Warnungsklassifizierung für verdächtige IP-Adressen im Zusammenhang mit Kennwortsprayangriffen
Gilt für:
- Microsoft Defender XDR
Bedrohungsakteure verwenden Techniken zum Erraten von Kennwörtern, um Zugriff auf Benutzerkonten zu erhalten. Bei einem Kennwortsprayangriff kann der Bedrohungsakteur auf einige der am häufigsten verwendeten Kennwörter für viele verschiedene Konten zurückgreifen. Angreifer kompromittieren Erfolgreich Konten mithilfe von Kennwortsprays, da viele Benutzer weiterhin standardbasierte und schwache Kennwörter verwenden.
Dieses Playbook hilft Ihnen bei der Untersuchung von Instanzen, in denen IP-Adressen als riskant bezeichnet oder einem Kennwortsprayangriff zugeordnet sind, oder bei denen verdächtige unerklärliche Aktivitäten erkannt wurden, z. B. ein Benutzer, der sich von einem unbekannten Ort anmeldet oder ein Benutzer unerwartete MFA-Eingabeaufforderungen (Multi-Factor Authentication) erhält. Dieser Leitfaden richtet sich an Sicherheitsteams wie das Security Operations Center (SOC) und IT-Administratoren, die die Warnungen überprüfen, verwalten und klassifizieren. Dieser Leitfaden hilft bei der schnellen Klassifizierung der Warnungen als true positive (TP) oder false positive (FP) und im Fall von TP empfohlene Maßnahmen zur Abwehr des Angriffs und zur Minimierung der Sicherheitsrisiken.
Die verwendung dieses Leitfadens hat folgende Ergebnisse:
Sie haben die Warnungen im Zusammenhang mit Kennwortspray-IP-Adressen als böswillige (TP) oder falsch positive Aktivitäten (FP) identifiziert.
Sie haben die erforderliche Aktion ergriffen, wenn IP-Adressen Kennwortsprayangriffe durchgeführt haben.
Untersuchungsschritte
Dieser Abschnitt enthält schritt-für-Schritt-Anleitungen, um auf die Warnung zu reagieren und die empfohlenen Aktionen auszuführen, um Ihre organization vor weiteren Angriffen zu schützen.
1. Überprüfen der Warnung
Hier sehen Sie ein Beispiel für eine Kennwortspraywarnung in der Warnungswarteschlange:
Dies bedeutet, dass verdächtige Benutzeraktivitäten von einer IP-Adresse stammen, die gemäß Threat Intelligence-Quellen mit einem Brute-Force- oder Kennwort-Spray-Versuch verknüpft sein könnte.
2. Untersuchen der IP-Adresse
Sehen Sie sich die Aktivitäten an, die von der IP stammen:
Handelt es sich meist um fehlgeschlagene Anmeldeversuche?
Sieht das Intervall zwischen Anmeldeversuchen verdächtig aus? Automatisierte Kennwortsprayangriffe haben in der Regel ein regelmäßiges Zeitintervall zwischen den Versuchen.
Gibt es erfolgreiche Versuche, dass sich ein Benutzer oder mehrere Benutzer mit MFA-Aufforderungen anmelden? Das Vorhandensein dieser Versuche kann darauf hindeuten, dass die IP-Adresse nicht böswillig ist.
Werden Legacyprotokolle verwendet? Die Verwendung von Protokollen wie POP3, IMAP und SMTP kann auf einen Versuch hinweisen, einen Kennwortsprayangriff auszuführen. Die Suche
Unknown(BAV2ROPC)
im Benutzer-Agent (Gerätetyp) im Aktivitätsprotokoll gibt die Verwendung von Legacyprotokollen an. Sie können sich das folgende Beispiel ansehen, wenn Sie sich das Aktivitätsprotokoll ansehen. Diese Aktivität muss weiter mit anderen Aktivitäten korreliert werden.Abbildung 1: Im Feld Gerätetyp wird
Unknown(BAV2ROPC)
der Benutzer-Agent in Microsoft Defender XDR angezeigt.Überprüfen Sie die Verwendung anonymer Proxys oder des Tor-Netzwerks. Bedrohungsakteure verwenden diese alternativen Proxys häufig, um ihre Informationen zu verbergen, sodass sie schwer nachverfolgt werden können. Allerdings korrelieren nicht alle Verwendungen dieser Proxys mit böswilligen Aktivitäten. Sie müssen andere verdächtige Aktivitäten untersuchen, die möglicherweise bessere Angriffsindikatoren bieten.
Stammt die IP-Adresse aus einem virtuellen privaten Netzwerk (VPN)? Ist das VPN vertrauenswürdig? Überprüfen Sie mithilfe von Tools wie RiskIQ, ob die IP-Adresse von einem VPN stammt, und überprüfen Sie die organization dahinter.
Überprüfen Sie andere IP-Adressen mit demselben Subnetz/ISP. Manchmal stammen Kennwortsprayangriffe von vielen verschiedenen IP-Adressen innerhalb desselben Subnetzes/ISP.
