Del via


Beskedklassificering for mistænkelige IP-adresser, der er relateret til adgangskodesprøjteangreb

Gælder for:

  • Microsoft Defender XDR

Trusselsaktører bruger teknikker til at gætte adgangskoder for at få adgang til brugerkonti. I et adgangskodesprøjteangreb kan trusselsaktøren ty til nogle af de mest anvendte adgangskoder mod mange forskellige konti. Angribere kompromitterer konti ved hjælp af adgangskodesprøjtning, da mange brugere stadig bruger standardadgangskoder og svage adgangskoder.

Denne playbook hjælper dig med at undersøge tilfælde, hvor IP-adresser er blevet mærket som risikable eller tilknyttet et adgangskodesprøjteangreb, eller der er registreret mistænkelige uforklarlige aktiviteter, f.eks. en bruger, der logger på fra et ukendt sted, eller en bruger, der får uventede MFA-prompter (multifaktorgodkendelse). Denne vejledning er til sikkerhedsteams, f.eks. SOC (Security Operations Center), og it-administratorer, der gennemser, håndterer/administrerer og klassificerer beskederne. Denne vejledning hjælper med hurtigt at klassificere beskederne som enten ægte positive (TP) eller falske positive (FP) og, hvis der er tale om TP, at udføre anbefalede handlinger for at afhjælpe angrebet og afhjælpe sikkerhedsrisiciene.

De forventede resultater af brug af denne vejledning er:

  • Du har identificeret de beskeder, der er knyttet til IP-adresser til adgangskodespray, som skadelige (TP) eller aktiviteter med falsk positiv (FP).

  • Du har foretaget den nødvendige handling, hvis IP-adresser har udført adgangskodesprøjteangreb.

Undersøgelsestrin

Dette afsnit indeholder en trinvis vejledning i, hvordan du reagerer på beskeden og udfører de anbefalede handlinger for at beskytte din organisation mod yderligere angreb.

1. Gennemse beskeden

Her er et eksempel på en advarsel om adgangskodespray i beskedkøen:

Skærmbillede af Microsoft Defender 365-besked.

Det betyder, at der er mistænkelig brugeraktivitet, der stammer fra en IP-adresse, som kan være knyttet til et forsøg på brute-force eller adgangskodespray ifølge kilder til trusselsintelligens.

2. Undersøg IP-adressen

  • Se på de aktiviteter , der stammer fra IP:

    • Er det for det meste mislykkede forsøg på at logge på?

    • Ser intervallet mellem forsøg på at logge på mistænkeligt ud? Automatiserede adgangskode sprayangreb har en tendens til at have et regelmæssigt tidsinterval mellem forsøg.

    • Er der vellykkede forsøg på, at en bruger/flere brugere logger på med MFA-prompter ? Tilstedeværelsen af disse forsøg kan indikere, at IP-adressen ikke er skadelig.

    • Bruges ældre protokoller? Brug af protokoller som POP3, IMAP og SMTP kan indikere et forsøg på at udføre et adgangskodesprayangreb. Søgning Unknown(BAV2ROPC) efter brugeragenten (enhedstype) i aktivitetsloggen angiver brugen af ældre protokoller. Du kan se nedenstående eksempel, når du kigger på aktivitetsloggen. Denne aktivitet skal korreleres yderligere til andre aktiviteter.

      Skærmbillede af Microsoft Defender 365-grænseflade, der viser enhedstypen.

      Figur 1. I feltet Enhedstype vises Unknown(BAV2ROPC) brugeragenten i Microsoft Defender XDR.

    • Kontrollér brugen af anonyme proxyer eller Tor-netværket. Trusselsaktører bruger ofte disse alternative proxyer til at skjule deres oplysninger, hvilket gør dem vanskelige at spore. Men ikke al brug af nævnte proxyer korrelerer med ondsindede aktiviteter. Du skal undersøge andre mistænkelige aktiviteter, der kan give bedre angrebsindikatorer.

    • Kommer IP-adressen fra et vpn (virtuelt privat netværk)? Er VPN-forbindelsen pålidelig? Kontrollér, om IP-adressen stammer fra en VPN, og gennemse organisationen bag den ved hjælp af værktøjer som RiskIQ.

