Onderzoek naar wachtwoordspray

Dit artikel bevat richtlijnen voor het identificeren en onderzoeken van wachtwoordsprayaanvallen binnen uw organisatie en het nemen van de vereiste herstelactie om informatie te beschermen en verdere risico's te minimaliseren.

Dit artikel bevat de volgende secties:

  • Voorwaarden: Behandelt de specifieke vereisten die u moet voltooien voordat u het onderzoek start. Logboekregistratie die moet worden ingeschakeld, rollen en machtigingen zijn bijvoorbeeld vereist.
  • Workflow: Toont de logische stroom die u moet volgen om dit onderzoek uit te voeren.
  • Controlelijst: Bevat een lijst met taken voor elk van de stappen in het stroomdiagram. Deze controlelijst kan nuttig zijn in sterk gereglementeerde omgevingen om te controleren wat u hebt gedaan of gewoon als een kwaliteitspoort voor uzelf.
  • Onderzoeksstappen: Bevat een gedetailleerde stapsgewijze handleiding voor dit specifieke onderzoek.
  • Herstel: Bevat stappen op hoog niveau voor het herstellen/beperken van een wachtwoordspray-aanval.
  • Verwijzingen: Bevat extra lees- en referentiemateriaal.

Vereisten

Voordat u begint met het onderzoek, moet u ervoor zorgen dat u de installatie voor logboeken en waarschuwingen en aanvullende systeemvereisten hebt voltooid.

Voor Azure AD-bewaking volgt u onze aanbevelingen en richtlijnen in onze Azure AD SecOps-handleiding.

ADFS-logboekregistratie instellen

Logboekregistratie van gebeurtenissen op ADFS 2016

Microsoft Active Directory Federation Services (ADFS) in Windows Server 2016 heeft standaard een basisniveau voor controle ingeschakeld. Met eenvoudige controle kunnen beheerders vijf of minder gebeurtenissen voor één aanvraag zien. Stel logboekregistratie in op het hoogste niveau en verzend de AD FS-logboeken (& beveiliging) naar een SIEM om te correleren met AD-verificatie en Azure AD.

Als u het huidige controleniveau wilt weergeven, kunt u deze PowerShell-opdracht gebruiken:

Get-AdfsProperties

adfs

Deze tabel bevat de controleniveaus die beschikbaar zijn.

Controleniveau PowerShell-syntaxis Beschrijving
Geen Set-AdfsProperties -AuditLevel - Geen Controle is uitgeschakeld en er worden geen gebeurtenissen geregistreerd
Basic (standaard) Set-AdfsProperties -AuditLevel - Basic Niet meer dan 5 gebeurtenissen worden geregistreerd voor een enkele aanvraag
Uitgebreid Set-AdfsProperties -AuditLevel - Uitgebreid Alle gebeurtenissen worden geregistreerd. Dit loggen een aanzienlijke hoeveelheid gegevens per aanvraag.

Als u het controleniveau wilt verhogen of verlagen, gebruikt u deze PowerShell-opdracht:

Set-AdfsProperties -AuditLevel

ADFS 2012 R2/2016/2019-beveiligingslogboeken instellen

  1. Klik op Start, navigeer naar Programma's > met systeembeheer en klik vervolgens op Lokaal beveiligingsbeleid.

  2. Navigeer naar de map Beveiligingsinstellingen\Lokaal beleid\User Rights Management en dubbelklik op Beveiligingscontroles genereren.

  3. Controleer op het tabblad Lokale beveiligingsinstelling of het ADFS-serviceaccount wordt weergegeven. Als deze niet aanwezig is, klikt u op Gebruiker of groeptoevoegen en voegt u deze toe aan de lijst en klikt u op OK.

  4. Als u de controle wilt inschakelen, opent u een opdrachtprompt met verhoogde bevoegdheden en voert u de volgende opdracht uit:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Kies Lokaal beveiligingsbeleid.

  6. Open vervolgens de ADFS-beheermodule, klik op Start, navigeer naar Programma's > met systeembeheer en klik vervolgens op ADFS-beheer.

