Undersökning av lösenordsspray

Den här artikeln innehåller vägledning om hur du identifierar och undersöker lösenordssprayattacker i din organisation och vidtar nödvändiga åtgärder för att skydda information och minimera ytterligare risker.

Den här artikeln innehåller följande avsnitt:

  • Förutsättningar: Omfattar de specifika krav som du behöver uppfylla innan du påbörjar undersökningen. Till exempel loggning som ska aktiveras, roller och behörigheter som krävs, bland annat.
  • Arbetsflöde: Visar det logiska flöde som du bör följa för att utföra den här undersökningen.
  • Checklista: Innehåller en lista över uppgifter för vart och ett av stegen i flödesdiagrammet. Den här checklistan kan vara till hjälp i strikt reglerade miljöer för att verifiera vad du har gjort eller helt enkelt som en kvalitetsgrind för dig själv.
  • Undersökningssteg: Innehåller en detaljerad stegvis vägledning för den här specifika undersökningen.
  • Återhämtning: Innehåller övergripande steg för hur du återställer/åtgärdar från en lösenordssprayattack.
  • Referenser: Innehåller ytterligare läs- och referensmaterial.

Förutsättningar

Innan du påbörjar undersökningen kontrollerar du att du har slutfört konfigurationen för loggar och aviseringar och ytterligare systemkrav.

För Azure AD-övervakning följer du våra rekommendationer och riktlinjer i vår Azure AD SecOps-guide.

Konfigurera ADFS-loggning

Händelseloggning på ADFS 2016

Som standard har Microsoft Active Directory Federation Services (ADFS) i Windows Server 2016 en grundläggande granskningsnivå aktiverad. Med grundläggande granskning kan administratörer se fem eller färre händelser för en enda begäran. Ange loggning till den högsta nivån och skicka AD FS-loggarna (& säkerhet) till en SIEM för att korrelera med AD-autentisering samt Azure AD.

Om du vill visa den aktuella granskningsnivån kan du använda det här PowerShell-kommandot:

Get-AdfsProperties

adfs

Den här tabellen innehåller de granskningsnivåer som är tillgängliga.

Granskningsnivå PowerShell-syntax Beskrivning
Ingen Set-AdfsProperties -AuditLevel – Ingen Granskning är inaktiverat och inga händelser loggas
Basic (standard) Set-AdfsProperties -AuditLevel – Basic Mer än 5 händelser loggas för en enskild begäran
Verbose Set-AdfsProperties -AuditLevel – utförlig Alla händelser loggas. Detta kommer att logga mycket information per begäran.

Om du vill höja eller sänka granskningsnivån använder du det här PowerShell-kommandot:

Set-AdfsProperties -AuditLevel

Konfigurera säkerhetsloggning för ADFS 2012 R2/2016/2019

  1. Klicka på Start, gå till Program > Administrativa verktyg och klicka sedan på Lokal säkerhetsprincip.

  2. Gå till mappen Säkerhetsinställningar\Lokala principer\User Rights Management och dubbelklicka sedan på Generera säkerhetsgranskningar.

  3. På fliken Lokal säkerhetsinställning kontrollerar du att ADFS-tjänstkontot visas. Om den inte finns klickar du på Lägg till användare eller grupp och lägger till den i listan och klickar sedan på OK.

  4. Öppna en kommandotolk med förhöjd behörighet och kör följande kommando för att aktivera granskning:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Stäng Lokal säkerhetsprincip.

  6. Öppna sedan snapin-modulen ADFS-hantering, klicka på Start, gå till Administrationsverktyg för program >och klicka sedan på ADFS-hantering.

  7. Klicka på Redigera egenskaper för Federation Service i fönstret Åtgärder.

  8. I dialogrutan Egenskaper för federationstjänst klickar du på fliken Händelser .

  9. Markera kryssrutorna Lyckade granskningar och Misslyckade granskningar.

  10. Klicka på OK för att slutföra och spara konfigurationen.

Installera Azure AD Connect Health för ADFS

Med Azure Active Directory (Azure AD) Connect Health för ADFS-agenten kan du få bättre insyn i federationsmiljön. Det ger dig flera förkonfigurerade instrumentpaneler som användning, prestandaövervakning och riskfyllda IP-rapporter.

Om du vill installera ADFS Connect Health går du igenom kraven för att använda Azure AD Connect Health och installerar sedan Azure ADFS Connect Health-agenten.

