التعافي من خرق الهوية النظامية

توضح هذه المقالة موارد Microsoft وتوصياتها للتعافي من هجوم اختراق الهوية النظامي ضد مؤسستك.

يستند المحتوى الوارد في هذه المقالة إلى الإرشادات التي يقدمها فريق الاكتشاف والاستجابة (DART) التابع لشركة Microsoft، والذي يعمل على الاستجابة للتنازلات ومساعدة العملاء على أن يصبحوا مرنين عبر الإنترنت. للحصول على مزيد من الإرشادات من فريق DART، انظرسلسلة مدونة أمان Microsoftالخاصة بهم.

انتقلت العديد من المؤسسات إلى نهج قائم على السحابة لتوفير أمان أقوى على إدارة هويتهم والوصول. ومع ذلك، قد يكون لدى مؤسستك أيضًا أنظمة محلية مطبقة وتستخدم طرقاً مختلفة للهندسة المعمارية المختلطة. تقر هذه المقالة بأن هجمات الهوية النظامية تؤثر على أنظمة شبكة النظير والمحلية والمختلطة، وتوفر توصيات ومراجع لجميع هذه البيئات.

هام

يتم توفير هذه المعلومات كما هي وتشكل إرشادات عامة ؛ القرار النهائي حول كيفية تطبيق هذا التوجيه على بيئة تكنولوجيا المعلومات الخاصة بك ويجب على المستأجر (المستأجرين) مراعاة بيئتك واحتياجاتك الفريدة، والتي يكون كل عميل في أفضل وضع لتحديده.

بشأن تسوية الهوية النظامية

يحدث هجوم اختراق الهوية النظامي على مؤسسة عندما يكتسب المهاجم بنجاح موطئ قدم في إدارة البنية التحتية لهوية المؤسسة.

إذا حدث هذا لمؤسستك، فأنت في سباق ضد المهاجم لتأمين بيئتك قبل حدوث المزيد من الضرر.

• يمكن للمهاجمينالذين لديهم التحكم الإداري في البنية الأساسية للهوية في البيئةاستخدام عنصر التحكم هذا لإنشاء الهويات وأذونات الهوية أو تعديلها أو حذفها في تلك البيئة.

  في اختراق محلي، إذالم يتم تخزينشهادات توقيع رمز SAML الموثوق بها فيHSM، يشمل الهجوم الوصول إلى شهادة توقيع رمز SAML المميز الموثوق بها.

• يمكن للمهاجمين بعد ذلك استخدام الشهادة لإنشاء رموز SAML المميزةمن أجل انتحال شخصية أي من المستخدمين والحسابات الحالية للمؤسسة دون الحاجة إلى الوصول إلى بيانات اعتماد الحساب، ودون ترك أي آثار.

• يمكن أيضًا استخدامالوصول إلى الحساب ذي الامتيازات العاليةمن أجل إضافة بيانات اعتماد يتحكم فيها المهاجم إلى التطبيقات الموجودة، ما يمكن المهاجمين من الوصول إلى النظام الخاص بك دون الكشف، مثل استدعاء واجهات برمجة التطبيقات، باستخدام هذه الأذونات.

ردع الهجوم

يجب أن تشمل الاستجابة لاختلالات الهوية النظامية الخطوات الموضحة في الصورة والجدول التاليين:

الخطوة	‏‏الوصف
تأسيس اتصالات آمنة	يجب أن تفترض المنظمة التي تعرضت لتسوية نظامية أن جميع الاتصالات قد تأثرت. قبل اتخاذ أي إجراء استرداد، فيجب عليك التأكد من أن أعضاء فريقك الذين هم مفتاح جهود التحقيق والاستجابةالخاصة بك تمكنهم من التواصل بشكل آمن. يجب أن يكون تأمين الاتصالات اهتمامك الأولى حتى تتمكن من المتابعة دون علم المهاجم.
التحقق من بيئتك	بعد أن تقوم بتأمين الاتصالات في فريق التحقيق الأساسي، فيمكنك البدء في البحث عن نقاط الوصول الأولية وتقنيات المثابرة. قم بتحديد مؤشراتك على التسوية، ثم ابحث عن نقاط الوصول الأولية والمثابرة. في الوقت نفسه، ابدأفي تأسيس عمليات مراقبة مستمرةفي أثناء جهود الاسترداد.
تحسين الوضع الأمني	تمكين ميزات الأمان وقدراتهمن خلال اتباع توصيات أفضل الممارسات من أجل تحسين أمان النظام للمضي قدما. تأكد من متابعة جهود المراقبةالمستمرةمع مرور الوقت وتغيير مشهد الأمان.
استعادة/الاحتفاظ بالسيطرة	يجب أن تستعيد السيطرة الإدارية على بيئتك من المهاجم. بعد أن تتحكم مرة أخرى وتقوم بتحديث الوضع الأمني للنظام الخاص بك، تأكد منمعالجة أو حظركافة تقنيات الاستمرار الممكنة واستغلالات الوصول الأولية الجديدة.

