Zotavení z ohrožení systémové identity
Tento článek popisuje prostředky a doporučení Microsoftu pro zotavení z útoku na ohrožení systémové identity proti vaší organizaci.
Obsah v tomto článku vychází z pokynů, které poskytuje tým Microsoftu pro detekci a reakce (DART), který pracuje na reakcích na kompromisy a pomáhá zákazníkům stát se kyberneticky odolnými. Další pokyny od týmu DART najdete v sérii blogů o zabezpečení Microsoftu.
Mnoho organizací přešlo na cloudový přístup pro silnější zabezpečení správy identit a přístupu. Vaše organizace ale může mít také místní systémy a používat různé metody hybridní architektury. Tento článek uznává, že útoky na systémovou identitu ovlivňují cloud, místní a hybridní systémy a poskytují doporučení a reference pro všechna tato prostředí.
Důležité
Tyto informace jsou poskytovány tak, jak jsou, a představují generalizované pokyny; konečné rozhodnutí o tom, jak tyto pokyny použít pro vaše IT prostředí a tenanty, musí zvážit vaše jedinečné prostředí a potřeby, které je pro každého zákazníka nejvhodnější.
Ohrožení systémové identity
K útoku na systémovou identitu na organizaci dojde, když útočník úspěšně získá přístup ke správě infrastruktury identit organizace.
Pokud k tomu došlo ve vaší organizaci, jste v rase proti útočníkovi, abyste zabezpečili své prostředí, než bude možné provést další škody.
Útočníci s řízením správy infrastruktury identit prostředí můžou pomocí tohoto ovládacího prvku vytvářet, upravovat nebo odstraňovat identity a oprávnění identit v daném prostředí.
Pokud v místním ohrožení zabezpečení nejsou důvěryhodné certifikáty podpisového tokenu SAML uložené v hsM, zahrnuje útok přístup k důvěryhodnému certifikátu podpisového tokenu SAML.
Útočníci pak můžou certifikát použít k zosobnění tokenů SAML k zosobnění všech stávajících uživatelů a účtů organizace bez nutnosti přístupu k přihlašovacím údajům účtu a bez opuštění trasování.
Vysoce privilegovaný přístup k účtu se dá použít také k přidání přihlašovacích údajů řízených útočníkem do stávajících aplikací, což umožňuje útočníkům přístup k nedetekci systému, jako je volání rozhraní API, pomocí těchto oprávnění.
Reakce na útok
Reakce na ohrožení systémové identity by měla zahrnovat kroky uvedené na následujícím obrázku a tabulce:
| Krok | Popis |
|---|---|
| Vytvoření zabezpečené komunikace | Organizace, u které došlo k ohrožení systémové identity, musí předpokládat, že je ovlivněna veškerá komunikace. Před provedením jakékoli akce obnovení musíte zajistit, aby členové vašeho týmu, kteří jsou klíčem k vašemu šetření a úsilí o reakci , mohli bezpečně komunikovat. Zabezpečení komunikace musí být vaším prvním krokem, abyste mohli pokračovat bez znalostí útočníka. |
| Prozkoumání prostředí | Jakmile budete mít zabezpečenou komunikaci v základním týmu vyšetřování, můžete začít hledat počáteční přístupové body a techniky trvalosti. Identifikujte své indikace ohrožení zabezpečení a vyhledejte počáteční přístupové body a trvalost. Ve stejnou dobu začněte během úsilí o obnovení navazovat operace průběžného monitorování. |
| Zlepšení stavu zabezpečení | Povolte funkce zabezpečení a možnosti podle doporučení osvědčených postupů pro lepší zabezpečení systému. Nezapomeňte pokračovat v průběžném monitorování , jak bude čas pokračovat a jak se mění zabezpečení na šířku. |
| Znovu získat / zachovat řízení | Musíte znovu získat kontrolu nad svým prostředím od útočníka. Po opětovné kontrole a aktualizaci stavu zabezpečení systému se ujistěte, že opravíte nebo zablokujete všechny možné techniky trvalosti a nové počáteční zneužití přístupu. |
Vytvoření zabezpečené komunikace
Než začnete reagovat, musíte mít jistotu, že můžete bezpečně komunikovat bez odposlouchávání útočníka. Ujistěte se, že izolujte veškerou komunikaci související s incidentem, aby útočník nebyl vysunut do vašeho vyšetřování a provedl ho překvapením při akcích reakce.
