Badanie sprayu haseł

Ten artykuł zawiera wskazówki dotyczące identyfikowania i badania ataków sprayowych haseł w organizacji oraz podjęcia wymaganych działań naprawczych w celu ochrony informacji i zminimalizowania dalszych zagrożeń.

Ten artykuł zawiera następujące sekcje:

  • Wymagania wstępne: Obejmuje określone wymagania, które należy wykonać przed rozpoczęciem badania. Na przykład rejestrowanie, które powinno być włączone, role i uprawnienia wymagane, między innymi.
  • Przepływu pracy: Przedstawia przepływ logiczny, który należy wykonać, aby wykonać to badanie.
  • Lista kontrolna: Zawiera listę zadań dla każdego z kroków na wykresie przepływowym. Ta lista kontrolna może być przydatna w wysoce regulowanych środowiskach, aby sprawdzić, co zrobiono, lub po prostu jako bramę jakości dla siebie.
  • Kroki badania: Zawiera szczegółowe wskazówki krok po kroku dotyczące tego konkretnego badania.
  • Odzyskiwania: Zawiera ogólne instrukcje dotyczące odzyskiwania/ograniczania ryzyka ataku sprayowego haseł.
  • Odwołania: Zawiera dodatkowe materiały do czytania i materiałów referencyjnych.

Wymagania wstępne

Przed rozpoczęciem badania upewnij się, że skonfigurowano dzienniki i alerty oraz dodatkowe wymagania systemowe.

Aby monitorować usługę Azure AD, postępuj zgodnie z naszymi zaleceniami i wskazówkami w przewodniku dotyczącym funkcji SecOps usługi Azure AD.

Konfigurowanie rejestrowania usług ADFS

Rejestrowanie zdarzeń w usłudze ADFS 2016

Domyślnie usługi Microsoft Active Directory Federation Services (ADFS) w systemie Windows Server 2016 mają włączony podstawowy poziom inspekcji. W przypadku podstawowej inspekcji administratorzy mogą wyświetlać pięć lub mniej zdarzeń dla pojedynczego żądania. Ustaw rejestrowanie na najwyższy poziom i wyślij dzienniki usług AD FS (& zabezpieczeń) do rozwiązania SIEM w celu skorelowania z uwierzytelnianiem usługi AD, a także usługi Azure AD.

Aby wyświetlić bieżący poziom inspekcji, możesz użyć tego polecenia programu PowerShell:

Get-AdfsProperties

adfs

Ta tabela zawiera dostępne poziomy inspekcji.

Poziom inspekcji Składnia środowiska PowerShell Opis
Brak Set-AdfsProperties — AuditLevel — brak Inspekcja jest wyłączona i nie będą rejestrowane żadne zdarzenia
Podstawowy (domyślny) Set-AdfsProperties — AuditLevel — podstawowa Nie więcej niż 5 zdarzenia nie będą rejestrowane pojedynczego żądania
Pełny Set-AdfsProperties —AuditLevel — pełne informacje Wszystkie zdarzenia będą rejestrowane. Można rejestrować znacznej ilości informacji na żądanie.

Aby podnieść lub obniżyć poziom inspekcji, użyj następującego polecenia programu PowerShell:

Set-AdfsProperties -AuditLevel

Konfigurowanie rejestrowania zabezpieczeń usług ADFS 2012 R2/2016/2019

  1. Kliknij przycisk Start, przejdź do pozycji Programy > Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.

  2. Przejdź do folderu Ustawienia zabezpieczeń\Zasady lokalne\Zarządzanie prawami użytkownika , a następnie kliknij dwukrotnie pozycję Generuj inspekcje zabezpieczeń.

  3. Na karcie Ustawienia zabezpieczeń lokalnych sprawdź, czy na liście znajduje się konto usługi ADFS. Jeśli nie jest obecny, kliknij przycisk Dodaj użytkownika lub grupę i dodaj go do listy, a następnie kliknij przycisk OK.