تأسيس اتصالات آمنة

قبل أن تبدأ في الرد، يجب أن تتأكد من أنه يمكنك التواصل بأمان دون تنصت المهاجم. تأكد من عزل أي اتصالات متعلقة بالحادثة حتى لا يتم إخطار المهاجم بالتحقيق الخاص بك ويتفاجأ بإجراءات ردك.

على سبيل المثال:

1. بالنسبة للاتصالات الأولية الفردية والجماعية، قد ترغب في استخدام مكالمات PSTN وجسور المؤتمرات غير المتصلة بالبنية التحتية للشركة وحلول المراسلة المشفرة من طرف إلى طرف.

   يجب التعامل مع الاتصالات خارج هذه الأطر على أنها مخترقة وغير موثوق بها، ما لم يتم التحقق منها عبر قناة آمنة.

2. بعد هذه المحادثات الأولية، قد ترغب في إنشاء مستأجر Microsoft 365 جديد تمامًا، معزولًا عن مستأجر إنتاج المؤسسة. قم بإنشاء حسابات فقط للموظفين الرئيسيين الذين يحتاجون إلى أن يكونوا جزءًا من الاستجابة.

إذا أنشأت مستأجر Microsoft 365 جديدًا، فتأكد من اتباع جميع أفضل الممارسات للمستأجر، وخاصة للحسابات والحقوق الإدارية. تقييد الحقوق الإدارية، مع عدم وجود علاقات ثقة للتطبيقات الخارجية أو البائعين.

هام

تأكد من أنك لا تتواصل بالمستأجر الجديد الخاص بك على حسابات البريد الإلكتروني الحالية، والتي من المحتمل أن تكون معرضة للخطر.

لمزيد من المعلومات، قم بمراجعةأفضل الممارسات لاستخدام Microsoft 365 بشكل آمن.

تحديد المؤشرات المتعلقة بالتسوية

نوصي العملاء بمتابعة التحديثات من مزودي النظام، بما في ذلك Microsoft وأي شركاء، وتنفيذ أي عمليات اكتشاف وحماية جديدة يتم توفيرها وتحديد حوادث الاختراق المنشورة (IOCs).

التحقق من وجود تحديثات في منتجات أمان Microsoft التالية، وتنفيذ أي تغييرات موصى بها:

• Microsoft Sentinel
• الحلول والخدمات المتعلقة بأمان Microsoft 365
• أمان Windows 10 Enterprise
• Microsoft Defender لتطبيقات شبكة النظير
• Microsoft Defender for IoT

يساعد تنفيذ التحديثات الجديدة في تحديد أي حملات سابقة ومنع الحملات المستقبلية ضد نظامك. ضع في اعتبارك أن قوائم بطاقات IOC قد لا تكون شاملة، وقد يتم توسيعها مع استمرار التحقيقات.

لذلك، نوصي أيضاً باتخاذ الإجراءات الآتية:

• تأكد من تطبيق معيار أمان سحابة Microsoft، ومن مراقبة التوافق عبر Microsoft Defender for Cloud.

• ادمج موجزات التحليل الذكي للمخاطر في SIEM، مثل تكوين Microsoft Purview Data Connectors في Microsoft Azure Sentinel.

• تأكد من أن أي أدوات للكشف والاستجابة الموسعة، مثل Microsoft Defender for IoT، تستخدم أحدث بيانات التحليل الذكي للمخاطر.

لمزيد من المعلومات، قم بمراجعة وثائق الأمان المتعلقة بـ Microsoft:

• وثائق الأمان Microsoft
• وثائق أمان Azure

التحقق من بيئتك

بمجرد حصول المستجيبين للحوادث والموظفين الرئيسيين على مكان آمن للتعاون، يمكنك البدء في التحقيق في البيئة المعرضة للخطر.