Příklad:
Pro počáteční komunikaci 1:1 a skupiny můžete chtít použít volání do veřejné telefonní sítě, konferenční mosty, které nejsou připojené k podnikové infrastruktuře, a komplexní šifrovaná řešení pro zasílání zpráv.
Komunikace mimo tyto architektury by se měla považovat za ohrožená a nedůvěryhodná, pokud není ověřená prostřednictvím zabezpečeného kanálu.
Po těchto počátečních konverzacích můžete chtít vytvořit zcela nového tenanta Microsoftu 365, který je izolovaný od produkčního tenanta organizace. Účty můžete vytvářet jenom pro klíčové pracovníky, kteří musí být součástí odpovědi.
Pokud vytvoříte nového tenanta Microsoftu 365, nezapomeňte dodržovat všechny osvědčené postupy pro tenanta a zejména pro účty a práva pro správu. Omezte práva správce bez vztahu důvěryhodnosti pro externí aplikace nebo dodavatele.
Důležité
Ujistěte se, že ve stávajícím a potenciálně ohrožené e-mailové účty nekomunikujete se svým novým tenantem.
Další informace najdete v tématu Osvědčené postupy pro bezpečné používání Microsoftu 365.
Identifikace indikátorů ohrožení zabezpečení
Zákazníkům doporučujeme sledovat aktualizace od poskytovatelů systému, včetně Microsoftu a všech partnerů, a implementovat nové detekce a ochranu, které poskytuje, a identifikovat publikované incidenty ohrožení zabezpečení (IOCS).
Zkontrolujte aktualizace v následujících produktech zabezpečení společnosti Microsoft a implementujte všechny doporučené změny:
- Microsoft Sentinel
- Řešení a služby zabezpečení Microsoftu 365
- Zabezpečení Windows 10 Enterprise
- Microsoft Defender for Cloud Apps
- Microsoft Defender pro IoT
Implementace nových aktualizací pomůže identifikovat všechny předchozí kampaně a zabránit budoucím kampaním ve vašem systému. Mějte na paměti, že seznamy vstupně-výstupních operací nemusí být vyčerpávající a mohou se rozšířit s tím, jak vyšetřování pokračuje.
Proto doporučujeme provést také následující akce:
Ujistěte se, že jste použili srovnávací test zabezpečení cloudu Microsoftu a že monitorujete dodržování předpisů prostřednictvím Programu Microsoft Defender for Cloud.
Začlenit informační kanály analýzy hrozeb do systému SIEM, například konfigurací Připojení orů Microsoft Purview Data ve službě Microsoft Sentinel.
Ujistěte se, že všechny rozšířené nástroje detekce a reakce, jako je Microsoft Defender pro IoT, používají nejnovější data analýzy hrozeb.
Další informace najdete v dokumentaci k zabezpečení společnosti Microsoft:
Prozkoumání prostředí
Jakmile budou mít vaši pracovníci a pracovníci klíčů zabezpečené místo pro spolupráci, můžete začít zkoumat ohrožené prostředí.
Budete muset vyvážit to, že se dostanete na konec každého neobvyklého chování a provedete rychlou akci, abyste zastavili jakoukoli další aktivitu útočníka. Jakákoli úspěšná náprava vyžaduje pochopení počáteční metody zadávání a trvalosti, které útočník použil, jak je to možné v době dokončení. Jakékoli metody trvalosti zmeškané během vyšetřování můžou vést k trvalému přístupu útočníka a potenciálnímu překompromitování.
V tomto okamžiku můžete chtít provést analýzu rizik a určit prioritu akcí. Další informace naleznete v tématu:
- Ohrožení datacentra, ohrožení zabezpečení a posouzení rizik
- Sledování nově vznikajících hrozeb a reakce na ně pomocí analýzy hrozeb
- Správa hrozeb a ohrožení zabezpečení
Bezpečnostní služby Microsoftu poskytují rozsáhlé zdroje informací o podrobných šetřeních. Následující části popisují hlavní doporučené akce.
Poznámka:
Pokud zjistíte, že jeden nebo více uvedených zdrojů protokolování není aktuálně součástí vašeho programu zabezpečení, doporučujeme je co nejdříve nakonfigurovat, aby bylo možné povolit detekce a budoucí kontroly protokolů.