  4. Aby włączyć inspekcję, otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom poniższe polecenie.

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Zamknij okno Zasady zabezpieczeń lokalnych.

  6. Następnie otwórz przystawkę Zarządzanie usługami ADFS, kliknij przycisk Start, przejdź do pozycji Programy Narzędzia > administracyjne, a następnie kliknij pozycję Zarządzanie usługami ADFS.

  7. W okienku Akcje kliknij pozycję Edytuj właściwości usługi federacyjnej.

  8. W oknie dialogowym Właściwości usługi federacyjnej kliknij kartę Zdarzenia .

  9. Zaznacz pola wyboru Inspekcje zakończone sukcesem i Inspekcje zakończone niepowodzeniem.

  10. Kliknij przycisk OK , aby zakończyć i zapisać konfigurację.

Instalowanie programu Azure AD Connect Health dla usług ADFS

Program Azure Active Directory (Azure AD) Connect Health dla agenta usług ADFS umożliwia lepszy wgląd w środowisko federacyjne. Udostępnia on kilka wstępnie skonfigurowanych pulpitów nawigacyjnych, takich jak użycie, monitorowanie wydajności, a także ryzykowne raporty ip.

Aby zainstalować program ADFS Connect Health, zapoznaj się z wymaganiami dotyczącymi korzystania z programu Azure AD Connect Health, a następnie zainstaluj agenta programu Azure ADFS Connect Health.

Konfigurowanie ryzykownych alertów IP przy użyciu skoroszytu raportów usługi ADFS Ryzykownych adresów IP

Po skonfigurowaniu programu Azure AD Connect Health dla usług ADFS należy monitorować i konfigurować alerty przy użyciu skoroszytu raportu ADFS Risky IP i usługi Azure Monitor. Korzyści wynikające z korzystania z tego raportu to:

  • Wykrywanie adresów IP, które przekraczają próg nieudanych logowań opartych na hasłach.
  • Obsługuje nieudane logowania z powodu nieprawidłowego hasła lub ze względu na stan blokady ekstranetu.
  • Obsługuje włączanie alertów za pośrednictwem alertów platformy Azure.
  • Dostosowywalne ustawienia progowe zgodne z zasadami zabezpieczeń organizacji.
  • Dostosowywalne zapytania i rozwinięte wizualizacje w celu dalszej analizy.
  • Rozszerzone funkcje z poprzedniego raportu ryzykownego adresu IP, który zostanie wycofany po 24 stycznia 2022 r.

Konfigurowanie alertów narzędzi SIEM w usłudze Microsoft Sentinel

Aby skonfigurować alerty narzędzi SIEM, zapoznaj się z samouczkiem dotyczącym braku alertów.

Integracja rozwiązania SIEM z usługą Microsoft Defender for Cloud Apps

Połącz narzędzie Security Information and Event Management (SIEM) z usługą Microsoft Defender for Cloud Apps, które obecnie obsługuje usługę Micro Focus ArcSight i ogólny format typowych zdarzeń (CEF).

Aby uzyskać więcej informacji, zobacz Ogólna integracja rozwiązania SIEM.

Integracja rozwiązania SIEM z interfejsem API programu Graph

Rozwiązanie SIEM można połączyć z interfejsem API zabezpieczeń programu Microsoft Graph przy użyciu dowolnej z następujących opcji:

  • Bezpośrednio przy użyciu obsługiwanych opcji integracji — zapoznaj się z listą obsługiwanych opcji integracji , takich jak pisanie kodu, aby bezpośrednio połączyć aplikację, aby uzyskać szczegółowe informacje. Skorzystaj z przykładów, aby rozpocząć pracę.
  • Skorzystaj z natywnych integracji i łączników utworzonych przez partnerów firmy Microsoft — zapoznaj się z rozwiązaniami partnerskimi interfejsu API zabezpieczeń programu Microsoft Graph, aby korzystać z tych integracji.
  • Użyj łączników utworzonych przez firmę Microsoft — zapoznaj się z listą łączników, których można użyć do nawiązywania połączenia z interfejsem API za pomocą różnych rozwiązań dotyczących zdarzeń zabezpieczeń i zarządzania zdarzeniami (SIEM), reagowania na zabezpieczenia i orkiestracji (SOAR), śledzenia zdarzeń i zarządzania usługami (ITSM), raportowania itd.