ستحتاج إلى الموازنة بين الوصول إلى أسفل أي سلوك شاذ واتخاذ إجراء سريع لإيقاف أي نشاط إضافي للمهاجم. يتطلب أي علاج ناجح فهم الطريقة الأولية للدخول وطرق المثابرة التي استخدمها المهاجم، على أكمل وجه ممكن في ذلك الوقت. يمكن أن تؤدي أي طرق استمرار تم فقدها في أثناء التحقيق إلى وصول المهاجم المستمر، وتوصية محتملة.

قد ترغب في هذه المرحلة في إجراء تحليل للمخاطر لتحديد أولويات أفعالك. لمزيد من المعلومات، راجع:

• تهديد مركز البيانات ونقاط الضعف وتقييم المخاطر
• تتبع التهديدات الناشئة والرد عليها باستخدام تحليلات التهديدات
• إدارة التهديدات والثغرة الأمنية

توفر خدمات أمان Microsoft موارد مكثفة لإجراء تحقيقات مفصلة. تصف الأقسام الآتية أهم الإجراءات الموصى بها.

إشعار

إذا وجدت أن واحداً أو أكثر من مصادر التسجيل المدرجة ليس حالياً جزءاً من برنامج الأمان الخاص بك، فإننا نوصي بتكوينها في أقرب وقت ممكن لتمكين عمليات الاكتشاف ومراجعات السجل المستقبلية.

تأكد من تكوين الاحتفاظ بالسجل لدعم أهداف التحقيق الخاصة بمؤسستك في المستقبل. احتفظ بالأدلة حسب الحاجة لأغراض قانونية أو تنظيمية أو تأمينية.

التحقيق في سجلات بيئة شبكة النظير ومراجعتها

تحقق من سجلات البيئة السحابية وراجعها بحثًا عن الإجراءات المشبوهة وإشارات المهاجمين إلى الاختراق. على سبيل المثال، التحقق من السجلات الآتية:

• سجلات المراجعة الموحدة (UAL)
• سجلات Microsoft Entra
• السجلات المحلية Microsoft Exchange
• سجلات VPN، على سبيل المثال منبوابة VPN
• سجلات النظم الهندسية
• سجلات الكشف عن الفيروسات ونقطة النهاية

مراجعة سجلات مرجعة نقطة النهاية

راجع سجلات تدقيق نقطة النهاية الخاصة بك للتغييرات المحلية، مثل أنواع الإجراءات التالية:

• التغييرات العضوية للمجموعة
• إنشاء حساب لمستخدم جديد
• التفويضات الموجودة في Active Directory

ضع في اعتبارك على وجه الخصوص أيًا من هذه التغييرات التي تحدث جنبًا إلى جنب مع العلامات النموذجية الأخرى للتسوية أو النشاط.

راجع الحقوق الإدارية في بيئتك

قم بمراجعة الحقوق الإدارية في كل من البيئة السحابية والبيئات المحلية. على سبيل المثال:

البيئة	‏‏الوصف
كفة بيئات شبكة النظير	- راجع أي حقوق وصول مميزة في السحابة وقم بإزالة أي أذونات غير ضرورية - تنفيذ إدارة الهوية المميزة (PIM) - إعداد نهج الوصول المشروط للحد من الوصول الإداري خلال التصلب
كافة البيئات المحلية	- مراجعة الوصول المتميز محليًا وإزالة الأذونات غير الضرورية - التقليل من عضوية المجموعات المضمنة - قم بالتحقق من تفويضات Active Directory - عزز بيئة Tier 0 الخاصة بك، وحدد من يمكنه الوصول إلى أصول Tier 0
جميع تطبيقات المؤسسة	راجع الأذونات المفوضة ومنح الموافقة التي تسمح بأي من الإجراءات التالية: - تعديل المستخدمين والأدوار المتميزة - قراءة جميع علب البريد أو الوصول إليها - إرسال بريد إلكتروني أو إعادة توجيهه نيابة عن مستخدمين آخرين - الوصول إلى كل محتوى موقع OneDrive أو SharePoint - إضافة أساسيات الخدمة التي تستطيع القراءة والكتابة في الدليل
Microsoft 365 environments	راجع إعدادات الوصول والتكوين لبيئة Microsoft 365، بما في ذلك: - مشاركة SharePoint Online - Microsoft Teams - Power Apps - Microsoft OneDrive for Business
مراجعة حسابات المستخدمين في البيئة الخاصة بك	- مراجعة وإزالة حسابات المستخدمين الضيف التي لم تعد هناك حاجة إليها. - قم بمراجعة تكوينات البريد الإلكتروني للمفوضين، وأذونات مجلد صندوق البريد، وتسجيلات الجهاز المحمول ActiveSync، وقواعد علبة الوارد، وخيارات Outlook على الويب. - قم بمراجعة حقوق ApplicationImpersonation وتقليل أي استخدام للمصادقة القديمة قدر الإمكان. - تحقق من أن MFA يتم فرضه وأن معلومات الاتصال الخاصة بكل من MFA وإعادة تعيين كلمة مرور الخدمة الذاتية (SSPR) صحيحة لجميع المستخدمين.