Nezapomeňte nakonfigurovat uchovávání protokolů tak, aby podporovalo cíle vyšetřování vaší organizace. Uchovávejte důkazy podle potřeby pro právní, regulační nebo pojistné účely.
Zkoumání a kontrola protokolů cloudového prostředí
Prozkoumejte a zkontrolujte protokoly cloudového prostředí, kde najdete podezřelé akce a indikaci ohrožení zabezpečení útočníka. Zkontrolujte například následující protokoly:
- Sjednocené protokoly auditu (UAL)
- Protokoly Microsoft Entra
- Místní protokoly Microsoft Exchange
- Protokoly VPN, například z brány VPN Gateway
- Protokoly technického systému
- Protokoly detekce antivirové ochrany a koncových bodů
Kontrola protokolů auditu koncových bodů
Zkontrolujte protokoly auditu koncového bodu pro místní změny, jako jsou například následující typy akcí:
- Změny členství ve skupinách
- Vytvoření nového uživatelského účtu
- Delegování ve službě Active Directory
Zvlášť zvažte všechny tyto změny, ke kterým dochází spolu s jinými typickými známkami ohrožení nebo aktivity.
Kontrola práv správce ve vašich prostředích
Zkontrolujte práva správce v cloudových i místních prostředích. Příklad:
| Environment | Popis |
|---|---|
| Všechna cloudová prostředí | – Zkontrolujte privilegovaná přístupová práva v cloudu a odeberte všechna nepotřebná oprávnění. – Implementace privileged Identity Management (PIM) – Nastavení zásad podmíněného přístupu pro omezení přístupu pro správu během posílení zabezpečení |
| Všechna místní prostředí | – Kontrola privilegovaného přístupu v místním prostředí a odebrání nepotřebných oprávnění - Omezení členství předdefinovaných skupin – Ověření delegování služby Active Directory – Posílení prostředí vrstvy 0 a omezení přístupu k prostředkům vrstvy 0 |
| Všechny podnikové aplikace | Zkontrolujte delegovaná oprávnění a udělení souhlasu, které umožňují některou z následujících akcí: - Úprava privilegovaných uživatelů a rolí - Čtení nebo přístup ke všem poštovním schránkám - Odesílání nebo přeposílání e-mailů jménem jiných uživatelů - Přístup ke všemu obsahu webu OneDrivu nebo SharePointu - Přidání instančních objektů, které mohou do adresáře číst a zapisovat |
| Prostředí Microsoftu 365 | Zkontrolujte nastavení přístupu a konfigurace pro vaše prostředí Microsoftu 365, včetně následujících: – Sdílení SharePointu Online – Microsoft Teams – Power Apps - Microsoft OneDrive pro firmy |
| Kontrola uživatelských účtů ve vašich prostředích | – Zkontrolujte a odeberte uživatelské účty typu host, které už nepotřebujete. – Zkontrolujte konfigurace e-mailu pro delegáty, oprávnění ke složce poštovní schránky, registrace mobilních zařízení ActiveSync, pravidla doručené pošty a Možnosti Outlooku na webu. - Zkontrolujte práva applicationImpersonation a omezte co nejvíce používání starší verze ověřování. – Ověřte, že se vynucuje vícefaktorové ověřování a že kontaktní informace pro všechny uživatele jsou správné jak vícefaktorové ověřování, tak samoobslužné resetování hesla (SSPR). |
Vytvoření průběžného monitorování
Detekce chování útočníka zahrnuje několik metod a závisí na nástrojích zabezpečení, které má vaše organizace k dispozici pro reakci na útok.
Například služby zabezpečení Microsoftu můžou mít konkrétní prostředky a pokyny, které jsou pro útok relevantní, jak je popsáno v následujících částech.
Důležité
Pokud vaše šetření najde důkazy o oprávněních správce získaných prostřednictvím ohrožení zabezpečení vašeho systému, které poskytly přístup k účtu globálního správce vaší organizace nebo důvěryhodnému podpisovém certifikátu tokenu SAML, doporučujeme provést opatření k nápravě a zachování kontroly správy.
Monitorování pomocí Služby Microsoft Sentinel
Microsoft Sentinel obsahuje řadu integrovaných prostředků, které vám pomůžou při vyšetřování, jako jsou sešity proaktivního vyhledávání a analytická pravidla, která pomáhají detekovat útoky v příslušných oblastech vašeho prostředí.