Aby uzyskać więcej informacji, zobacz Integracje rozwiązań zabezpieczeń przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph.

Korzystanie z narzędzia Splunk

Możesz również użyć platformy Splunk do skonfigurowania alertów.

Przepływ pracy

Password spray investigation workflow

Możesz również wykonać następujące czynności:

  • Pobierz spray haseł i inne przepływy pracy podręcznika reagowania na zdarzenia jako plik PDF.
  • Pobierz spray haseł i inne przepływy pracy podręcznika reagowania na zdarzenia jako plik programu Visio.

Lista kontrolna

Wyzwalacze badania

  • Odebrano wyzwalacz z rozwiązania SIEM, dzienników zapory lub usługi Azure AD
  • Funkcja sprayu haseł usługi Azure AD Identity Protection lub ryzykowny adres IP
  • Duża liczba nieudanych logowania (identyfikator zdarzenia 411)
  • Skok w programie Azure AD Connect Health dla usług ADFS
  • Inny incydent zabezpieczeń (na przykład wyłudzanie informacji)
  • Niewyjaśnione działanie, takie jak logowanie z nieznanej lokalizacji lub użytkownik otrzymuje nieoczekiwane monity uwierzytelniania wieloskładnikowego

Badanie

  • Co jest alertowane?
  • Czy można potwierdzić, że jest to spray haseł?
  • Określanie osi czasu ataku.
  • Ustal adresy IP ataku.
  • Filtruj pomyślne logowania w tym okresie i adres IP, w tym pomyślne hasło, ale nie powiodło się uwierzytelnianie wieloskładnikowe
  • Sprawdzanie raportowania uwierzytelniania wieloskładnikowego
  • Czy na koncie jest coś zwykłego, takiego jak nowe urządzenie, nowy system operacyjny, używany nowy adres IP? Użyj usługi Defender for Cloud Apps lub Azure Information Protection, aby wykryć podejrzane działania.
  • Informowanie władz lokalnych/osób trzecich o pomoc.
  • Jeśli podejrzewasz naruszenie zabezpieczeń, sprawdź eksfiltrację danych.
  • Sprawdź skojarzone konto pod kątem podejrzanego zachowania i poszukaj korelacji z innymi możliwymi kontami i usługami, a także innymi złośliwymi adresami IP.
  • Sprawdź konta osób pracujących w tym samym biurze/delegowanym dostępie — higiena haseł (upewnij się, że nie używają tego samego hasła co konto, którego bezpieczeństwo dotyczy)
  • Uruchamianie pomocy usług ADFS

Środki zaradcze

Zapoznaj się z sekcją Dokumentacja, aby uzyskać wskazówki dotyczące włączania funkcji.

Odzyskiwania

Możesz również pobrać spray haseł i inne listy kontrolne podręcznika incydentu jako plik programu Excel.

Kroki badania

Reagowanie na zdarzenia sprayu haseł

Zanim przejdziemy do badania, zapoznajmy się z kilkoma technikami ataku w sprayu haseł.

Naruszenie hasła: Osoba atakująca pomyślnie odgadnęła hasło użytkownika, ale nie była w stanie uzyskać dostępu do konta z powodu innych mechanizmów kontroli, takich jak uwierzytelnianie wieloskładnikowe (MFA).

Naruszenie konta: Osoba atakująca pomyślnie odgadnęła hasło użytkownika i pomyślnie uzyskała dostęp do konta.

Odnajdywanie środowiska

Identyfikowanie typu uwierzytelniania

Pierwszym krokiem jest sprawdzenie, jaki typ uwierzytelniania jest używany dla badanej domeny dzierżawy/zweryfikowanej.