Konfigurera riskfyllda IP-aviseringar med arbetsboken för riskfyllda IP-rapporter i ADFS

När Azure AD Connect Health för ADFS har konfigurerats bör du övervaka och konfigurera aviseringar med hjälp av ADFS Risky IP-rapportarbetsboken och Azure Monitor. Fördelarna med att använda den här rapporten är:

  • Identifiering av IP-adresser som överskrider ett tröskelvärde för misslyckade lösenordsbaserade inloggningar.
  • Stöder misslyckade inloggningar på grund av felaktigt lösenord eller på grund av extranätsutelåsning.
  • Stöder aktivering av aviseringar via Azure-aviseringar.
  • Anpassningsbara tröskelinställningar som matchar en organisations säkerhetsprincip.
  • Anpassningsbara frågor och utökade visualiseringar för ytterligare analys.
  • Utökade funktioner från den tidigare riskfyllda IP-rapporten, som kommer att bli inaktuella efter den 24 januari 2022.

Konfigurera SIEM-verktygsaviseringar på Microsoft Sentinel

Om du vill konfigurera SIEM-verktygsaviseringar går du igenom självstudien om aviseringar direkt.

SIEM-integrering i Microsoft Defender för Cloud Apps

Anslut verktyget Säkerhetsinformation och händelsehantering (SIEM) till Microsoft Defender for Cloud Apps, som för närvarande stöder Micro Focus ArcSight och allmänt gemensamt händelseformat (CEF).

Mer information finns i Allmän SIEM-integrering.

SIEM-integrering med Graph API

Du kan ansluta SIEM med Microsoft Graph Security API med något av följande alternativ:

  • Direkt med hjälp av de integreringsalternativ som stöds – Se listan över integreringsalternativ som stöds, till exempel skriva kod för att ansluta ditt program direkt för att härleda omfattande insikter. Använd exempel för att komma igång.
  • Använd inbyggda integreringar och anslutningsappar som skapats av Microsoft-partner – Se Microsoft Graph Security API-partnerlösningar för att använda dessa integreringar.
  • Använd anslutningsappar som skapats av Microsoft – Se listan över anslutningsappar som du kan använda för att ansluta till API:et via en mängd olika lösningar för säkerhetsincidenter och händelsehantering (SIEM), säkerhetssvar och orkestrering (SOAR), incidentspårning och tjänsthantering (ITSM), rapportering och så vidare.

Mer information finns i integreringar av säkerhetslösningar med hjälp av Microsoft Graph Security API.

Använda Splunk

Du kan också använda Splunk-plattformen för att konfigurera aviseringar.

Arbetsflöde

Password spray investigation workflow

Du kan även:

  • Ladda ned arbetsflöden för lösenordsspray och andra incidenthanteringsspelböcker som PDF.
  • Ladda ned lösenordssprayen och andra arbetsflöden för incidenthanteringsspelbok som en Visio-fil.

Checklista

Undersökningsutlösare

  • Tog emot en utlösare från SIEM, brandväggsloggar eller Azure AD
  • Azure AD Identity Protection Password Spray-funktion eller riskfylld IP-adress
  • Stort antal misslyckade inloggningar (händelse-ID 411)
  • Topp i Azure AD Connect Health för ADFS
  • En annan säkerhetsincident (till exempel nätfiske)
  • Oförklarlig aktivitet, till exempel en inloggning från okänd plats eller en användare som får oväntade MFA-frågor

Undersökning

  • Vad aviseras?
  • Kan du bekräfta att det här är en lösenordsspray?
  • Fastställa tidslinjen för attacken.
  • Fastställa IP-adresserna för attacken.
  • Filtrera på lyckade inloggningar för den här tidsperioden och IP-adressen, inklusive lyckat lösenord men misslyckad MFA
  • Kontrollera MFA-rapportering
  • Finns det något utöver det vanliga på kontot, till exempel ny enhet, nytt operativsystem, ny IP-adress som används? Använd Defender för Cloud Apps eller Azure Information Protection för att identifiera misstänkt aktivitet.
  • Informera lokala myndigheter/tredje parter om hjälp.
  • Om du misstänker en kompromettering söker du efter dataexfiltrering.
  • Kontrollera det associerade kontot för misstänkt beteende och se till att korrelera med andra möjliga konton och tjänster samt andra skadliga IP-adresser.
  • Kontrollera konton för alla som arbetar på samma kontor/delegerad åtkomst – lösenordshygien (se till att de inte använder samma lösenord som det komprometterade kontot)
  • Kör ADFS-hjälp

Åtgärder

I avsnittet Referenser finns vägledning om hur du aktiverar funktioner.