Pomocí centra obsahu služby Microsoft Sentinel můžete nainstalovat rozšířená řešení zabezpečení a datové konektory, které streamují obsah z jiných služeb ve vašem prostředí. Další informace naleznete v tématu:
- Vizualizace a analýza prostředí
- Out-the-box detekuje hrozby
- Zjišťování a nasazování předefinovaných řešení
Monitorování pomocí Microsoft Defenderu pro IoT
Pokud vaše prostředí obsahuje také prostředky provozní technologie (OT), můžete mít zařízení, která používají specializované protokoly, které upřednostňují provozní problémy před zabezpečením.
Nasaďte Program Microsoft Defender for IoT k monitorování a zabezpečení těchto zařízení, zejména těch, které nejsou chráněné tradičními systémy monitorování zabezpečení. Nainstalujte senzory sítě Defender for IoT v konkrétních bodech zájmu ve vašem prostředí, abyste mohli detekovat hrozby v probíhající síťové aktivitě pomocí monitorování bez agentů a dynamické analýzy hrozeb.
Další informace najdete v tématu Začínáme s monitorováním zabezpečení sítě OT.
Monitorování pomocí XDR v programu Microsoft Defender
Doporučujeme zkontrolovat trasu XDR v programu Microsoft Defender pro koncový bod a Antivirová ochrana v programu Microsoft Defender konkrétní pokyny, které jsou relevantní pro váš útok.
Podívejte se na další příklady detekcí, dotazů proaktivního vyhledávání a sestav analýzy hrozeb v Centru zabezpečení Microsoftu, jako jsou například XDR v programu Microsoft Defender, XDR v programu Microsoft Defender pro identitu a Microsoft Defender for Cloud Apps. Abyste zajistili pokrytí, ujistěte se, že kromě všech řadičů domény nainstalujete agenta Microsoft Defenderu for Identity na servery ADFS.
Další informace naleznete v tématu:
- Sledování nově vznikajících hrozeb a reakce na ně pomocí analýzy hrozeb
- Vysvětlení sestavy analytika v analýze hrozeb
Monitorování pomocí Microsoft Entra ID
Protokoly přihlašování Microsoft Entra můžou ukázat, jestli se správně používá vícefaktorové ověřování. Přístup k protokolům přihlašování přímo z oblasti Microsoft Entra na webu Azure Portal, použijte rutinu Get-MgBetaAuditLogSignIn nebo si je prohlédněte v oblasti Protokoly služby Microsoft Sentinel.
Pokud má například pole výsledků vícefaktorového ověřování hodnotu požadavku vícefaktorového ověřování splněného deklarací identity v tokenu, vyhledejte nebo vyfiltrujte výsledky. Pokud vaše organizace používá ADFS a protokolované deklarace identity nejsou součástí konfigurace ADFS, můžou tyto deklarace identity znamenat aktivitu útočníka.
Výsledky můžete dál vyhledávat nebo filtrovat, abyste vyloučili nadbytečný šum. Můžete například chtít zahrnout výsledky jenom z federovaných domén. Pokud najdete podezřelé přihlášení, můžete přejít k podrobnostem ještě dál na základě IP adres, uživatelských účtů atd.