Aby uzyskać stan uwierzytelniania dla określonej nazwy domeny, użyj polecenia Get-MsolDomain programu PowerShell. Oto przykład:

Connect-MsolService
Get-MsolDomain -DomainName "contoso.com"

Czy uwierzytelnianie jest federacyjne, czy zarządzane?

Jeśli uwierzytelnianie jest federacyjne, pomyślne logowania będą przechowywane w usłudze Azure AD. Nieudane logowania będą znajdować się u dostawcy tożsamości (IDP). Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z usługami ADFS i rejestrowanie zdarzeń.

Jeśli typ uwierzytelniania jest zarządzany (tylko chmura, synchronizacja skrótów haseł (PHS) lub uwierzytelnianie przekazywane (PTA), pomyślne i nieudane logowania będą przechowywane w dziennikach logowania usługi Azure AD.

Uwaga

Funkcja wprowadzania etapowego umożliwia federacyjną nazwę domeny dzierżawy, ale zarządzanie określonymi użytkownikami. Ustal, czy użytkownicy są członkami tej grupy.

Czy program Azure AD Connect Health jest włączony dla usług ADFS?

Czy zaawansowane rejestrowanie jest włączone w usługach ADFS?

Czy dzienniki są przechowywane w rozwiązaniu SIEM?

Aby sprawdzić, czy przechowujesz i korelujesz dzienniki w rozwiązaniu SIEM (Security Information and Event Management) lub w innym systemie, sprawdź następujące kwestie:

  • Log Analytics — wstępnie utworzone zapytania
  • Sentinel — wstępnie utworzone zapytania
  • Splunk — wstępnie utworzone zapytania
  • Dzienniki zapory
  • Rejestrowanie dostępu użytkowników, jeśli > 30 dni

Informacje o raportowaniu usługi Azure AD i uwierzytelniania wieloskładnikowego

Ważne jest, aby zrozumieć dzienniki, które widzisz, aby móc określić naruszenie zabezpieczeń. Poniżej przedstawiono nasze krótkie przewodniki ułatwiające zrozumienie Sign-Ins usługi Azure AD i raportowania uwierzytelniania wieloskładnikowego. Zapoznaj się z następującymi artykułami:

Wyzwalacze zdarzeń

Wyzwalacz zdarzenia to zdarzenie lub szereg zdarzeń, które powodują wyzwolenie wstępnie zdefiniowanego alertu. Na przykład liczba nieudanych prób hasła przekroczyła wstępnie zdefiniowany próg. Poniżej przedstawiono dalsze przykłady wyzwalaczy, które mogą być powiadamiane w przypadku ataków rozpytujących hasła i gdzie są wyświetlane te alerty. Wyzwalacze zdarzeń obejmują:

  • Użytkownicy

  • Adres IP

  • Ciągi agenta użytkownika

  • Data/godzina

  • Anomalii

  • Nieudane próby hasła

    pwdattemptsWykres przedstawiający liczbę nieudanych prób hasła

Nietypowe skoki aktywności są kluczowymi wskaźnikami za pośrednictwem programu Azure AD Health Connect (przy założeniu, że jest to zainstalowane). Inne wskaźniki to:

  • Alerty za pośrednictwem rozwiązania SIEM pokazują wzrost podczas sortowania dzienników.
  • Większy niż normalny rozmiar dziennika dla logów usług AD FS nie powiodło się (może to być alert w narzędziu SIEM).
  • Zwiększona liczba identyfikatorów zdarzeń 342/411 — nazwa użytkownika lub hasło jest niepoprawne. Lub 516 dla blokady ekstranetu.
  • Osiągnięcie progu żądania uwierzytelnienia nie powiodło się — ryzykowny adres IP w usłudze Azure AD lub alert narzędzia SIEM/zarówno błędy 342, jak i 411 (aby móc wyświetlić te informacje, należy włączyć zaawansowane rejestrowanie).

Ryzykowny adres IP w portalu programu Azure AD Health Connect

Ryzykowny adres IP będzie otrzymywać alerty w przypadku osiągnięcia dostosowanego progu dla nieprawidłowych haseł w ciągu godziny i nieprawidłowej liczby haseł w ciągu dnia, a także blokad ekstranetu.