  7. Klik in het deelvenster Acties op Federation Service-eigenschappen bewerken.

  8. Klik in het dialoogvenster Federation Service Properties op het tabblad Gebeurtenissen .

  9. Schakel de selectievakjes bij Succesvolle controles en Mislukte controles in.

  10. Klik op OK om de configuratie te voltooien en op te slaan.

Azure AD Connect Health voor ADFS installeren

Met de Azure Active Directory (Azure AD) Connect Health voor ADFS-agent hebt u meer inzicht in uw federatieomgeving. Het biedt u verschillende vooraf geconfigureerde dashboards, zoals gebruik, prestatiebewaking en riskante IP-rapporten.

Als u ADFS Connect Health wilt installeren, gaat u door de vereisten voor het gebruik van Azure AD Connect Health en installeert u vervolgens de Azure ADFS Connect Health-agent.

Riskante IP-waarschuwingen instellen met behulp van de ADFS Risky IP Report Workbook

Nadat Azure AD Connect Health voor ADFS is geconfigureerd, moet u waarschuwingen bewaken en instellen met behulp van de ADFS Riskante IP-rapportwerkmap en Azure Monitor. De voordelen van het gebruik van dit rapport zijn:

  • Detectie van IP-adressen die een drempelwaarde overschrijden voor mislukte aanmeldingen op basis van een wachtwoord.
  • Ondersteunt mislukte aanmeldingen vanwege een ongeldig wachtwoord of vanwege de vergrendelingsstatus van het extranet.
  • Biedt ondersteuning voor het inschakelen van waarschuwingen via Azure-waarschuwingen.
  • Aanpasbare drempelwaarde-instellingen die overeenkomen met het beveiligingsbeleid van een organisatie.
  • Aanpasbare query's en uitgebreide visualisaties voor verdere analyse.
  • Uitgebreide functionaliteit van het vorige riskante IP-rapport, dat na 24 januari 2022 wordt afgeschaft.

SIEM-hulpprogrammawaarschuwingen instellen op Microsoft Sentinel

Als u WAARSCHUWINGEN voor SIEM-hulpprogramma's wilt instellen, doorloopt u de zelfstudie over kant-en-klare waarschuwingen.

SIEM-integratie met Microsoft Defender voor Cloud Apps

Verbind het hulpprogramma Security Information and Event Management (SIEM) met Microsoft Defender for Cloud Apps, dat momenteel ondersteuning biedt voor Micro Focus ArcSight en algemene CEF (Common Event Format).

Zie Algemene SIEM-integratie voor meer informatie.

SIEM-integratie met Graph API

U kunt SIEM verbinden met de Microsoft Graph Security API met behulp van een van de volgende opties:

  • Rechtstreeks met behulp van de ondersteunde integratieopties : raadpleeg de lijst met ondersteunde integratieopties, zoals het schrijven van code om uw toepassing rechtstreeks te verbinden om uitgebreide inzichten af te leiden. Gebruik voorbeelden om aan de slag te gaan.
  • Gebruik systeemeigen integraties en connectors die zijn gebouwd door Microsoft-partners . Raadpleeg de microsoft Graph Security API-partneroplossingen om deze integraties te gebruiken.
  • Connectors gebruiken die zijn gebouwd door Microsoft : raadpleeg de lijst met connectors die u kunt gebruiken om verbinding te maken met de API via diverse oplossingen voor SIEM (Security Incident and Event Management), Security Response and Orchestration (SOAR), INCIDENT Tracking and Service Management (ITSM), rapportage, enzovoort.

Zie integraties van beveiligingsoplossingen met behulp van de Microsoft Graph Security-API voor meer informatie.

Splunk gebruiken

U kunt ook het Splunk-platform gebruiken om waarschuwingen in te stellen.

Werkstroom

Password spray investigation workflow

U kunt ook het volgende doen:

  • Download de werkstromen voor wachtwoordspray en andere playbookwerkstromen voor incidentrespons als PDF-bestand.
  • Download de werkstromen voor wachtwoordspray en andere playbookwerkstromen voor incidentrespons als visio-bestand.