تأسيس مراقبة مستمرة

يشمل الكشف عن سلوك المهاجم عدة طرق، ويعتمد على أدوات الأمان المتوفرة لدى مؤسستك للاستجابة للهجوم.

على سبيل المثال، من الممكن أن يكون لدى خدمات أمان Microsoft موارد وإرشادات محددة ذات صلة بالهجوم، كما هو موضح في الأقسام أدناه.

هام

إذا وجد التحقيق الذي أجريته دليلًا على الأذونات الإدارية التي تم الحصول عليها من خلال الاختراق على نظامك، والتي وفرت الوصول إلى حساب المسؤول العالمي لمؤسستك وشهادة توقيع رمز SAML الموثوق بها أو أياً منهما، فإننا نوصي باتخاذ إجراء من أجلتصحيح الرقابة الإدارية والاحتفاظ بها.

المراقبة مع Microsoft Sentinel

يحتوي Microsoft Azure Sentinel على العديد من الموارد المضمنة للمساعدة في التحقيق، مثل مصنفات الصيد وقواعد التحليلات التي يمكن أن تساعد في اكتشاف الهجمات في المناطق ذات الصلة من بيئتك.

استخدم مركز المحتوى الخاص ب Microsoft Sentinel لتثبيت حلول الأمان الموسعة وموصلات البيانات التي تقوم ببث المحتوى من خدمات أخرى في بيئتك. لمزيد من المعلومات، راجع:

• تصوُّر وتحليل بيئتك
• الكشف عن التهديدات خارج الصندوق
• اكتشاف الحلول الجاهزة ونشرها

المراقبة باستخدام Microsoft Defender ل IoT

إذا كانت بيئتك تتضمن أيضا موارد التقنية التشغيلية (OT)، فقد يكون لديك أجهزة تستخدم بروتوكولات متخصصة، والتي تعطي الأولوية للتحديات التشغيلية على الأمان.

نشر Microsoft Defender ل IoT لمراقبة تلك الأجهزة وتأمينها، خاصة تلك التي لا تحميها أنظمة مراقبة الأمان التقليدية. قم بتثبيت مستشعرات شبكة Defender for IoT في نقاط اهتمام محددة في بيئتك للكشف عن التهديدات في نشاط الشبكة المستمر باستخدام المراقبة بدون عامل والذكاء الديناميكي للمخاطر.

لمزيد من المعلومات، راجع البدء في مراقبة أمان شبكة OT.

المراقبة باستخدام Microsoft Defender XDR

نوصي بالتحقق من Microsoft Defender XDR لنقطة النهاية برنامج الحماية من الفيروسات من Microsoft Defender للحصول على إرشادات محددة ذات صلة بهجومك.

تحقق من وجود أمثلة أخرى للكشف واستعلامات التتبع وتقارير تحليلات التهديدات في مركز أمان Microsoft، كما هو الحال في Microsoft Defender XDR وMicrosoft Defender XDR للهوية وMicrosoft Defender for Cloud Apps. من أجل ضمان التغطية، تأكد من تثبيت عامل Microsoft Defender لـ Identityعلى خوادم ADFS بالإضافة إلى كافة وحدات التحكم بالمجال.

لمزيد من المعلومات، راجع:

• تتبع التهديدات الناشئة والرد عليها باستخدام تحليلات التهديدات
• فهم تقرير المحلل في تحليلات التهديد

المراقبة باستخدام معرف Microsoft Entra

يمكن أن تظهر سجلات تسجيل الدخول إلى Microsoft Entra ما إذا كان يتم استخدام المصادقة متعددة العوامل بشكل صحيح. الوصول إلى سجلات تسجيل الدخول مباشرة من منطقة Microsoft Entra في مدخل Microsoft Azure، أو استخدام Cmdlet Get-MgBetaAuditLogSignIn ، أو عرضها في منطقة السجلات في Microsoft Sentinel.

