مشاركة عبر

تصنيف التنبيه لعناوين IP المشبوهة المتعلقة بهجمات نشر كلمة المرور

  • ينطبق على: Microsoft Defender XDR

يستخدم مستخدمو التهديد تقنيات تخمين كلمة المرور للوصول إلى حسابات المستخدمين. في هجوم نشر كلمة المرور، قد يلجأ ممثل التهديد إلى عدد قليل من كلمات المرور الأكثر استخداما مقابل العديد من الحسابات المختلفة. نجح المهاجمون في اختراق الحسابات باستخدام رش كلمة المرور نظرا لأن العديد من المستخدمين لا يزالون يستخدمون كلمات المرور الافتراضية والضعيفة.

يساعدك دليل المبادئ هذا على التحقيق في المثيلات التي تم فيها تسمية عناوين IP بأنها محفوفة بالمخاطر أو مقترنة بهجوم نشر كلمة المرور، أو تم الكشف عن أنشطة مشبوهة غير مفسرة، مثل تسجيل دخول مستخدم من موقع غير مألوف أو حصول مستخدم على مطالبات مصادقة متعددة العوامل (MFA) غير متوقعة. هذا الدليل مخصص لفرق الأمان مثل مركز عمليات الأمان (SOC) ومسؤولي تكنولوجيا المعلومات الذين يراجعون التنبيهات ويعالجونها ويديرونها ويصنفونها. يساعد هذا الدليل في تصنيف التنبيهات بسرعة على أنها إما إيجابية حقيقية (TP) أو إيجابية خاطئة (FP)، وفي حالة TP، اتخاذ الإجراءات الموصى بها لمعالجة الهجوم والتخفيف من المخاطر الأمنية.

النتائج المقصودة لاستخدام هذا الدليل هي:

  • لقد حددت التنبيهات المرتبطة بعناوين IP رش كلمة المرور كأنشطة ضارة (TP) أو إيجابية خاطئة (FP).

  • لقد اتخذت الإجراء اللازم إذا كانت عناوين IP تقوم بتنفيذ هجمات نشر كلمة المرور.

التحقيق في التنبيه

يحتوي هذا القسم على إرشادات خطوة بخطوة للاستجابة للتنبيه واتخاذ الإجراءات الموصى بها لحماية مؤسستك من المزيد من الهجمات.

1. مراجعة التنبيه

فيما يلي مثال على تنبيه نشر كلمة المرور في قائمة انتظار التنبيه:

لقطة شاشة لتنبيه Microsoft Defender 365.

وهذا يعني أن هناك نشاط مستخدم مشبوه ينشأ من عنوان IP قد يرتبط بقوة غاشمة أو محاولة نشر كلمة المرور وفقا لمصادر التحليل الذكي للمخاطر.

2. التحقيق في عنوان IP

  • انظر إلى الأنشطة التي نشأت من IP:

    • هل هي في الغالب محاولات فاشلة لتسجيل الدخول؟

    • هل يبدو الفاصل الزمني بين محاولات تسجيل الدخول مريبا؟ تميل هجمات رش كلمة المرور التلقائية إلى أن يكون لها فاصل زمني منتظم بين المحاولات.

    • هل هناك محاولات ناجحة لمستخدم/عدة مستخدمين يسجلون الدخول باستخدام مطالبات المصادقة متعددة العوامل؟ قد يشير وجود هذه المحاولات إلى أن IP ليس ضارا.

    • هل تستخدم البروتوكولات القديمة؟ قد يشير استخدام بروتوكولات مثل POP3 وIMAP وSMTP إلى محاولة تنفيذ هجوم نشر كلمة المرور. يشير البحث Unknown(BAV2ROPC) في عامل المستخدم (نوع الجهاز) في سجل النشاط إلى استخدام البروتوكولات القديمة. يمكنك الرجوع إلى المثال أدناه عند النظر إلى سجل النشاط. يجب أن يكون هذا النشاط مرتبطا بشكل أكبر بأنشطة أخرى.

      لقطة شاشة لواجهة Microsoft Defender 365 تعرض نوع الجهاز.

      الشكل 1. يعرض Unknown(BAV2ROPC) حقل نوع الجهاز عامل المستخدم في Microsoft Defender XDR.

    • تحقق من استخدام وكلاء مجهولين أو شبكة Tor. غالبا ما يستخدم مستخدمو التهديد هؤلاء الوكلاء البديلين لإخفاء معلوماتهم، ما يجعل من الصعب تتبعها. ومع ذلك، لا يرتبط كل استخدام الوكلاء المذكورين بالأنشطة الضارة. يجب عليك التحقيق في الأنشطة المشبوهة الأخرى التي قد توفر مؤشرات هجوم أفضل.

    • هل عنوان IP قادم من شبكة ظاهرية خاصة (VPN)؟ هل VPN جدير بالثقة؟ تحقق مما إذا كان IP قد نشأ من VPN وراجع المؤسسة خلفه باستخدام أدوات مثل RiskIQ.