Následující tabulka popisuje další metody použití protokolů Microsoft Entra ve vašem šetření:
| metoda | Popis |
|---|---|
| Analýza rizikových událostí přihlášení | Microsoft Entra ID a jeho platforma Identity Protection mohou generovat rizikové události spojené s použitím tokenů SAML generovaných útočníkem. Tyto události můžou být označené jako neznámé vlastnosti, anonymní IP adresa, neuskutečené cestování atd. Doporučujeme pečlivě analyzovat všechny rizikové události spojené s účty, které mají oprávnění správce, včetně všech, které mohly být automaticky zamítnuty nebo opraveny. Například riziková událost nebo anonymní IP adresa se můžou automaticky napravit, protože uživatel předal vícefaktorové ověřování. Ujistěte se, že používáte ADFS Připojení Health, aby se všechny události ověřování zobrazovaly v MICROSOFT Entra ID. |
| Zjištění vlastností ověřování domény | Jakýkoli pokus útočníka o manipulaci se zásadami ověřování domény se zaznamená do protokolů auditu Microsoft Entra a projeví se v protokolu sjednoceného auditu. Zkontrolujte například všechny události přidružené k nastavení ověřování domény v jednotném protokolu auditu, protokolech auditu Microsoft Entra a/ nebo v prostředí SIEM a ověřte, že všechny uvedené aktivity byly očekávané a plánované. |
| Zjištění přihlašovacích údajů pro aplikace OAuth | Útočníci, kteří získali kontrolu nad privilegovaným účtem, mohou vyhledat aplikaci s možností přístupu k e-mailu libovolného uživatele v organizaci a pak do této aplikace přidat přihlašovací údaje řízené útočníkem. Můžete například chtít vyhledat některou z následujících aktivit, která by byla konzistentní s chováním útočníka: – Přidání nebo aktualizace přihlašovacích údajů instančního objektu - Aktualizace certifikátů a tajných kódů aplikací – Přidání přiřazení role aplikace uživateli – Přidání Oauth2PermissionGrant |
| Zjištění přístupu k e-mailu aplikacemi | Vyhledejte přístup k e-mailu podle aplikací ve vašem prostředí. Například pomocí funkcí Microsoft Purview Audit (Premium) můžete prošetřit ohrožené účty. |
| Detekce neinteraktivních přihlášení k instančním objektům | Sestavy přihlášení Microsoft Entra poskytují podrobnosti o všech neinteraktivních přihlášeních, které používaly přihlašovací údaje instančního objektu. Sestavy přihlašování můžete například použít k vyhledání cenných dat pro šetření, například IP adresu používanou útočníkem pro přístup k e-mailovým aplikacím. |
Zlepšení stavu zabezpečení
Pokud ve vašich systémech došlo k události zabezpečení, doporučujeme vám odrážet aktuální strategii a priority zabezpečení.
Reakce na incidenty jsou často požádány, aby poskytovaly doporučení ohledně toho, jaké investice by organizace měla určit prioritu, když se teď potýkají s novými hrozbami.
Kromě doporučení zdokumentovaných v tomto článku doporučujeme zvážit prioritu oblastí zaměření, které reagují na techniky následného zneužití používané tímto útočníkem, a běžné mezery v stavu zabezpečení, které jim umožňují.
Následující části obsahují doporučení ke zlepšení stavu obecného zabezpečení i stavu zabezpečení identit.
Vylepšení obecného stavu zabezpečení
Pokud chcete zajistit obecný stav zabezpečení, doporučujeme následující akce:
Projděte si bezpečnostní skóre Microsoftu a seznamte se se základními doporučeními k zabezpečení přizpůsobeným produktům a službám Microsoftu, které používáte.
Ujistěte se, že vaše organizace má rozšířená řešení pro detekci a reakci (XDR) a informace o zabezpečení a správu událostí (SIEM), jako je Microsoft Defender XDR pro koncový bod, Microsoft Sentinel a Microsoft Defender pro IoT.
Zlepšení stavu zabezpečení identit
K zajištění stavu zabezpečení souvisejícího s identitou doporučujeme následující akce:
Projděte si pět kroků Od Microsoftu pro zabezpečení infrastruktury identit a podle potřeby upřednostněte kroky pro vaši architekturu identit.
Zvažte migraci do výchozích hodnot zabezpečení Microsoft Entra pro zásady ověřování.
Eliminujte použití starší verze ověřování ve vaší organizaci, pokud je systémy nebo aplikace stále vyžadují. Další informace naleznete v tématu Blokování starší verze ověřování pro Microsoft Entra ID s podmíněným přístupem.
Zacházejte s infrastrukturou ADFS a infrastrukturou Připojení AD jako s prostředky vrstvy 0.
Omezte přístup místního správce k systému, včetně účtu, který se používá ke spuštění služby ADFS.
Nejnižší oprávnění potřebná pro účet, na kterém běží služba AD FS, je přihlášení jako přiřazení práva uživatele služby .
Omezte přístup správce na omezené uživatele a z omezených rozsahů IP adres pomocí zásad brány Windows Firewall pro vzdálenou plochu.
Doporučujeme nastavit jump box vrstvy 0 nebo ekvivalentní systém.
Zablokujte veškerý příchozí přístup SMB k systémům odkudkoliv v prostředí. Další informace naleznete v tématu Beyond the Edge: How to Secure SMB Traffic in Windows. Doporučujeme také streamovat protokoly brány Windows Firewall do SIEM pro historické a proaktivní monitorování.