على سبيل المثال، البحث عن النتائج أو تصفيتها عندما يحتوي حقلنتائج المصادقة متعددة العواملعلى قيمةلمتطلبات المصادقة متعددة العوامل التي تفي بها المطالبة في الرمز المميز. في حال كانت مؤسستك تستخدم ADFS ولم يتم تضمين المطالبات المسجلة في تكوين ADFS، فقد تشير هذه الادعاءات إلى نشاط المهاجم.

بحث أو تصفية النتائج الخاصة بك إلى أبعد من ذلك لاستبعاد الضوضاء الإضافية. على سبيل المثال، من الممكن أن ترغب في تضمين النتائج من المجالات المتحدة فقط. إذا وجدت عمليات تسجيل دخول مريبة، فابحث أكثر بناءً على عناوين IP وحسابات المستخدمين وما إلى ذلك.

يصف الجدول التالي المزيد من الطرق لاستخدام سجلات Microsoft Entra في التحقيق الخاص بك:

الطريقة	‏‏الوصف
تحليل الأحداث الخطرة لتسجيل الدخول	قد يقوم معرف Microsoft Entra والنظام الأساسي لحماية الهوية الخاص به بإنشاء أحداث مخاطر مرتبطة باستخدام رموز SAML المميزة التي أنشأها المهاجم. قد توصف هذه الأحداث على أنهاخصائص غير مألوفةووعنوان IP مجهولووالسفر المستحيلوما إلى ذلك. نوصيك بإجراء تحليل دقيق لجميع أحداث المخاطر المرتبطة بالحسابات التي تتمتع بامتيازات إدارية، بما في ذلك أي أحداث ربما تم رفضها أو إصلاحها تلقائيًا. على سبيل المثال، قد تتم معالجة حدث خطر أو عنوان IP مجهول تلقائيًا لأن المستخدم اجتاز المصادقة متعددة العوامل. تأكد من استخدام ADFS الاتصال Health بحيث تكون جميع أحداث المصادقة مرئية في معرف Microsoft Entra.
كشف خصائص مصادقة المجال	سيتم تسجيل أي محاولة من قبل المهاجم لمعالجة نهج مصادقة المجال في سجلات تدقيق Microsoft Entra، وتنعكس في سجل التدقيق الموحد. على سبيل المثال، راجع أي أحداث مقترنة بتعيين مصادقة المجال في سجل التدقيق الموحد وسجلات تدقيق Microsoft Entra و/ أو بيئة SIEM للتحقق من أن جميع الأنشطة المدرجة كانت متوقعة ومخططة.
كشف بيانات اعتماد تطبيقات OAuth	يمكن للمهاجمين الذين يتحكمون في حساب ذي امتياز البحث عن تطبيق لديه القدرة على الوصول إلى بريد إلكتروني لأي مستخدم في المؤسسة، ثم إضافة بيانات اعتماد يتحكم فيها المهاجم إلى هذا التطبيق. على سبيل المثال، قد تحتاج إلى البحث عن أي من الأنشطة التالية، والتي قد تكون متسقة مع سلوك المهاجم: - إضافة بيانات اعتماد كيان الخدمة أو تحديثها - تحديث شهادات التطبيق والأسرار - إضافة منحة تعيين دور تطبيق إلى مستخدم - إضافة Oauth2PermissionGrant
كشف وصول التطبيقات إلى البريد الإلكتروني	البحث عن الوصول إلى البريد الإلكتروني عن طريق التطبيقات الموجودة في بيئتك. على سبيل المثال، قم باستخدامميزات Microsoft Purview Audit (Premium)من أجل لتحقيق في الحسابات المخترقة.
كشف عمليات تسجيل الدخول غير التفاعلية إلى مديري الخدمة	توفر تقارير تسجيل الدخول إلى Microsoft Entra تفاصيل حول أي عمليات تسجيل دخول غير تفاعلية تستخدم بيانات اعتماد كيان الخدمة. على سبيل المثال، يمكن استخدام تقارير تسجيل الدخول للعثور على بيانات قيّمة لتحقيقك، مثل عنوان IP الذي يستخدمه المهاجم للوصول إلى تطبيقات البريد الإلكتروني.

تحسين الوضع الأمني

في حالة وقوع حدث أمني في أنظمتك، نوصيك بالتفكير في إستراتيجية الأمان الحالية وأولوياتك.

غالبًا ما يُطلب من المستجيبين للحوادث تقديم توصيات بشأن الاستثمارات التي يجب أن تعطيها المنظمة الأولوية، بعد مواجهة تهديدات جديدة.