Example of risky IP report data

Ryzykowne dane raportu ip

Szczegóły nieudanych prób są dostępne na kartach Adres IP i blokady ekstranetu.

ipaddresstable

Adres IP i blokady ekstranetu w raporcie ryzykownych adresów IP

Wykrywanie sprayu haseł w usłudze Azure Identity Protection

Azure Identity Protection to funkcja usługi Azure AD — wersja Premium P2, która ma alert dotyczący ryzyka wykrywania hasła i funkcję wyszukiwania, której można użyć do uzyskania dodatkowych informacji lub skonfigurowania automatycznego korygowania.

Example of password spray attack

Szczegóły ataku sprayu haseł

Wskaźniki niskiego i powolnego ataku

Wskaźniki niskich i powolnych ataków to te, w których progi blokady konta lub nieprawidłowe hasła nie są osiągane. Te wskaźniki można wykryć za pomocą następujących funkcji:

  • Błędy w kolejności gal
  • Błędy z powtarzającymi się atrybutami (UA, identyfikator aplikacji docelowej, blok/lokalizacja adresu IP)
  • Chronometraż — zautomatyzowane spraye mają zwykle bardziej regularny interwał czasu między próbami.

Badanie i środki zaradcze

Uwaga

Badanie i środki zaradcze można wykonywać jednocześnie podczas długotrwałych/trwających ataków.

  1. Włącz zaawansowane rejestrowanie w usłudze ADFS, jeśli nie jest jeszcze włączone.

  2. Określ datę i godzinę rozpoczęcia ataku.

  3. Ustal adres IP osoby atakującej (może to być wiele źródeł i wielu adresów IP) z zapory, usług ADFS, SIEM lub Azure AD.

  4. Po potwierdzeniu sprayu haseł może być konieczne informowanie lokalnych agencji (między innymi policji, osób trzecich).

  5. Sortowanie i monitorowanie następujących identyfikatorów zdarzeń dla usług AD FS:

    ADFS 2012 R2

    • Zdarzenie inspekcji 403 — agent użytkownika wysyłający żądanie
    • Zdarzenie inspekcji 411 — nieudane żądania uwierzytelniania
    • Zdarzenie inspekcji 516 — blokada ekstranetu
    • Zdarzenie inspekcji 342 — nieudane żądania uwierzytelniania
    • Zdarzenie inspekcji 412 — pomyślne zalogowanie
  6. Aby zebrać zdarzenie inspekcji 411 — nieudane żądania uwierzytelniania, użyj następującego skryptu:

    PARAM ($PastDays = 1, $PastHours) 
    #************************************************ 
    #ADFSBadCredsSearch.ps1 
    #Version 1.0 
    #Date: 6-20-2016 
    #Author: Tim Springston [MSFT] 
    #Description: This script will parse the ADFS server's (not proxy) security ADFS 
    #for events which indicate an incorrectly entered username or password. The script can specify a 
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for  
    #review of UPN, IP address of submitter, and timestamp.  
    #************************************************ 
    cls 
    if ($PastHours -gt 0) 
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))} 
    else 
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))    } 
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv" 
    $CS = get-wmiobject -class win32_computersystem 
    $Hostname = $CS.Name + '.' + $CS.Domain 
    $Instances = @{} 
    $OSVersion = gwmi win32_operatingsystem 
    [int]$BN = $OSVersion.Buildnumber  
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"} 
    else {$ADFSLogName = "AD FS/Admin"} 
    $Users = @() 
    $IPAddresses = @() 
    $Times = @() 
    $AllInstances = @() 
    Write-Host "Searching event log for bad credential events..." 
    if ($BN -ge 9200) {Get-Winevent  -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} |  % { 
    $Instance = New-Object PSObject 
    $UPN = $_.Properties[2].Value 
    $UPN = $UPN.Split("-")[0] 
    $IPAddress = $_.Properties[4].Value 
    $Users += $UPN 
    $IPAddresses += $IPAddress 
    $Times += $_.TimeCreated 
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN 
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress 
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString() 
    $AllInstances += $Instance 
    $Instance = $null 
    } 
    } 
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation  
    Write-Host "Data collection finished. The output file can be found at >$outputfile`." 
    $AllInstances = $null
    

ADFS 2016/2019

Wraz z powyższymi identyfikatorami zdarzeń posuń zdarzenie inspekcji 1203 — świeży błąd weryfikacji poświadczeń.

