kéri
  • 50074 – MFA szükséges
  • 50079 – A felhasználónak regisztrálnia kell a biztonsági adatokat
  • 53003 – Feltételes hozzáférés által letiltott felhasználó
  • 53004 – Gyanús tevékenység miatt nem konfigurálható az MFA
  • 530032 – A biztonsági szabályzat feltételes hozzáférése letiltja
  • Sign-In állapota: Sikeres, Sikertelen, Megszakítás

Eseményazonosítók rendezése a Sentinel forgatókönyvéből

Az eseményazonosítókat a GitHubon elérhető Sentinel-forgatókönyvből szerezheti be.

Támadás elkülönítése és megerősítése

Elkülönítheti az ADFS-t és az Azure AD-t a sikeres és megszakított bejelentkezési események között. Ezek a fontos számlák.

Tiltsa le az ADFS 2012R2 vagy újabb IP-címet összevont hitelesítéshez. Bemutatunk egy példát:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

ADFS-naplók gyűjtése

Gyűjtsön össze több eseményazonosítót egy időkereten belül. Bemutatunk egy példát:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

ADFS-naplók rendezése az Azure AD-ben

Az Azure AD Sign-In-jelentések tartalmazzák az ADFS bejelentkezési tevékenységeit az Azure AD Connect Health használatakor. Szűrje a bejelentkezési naplókat az "Összevont" tokenkibocsátótípus szerint.

Íme egy powershell-példaparancs egy adott IP-cím bejelentkezési naplóinak lekéréséhez:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Emellett keressen rá az Azure Portalon az időkeretre, az IP-címre, valamint a sikeres és megszakított bejelentkezésre az alábbi képeken látható módon.

timeframe

Bejelentkezések keresése egy adott időkereten belül

ipaddress

Bejelentkezések keresése egy adott IP-címen

status

Bejelentkezések keresése az állapot alapján

Ezután letöltheti ezeket az adatokat .csv fájlként elemzésre. További információkért tekintse meg a bejelentkezési tevékenység jelentéseit az Azure Active Directory portálon.

Eredmények rangsorolása

Fontos, hogy reagálni tudjon a legkritikusabb fenyegetésre. Ez lehet az, hogy a támadó sikeresen hozzáfért egy fiókhoz, és így hozzáférhet/kiszűrheti az adatokat. A támadó rendelkezik a jelszóval, de előfordulhat, hogy nem tudja elérni a fiókot, például rendelkezik a jelszóval, de nem adja át az MFA-feladatot. A támadó nem tudta helyesen kitalálni a jelszavakat, de továbbra is próbálkozik. Az elemzés során rangsorolja ezeket az eredményeket:

  • Sikeres bejelentkezések az ismert támadó IP-címe alapján
  • Az ismert támadó IP-címe megszakította a bejelentkezést
  • Sikertelen bejelentkezések az ismert támadó IP-címe alapján
  • Egyéb ismeretlen IP-címek, sikeres bejelentkezések

Régi hitelesítés ellenőrzése

A legtöbb támadás örökölt hitelesítést használ. A támadás protokollját többféleképpen is meg lehet határozni.

  1. Az Azure AD-ben lépjen a Bejelentkezések elemre, és szűrjön az ügyfélalkalmazásra.

  2. Válassza ki a listában szereplő összes örökölt hitelesítési protokollt.

    authenticationcheck

    Örökölt protokollok listája

  3. Ha rendelkezik Azure-munkaterületével, használhatja az Azure Active Directory portál figyelés és munkafüzetek területén található, előre elkészített örökölt hitelesítési munkafüzetet.

    workbook

    Régi hitelesítési munkafüzet

Az Azure AD IP-címének blokkolása felügyelt forgatókönyvhöz (PHS, beleértve az előkészítést)

  1. Lépjen az Új elnevezett helyekre.

    Example of a new named location

  2. Hozzon létre egy feltételes hozzáférési szabályzatot, amely minden alkalmazást megcélz, és csak erre a névvel ellátott helyre tiltja le a beállítást.

Használta már a felhasználó ezt az operációs rendszert, IP-címet, internetszolgáltatót, eszközt vagy böngészőt?

Ha a felhasználó korábban még nem használta, és ez a tevékenység szokatlan, jelölje meg a felhasználót, és vizsgálja meg az összes tevékenységét.

Az IP-cím "kockázatosként" van megjelölve?

Győződjön meg arról, hogy sikeres jelszavakat rögzített, de sikertelen többtényezős hitelesítésre (MFA) adott válaszokat, mivel ez a tevékenység azt jelzi, hogy a támadó megkapja a jelszót, de nem adja át az MFA-t.
Helyezzen félre minden olyan fiókot, amely normál bejelentkezésnek tűnik, például átadott MFA-t, helyet és IP-címet, nem szokatlan módon.