Controlelijst

Onderzoekstriggers

  • Een trigger ontvangen van SIEM, firewalllogboeken of Azure AD
  • Azure AD Identity Protection-functie voor wachtwoordspray of riskant IP-adres
  • Groot aantal mislukte aanmeldingen (gebeurtenis-id 411)
  • Piek in Azure AD Connect Health voor ADFS
  • Een ander beveiligingsincident (bijvoorbeeld phishing)
  • Onverklaarde activiteit, zoals een aanmelding vanaf onbekende locatie of een gebruiker krijgt onverwachte MFA-prompts

Onderzoek

  • Wat wordt er gewaarschuwd?
  • Kunt u bevestigen dat dit een wachtwoordspray is?
  • Bepaal de tijdlijn voor aanvallen.
  • Bepaal het IP-adres(en) van de aanval.
  • Filteren op geslaagde aanmeldingen voor deze periode en IP-adres, inclusief geslaagd wachtwoord, maar mislukte MFA
  • MFA-rapportage controleren
  • Is er iets buiten het gewone account, zoals een nieuw apparaat, een nieuw besturingssysteem, een nieuw IP-adres dat wordt gebruikt? Gebruik Defender for Cloud Apps of Azure Information Protection om verdachte activiteiten te detecteren.
  • Informeer lokale autoriteiten/derden voor hulp.
  • Als u een inbreuk vermoedt, controleert u op gegevensexfiltratie.
  • Controleer het gekoppelde account op verdacht gedrag en kijk of het overeenkomt met andere mogelijke accounts en services, evenals andere schadelijke IP-adressen.
  • Controleer accounts van iedereen die in hetzelfde kantoor of gedelegeerde toegang werkt - wachtwoordbeveiliging (zorg ervoor dat ze niet hetzelfde wachtwoord gebruiken als het gecompromitteerde account)
  • Help voor ADFS uitvoeren

Oplossingen

Raadpleeg de sectie Verwijzingen voor hulp bij het inschakelen van functies.

Herstel

U kunt ook de controlelijsten voor wachtwoordspray en andere incidentplaybooks downloaden als Excel-bestand.

Onderzoeksstappen

Reactie op incidenten met wachtwoordspray

Laten we een paar technieken voor wachtwoordspray-aanvallen begrijpen voordat we verdergaan met het onderzoek.

Wachtwoordcompromitting: Een aanvaller heeft het wachtwoord van de gebruiker geraden, maar heeft geen toegang tot het account gehad vanwege andere besturingselementen, zoals meervoudige verificatie (MFA).

Accountinbreuk: Een aanvaller heeft het wachtwoord van de gebruiker geraden en heeft toegang verkregen tot het account.

Omgevingsdetectie

Verificatietype identificeren

Als eerste stap moet u controleren welk verificatietype wordt gebruikt voor een tenant/geverifieerd domein dat u onderzoekt.

Gebruik de Opdracht Get-MsolDomain PowerShell om de verificatiestatus voor een specifieke domeinnaam te verkrijgen. Hier volgt een voorbeeld:

Connect-MsolService
Get-MsolDomain -DomainName "contoso.com"

Is de verificatie federatief of beheerd?

Als de verificatie federatief is, worden geslaagde aanmeldingen opgeslagen in Azure AD. De mislukte aanmeldingen zijn opgenomen in hun IDP (Identity Provider). Zie ADFS-probleemoplossing en logboekregistratie van gebeurtenissen voor meer informatie.

Als het verificatietype wordt beheerd (alleen cloud, wachtwoordhashsynchronisatie (PHS) of passthrough-verificatie (PTA), worden geslaagde en mislukte aanmeldingen opgeslagen in de aanmeldingslogboeken van Azure AD.

Notitie

Met de functie Gefaseerde implementatie kan de domeinnaam van de tenant worden gefedereerd, maar specifieke gebruikers worden beheerd. Bepaal of gebruikers lid zijn van deze groep.

Is Azure AD Connect Health ingeschakeld voor ADFS?

Is de geavanceerde logboekregistratie ingeschakeld in ADFS?

Worden de logboeken opgeslagen in SIEM?