  1. Posuń wszystkie pomyślne logowania dla tej pory w usługach ADFS (jeśli są federacyjne). Szybkie logowanie i wylogowywanie (w tej samej sekundzie) może być wskaźnikiem pomyślnego odgadnięcia hasła i próby przez osobę atakującą.
  2. Sortowanie wszystkich zdarzeń zakończonych powodzeniem lub przerwanymi w usłudze Azure AD dla tego okresu zarówno w scenariuszach federacyjnych, jak i zarządzanych.

Monitorowanie i sortowanie identyfikatorów zdarzeń z usługi Azure AD

Zobacz, jak znaleźć znaczenie dzienników błędów.

Istotne są następujące identyfikatory zdarzeń z usługi Azure AD:

  • 50057 — Konto użytkownika zostało wyłączone
  • 50055 — Hasło wygasło
  • 50072 — użytkownik monitowany o podanie uwierzytelniania wieloskładnikowego
  • 50074 — wymagane uwierzytelnianie wieloskładnikowe
  • 50079 — użytkownik musi zarejestrować informacje zabezpieczające
  • 53003 — Użytkownik zablokowany przez dostęp warunkowy
  • 53004 — Nie można skonfigurować uwierzytelniania wieloskładnikowego z powodu podejrzanych działań
  • 530032 — zablokowane przez dostęp warunkowy w zasadach zabezpieczeń
  • Sign-In stan Powodzenie, Niepowodzenie, Przerwanie

Sortowanie identyfikatorów zdarzeń z podręcznika usługi Sentinel

Wszystkie identyfikatory zdarzeń można pobrać z podręcznika usługi Sentinel dostępnego w usłudze GitHub.

Izolowanie i potwierdzanie ataku

Izolowanie zdarzeń logowania usług ADFS i Azure AD zakończyło się powodzeniem i przerwanym logowaniem. Są to Twoje interesujące konta.

Blokuj adres IP ADFS 2012R2 lub nowszy na potrzeby uwierzytelniania federacyjnego. Oto przykład:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Zbieranie dzienników usług AD FS

Zbierz wiele identyfikatorów zdarzeń w danym przedziale czasu. Oto przykład:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Sortowanie dzienników usług AD FS w usłudze Azure AD

Raporty usługi Azure AD Sign-In obejmują aktywność logowania usługi ADFS podczas korzystania z programu Azure AD Connect Health. Filtruj dzienniki logowania według typu wystawcy tokenu "Federated".

Oto przykładowe polecenie programu PowerShell służące do pobierania dzienników logowania dla określonego adresu IP:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Ponadto przeszukaj witrynę Azure Portal pod kątem przedziału czasu, adresu IP oraz pomyślnego i przerwanego logowania, jak pokazano na tych obrazach.

timeframe

Wyszukiwanie logów w określonym przedziale czasu

ipaddress

Wyszukiwanie logów na określonym adresie IP

status

Wyszukiwanie logów na podstawie stanu

Następnie możesz pobrać te dane jako plik .csv do analizy. Aby uzyskać więcej informacji, zobacz Raporty aktywności logowania w portalu usługi Azure Active Directory.