    • تحقق من عناوين IP الأخرى بنفس الشبكة الفرعية/ISP. في بعض الأحيان تنشأ هجمات نشر كلمة المرور من العديد من عناوين IP المختلفة داخل نفس الشبكة الفرعية/ISP.

  • هل عنوان IP شائع للمستأجر؟ تحقق من سجل النشاط لمعرفة ما إذا كان المستأجر قد رأى عنوان IP في آخر 30 يوما.

  • ابحث عن الأنشطة أو التنبيهات المشبوهة الأخرى التي نشأت من IP في المستأجر. قد تتضمن أمثلة الأنشطة التي يجب البحث عنها حذف البريد الإلكتروني أو إعادة توجيه إنشاء القواعد أو تنزيلات الملفات بعد محاولة ناجحة لتسجيل الدخول.

  • تحقق من درجة مخاطر عنوان IP باستخدام أدوات مثل RiskIQ.

3. التحقيق في نشاط المستخدم المشبوه بعد تسجيل الدخول

بمجرد التعرف على عنوان IP مريب، يمكنك مراجعة الحسابات التي سجلت الدخول. من المحتمل أن مجموعة من الحسابات قد تم اختراقها واستخدامها بنجاح لتسجيل الدخول من IP أو عناوين IP الأخرى المشابهة.

تصفية جميع المحاولات الناجحة لتسجيل الدخول من عنوان IP حول وبعد وقت قصير من التنبيهات. ثم ابحث عن أنشطة ضارة أو غير عادية في مثل هذه الحسابات بعد تسجيل الدخول.

  • أنشطة حساب المستخدم

    تحقق من أن النشاط في الحساب السابق لنشاط نشر كلمة المرور غير مريب. على سبيل المثال، تحقق مما إذا كان هناك نشاط شاذ استنادا إلى الموقع الشائع أو ISP، إذا كان الحساب يستخدم عامل مستخدم لم يستخدمه من قبل، إذا تم إنشاء أي حسابات ضيوف أخرى، إذا تم إنشاء أي بيانات اعتماد أخرى بعد تسجيل الحساب الدخول من عنوان IP ضار، من بين أمور أخرى.

  • التنبيهات

    تحقق مما إذا كان المستخدم قد تلقى تنبيهات أخرى تسبق نشاط نشر كلمة المرور. يشير وجود هذه التنبيهات إلى أنه قد يتم اختراق حساب المستخدم. ومن الأمثلة على ذلك تنبيه السفر المستحيل، والنشاط من بلد/منطقة غير متكررة، ونشاط حذف البريد الإلكتروني المشبوه، من بين أمور أخرى.

  • حادث

    تحقق مما إذا كان التنبيه مقترنا بتنبيهات أخرى تشير إلى حادث. إذا كان الأمر كذلك، فتحقق مما إذا كان الحدث يحتوي على تنبيهات إيجابية حقيقية أخرى.

استعلامات التتبع المتقدمة

التتبع المتقدم هو أداة تتبع التهديدات المستندة إلى الاستعلام التي تتيح لك فحص الأحداث في شبكتك وتحديد موقع مؤشرات التهديد.

استخدم هذا الاستعلام للعثور على الحسابات التي لها محاولات لتسجيل الدخول بأعلى درجات المخاطر التي جاءت من عنوان IP الضار. يقوم هذا الاستعلام أيضا بتصفية جميع المحاولات الناجحة لتسجيل الدخول باستخدام درجات المخاطر المقابلة.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores

استخدم هذا الاستعلام للتحقق مما إذا كان IP المشبوه يستخدم البروتوكولات القديمة في محاولات تسجيل الدخول.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent

استخدم هذا الاستعلام لمراجعة جميع التنبيهات في الأيام السبعة الماضية المقترنة ب IP المشبوه.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize ( 
        AlertEvidence
            | where Timestamp between (start_date .. end_date)
            | where RemoteIP == ip_address
            | project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)

استخدم هذا الاستعلام لمراجعة نشاط الحساب للحسابات المشتبه في اختراقها.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
CloudAppEvents
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | summarize ActivityCount = count() by AccountObjectId, ActivityType
    | extend ActivityPack = pack(ActivityType, ActivityCount)
    | summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId

استخدم هذا الاستعلام لمراجعة جميع التنبيهات للحسابات المشتبه في اختراقها.

let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
  1. حظر عنوان IP الخاص بالمهاجم.
  2. إعادة تعيين بيانات اعتماد حسابات المستخدمين.
  3. إبطال رموز الوصول المميزة للحسابات المخترقة.
  4. حظر المصادقة القديمة.
  5. اطلب مصادقة متعددة العوامل (MFA) للمستخدمين إذا كان ذلك ممكنا لتحسين أمان الحساب وجعل اختراق الحساب عن طريق هجوم نشر كلمة المرور أمرا صعبا للمهاجم.
  6. حظر حساب المستخدم المخترق من تسجيل الدخول إذا لزم الأمر.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.