Pokud používáte účet služby a podpora prostředí ho, migrujte z účtu služby na účet spravované skupiny (gMSA). Pokud nemůžete přejít na gMSA, otočte heslo účtu služby na složité heslo.
Ujistěte se, že je v systémech ADFS povolené podrobné protokolování.
Náprava a zachování správy
Pokud vaše šetření zjistilo, že útočník má kontrolu nad správou v cloudu nebo místním prostředí organizace, musíte znovu získat kontrolu takovým způsobem, abyste zajistili, že útočník nebude trvalý.
Tato část obsahuje možné metody a kroky, které je potřeba vzít v úvahu při sestavování plánu obnovení řízení správy.
Důležité
Přesný postup vyžadovaný ve vaší organizaci bude záviset na tom, jakou trvalost jste ve vyšetřování objevili, a na tom, jak jste si jistí, že vaše šetření bylo dokončené a zjistilo všechny možné metody zadávání a trvalosti.
Ujistěte se, že všechny provedené akce se provádějí z důvěryhodného zařízení vytvořeného z čistého zdroje. Použijte například novou pracovní stanici s privilegovaným přístupem.
Následující části obsahují následující typy doporučení pro nápravu a zachování kontroly správy:
- Odebrání důvěryhodnosti na aktuálních serverech
- Obměně podpisového certifikátu tokenu SAML nebo nahrazení serverů ADFS v případě potřeby
- Konkrétní nápravné aktivity pro cloudová nebo místní prostředí
Odebrání důvěryhodnosti na aktuálních serverech
Pokud vaše organizace ztratila kontrolu nad podpisovými certifikáty tokenů nebo federovaným vztahem důvěryhodnosti, je nejistější přístup k odebrání důvěryhodnosti a přepnutí na cloudovou identitu při nápravě v místním prostředí.
Odebrání důvěryhodnosti a přechodu na cloudovou správu identity vyžaduje pečlivé plánování a podrobné pochopení dopadů obchodních operací izolace identity. Další informace najdete v tématu Ochrana Microsoftu 365 před místními útoky.
Obměna podpisového certifikátu tokenu SAML
Pokud se vaše organizace rozhodne neodebratvztah důvěryhodnosti při obnovování řízení správy v místním prostředí, budete muset po opětovném obnovení místního řízení správy otočit podpisový certifikát tokenu SAML a zablokovat útočníkům přístup k podpisovým certifikátům.
Obměně podpisového certifikátu tokenu stále umožňuje, aby předchozí podpisový certifikát tokenu fungoval. Pokračování v tom, aby předchozí certifikáty fungovaly, je integrovaná funkce pro normální obměny certifikátů, která organizacím umožňuje aktualizovat všechny vztahy důvěryhodnosti předávající strany před vypršením platnosti certifikátu.
Pokud došlo k útoku, nechcete, aby útočník zachoval přístup vůbec. Ujistěte se, že útočník nezachovává schopnost vytvářet tokeny pro vaši doménu.
Další informace naleznete v tématu:
Nahrazení serverů ADFS
Pokud místo obměny certifikátu tokenu SAML rozhodnete nahradit servery ADFS čistými systémy, budete muset odebrat stávající službu AD FS z vašeho prostředí a pak vytvořit novou.
Další informace najdete v tématu Odebrání konfigurace.