Określanie priorytetów wyników

Ważne jest, aby móc reagować na najbardziej krytyczne zagrożenie. Może to być osoba atakująca pomyślnie uzyskała dostęp do konta i w związku z tym może uzyskiwać dostęp do danych/eksfiltrować je. Osoba atakująca ma hasło, ale może nie mieć dostępu do konta, na przykład ma hasło, ale nie przekazuje wyzwania uwierzytelniania wieloskładnikowego. Ponadto osoba atakująca nie może poprawnie odgadywać haseł, ale nadal próbuje. Podczas analizy określ priorytety tych wyników:

  • Pomyślne logowania według znanego adresu IP osoby atakującej
  • Przerwane logowanie przez znany adres IP osoby atakującej
  • Nieudane logowania według znanego adresu IP osoby atakującej
  • Inne nieznane logowania zakończone powodzeniem

Sprawdzanie starszego uwierzytelniania

Większość ataków używa starszego uwierzytelniania. Istnieje wiele sposobów określania protokołu ataku.

  1. W usłudze Azure AD przejdź do pozycji Logowania i filtruj w aplikacji klienckiej.

  2. Wybierz wszystkie starsze protokoły uwierzytelniania, które są wymienione.

    authenticationcheck

    Lista starszych protokołów

  3. Jeśli masz obszar roboczy platformy Azure, możesz użyć wstępnie utworzonego starszego skoroszytu uwierzytelniania znajdującego się w portalu usługi Azure Active Directory w obszarze Monitorowanie i skoroszyty.

    workbook

    Starszy skoroszyt uwierzytelniania

Blokuj adres IP usługi Azure AD na potrzeby scenariusza zarządzanego (PHS, w tym przejściowe)

  1. Przejdź do obszaru Nowe nazwane lokalizacje.

    Example of a new named location

  2. Utwórz zasady urzędu certyfikacji, aby kierować wszystkie aplikacje i blokować tylko dla tej nazwanej lokalizacji.

Czy użytkownik wcześniej używał tego systemu operacyjnego, adresu IP, usługodawcy zewnętrznego, urządzenia lub przeglądarki?

Jeśli użytkownik nie użył ich wcześniej i to działanie jest nietypowe, oznacz użytkownika i zbadaj wszystkie swoje działania.

Czy adres IP jest oznaczony jako "ryzykowny"?

Upewnij się, że zarejestrowano pomyślne hasła, ale nie powiodło się odpowiedzi uwierzytelniania wieloskładnikowego (MFA), ponieważ to działanie wskazuje, że osoba atakująca otrzymuje hasło, ale nie przekazuje uwierzytelniania wieloskładnikowego.
Odłóż dowolne konto, które wydaje się być normalnym logowaniem, na przykład przekazano uwierzytelnianie wieloskładnikowe, lokalizację i adres IP, a nie zwykły adres IP.

Raportowanie uwierzytelniania wieloskładnikowego

Ważne jest również sprawdzenie dzienników uwierzytelniania wieloskładnikowego, ponieważ osoba atakująca mogła pomyślnie odgadnąć hasło, ale monit o uwierzytelnianie wieloskładnikowe kończy się niepowodzeniem. Dzienniki usługi Azure AD MFA zawierają szczegóły uwierzytelniania dla zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe. Sprawdź i upewnij się, że w usłudze Azure AD nie ma żadnych dużych podejrzanych dzienników uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz , jak używać raportu logowania do przeglądania zdarzeń usługi Azure AD Multi-Factor Authentication.

Dodatkowe kontrole

W usłudze Defender for Cloud Apps zbadaj działania i dostęp do plików konta, z których naruszono zabezpieczenia. Aby uzyskać więcej informacji, zobacz:

Sprawdź, czy użytkownik ma dostęp do dodatkowych zasobów, takich jak maszyny wirtualne, uprawnienia konta domeny, magazyn, między innymi.
Jeśli dane zostały naruszone, należy poinformować dodatkowe agencje, takie jak policja.