Als u wilt controleren of u logboeken opslaat en correeert in een SIEM (Security Information and Event Management) of in een ander systeem, controleert u het volgende:

  • Log Analytics- vooraf gebouwde query's
  • Sentinel- vooraf gebouwde query's
  • Splunk - vooraf gemaakte query's
  • Firewalllogboeken
  • UAL als > 30 dagen

Informatie over Azure AD- en MFA-rapportage

Het is belangrijk dat u de logboeken begrijpt die u ziet om inbreuk te kunnen maken. Hieronder volgen onze snelle handleidingen voor het begrijpen van Azure AD-Sign-Ins- en MFA-rapportages om u hierbij te helpen. Raadpleeg deze artikelen:

Incidenttriggers

Een incidenttrigger is een gebeurtenis of een reeks gebeurtenissen die ervoor zorgen dat vooraf gedefinieerde waarschuwingen worden geactiveerd. Een voorbeeld hiervan is het aantal ongeldige wachtwoordpogingen dat boven uw vooraf gedefinieerde drempelwaarde is gegaan. Hieronder vindt u verdere voorbeelden van triggers die kunnen worden gewaarschuwd bij aanvallen met wachtwoordspray en waar deze waarschuwingen worden weergegeven. Incidenttriggers zijn onder andere:

  • Gebruikers

  • IP

  • Tekenreeksen van gebruikersagent

  • Datum/tijd

  • Anomalieën

  • Ongeldige wachtwoordpogingen

    pwdattemptsGrafiek met het aantal ongeldige wachtwoordpogingen

Ongebruikelijke pieken in activiteit zijn belangrijke indicatoren via Azure AD Health Connect (ervan uitgaande dat dit is geïnstalleerd). Andere indicatoren zijn:

  • Waarschuwingen via SIEM geven een piek weer wanneer u de logboeken samenvouwt.
  • Groter dan de normale logboekgrootte voor mislukte aanmeldingen van ADFS (dit kan een waarschuwing zijn in het SIEM-hulpprogramma).
  • Verhoogde bedragen van 342/411 gebeurtenis-id's: gebruikersnaam of wachtwoord is onjuist. Of 516 voor extranetvergrendeling.
  • Drempelwaarde voor mislukte verificatieaanvragen : riskante IP in Azure AD- of SIEM-hulpprogrammawaarschuwingen/fouten van 342 en 411 (als u deze informatie wilt kunnen weergeven, moet de geavanceerde logboekregistratie zijn ingeschakeld.)

Riskante IP in azure AD Health Connect-portal

Riskante IP waarschuwt wanneer de aangepaste drempelwaarde binnen een uur is bereikt voor ongeldige wachtwoorden en het aantal ongeldige wachtwoorden in een dag, evenals extranetvergrendelingen.

Example of risky IP report data

Riskante IP-rapportgegevens

De details van mislukte pogingen zijn beschikbaar in het IP-adres van de tabbladen en extranetvergrendelingen.

ipaddresstable

IP-adres- en extranetvergrendelingen in het riskante IP-rapport

Wachtwoordspray detecteren in Azure Identity Protection

Azure Identity Protection is een Azure AD Premium P2-functie met een waarschuwing en zoekfunctie voor wachtwoordspraydetectie die u kunt gebruiken om aanvullende informatie op te halen of automatische herstelbewerking in te stellen.

Example of password spray attack

Details van een wachtwoordsprayaanval

Indicatoren voor lage en trage aanvallen

Lage en trage aanvalsindicatoren zijn indicatoren waarbij drempelwaarden voor accountvergrendeling of ongeldige wachtwoorden niet worden bereikt. U kunt deze indicatoren detecteren via:

  • Fouten in galvolgorde
  • Fouten met terugkerende kenmerken (UA, doel-AppID, IP-blok/locatie)
  • Timing – geautomatiseerde sprays hebben meestal een meer regelmatig tijdsinterval tussen pogingen.

Onderzoek en beperking

Notitie

U kunt gelijktijdig onderzoek en beperking uitvoeren tijdens aanhoudende/doorlopende aanvallen.

  1. Schakel geavanceerde logboekregistratie in op ADFS als dit nog niet is ingeschakeld.

  2. Bepaal de datum en tijd van het begin van de aanval.

  3. Bepaal het IP-adres van de aanvaller (mogelijk meerdere bronnen en meerdere IP-adressen) van de firewall, ADFS, SIEM of Azure AD.