بالإضافة إلى التوصيات الموثقة في هذه المقالة، نوصيك بمراعاة تحديد أولويات مجالات التركيز التي تستجيب لتقنيات ما بعد الاستغلال التي يستخدمها المهاجم وثغرات وضع الأمان الشائعة التي تمكّنها.

تسرد الأقسام الآتية توصيات من أجل تحسين الوضع الأمني العام والهوية.

تحسين وضع الأمان العام

نوصي بالإجراءات الآتية لضمان وضع الأمان العام الخاص بك:

• انظر Microsoft Secure Score للحصول على توصيات أساسيات الأمان المخصصة لمنتجات Microsoft وخدماتها التي تستهلكها.

• تأكد من أن مؤسستك قامت بتوسيع حلول الكشف والاستجابة (XDR) ومعلومات الأمان وإدارة الأحداث (SIEM)، مثل Microsoft Defender XDR لنقطة النهاية وMicrosoft Sentinel وMicrosoft Defender ل IoT.

• مراجعة نموذج الوصول إلى Microsoft Enterprise

تحسين وضع الهوية الأمني

نوصي بالإجراءات التالية لضمان الوضع الأمني المتعلق بالهوية:

• انظر الخطوات الخمسة من Microsoft لتأمين البنية الأساسية للهوية، وتحديد أولويات الخطوات حسب الاقتضاء لبنية الهوية الخاصة بك.

• ضع في اعتبارك الترحيل إلى إعدادات الأمان الافتراضية ل Microsoft Entra لنهج المصادقة.

• تخلص من استخدام مؤسستك للمصادقة القديمة، إذا كانت الأنظمة أو التطبيقات لا تزال تتطلب ذلك. لمزيد من المعلومات، راجع حظر المصادقة القديمة إلى معرف Microsoft Entra باستخدام الوصول المشروط.

• تعامل مع البنية الأساسية لـ ADFS والبنية الأساسية لـ AD Connect كأصل من المستوى 0.

• تقييد الوصول الإداري المحلي للنظام، بما في ذلك الحساب المستخدم من أجل تشغيل خدمة ADFS.

  أقل امتياز ضروري متعلق بالحساب الذي يقوم بتشغيل ADFS هوتسجيل الدخول كخدمةتعيين حق مستخدم.

• تقييد الوصول الإداري للمستخدمين المحدودين ومن نطاقات عناوين IP المحدودةمن خلال استخدام نهج جدار حماية Windows لسطح المكتب البعيد.

  نوصي بإعداد صندوق انتقال من المستوى 0 أو نظام مكافئ.

• حظر كافة وصول SMB الواردإلى الأنظمة من أي مكان في البيئة. لمزيد من المعلومات، انظرما بعد Edge: كيفية تأمين نسبة استخدام الشبكة SMB في Windows. نوصي أيضًا بدفق سجلات جدار حماية Windows إلى SIEM للمراقبة التاريخية والاستباقية.

• إذا كنت تستخدم حساب خدمة مدعومًا من قِبل بيئتك،فارحل من حساب خدمة إلى حساب خدمة مدارة من مجموعة (gMSA). إذا لم تتمكن من الانتقال إلى gMSA، فقم بتدوير كلمة المرور في حساب الخدمة إلى كلمة مرور معقدة.

• تأكد من تمكين التسجيل المطول لأنظمة ADFS.

إصلاح والاحتفاظ بالسيطرة الإدارية

إذا حدد التحقيق الذي أجريته أن المهاجم لديه تحكم إداري في سحابة المؤسسة أو البيئة المحلية، فيجب عليك استعادة السيطرة بطريقة تضمن لك عدم استمرار المهاجم.

يوفر هذا القسم الطرق والخطوات الممكنة التي يجب مراعاتها عند إنشاء خطة استعادة التحكم الإداري.

هام

تعتمد الخطوات الدقيقة المطلوبة في مؤسستك على المثابرة التي اكتشفتها في التحقيق، ومدى ثقتك في أن التحقيق الخاص بك قد اكتمل واكتشف جميع طرق الدخول والمثابرة الممكنة.

التأكد من تنفيذ أي إجراءات يتم اتخاذها من جهاز موثوق به، تم إنشاؤه منمصدر نظيف. على سبيل المثال، قم باستخداممحطة عمل وصول مميزة وجديدة.