Ist die IP-Adresse für den Mandanten gemeinsam? Überprüfen Sie das Aktivitätsprotokoll, um festzustellen, ob der Mandant die IP-Adresse in den letzten 30 Tagen gesehen hat.
Search für andere verdächtige Aktivitäten oder Warnungen, die von der IP-Adresse im Mandanten stammen. Beispiele für Aktivitäten, auf die Sie achten sollten, können das Löschen von E-Mails, das Erstellen von Weiterleitungsregeln oder das Herunterladen von Dateien nach einem erfolgreichen Anmeldeversuch sein.
Überprüfen Sie die Risikobewertung der IP-Adresse mithilfe von Tools wie RiskIQ.
3. Untersuchen verdächtiger Benutzeraktivitäten nach der Anmeldung
Sobald eine verdächtige IP-Adresse erkannt wurde, können Sie die Konten überprüfen, die sich angemeldet haben. Es ist möglich, dass eine Gruppe von Konten kompromittiert und erfolgreich verwendet wurde, um sich über die IP-Adresse oder andere ähnliche IP-Adressen anzumelden.
Filtern Sie alle erfolgreichen Anmeldeversuche über die IP-Adresse und kurz nach dem Zeitpunkt der Warnungen. Suchen Sie dann nach schädlichen oder ungewöhnlichen Aktivitäten in solchen Konten, nachdem Sie sich angemeldet haben.
Benutzerkontoaktivitäten
Überprüfen Sie, ob die Aktivität in dem Konto, das der Kennwortsprayaktivität vorausgeht, nicht verdächtig ist. Überprüfen Sie beispielsweise, ob eine anormale Aktivität basierend auf einem gemeinsamen Standort oder ISP vorliegt, ob das Konto einen Benutzer-Agent verwendet, den es zuvor nicht verwendet hat, ob andere Gastkonten erstellt wurden, ob andere Anmeldeinformationen erstellt wurden, nachdem das Konto unter anderem von einer schädlichen IP-Adresse angemeldet wurde.
Warnungen
Überprüfen Sie, ob der Benutzer weitere Warnungen vor der Aktivität zum Sprühen von Kennwörtern erhalten hat. Diese Warnungen weisen darauf hin, dass das Benutzerkonto möglicherweise kompromittiert ist. Beispiele hierfür sind u. a. eine unmögliche Reisewarnung, Aktivitäten aus seltenen Ländern/Regionen und verdächtige E-Mail-Löschaktivitäten.
Vorfall
Überprüfen Sie, ob die Warnung anderen Warnungen zugeordnet ist, die auf einen Incident hinweisen. Wenn dies der Fall ist, überprüfen Sie, ob der Incident andere wahr positive Warnungen enthält.
Abfragen für die erweiterte Suche
Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie Ereignisse in Ihrem Netzwerk untersuchen und Bedrohungsindikatoren finden können.
Verwenden Sie diese Abfrage, um Konten mit Anmeldeversuchen mit den höchsten Risikobewertungen zu finden, die von der böswilligen IP-Adresse stammen. Diese Abfrage filtert auch alle erfolgreichen Anmeldeversuche mit entsprechenden Risikobewertungen.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores
Verwenden Sie diese Abfrage, um zu überprüfen, ob die verdächtige IP-Adresse ältere Protokolle bei Anmeldeversuchen verwendet hat.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent
Verwenden Sie diese Abfrage, um alle Warnungen in den letzten sieben Tagen zu überprüfen, die der verdächtigen IP-Adresse zugeordnet sind.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize (
AlertEvidence
| where Timestamp between (start_date .. end_date)
| where RemoteIP == ip_address
| project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
Verwenden Sie diese Abfrage, um die Kontoaktivität auf mutmaßliche kompromittierte Konten zu überprüfen.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| summarize ActivityCount = count() by AccountObjectId, ActivityType
| extend ActivityPack = pack(ActivityType, ActivityCount)
| summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId
Verwenden Sie diese Abfrage, um alle Warnungen für mutmaßliche kompromittierte Konten zu überprüfen.
let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
Empfohlene Aktionen
- Blockieren Sie die IP-Adresse des Angreifers.
- Setzen Sie die Anmeldeinformationen von Benutzerkonten zurück.
- Widerrufen von Zugriffstoken von kompromittierten Konten.
- Blockieren der Legacyauthentifizierung.
- Fordern Sie nach Möglichkeit MFA für Benutzer an, um die Kontosicherheit zu erhöhen und die Kompromittierung von Konten durch einen Kennwortspray-Angriff für den Angreifer zu erschweren.
- Blockieren Sie bei Bedarf die Anmeldung des kompromittierten Benutzerkontos.
Siehe auch
- Übersicht über die Warnungsklassifizierung
- Klassifizieren von Kennwortsprayangriffen
- Untersuchen von Warnungen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.