  4. Zodra wachtwoordspray is bevestigd, moet u mogelijk de lokale instanties (politie, derden, onder andere) informeren.

  5. Sorteer en bewaak de volgende gebeurtenis-id's voor ADFS:

    ADFS 2012 R2

    • Controlegebeurtenis 403 : gebruikersagent die de aanvraag indient
    • Controlegebeurtenis 411 – mislukte verificatieaanvragen
    • Controlegebeurtenis 516 – extranetvergrendeling
    • Controlegebeurtenis 342 : mislukte verificatieaanvragen
    • Controlegebeurtenis 412 - Geslaagd aanmelden
  6. Gebruik het volgende script om de controlegebeurtenis 411 - mislukte verificatieaanvragen te verzamelen:

    PARAM ($PastDays = 1, $PastHours) 
    #************************************************ 
    #ADFSBadCredsSearch.ps1 
    #Version 1.0 
    #Date: 6-20-2016 
    #Author: Tim Springston [MSFT] 
    #Description: This script will parse the ADFS server's (not proxy) security ADFS 
    #for events which indicate an incorrectly entered username or password. The script can specify a 
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for  
    #review of UPN, IP address of submitter, and timestamp.  
    #************************************************ 
    cls 
    if ($PastHours -gt 0) 
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))} 
    else 
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))    } 
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv" 
    $CS = get-wmiobject -class win32_computersystem 
    $Hostname = $CS.Name + '.' + $CS.Domain 
    $Instances = @{} 
    $OSVersion = gwmi win32_operatingsystem 
    [int]$BN = $OSVersion.Buildnumber  
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"} 
    else {$ADFSLogName = "AD FS/Admin"} 
    $Users = @() 
    $IPAddresses = @() 
    $Times = @() 
    $AllInstances = @() 
    Write-Host "Searching event log for bad credential events..." 
    if ($BN -ge 9200) {Get-Winevent  -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} |  % { 
    $Instance = New-Object PSObject 
    $UPN = $_.Properties[2].Value 
    $UPN = $UPN.Split("-")[0] 
    $IPAddress = $_.Properties[4].Value 
    $Users += $UPN 
    $IPAddresses += $IPAddress 
    $Times += $_.TimeCreated 
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN 
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress 
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString() 
    $AllInstances += $Instance 
    $Instance = $null 
    } 
    } 
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation  
    Write-Host "Data collection finished. The output file can be found at >$outputfile`." 
    $AllInstances = $null
    

ADFS 2016/2019

Samen met de bovenstaande gebeurtenis-id's moet u de controlegebeurtenis 1203 – nieuwe referentievalidatiefout samenvouwen.

  1. Verzamel alle geslaagde aanmeldingen voor deze keer op ADFS (indien gefedereerd). Een snelle aanmelding en afmelding (op dezelfde seconde) kan een indicator zijn van een wachtwoord dat met succes wordt geraden en door de aanvaller wordt geprobeerd.
  2. Verzamel alle geslaagde of onderbroken Azure AD-gebeurtenissen voor deze periode voor federatieve en beheerde scenario's.

Gebeurtenis-id's bewaken en sorteren vanuit Azure AD

Lees hoe u de betekenis van foutenlogboeken kunt vinden.

De volgende gebeurtenis-id's van Azure AD zijn relevant:

  • 50057 - Gebruikersaccount is uitgeschakeld
  • 50055 - Wachtwoord verlopen
  • 50072 - Gebruiker gevraagd om MFA op te geven
  • 50074 - MFA vereist
  • 50079 : de gebruiker moet beveiligingsgegevens registreren
  • 53003 - Gebruiker geblokkeerd door voorwaardelijke toegang
  • 53004 - Kan MFA niet configureren vanwege verdachte activiteiten
  • 530032 - Geblokkeerd door voorwaardelijke toegang voor beveiligingsbeleid
  • Sign-In status Geslaagd, Mislukt, Interrupt

Gebeurtenis-id's uit Sentinel-playbook sorteren

U kunt alle gebeurtenis-id's ophalen uit het Sentinel Playbook dat beschikbaar is op GitHub.

Aanval isoleren en bevestigen

Isoleer de ADFS- en Azure AD-geslaagde en onderbroken aanmeldingsgebeurtenissen. Dit zijn uw interesserekeningen.

Blokkeer het IP-adres ADFS 2012R2 en hoger voor federatieve verificatie. Hier volgt een voorbeeld:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

ADFS-logboeken verzamelen

Verzamel meerdere gebeurtenis-id's binnen een tijdsbestek. Hier volgt een voorbeeld:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

ADFS-logboeken in Azure AD sorteren

Azure AD-Sign-In-rapporten bevatten ADFS-aanmeldingsactiviteit wanneer u Azure AD Connect Health gebruikt. Filter aanmeldingslogboeken op Token Issuer Type 'Federated'.