Återställning

Du kan också ladda ned lösenordssprayen och andra checklistor för incidentspelböcker som en Excel-fil.

Undersökningssteg

Svar på lösenordssprayincidenter

Låt oss förstå några tekniker för lösenordssprayattacker innan vi fortsätter med undersökningen.

Lösenordskompromiss: En angripare har gissat användarens lösenord men har inte kunnat komma åt kontot på grund av andra kontroller, till exempel multifaktorautentisering (MFA).

Kontokompromiss: En angripare har gissat användarens lösenord och har fått åtkomst till kontot.

Miljöidentifiering

Identifiera autentiseringstyp

Som det allra första steget måste du kontrollera vilken autentiseringstyp som används för en klientorganisation/verifierad domän som du undersöker.

Om du vill hämta autentiseringsstatus för ett specifikt domännamn använder du kommandot Get-MsolDomain PowerShell. Här är ett exempel:

Connect-MsolService
Get-MsolDomain -DomainName "contoso.com"

Är autentiseringen federerad eller hanterad?

Om autentiseringen är federerad lagras lyckade inloggningar i Azure AD. De misslyckade inloggningarna finns i identitetsprovidern (IDP). Mer information finns i ADFS-felsökning och händelseloggning.

Om autentiseringstypen hanteras (endast moln, synkronisering av lösenordshash (PHS) eller direktautentisering (PTA)) lagras lyckade och misslyckade inloggningar i Azure AD-inloggningsloggarna.

Anteckning

Med funktionen Stegvis distribution kan klientorganisationsdomännamnet federeras men specifika användare kan hanteras. Kontrollera om några användare är medlemmar i den här gruppen.

Är Azure AD Connect Health aktiverat för ADFS?

Är avancerad loggning aktiverad i ADFS?

Lagras loggarna i SIEM?

Kontrollera om du lagrar och korrelerar loggar i en SIEM (Security Information and Event Management) eller i något annat system genom att kontrollera följande:

  • Log Analytics – färdiga frågor
  • Sentinel – fördefinierade frågor
  • Splunk – fördefinierade frågor
  • Brandväggsloggar
  • UAL om > 30 dagar

Förstå Azure AD- och MFA-rapportering

Det är viktigt att du förstår loggarna som du ser för att kunna fastställa en kompromiss. Nedan visas våra snabbguider för att förstå Azure AD-Sign-Ins och MFA-rapportering för att hjälpa till med detta. Läs följande artiklar:

Incidentutlösare

En incidentutlösare är en händelse eller en serie händelser som gör att fördefinierade aviseringar utlöses. Ett exempel på detta är att antalet misslyckade lösenordsförsök har överskridit det fördefinierade tröskelvärdet. Nedan visas ytterligare exempel på utlösare som kan aviseras vid lösenordssprayattacker och var dessa aviseringar visas. Incidentutlösare är:

  • Användare

  • IP-adress

  • Användaragentsträngar

  • Datum/tid

  • Anomalier

  • Felaktiga lösenordsförsök

    pwdattemptsDiagram som visar antalet felaktiga lösenordsförsök

Ovanliga aktivitetstoppar är viktiga indikatorer via Azure AD Health Connect (förutsatt att detta är installerat). Andra indikatorer är:

  • Aviseringar via SIEM visar en topp när du sorterar loggarna.
  • Större loggstorlek än normalt för misslyckade ADFS-inloggningar (detta kan vara en avisering i SIEM-verktyget).
  • Ökade mängder 342/411 händelse-ID:t – användarnamn eller lösenord är felaktigt. Eller 516 för extranätsutelåsning.
  • Tröskelvärde för misslyckad autentiseringsbegäran – Riskfylld IP-adress i Azure AD- eller SIEM-verktygsavisering/både 342- och 411-fel (För att kunna visa den här informationen bör den avancerade loggningen vara aktiverad.)

Riskfylld IP-adress i Azure AD Health Connect-portalen

Riskfyllda IP-adresser aviseras när det anpassade tröskelvärdet har nåtts för felaktiga lösenord på en timme och antal felaktiga lösenord på en dag samt extranätsutelåsningar.