Aktivity nápravy cloudu
Kromě doporučení uvedených výše v tomto článku doporučujeme také následující aktivity pro vaše cloudová prostředí:
| Aktivita | Popis |
|---|---|
| Resetování hesel | Resetujte hesla u všech účtů se zalomeným sklem a snižte počet účtů se zalomením na absolutní požadované minimum. |
| Omezení účtů privilegovaného přístupu | Ujistěte se, že služby a uživatelské účty s privilegovaným přístupem jsou výhradně cloudové účty a nepoužívají místní účty, které jsou synchronizované nebo federované s Microsoft Entra ID. |
| Vynucení vícefaktorového ověřování | Vynucujte vícefaktorové ověřování (MFA) u všech uživatelů se zvýšenými oprávněními v tenantovi. Doporučujeme vynucovat vícefaktorové ověřování napříč všemi uživateli v tenantovi. |
| Omezení přístupu pro správu | Implementujte Privileged Identity Management (PIM) a podmíněný přístup, abyste omezili přístup pro správu. Pro uživatele Microsoftu 365 implementujte Privileged Access Management (PAM), abyste omezili přístup k citlivým schopnostem, jako je eDiscovery, Globální Správa, účet Správa istrace a další. |
| Kontrola nebo omezení delegovaných oprávnění a udělení souhlasu | Zkontrolujte a omezte všechna delegovaná oprávnění nebo udělení souhlasu podnikových aplikací, která umožňují některou z následujících funkcí: - Úprava privilegovaných uživatelů a rolí - Čtení, odesílání e-mailů nebo přístup ke všem poštovním schránkám – Přístup k obsahu OneDrivu, Teams nebo SharePointu – Přidání instančních objektů, které můžou do adresáře číst a zapisovat – Oprávnění aplikace a delegovaný přístup |
Místní nápravné aktivity
Kromě doporučení uvedených výše v tomto článku doporučujeme také následující aktivity pro vaše místní prostředí:
| Aktivita | Popis |
|---|---|
| Opětovné sestavení ovlivněných systémů | Znovu sestavte systémy identifikované jako ohrožené útočníkem během vyšetřování. |
| Odebrání nepotřebných uživatelů správců | Odeberte nepotřebné členy ze skupin Domain Správa s, Backup Operators a Enterprise Správa. Další informace naleznete v tématu Zabezpečení privilegovaného přístupu. |
| Resetování hesel na privilegované účty | Resetujte hesla všech privilegovaných účtů v prostředí. Poznámka: Privilegované účty nejsou omezené na předdefinované skupiny, ale můžou to být také skupiny, které mají delegovaný přístup ke správě serveru, správě pracovních stanic nebo jiným oblastem vašeho prostředí. |
| Resetování účtu krbtgt | Resetujte účet krbtgt dvakrát pomocí skriptu New-KrbtgtKeys . Poznámka: Pokud používáte řadiče domény jen pro čtení, budete muset skript spustit samostatně pro řadiče domény pro čtení i zápis a pro řadiče domény jen pro čtení. |
| Naplánování restartování systému | Po ověření, že neexistují žádné mechanismy trvalosti vytvořené útočníkem nebo zůstanou ve vašem systému, naplánujte restartování systému, které vám pomůže s odebráním malwaru rezidenta paměti. |
| Resetování hesla DSRM | Resetujte heslo režimu obnovení adresářové služby (DSRM) každého řadiče domény na něco jedinečného a složitého. |
Náprava nebo trvalost bloku zjištěná během vyšetřování
Šetření je iterativní proces a budete muset vyvážit organizační přání napravit při identifikaci anomálií a pravděpodobnost, že náprava upozorní útočníka na vaši detekci a poskytne mu čas reagovat.
Útočník, který si například uvědomí o detekci, může změnit techniky nebo vytvořit větší trvalost.
Nezapomeňte napravit všechny techniky trvalosti, které jste identifikovali v dřívějších fázích šetření.
Náprava přístupu k účtu uživatele a služby
Kromě výše uvedených doporučených akcí doporučujeme zvážit následující kroky pro nápravu a obnovení uživatelských účtů:
Vynucujte podmíněný přístup na základě důvěryhodných zařízení. Pokud je to možné, doporučujeme vynutit podmíněný přístup založený na poloze tak, aby vyhovoval požadavkům vaší organizace.
Po vyřazení všech uživatelských účtů, které mohly být ohroženy, resetujte hesla . Nezapomeňte také implementovat plán v polovině období pro resetování přihlašovacích údajů pro všechny účty ve vašem adresáři.
Obnovovací tokeny okamžitě po obměně přihlašovacích údajů zrušte.
Další informace naleznete v tématu:
Další kroky
Získejte nápovědu z produktů Microsoftu, včetně portálu Microsoft Defender, Portál dodržování předpisů Microsoft Purview a Centra zabezpečení a dodržování předpisů Office 365 tak, že v horním navigačním panelu vyberete tlačítko Nápověda (?).
Pokud potřebujete pomoc s nasazením, kontaktujte nás ve společnosti FastTrack.
Pokud máte potřeby související s podporou produktů, vytvořte případ podpory Microsoftu.
Důležité
Pokud se domníváte, že jste byli ohroženi a potřebujete pomoc prostřednictvím reakce na incidenty, otevřete případ podpory Microsoftu sev A .