    • Kontrollér andre IP-adresser med det samme undernet/internetudbyder. Nogle gange stammer adgangskodesprøjteangreb fra mange forskellige IP-adresser inden for det samme undernet/internetudbyder.

  • Er IP-adressen fælles for lejeren? Kontrollér aktivitetsloggen for at se, om lejeren har set IP-adressen inden for de seneste 30 dage.

  • Søg for andre mistænkelige aktiviteter eller beskeder, der stammer fra IP-adressen i lejeren. Eksempler på aktiviteter, du skal holde øje med, kan omfatte sletning af mails, oprettelse af regler for videresendelse eller fildownload efter et vellykket forsøg på at logge på.

  • Kontrollér IP-adressens risikoscore ved hjælp af værktøjer som RiskIQ.

3. Undersøg mistænkelig brugeraktivitet efter logon

Når en mistænkelig IP-adresse genkendes, kan du gennemse de konti, der er logget på. Det er muligt, at en gruppe konti er blevet kompromitteret og brugt til at logge på fra IP-adressen eller andre lignende IP-adresser.

Filtrer alle vellykkede forsøg på at logge på fra IP-adressen omkring og kort efter tidspunktet for beskederne. Søg derefter efter skadelige eller usædvanlige aktiviteter i sådanne konti, når du har logget på.

  • Brugerkontoaktiviteter

    Valider, at aktiviteten på den konto, der gik forud for aktiviteten for adgangskodesprøjtning, ikke er mistænkelig. Kontrollér f.eks., om der er uregelmæssig aktivitet baseret på fælles placering eller internetudbyder, om kontoen udnytter en brugeragent, som den ikke brugte før, hvis der blev oprettet andre gæstekonti, hvis der blev oprettet andre legitimationsoplysninger, efter at kontoen er logget på fra en ondsindet IP-adresse, blandt andre.

  • Beskeder

    Kontrollér, om brugeren modtog andre beskeder før aktiviteten med adgangskodesprøjtning. Hvis du har disse beskeder, indikerer det, at brugerkontoen kan være kompromitteret. Eksempler omfatter bl.a. umulige rejsebeskeder, aktivitet fra sjældne lande/områder og mistænkelige aktiviteter til sletning af mails.

  • Hændelse

    Kontrollér, om beskeden er knyttet til andre beskeder, der angiver en hændelse. Hvis det er tilfældet, skal du kontrollere, om hændelsen indeholder andre sande positive beskeder.

Avancerede jagtforespørgsler

Avanceret jagt er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at inspicere hændelser i dit netværk og finde trusselsindikatorer.

Brug denne forespørgsel til at finde konti med forsøg på at logge på med de højeste risikoscores, der kom fra den skadelige IP-adresse. Denne forespørgsel filtrerer også alle vellykkede forsøg på at logge på med tilsvarende risikoscores.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores

Brug denne forespørgsel til at kontrollere, om den mistænkelige IP-adresse brugte ældre protokoller i forsøg på at logge på.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent

Brug denne forespørgsel til at gennemse alle beskeder inden for de seneste syv dage, der er knyttet til den mistænkelige IP-adresse.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize ( 
        AlertEvidence
            | where Timestamp between (start_date .. end_date)
            | where RemoteIP == ip_address
            | project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)

Brug denne forespørgsel til at gennemse kontoaktivitet for mistænkelige kompromitterede konti.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
CloudAppEvents
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | summarize ActivityCount = count() by AccountObjectId, ActivityType
    | extend ActivityPack = pack(ActivityType, ActivityCount)
    | summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId

Brug denne forespørgsel til at gennemse alle beskeder for mistænkelige kompromitterede konti.

let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
  1. Bloker hackerens IP-adresse.
  2. Nulstil brugerkontoens legitimationsoplysninger.
  3. Tilbagekald adgangstokens for kompromitterede konti.
  4. Bloker ældre godkendelse.
  5. Kræv MFA for brugere , hvis det er muligt, for at forbedre kontosikkerheden og gøre konto kompromitteret af et adgangskodesprayangreb vanskeligt for hackeren.
  6. Bloker den kompromitterede brugerkonto fra at logge på, hvis det er nødvendigt.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.