Hier volgt een voorbeeld van een PowerShell-opdracht voor het ophalen van aanmeldingslogboeken voor een specifiek IP-adres:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Zoek ook in Azure Portal naar een tijdsbestek, IP-adres en geslaagde en onderbroken aanmelding, zoals wordt weergegeven in deze afbeeldingen.

timeframe

Zoeken naar aanmeldingen binnen een bepaald tijdsbestek

ipaddress

Zoeken naar aanmeldingen op een specifiek IP-adres

status

Zoeken naar aanmeldingen op basis van de status

U kunt deze gegevens vervolgens downloaden als een.csv-bestand voor analyse. Zie aanmeldactiviteitenrapporten in de Azure Active Directory-portal voor meer informatie.

Resultaten prioriteren

Het is belangrijk om te kunnen reageren op de meest kritieke bedreiging. Dit kan zijn dat de aanvaller toegang heeft verkregen tot een account en daarom toegang heeft tot/exfiltratie van gegevens. De aanvaller heeft het wachtwoord, maar heeft mogelijk geen toegang tot het account, bijvoorbeeld het wachtwoord, maar de MFA-uitdaging wordt niet doorgegeven. De aanvaller kan ook niet op de juiste manier wachtwoorden raden, maar blijft proberen. Geef tijdens de analyse prioriteit aan deze bevindingen:

  • Geslaagde aanmeldingen door bekend IP-adres van aanvaller
  • Onderbroken aanmelding door bekend IP-adres van aanvaller
  • Mislukte aanmeldingen door bekend IP-adres van aanvaller
  • Andere onbekende IP-adressen geslaagde aanmeldingen

Verouderde verificatie controleren

De meeste aanvallen maken gebruik van verouderde verificatie. Er zijn een aantal manieren om het protocol van de aanval te bepalen.

  1. Navigeer in Azure AD naar Aanmeldingen en filter op client-app.

  2. Selecteer alle verouderde verificatieprotocollen die worden weergegeven.

    authenticationcheck

    Lijst met verouderde protocollen

  3. Of als u een Azure-werkruimte hebt, kunt u de vooraf gebouwde verouderde verificatiewerkmap in de Azure Active Directory-portal gebruiken onder Bewaking en Werkmappen.

    workbook

    Verouderde verificatiewerkmap

IP-adres Azure AD blokkeren voor beheerd scenario (PHS inclusief fasering)

  1. Navigeer naar Nieuwe benoemde locaties.

    Example of a new named location

  2. Maak alleen een CA-beleid om alle toepassingen te targeten en te blokkeren voor deze benoemde locatie.

Heeft de gebruiker dit besturingssysteem, IP, ISP, apparaat of browser eerder gebruikt?

Als de gebruiker deze niet eerder heeft gebruikt en deze activiteit ongebruikelijk is, markeert u de gebruiker en onderzoekt u al hun activiteiten.

Is het IP-adres gemarkeerd als riskant?

Zorg ervoor dat u geslaagde wachtwoorden opneemt, maar mislukte MFA-antwoorden (Multi-Factor Authentication), omdat deze activiteit aangeeft dat de aanvaller het wachtwoord krijgt, maar niet MFA doorgeeft.
Houd rekening met een account dat een normale aanmelding lijkt te zijn, bijvoorbeeld doorgegeven MFA, locatie en IP niet van het gewone.

MFA-rapportage

Het is belangrijk om ook MFA-logboeken te controleren omdat een aanvaller een wachtwoord kan hebben geraden, maar de MFA-prompt mislukt. In de Azure AD MFA-logboeken worden verificatiedetails weergegeven voor gebeurtenissen wanneer een gebruiker wordt gevraagd om meervoudige verificatie. Controleer en zorg ervoor dat er geen grote verdachte MFA-logboeken zijn in Azure AD. Zie voor meer informatie hoe u het aanmeldingsrapport gebruikt om Azure AD Multi-Factor Authentication-gebeurtenissen te bekijken.

