ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على:
- Microsoft Defender XDR
تحتوي هذه المقالة على معلومات حول تصنيف التنبيه لتنبيهات سرقة ملفات تعريف الارتباط لجلسة العمل في Microsoft Defender XDR:
- تم استخدام ملف تعريف ارتباط الجلسة المسروق
- طلب المصادقة من صفحة التصيد الاحتيالي المتعلقة ب AiTM
يستخدم مستخدمو التهديد طرقا مبتكرة للتسلل إلى بيئاتهم المستهدفة. أخذ الإلهام من هجمات الخصم في الوسط، يستخدم هذا النوع من الهجمات التصيد الاحتيالي لسرقة بيانات الاعتماد أو جلسة تسجيل الدخول الخاصة بهم من أجل تنفيذ إجراءات ضارة. تعد حملات BEC مثالا ممتازا.
يعمل هذا الهجوم عن طريق إعداد موقع وسيط (تصيد احتيالي)، يعمل بشكل فعال كاتصال وكيل بين المستخدم وموقع الويب الشرعي الذي يقوم المهاجم بانتحال صفته. من خلال العمل كوسيط (وكيل)، يمكن للمهاجم سرقة كلمة مرور الهدف وملفات تعريف ارتباط الجلسة. لذلك يمكن للمهاجم المصادقة على جلسة عمل شرعية أثناء المصادقة نيابة عن المستخدم.
يساعد دليل المبادئ هذا في التحقيق في الحالات التي تتم فيها ملاحظة السلوك المشبوه مؤشرا على نوع هجوم في الوسط (AiTM) لسرقة ملفات تعريف الارتباط. يساعد هذا فرق الأمان مثل مركز عمليات الأمان (SOC) ومسؤولي تكنولوجيا المعلومات على مراجعة التنبيهات وإدارتها وتقييمها على أنها إيجابية حقيقية (TP) أو إيجابية خاطئة (FP)، وإذا كانت TP، فاتخذ الإجراءات الموصى بها لمعالجة الهجوم والتخفيف من المخاطر الأمنية الناشئة بسببه.
نتائج استخدام دليل المبادئ هذا هي:
- لقد حددت التنبيهات المقترنة ب AiTM كأنشطة ضارة (TP) أو حميدة (FP).
- إذا تم تحديدها على أنها ضارة، فقد اتخذت الإجراء اللازم لمعالجة الهجوم.
خطوات التحقيق
تحقق مما إذا كان المستخدم المتأثر قد قام بتشغيل أي تنبيهات أمان أخرى.
- ركز على التنبيهات التي تستند إلى الحالات الشاذة للموقع الجغرافي لتسجيل الدخول
[AadSignInEventsBeta or IdentityLogonEvents]. - تحقق من أحداث تسجيل الدخول ذات الصلة من خلال النظر في معلومات
[AadSignInEventsBeta]معرف الجلسة .- ابحث عن الأحداث المرتبطة بمعرف جلسة العمل المحدد (المسروق) لتتبع الأنشطة التي تم تنفيذها باستخدام ملف تعريف الارتباط
[CloudAppEvents]المسروق . - ابحث عن فرق زمني بين أنشطة تسجيل الدخول حيث يوجد اختلاف في الموقع الجغرافي. لا ينبغي أن تكون جلسات متعددة ممكنة لنفس الحساب مع مواقع مختلفة (مما يشير إلى أنه يمكن سرقة الجلسة).
- ابحث عن الأحداث المرتبطة بمعرف جلسة العمل المحدد (المسروق) لتتبع الأنشطة التي تم تنفيذها باستخدام ملف تعريف الارتباط
- تحقق من التنبيهات التي تم إنشاؤها للحساب من مضيف الشركة.
- إذا تم اختراق الحساب، فقد تكون هناك تنبيهات تسبق التسوية تشير إلى الهجمات، على سبيل المثال، تنبيهات
[NetworkConnectionEvents]SmartScreen .
- إذا تم اختراق الحساب، فقد تكون هناك تنبيهات تسبق التسوية تشير إلى الهجمات، على سبيل المثال، تنبيهات
- ركز على التنبيهات التي تستند إلى الحالات الشاذة للموقع الجغرافي لتسجيل الدخول
التحقيق في السلوك المشبوه.
- ابحث عن الأحداث التي تشير إلى أنماط غير عادية لتحديد الأنماط المشبوهة مثل الخصائص
[CloudAppEvents]غير الشائعة للمستخدمين مثل ISP/البلد/المدينة، وما إلى ذلك. - ابحث عن الأحداث التي تشير إلى أنشطة جديدة أو غير مرئية سابقا، مثل محاولات تسجيل الدخول [نجاح/فشل] في خدمات جديدة أو لم يتم استخدامها من قبل، وزيادة في نشاط الوصول إلى البريد، وتغيير في استخدام موارد Azure، وما إلى ذلك.
- افحص أي تعديلات حديثة في بيئتك بدءا من:
- تطبيقات Office 365 (مثل تغييرات أذونات Exchange عبر الإنترنت أو إعادة التوجيه التلقائي للبريد أو إعادة التوجيه)
- PowerApps (مثل تكوين نقل البيانات التلقائي من خلال PowerAutomate)
- بيئات Azure (على سبيل المثال، تعديلات اشتراك مدخل Microsoft Azure، وما إلى ذلك)
- SharePoint Online (الوصول إلى مواقع متعددة، أو للملفات التي تحتوي على محتوى حساس مثل معلومات بيانات الاعتماد أو البيانات المالية)، وما إلى ذلك)
- فحص العمليات التي تمت ملاحظتها في أنظمة أساسية متعددة (EXO وSPO وAzure وما إلى ذلك) خلال فترة زمنية قصيرة للمستخدم المتأثر.