تشمل الأقسام التالية الأنواع التالية من التوصيات لإصلاح الرقابة الإدارية والاحتفاظ بها:

• إزالة الثقة لخوادمك الحالية
• تدوير شهادة توقيع رمز SAML الخاص بك، أو استبدال خوادم ADFS إذا لزم الأمر
• أنشطة المعالجة المحددة لبيئات الشبكة الظاهرية أو المحلية

إزالة الثقة من خوادمك الحالية

إذا فقدت مؤسستك السيطرة على شهادات توقيع الرمز المميز أو الثقة الموحدة، فإن الطريقة الأكثر ضمانًا هي إزالة الثقة، والتبديل إلى الهوية السحابية في أثناء المعالجة المحلية.

تتطلب إزالة الثقة والتحول إلى الهوية المتوافقة مع السحابة تخطيطًا دقيقًا وفهمًا عميقًا لتأثيرات عمليات الأعمال لعزل الهوية. للمزيد من المعلومات، انظر«حماية Microsoft 365 من الهجمات المحلية».

قم بتدوير شهادة توقيع رمز SAML

إذا قررت مؤسستكعدمإزالة الثقةأثناء استرداد عنصر التحكم الإداري المحلي، فيتعين عليك تدوير شهادة توقيع رمز SAML المميز بعد استعادة التحكم الإداري المحلي، وحظر قدرة المهاجمين على الوصول إلى شهادة التوقيع مرة أخرى.

لا يزال تدوير شهادة توقيع الرمز المميز مرة واحدة يجعل شهادة توقيع الرمز المميز السابقة تعمل. الاستمرار في السماح للشهادات السابقة بالعمل هو وظيفة مضمنة لعمليات تدوير الشهادات العادية، والتي تسمح للمؤسسات بفترة سماح لتحديث أي ثقة طرف معتمد قبل انتهاء صلاحية الشهادة.

إذا كان هناك هجوم، فأنت لست بحاجة إلى أن يحتفظ المهاجم بالوصول على الإطلاق. تأكد من أن المهاجم لا يحتفظ بالقدرة على إنشاء رموز مميزة لمجالك.

لمزيد من المعلومات، راجع:

• إبطال وصول المستخدم في معرف Microsoft Entra

استبدل خوادم ADFS الخاصة بك

إذا قررت استبدال خوادم ADFS بأنظمة نظيفة بدلاً من تدوير شهادة توقيع رمز SAML المميز، فستحتاج لإزالة ADFS الموجودة من بيئتك، ثم إنشاء خادم جديد.

لمزيد من المعلومات، انظر تكوين التخزين.

أنشطة معالجة شبكة النظير

بالإضافة إلى التوصيات المذكورة سابقًا في هذه المقالة، نوصي أيضًا بالأنشطة الآتية لبيئات شبكة النظير الخاصة بك:

النشاط	‏‏الوصف
إعادة ضبط كلمة المرور	إعادة تعيين كلمات المرور على أي حسابات كسر الزجاج والحد من عدد حسابات كسر الزجاج إلى الحد الأدنى المطلق المطلوب.
تقييد الوصول إلى حسابات الامتياز	تأكد من أن حسابات الخدمة والمستخدمين ذات الوصول المتميز هي حسابات سحابية فقط، ولا تستخدم حسابات محلية تتم مزامنتها أو توحيدها مع معرف Microsoft Entra.
فرض أسلوب العائلات المتعددة للمصادقة متعددة العوامل	فرض المصادقة متعددة العوامل (MFA) عبر جميع المستخدمين المتقدمين في المستأجر. نوصي بفرض أسلوب العائلات المتعددة للمصادقة متعددة العوامل على جميع المستخدمين في المستأجر.
التقييد المتعلق بالوصول الإداري	تنفيذ Azure Active Directory Privileged Identity Management (PIM) والوصول المشروط للحد من الوصول الإداري. بالنسبة لمستخدمي Microsoft 365، قم بتنفيذإدارة الوصول المتميز (PAM) من أجل الحد من الوصول إلى القدرات الحساسة، مثل eDiscovery مسؤول العمومي وإدارة الحساب والمزيد.
مراجعة/تقليل الأذونات المفوضة ومنح الموافقة	مراجعة وتقليل كافة الأذونات المفوضة لتطبيقات المؤسسة أو منح الموافقة التي تسمح بأي من الوظائف التالية: - تعديل المستخدمين والأدوار المتميزة - قراءة جميع علب البريد أو إرسالها أو الوصول إليها - الوصول إلى محتوى OneDrive أو Teams أو SharePoint - إضافة كيانات الخدمة التي يمكنها القراءة/الكتابة إلى الدليل - أذونات التطبيق مقابل تفويض الوصول