Example of risky IP report data

Riskfyllda IP-rapportdata

Information om misslyckade försök finns på flikarna IP-adress och extranätsutelåsningar.

ipaddresstable

IP-adress och extranätsutelåsningar i den riskfyllda IP-rapporten

Identifiera lösenordsspray i Azure Identity Protection

Azure Identity Protection är en Azure AD Premium P2-funktion som har en riskvarning och sökfunktion för lösenordsspray som du kan använda för att få ytterligare information eller konfigurera automatisk reparation.

Example of password spray attack

Information om en lösenordssprayattack

Indikatorer för låga och långsamma attacker

Indikatorer för låga och långsamma attacker är de där tröskelvärden för kontoutelåsning eller felaktiga lösenord inte nås. Du kan identifiera dessa indikatorer genom att:

  • Fel i GAL-ordning
  • Fel med repetitiva attribut (UA, mål-AppID, IP-block/plats)
  • Timing – automatiserade sprayer tenderar att ha ett mer regelbundet tidsintervall mellan försöken.

Undersökning och åtgärd

Anteckning

Du kan utföra undersökningar och åtgärder samtidigt under ihållande/pågående attacker.

  1. Aktivera avancerad loggning på ADFS om den inte redan är aktiverad.

  2. Fastställ datum och tid för attackens start.

  3. Fastställa angriparens IP-adress (kan vara flera källor och flera IP-adresser) från brandväggen, ADFS, SIEM eller Azure AD.

  4. När lösenordssprayen har bekräftats kan du behöva informera de lokala myndigheterna (polis, tredje part, bland annat).

  5. Sortera och övervaka följande händelse-ID:n för ADFS:

    ADFS 2012 R2

    • Granskningshändelse 403 – användaragent som gör begäran
    • Granskningshändelse 411 – misslyckade autentiseringsbegäranden
    • Granskningshändelse 516 – extranätsutelåsning
    • Granskningshändelse 342 – misslyckade autentiseringsbegäranden
    • Granskningshändelse 412 – Lyckad inloggning
  6. Om du vill samla in granskningshändelse 411 – misslyckade autentiseringsbegäranden använder du följande skript:

    PARAM ($PastDays = 1, $PastHours) 
    #************************************************ 
    #ADFSBadCredsSearch.ps1 
    #Version 1.0 
    #Date: 6-20-2016 
    #Author: Tim Springston [MSFT] 
    #Description: This script will parse the ADFS server's (not proxy) security ADFS 
    #for events which indicate an incorrectly entered username or password. The script can specify a 
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for  
    #review of UPN, IP address of submitter, and timestamp.  
    #************************************************ 
    cls 
    if ($PastHours -gt 0) 
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))} 
    else 
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))    } 
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv" 
    $CS = get-wmiobject -class win32_computersystem 
    $Hostname = $CS.Name + '.' + $CS.Domain 
    $Instances = @{} 
    $OSVersion = gwmi win32_operatingsystem 
    [int]$BN = $OSVersion.Buildnumber  
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"} 
    else {$ADFSLogName = "AD FS/Admin"} 
    $Users = @() 
    $IPAddresses = @() 
    $Times = @() 
    $AllInstances = @() 
    Write-Host "Searching event log for bad credential events..." 
    if ($BN -ge 9200) {Get-Winevent  -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} |  % { 
    $Instance = New-Object PSObject 
    $UPN = $_.Properties[2].Value 
    $UPN = $UPN.Split("-")[0] 
    $IPAddress = $_.Properties[4].Value 
    $Users += $UPN 
    $IPAddresses += $IPAddress 
    $Times += $_.TimeCreated 
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN 
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress 
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString() 
    $AllInstances += $Instance 
    $Instance = $null 
    } 
    } 
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation  
    Write-Host "Data collection finished. The output file can be found at >$outputfile`." 
    $AllInstances = $null
    

ADFS 2016/2019

Tillsammans med händelse-ID:t ovan sorterar du verifieringsfelet Granskningshändelse 1203 – Validering av nya autentiseringsuppgifter.

  1. Sortera alla lyckade inloggningar för den här gången på ADFS (om de är federerade). En snabb inloggning och utloggning (på samma sekund) kan vara en indikator på att ett lösenord har gissats korrekt och att angriparen försöker.
  2. Sortera alla lyckade eller avbrutna Händelser i Azure AD för den här tidsperioden för både federerade och hanterade scenarier.