- على سبيل المثال، لا يجب أن تتزامن المخططات الزمنية لأحداث تدقيق عمليات قراءة/إرسال البريد وتخصيص/تعديلات موارد Azure (توفير جهاز جديد أو إضافة إلى معرف Microsoft Entra) مع بعضها البعض.
- ابحث عن الأحداث التي تشير إلى أنماط غير عادية لتحديد الأنماط المشبوهة مثل الخصائص
التحقيق في هجمات المتابعة المحتملة. عادة ما تكون هجمات AiTM وسيلة إلى نهاية وليست نهاية اللعبة، لذا افحص بيئتك بحثا عن هجمات أخرى تلي الحسابات المتأثرة.
- مثال على ذلك هو النظر في حالات BEC
- ابحث عن أنشطة البحث التي تظهر على علبة
[CloudAppEvents]بريد حساب المستخدم التي تم تنبيهها .- يمكن أن تحتوي أنشطة البحث في علبة البريد على كلمات أساسية تمت ملاحظتها في الاحتيال المالي (على سبيل المثال، الفواتير والمدفوعات وما إلى ذلك)، وهي مريبة.
- ابحث أيضا عن قواعد علبة الوارد التي تم إنشاؤها بهدف نقلها ووضع علامة عليها كمقروءة (شيء ما على غرار ActionType في (New-InboxRule و UpdateInboxRules و Set-InboxRule) و RawEventData has_all (MarkAsRead و MoveToFolder و Archive)).
- ابحث عن أنشطة البحث التي تظهر على علبة
- ابحث عن أحداث تدفق البريد [EmailEvents & EmailUrlInfo على NetworkMessageId] حيث يتم إرسال رسائل البريد الإلكتروني المتعددة بنفس عنوان URL.
- تابع مع فحص ما إذا كان قد تمت
[CloudAppEvents]ملاحظة زيادة أو حجم كبير من حذف البريد (ActivityType as سلة المهملات أو حذف) لحساب علبة البريد. - يمكن اعتبار السلوك المطابق مريبا للغاية.
- تابع مع فحص ما إذا كان قد تمت
- فحص أحداث الجهاز لأحداث Url التي تطابق أحداث
[DeviceEvents on AccountName|AccountUpn]النقر لرسائل البريد الإلكتروني في Office 365.- قد تكون مطابقة الأحداث لمصادر النقر (على سبيل المثال، عناوين IP المختلفة لنفس عنوان URL) مؤشرا على السلوك الضار.
- مثال على ذلك هو النظر في حالات BEC
استعلامات التتبع المتقدمة
التتبع المتقدم هو أداة تتبع التهديدات المستندة إلى الاستعلام التي تتيح لك فحص الأحداث في شبكتك وتحديد موقع مؤشرات التهديد. استخدم هذه الاستعلامات لجمع مزيد من المعلومات المتعلقة بالتنبيه وتحديد ما إذا كان النشاط مريبا أم لا.
تأكد من أن لديك حق الوصول إلى الجداول التالية:
- AadSignInEventsBeta - يحتوي على معلومات تسجيل الدخول للمستخدمين.
- IdentityLogonEvents - يحتوي على معلومات تسجيل الدخول للمستخدمين.
- CloudAppEvents - يحتوي على سجلات تدقيق لأنشطة المستخدم.
- EmailEvents - يحتوي على معلومات تدفق البريد/نسبة استخدام الشبكة.
- EmailUrlInfo - يحتوي على معلومات Url الواردة في رسائل البريد الإلكتروني.
- UrlClickEvents - يحتوي على سجلات النقر على Url لعناوين URL التي تم النقر فوقها في رسائل البريد الإلكتروني.
- DeviceEvents - يحتوي على أحداث تدقيق نشاط الجهاز.
استخدم الاستعلام أدناه لتحديد سلوك تسجيل الدخول المشبوه:
let OfficeHomeSessionIds =
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser"
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country
استخدم الاستعلام أدناه لتحديد البلدان/المناطق غير الشائعة:
AADSignInEventsBeta
| where Timestamp > ago(7d)
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName
استخدم هذا الاستعلام للعثور على قواعد علبة الوارد الجديدة للبريد الإلكتروني التي تم إنشاؤها أثناء جلسة تسجيل الدخول المشبوهة:
//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)
الإجراءات الموصى بها
بمجرد تحديد أن أنشطة التنبيه ضارة، قم بتصنيف هذه التنبيهات على أنها True Positive (TP) وقم بتنفيذ الإجراءات التالية:
- إعادة تعيين بيانات اعتماد حساب المستخدم. أيضا، قم بتعطيل/إبطال الرموز المميزة للحساب المخترق.
- إذا كانت البيانات الاصطناعية التي تم العثور عليها مرتبطة بالبريد الإلكتروني، فكون الكتلة استنادا إلى عنوان IP للمرسل ومجالات المرسل.
- قد تقوم المجالات المطبعية بمسح نهج DMARC وDKIM وSPF (نظرا لأن المجال مختلف تماما) أو قد ترجع "نتائج خالية (لأنه ربما لم يتم تكوينه من قبل ممثل التهديد).
- حظر عناوين URL أو عناوين IP (على الأنظمة الأساسية لحماية الشبكة) التي تم تحديدها على أنها ضارة أثناء التحقيق.
راجع أيضًا
من سرقة ملفات تعريف الارتباط إلى BEC
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.