أنشطة المعالجة الداخلية

بالإضافة إلى التوصيات المذكورة سابقًا في هذه المقالة، نوصي أيضًا بالأنشطة التالية للبيئات المحلية الخاصة بك:

النشاط	‏‏الوصف
إعادة بناء الأنظمة المتضررة	أعد بناء الأنظمة التي تم تحديدها على أنها مخترقة من قبل المهاجم في أثناء التحقيق الخاص بك.
قم بإزالة المستخدمين الإداريين غير الضروريين	قم بإزالة الأعضاء غير الضروريين من إدارة المجال ومشغلي النسخ الاحتياطي ومجموعات إدارة المؤسسة. لمزيد من المعلومات، قم بمراجعةتأمين الوصول المتميز.
إعادة تعيين كلمات المرور للحسابات المميزة	إعادة تعيين كلمات المرور لجميع الحسابات المميزة في البيئة. ملاحظة: لا تقتصر الحسابات المتميزة على المجموعات المضمنة، ولكن يمكن أن تكون أيضاً مجموعات يتم تفويضها للوصول إلى إدارة الخادم أو إدارة محطة العمل أو مناطق أخرى من بيئتك.
إعادة التعيين لحساب krbtgt	أعد تعيين حساب krbtgt مرتين من خلال استخدام البرنامج النصي New-KrbtgtKeys. ملاحظة: في حال كنت تستخدم وحدات تحكم المجال Read-Only، فستحتاج إلى تشغيل البرنامج النصي بشكل منفصل لوحدات تحكم المجال Read-Write ووحدات تحكم المجال Read-Only.
الجدول الزمني لإعادة تشغيل النظام	بعد التحقق من عدم وجود آليات استمرار أنشأها المهاجم أو تظل على نظامك، حدد موعدًا لإعادة تشغيل النظام للمساعدة في إزالة البرامج الضارة الموجودة في الذاكرة.
أعد تعيين كلمة مرور وضع استعادة خدمات الدليل	أعد تعيين كلمة مرور وضع استعادة خدمات الدليل لكل وحدة تحكم في النطاق إلى شيء فريد ومعقد.

علاج أو منع المثابرة المكتشفة أثناء التحقيق

التحقيق عملية تكرارية، وستحتاج إلى موازنة الرغبة التنظيمية في الإصلاح في أثناء تحديدك للأمور الشاذة وفرصة أن العلاج سينبه المهاجم إلى اكتشافك ويمنحه الوقت للرد.

على سبيل المثال، من الممكن أن يغير المهاجم الذي يدرك الاكتشاف تقنياته أو يخلق المزيد من المثابرة.

تأكد من معالجة أي تقنيات المثابرة التي حددتها في مراحل مبكرة من التحقيق.

إصلاح الوصول إلى حساب المستخدم والخدمة

بالإضافة إلى الإجراءات الموصى بها المذكورة أعلاه، نوصي بمراعاة الخطوات التالية لإصلاح حسابات المستخدمين واستعادتها:

• فرض الوصول المشروط على أساس الأجهزة الموثوقة. إذا كان ذلك ممكناً، نوصي بفرض الوصول المشروط المسند إلى الموقع من أجل أن يناسب متطلبات مؤسستك.

• إعادة تعيين كلمات المرور بعد الإخلاء لأي حسابات مستخدمين ربما تم اختراقها. تأكد أيضًا من تنفيذ الخطة المتوسطة المدى من أجل إعادة تعيين بيانات الاعتماد لجميع الحسابات في دليلك.

• إبطال الرموز المميزة للتحديث مباشرةً بعد تدوير بيانات الاعتماد الخاصة بك.

  لمزيد من المعلومات، راجع:

  • إبطال وصول المستخدم في حالة الطوارئ في معرف Microsoft Entra

الخطوات التالية

• احصل على تعليمات من داخل منتجات Microsoft، بما في ذلك مدخل Microsoft Defender مدخل التوافق في Microsoft Purview ومركز التوافق والأمان في Office 365 عن طريق تحديد الزر تعليمات (؟) في شريط التنقل العلوي.

• للحصول على المساعدة في التوزيع، اتصل بنا في FastTrack

• في حال كانت لديك احتياجات متعلقة بدعم المنتج، فتحقق منحالة دعم Microsoft.

  هام

  إذا كنت تعتقد أنك تعرضت للخطر وتحتاج للمساعدة من خلال الاستجابة للحوادث، فافتح حالة دعمSev AMicrosoft.