Övervaka och sortera händelse-ID:t från Azure AD

Se hur du hittar innebörden av felloggar.

Följande händelse-ID:t från Azure AD är relevanta:

  • 50057 – Användarkontot har inaktiverats
  • 50055 – Lösenordet har upphört att gälla
  • 50072 – Användaren uppmanas att ange MFA
  • 50074 – MFA krävs
  • 50079 – användaren måste registrera säkerhetsinformation
  • 53003 – Användare blockeras av villkorsstyrd åtkomst
  • 53004 – Det går inte att konfigurera MFA på grund av misstänkt aktivitet
  • 530032 – Blockerad av villkorlig åtkomst i säkerhetsprincip
  • Sign-In status lyckades, misslyckades, avbröts

Sortera händelse-ID:t från Sentinel-spelboken

Du kan hämta alla händelse-ID:t från Sentinel-spelboken som är tillgänglig på GitHub.

Isolera och bekräfta attack

Isolera ADFS- och Azure AD-lyckade och avbrutna inloggningshändelser. Det här är dina konton av intresse.

Blockera IP-adressen ADFS 2012R2 och senare för federerad autentisering. Här är ett exempel:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Samla in ADFS-loggar

Samla in flera händelse-ID:t inom en tidsram. Här är ett exempel:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Sortera ADFS-loggar i Azure AD

Azure AD Sign-In rapporter inkluderar ADFS-inloggningsaktivitet när du använder Azure AD Connect Health. Filtrera inloggningsloggar efter tokenutfärdartyp "Federerad".

Här är ett exempel på ett PowerShell-kommando för att hämta inloggningsloggar för en specifik IP-adress:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Sök också i Azure-portalen efter tidsram, IP-adress och lyckad och avbruten inloggning enligt dessa bilder.

timeframe

Söka efter inloggningar inom en viss tidsram

ipaddress

Söka efter inloggningar på en specifik IP-adress

status

Söka efter inloggningar baserat på statusen

Du kan sedan ladda ned dessa data som en .csv fil för analys. Mer information finns i Rapporter om inloggningsaktivitet i Azure Active Directory-portalen.

Prioritera resultat

Det är viktigt att kunna reagera på det mest kritiska hotet. Detta kan vara att angriparen har fått åtkomst till ett konto och därför kan komma åt/exfiltratera data. Angriparen har lösenordet men kanske inte kan komma åt kontot, till exempel har de lösenordet men klarar inte MFA-utmaningen. Angriparen kunde inte heller gissa lösenord korrekt utan fortsätta att försöka. Under analysen prioriterar du dessa resultat:

  • Lyckade inloggningar efter känd IP-adress för angripare
  • Avbruten inloggning av känd IP-adress för angripare
  • Misslyckade inloggningar av känd angripares IP-adress
  • Andra okända IP-adresser lyckades med inloggningar

Kontrollera äldre autentisering

De flesta attacker använder äldre autentisering. Det finns ett antal sätt att fastställa protokollet för attacken.

  1. I Azure AD navigerar du till Inloggningar och filtrerarklientappen.

  2. Välj alla äldre autentiseringsprotokoll som visas.

    authenticationcheck

    Lista över äldre protokoll

  3. Eller om du har en Azure-arbetsyta kan du använda den färdiga äldre autentiseringsarbetsboken i Azure Active Directory-portalen under Övervakning och arbetsböcker.

    workbook

    Äldre autentiseringsarbetsbok

Blockera IP-adress Azure AD för hanterat scenario (PHS inklusive mellanlagring)

  1. Gå till Nya namngivna platser.

    Example of a new named location

  2. Skapa en CA-princip för att endast rikta in sig på alla program och blockera för den här namngivna platsen.

Har användaren använt det här operativsystemet, IP,ISP, enheten eller webbläsaren tidigare?

Om användaren inte har använt dem tidigare och den här aktiviteten är ovanlig flaggar du användaren och undersöker alla deras aktiviteter.

Är IP-adressen markerad som "riskabel"?

Se till att du registrerar lyckade lösenord men misslyckade MFA-svar (multifaktorautentisering), eftersom den här aktiviteten anger att angriparen får lösenordet men inte skickar MFA.
Lägg undan alla konton som verkar vara en normal inloggning, till exempel skickad MFA, plats och IP inte utöver det vanliga.