Aanvullende controles

Onderzoek in Defender voor Cloud Apps activiteiten en bestandstoegang van het aangetaste account. Zie voor meer informatie:

Controleer of de gebruiker toegang heeft tot aanvullende resources, zoals virtuele machines (VM's), domeinaccountmachtigingen, opslag, onder andere.
Als er gegevens zijn geschonden, moet u aanvullende instanties, zoals de politie, informeren.

Onmiddellijke herstelacties

  1. Wijzig het wachtwoord van een account dat vermoedelijk is geschonden of als het accountwachtwoord is gedetecteerd. Daarnaast blokkeert u de gebruiker. Zorg ervoor dat u de richtlijnen voor het intrekken van toegang tot noodgevallen volgt.
  2. Markeer een account dat is aangetast als 'gecompromitteerd' in Azure Identity Protection.
  3. Het IP-adres van de aanvaller blokkeren. Wees voorzichtig bij het uitvoeren van deze actie omdat aanvallers legitieme VPN's kunnen gebruiken en dit kan meer risico creëren wanneer ze ook IP-adressen wijzigen. Als u cloudverificatie gebruikt, blokkeert u het IP-adres in Defender for Cloud Apps of Azure AD. Als federatief is, moet u het IP-adres blokkeren op firewallniveau vóór de ADFS-service.
  4. Verouderde verificatie blokkeren als deze wordt gebruikt (deze actie kan echter van invloed zijn op het bedrijf).
  5. Schakel MFA in als dit nog niet is gebeurd.
  6. Identity Protection inschakelen voor het gebruikersrisico en aanmeldingsrisico
  7. Controleer de gegevens die zijn aangetast (e-mailberichten, SharePoint, OneDrive, apps). Zie hoe u het activiteitsfilter gebruikt in Defender voor Cloud Apps.
  8. Wachtwoordcontroles onderhouden. Zie Azure AD-wachtwoordbeveiliging voor meer informatie.
  9. U kunt ook verwijzen naar ADFS Help.

Herstel

Wachtwoordbeveiliging

Implementeer wachtwoordbeveiliging in Azure AD en on-premises door de aangepaste lijsten met verboden wachtwoorden in te schakelen. Met deze configuratie kunnen gebruikers geen zwakke wachtwoorden of wachtwoorden instellen die zijn gekoppeld aan uw organisatie:

pwdprotection

Wachtwoordbeveiliging inschakelen

Zie voor meer informatie hoe u zich kunt beschermen tegen aanvallen met wachtwoordspray.

IP-adres taggen

Tag de IP-adressen in Defender for Cloud Apps om waarschuwingen te ontvangen met betrekking tot toekomstig gebruik:

Example of tagging an IP address

IP-adressen taggen

In Defender for Cloud Apps tagt u het IP-adres voor het IP-bereik en stelt u een waarschuwing in voor dit IP-bereik voor toekomstige naslaginformatie en versneld antwoord.

Example of setting up an IP address alert

Waarschuwingen instellen voor een specifiek IP-adres

Waarschuwingen configureren

Afhankelijk van de behoeften van uw organisatie kunt u waarschuwingen configureren.

Stel waarschuwingen in uw SIEM-hulpprogramma in en kijk naar het verbeteren van hiaten in logboekregistratie. Integreer ADFS-, Azure AD-, Office 365- en Defender for Cloud Apps-logboekregistratie.

Configureer de drempelwaarde en waarschuwingen in de ADFS Health Connect- en Riskante IP-portal.

Example of configuring threshold settings

Drempelwaarde-instellingen configureren

Example of configuring notifications

Meldingen configureren

Lees hoe u waarschuwingen configureert in de Identity Protection-portal.

Beleid voor aanmeldingsrisico's instellen met voorwaardelijke toegang of identiteitsbeveiliging

  • Eindgebruikers, belangrijke belanghebbenden, front line operations, technische teams, cyberbeveiligings- en communicatieteams informeren
  • Controleer de beveiliging en breng de benodigde wijzigingen aan om de beveiliging binnen uw organisatie te verbeteren of te versterken
  • Azure AD-configuratie-evaluatie voorstellen
  • Reguliere aanvalssimulatoroefeningen uitvoeren

Referenties

Vereisten

Oplossingen

Herstel

Aanvullende playbooks voor incidentrespons

Bekijk de richtlijnen voor het identificeren en onderzoeken van deze aanvullende typen aanvallen:

Resources voor incidentrespons