MFA-jelentéskészítés

Fontos az MFA-naplók ellenőrzése is, mivel a támadók sikeresen kitalálhattak volna egy jelszót, de az MFA-kérés meghiúsult volna. Az Azure AD MFA-naplók az események hitelesítési adatait jelenítik meg, amikor a rendszer többtényezős hitelesítést kér egy felhasználótól. Ellenőrizze, hogy nincsenek-e nagy méretű gyanús MFA-naplók az Azure AD-ben. További információkért tekintse meg, hogyan használhatja a bejelentkezési jelentést az Azure AD Multi-Factor Authentication-események áttekintéséhez.

További ellenőrzések

A Defender for Cloud Appsben vizsgálja meg a feltört fiók tevékenységeit és fájlhozzáféréseit. További információkért lásd:

Ellenőrizze, hogy a felhasználó rendelkezik-e hozzáféréssel többek között további erőforrásokhoz, például virtuális gépekhez, tartományi fiókengedélyekhez és tárterülethez.
Ha az adatok sérültek, akkor tájékoztatnia kell további ügynökségeket, például a rendőrséget.

Azonnali szervizelési műveletek

  1. Módosítsa bármely olyan fiók jelszavát, amelyről feltételezhető, hogy illetéktelenek lettek, vagy ha a fiók jelszavát felfedezték. Emellett tiltsa le a felhasználót. Ügyeljen arra, hogy kövesse a vészhelyzeti hozzáférés visszavonására vonatkozó irányelveket.
  2. Jelölje meg a feltört fiókokat "feltörtként" az Azure Identity Protectionben.
  3. Tiltsa le a támadó IP-címét. Legyen óvatos, miközben végrehajtja ezt a műveletet, mivel a támadók megbízható VPN-eket használhatnak, és ez nagyobb kockázatot jelenthet az IP-címek módosításakor is. Ha felhőalapú hitelesítést használ, tiltsa le az IP-címet a Defender for Cloud Appsben vagy az Azure AD-ben. Ha összevont, le kell tiltani az IP-címet a tűzfal szintjén az ADFS szolgáltatás előtt.
  4. A régi hitelesítés letiltása használat esetén (ez a művelet azonban hatással lehet az üzletmenetre).
  5. Ha még nem tette meg, engedélyezze az MFA-t.
  6. Az Identity Protection engedélyezése a felhasználói kockázathoz és a bejelentkezési kockázathoz
  7. Ellenőrizze a feltört adatokat (e-mailek, SharePoint, OneDrive, alkalmazások). Megtudhatja, hogyan használhatja a tevékenységszűrőt a Defender for Cloud Appsben.
  8. Jelszóhigiénia fenntartása. További információ: Azure AD jelszóvédelem.
  9. Az ADFS súgóját is megtekintheti.

Helyreállítási

Jelszavas védelem

Jelszóvédelem megvalósítása az Azure AD-ben és a helyszínen az egyénileg letiltott jelszólisták engedélyezésével. Ez a konfiguráció megakadályozza, hogy a felhasználók gyenge jelszavakat vagy a szervezethez társított jelszavakat állítsanak be:

pwdprotection

Jelszóvédelem engedélyezése

További információkért tekintse meg, hogyan védekezhet a jelszópermetes támadások ellen.

IP-cím címkézése

Címkézze fel az IP-címeket a Defender for Cloud Appsben a jövőbeli használattal kapcsolatos riasztások fogadásához:

Example of tagging an IP address

IP-címek címkézése

A Defender for Cloud Appsben címkézze meg az IP-hatókör IP-címét, és állítson be egy riasztást ehhez az IP-címtartományhoz a későbbi referencia és a gyorsított válasz érdekében.

Example of setting up an IP address alert

Riasztások beállítása egy adott IP-címhez

Riasztások konfigurálása

A szervezet igényeitől függően riasztásokat is konfigurálhat.

Állítson be riasztásokat a SIEM-eszközben , és vizsgálja meg a naplózási hiányosságok javítását. Integrálja az ADFS, az Azure AD, az Office 365 és a Defender for Cloud Apps naplózását.

Konfigurálja a küszöbértéket és a riasztásokat az ADFS Health Connectben és a kockázatos IP-portálon.

Example of configuring threshold settings

Küszöbérték-beállítások konfigurálása

Example of configuring notifications

Értesítések konfigurálása

Tekintse meg, hogyan konfigurálhat riasztásokat az Identity Protection portálon.

Bejelentkezési kockázati szabályzatok beállítása feltételes hozzáféréssel vagy Identity Protectionnel

  • A végfelhasználók, a főbb érdekelt felek, a frontvonali műveletek, a technikai csapatok, a kiberbiztonsági és kommunikációs csapatok képzése
  • Tekintse át a biztonsági ellenőrzést, és végezze el a szükséges módosításokat a szervezeten belüli biztonsági ellenőrzés javításához vagy megerősítéséhez
  • Javaslat az Azure AD konfigurációértékelésre
  • Rendszeres támadásszimulátor-gyakorlatok futtatása

Hivatkozások

Előfeltételek

Kezelési lehetőségek

Helyreállítási

További incidensmegoldási forgatókönyvek

Vizsgálja meg az alábbi további típusú támadások azonosítására és kivizsgálására vonatkozó útmutatást:

Incidensmegoldási erőforrások