MFA-rapportering

Det är också viktigt att kontrollera MFA-loggarna eftersom en angripare kan ha gissat ett lösenord men misslyckas med MFA-prompten. Azure AD MFA-loggarna visar autentiseringsinformation för händelser när en användare tillfrågas om multifaktorautentisering. Kontrollera och kontrollera att det inte finns några stora misstänkta MFA-loggar i Azure AD. Mer information finns i hur du använder inloggningsrapporten för att granska Azure AD Multi-Factor Authentication-händelser.

Ytterligare kontroller

I Defender för Cloud Apps undersöker du aktiviteter och filåtkomst för det komprometterade kontot. Mer information finns i:

Kontrollera om användaren har åtkomst till ytterligare resurser, till exempel virtuella datorer, domänkontobehörigheter, lagring med mera.
Om data har överträtts bör du informera ytterligare myndigheter, till exempel polisen.

Omedelbara åtgärder

  1. Ändra lösenordet för alla konton som misstänks ha brutits eller om kontolösenordet har identifierats. Blockera dessutom användaren. Se till att du följer riktlinjerna för att återkalla åtkomst till nödsituationer.
  2. Markera alla konton som har komprometterats som "komprometterade" i Azure Identity Protection.
  3. Blockera angriparens IP-adress. Var försiktig när du utför den här åtgärden eftersom angripare kan använda legitima VPN och detta kan skapa större risk när de ändrar IP-adresser också. Om du använder molnautentisering blockerar du IP-adressen i Defender för Cloud Apps eller Azure AD. Om den är federerad måste du blockera IP-adressen på brandväggsnivå framför ADFS-tjänsten.
  4. Blockera äldre autentisering om den används (den här åtgärden kan dock påverka verksamheten).
  5. Aktivera MFA om det inte redan är klart.
  6. Aktivera Identity Protection för användarrisken och inloggningsrisken
  7. Kontrollera de data som har komprometterats (e-post, SharePoint, OneDrive, appar). Se hur du använder aktivitetsfiltret i Defender för Cloud Apps.
  8. Upprätthålla lösenordshygien. Mer information finns i Lösenordsskydd i Azure AD.
  9. Du kan också läsa ADFS-hjälpen.

Återställning

Lösenordsskydd

Implementera lösenordsskydd i Azure AD och lokalt genom att aktivera de anpassade förbjudna lösenordslistorna. Den här konfigurationen hindrar användare från att ange svaga lösenord eller lösenord som är associerade med din organisation:

pwdprotection

Aktivera lösenordsskydd

Mer information finns i hur du skyddar mot lösenordssprayattacker.

Tagga IP-adress

Tagga IP-adresserna i Defender för Cloud Apps för att ta emot aviseringar som rör framtida användning:

Example of tagging an IP address

Tagga IP-adresser

I Defender för Cloud Apps "tagga" IP-adress för IP-omfånget och konfigurera en avisering för det här IP-intervallet för framtida referens och accelererat svar.

Example of setting up an IP address alert

Ange aviseringar för en specifik IP-adress

Konfigurera varningar

Beroende på organisationens behov kan du konfigurera aviseringar.

Konfigurera aviseringar i SIEM-verktyget och titta på hur du kan förbättra loggningsluckorna. Integrera ADFS, Azure AD, Office 365 och Defender for Cloud Apps-loggning.

Konfigurera tröskelvärdet och aviseringarna i ADFS Health Connect- och Risky IP-portalen.

Example of configuring threshold settings

Konfigurera tröskelinställningar

Example of configuring notifications

Konfigurera aviseringar

Se hur du konfigurerar aviseringar i Identity Protection-portalen.

Konfigurera principer för inloggningsrisk med antingen villkorsstyrd åtkomst eller identitetsskydd

  • Utbilda slutanvändare, viktiga intressenter, frontlinjedrift, tekniska team, cybersäkerhets- och kommunikationsteam
  • Granska säkerhetskontrollen och gör nödvändiga ändringar för att förbättra eller stärka säkerhetskontrollen i din organisation
  • Föreslå Azure AD-konfigurationsutvärdering
  • Köra regelbundna attacksimulatorövningar

Referenser

Förutsättningar

Åtgärder

Återställning

Ytterligare spelböcker för incidenthantering

Granska vägledningen för att identifiera och undersöka dessa ytterligare typer av attacker:

Incidenthanteringsresurser