Natychmiastowe akcje naprawcze

  1. Zmień hasło dowolnego konta, które podejrzewa się, że zostało naruszone lub jeśli hasło konta zostało wykryte. Ponadto zablokuj użytkownika. Upewnij się, że postępujesz zgodnie z wytycznymi dotyczącymi odwołwania dostępu awaryjnego.
  2. Oznacz dowolne konto, które zostało naruszone jako "naruszone" w usłudze Azure Identity Protection.
  3. Blokuj adres IP osoby atakującej. Należy zachować ostrożność podczas wykonywania tej akcji, ponieważ osoby atakujące mogą korzystać z legalnych sieci VPN i może to spowodować większe ryzyko, ponieważ również zmieniają adresy IP. Jeśli używasz uwierzytelniania w chmurze, zablokuj adres IP w usłudze Defender for Cloud Apps lub Azure AD. W przypadku federacji należy zablokować adres IP na poziomie zapory przed usługą ADFS.
  4. Blokuj starsze uwierzytelnianie, jeśli jest używane (ta akcja może jednak mieć wpływ na firmę).
  5. Włącz uwierzytelnianie wieloskładnikowe , jeśli nie zostało to jeszcze zrobione.
  6. Włączanie usługi Identity Protection dla ryzyka związanego z użytkownikiem i ryzyka związanego z logowaniem
  7. Sprawdź dane, które zostały naruszone (wiadomości e-mail, SharePoint, OneDrive, aplikacje). Zobacz, jak używać filtru działań w usłudze Defender for Cloud Apps.
  8. Zachowaj higienę haseł. Aby uzyskać więcej informacji, zobacz Ochrona haseł w usłudze Azure AD.
  9. Możesz również zapoznać się z pomocą usługi ADFS.

Odzyskiwania

Ochrona hasłem

Zaimplementuj ochronę haseł w usłudze Azure AD i lokalnie, włączając listy haseł z zakazem niestandardowym. Ta konfiguracja uniemożliwi użytkownikom ustawianie słabych haseł lub haseł skojarzonych z organizacją:

pwdprotection

Włączanie ochrony haseł

Aby uzyskać więcej informacji, zobacz , jak bronić się przed atakami sprayowymi haseł.

Tagowanie adresu IP

Oznacz adresy IP w usłudze Defender for Cloud Apps, aby otrzymywać alerty związane z przyszłym użyciem:

Example of tagging an IP address

Tagowanie adresów IP

W usłudze Defender for Cloud Apps "tag" adres IP dla zakresu adresów IP i skonfiguruj alert dla tego zakresu adresów IP w celu uzyskania przyszłej dokumentacji i przyspieszonej odpowiedzi.

Example of setting up an IP address alert

Ustawianie alertów dla określonego adresu IP

Konfigurowanie alertów

W zależności od potrzeb organizacji można skonfigurować alerty.

Skonfiguruj alerty w narzędziu SIEM i przyjrzyj się poprawie luk w rejestrowaniu. Integrowanie rejestrowania usług ADFS, Azure AD, Office 365 i Defender for Cloud Apps.

Skonfiguruj próg i alerty w portalu ADFS Health Connect i ryzykownym adresie IP.

Example of configuring threshold settings

Konfigurowanie ustawień progowych

Example of configuring notifications

Skonfigurowanie powiadomień

Zobacz, jak skonfigurować alerty w portalu usługi Identity Protection.

Konfigurowanie zasad ryzyka związanego z logowaniem przy użyciu dostępu warunkowego lub usługi Identity Protection

  • Edukuj użytkowników końcowych, kluczowych uczestników projektu, operacji frontonu, zespołów technicznych, zespołów ds. zabezpieczeń cybernetycznych i komunikacji
  • Przejrzyj kontrolę zabezpieczeń i wprowadź niezbędne zmiany w celu poprawy lub wzmocnienia kontroli zabezpieczeń w organizacji
  • Sugerowanie oceny konfiguracji usługi Azure AD
  • Uruchamianie regularnych ćwiczeń symulatora ataków

Odwołania

Wymagania wstępne

Środki zaradcze

Odzyskiwania

Dodatkowe podręczniki reagowania na zdarzenia

Zapoznaj się ze wskazówkami dotyczącymi identyfikowania i badania tych dodatkowych typów ataków:

Zasoby reagowania na zdarzenia