Hälytyksen arviointi istunnon evästevarkausilmoituksesta
Koskee seuraavia:
- Microsoft Defender XDR
Tässä artikkelissa on tietoja istuntoevästevarkausilmoitusten ilmoitusten luokittelusta Microsoft Defender XDR:ssä:
- Käytettiin varastettua istuntoevästettä
- Todentamispyyntö AiTM:hen liittyvästä tietojenkalastelusivusta
Uhkatoimijat käyttävät innovatiivisia tapoja soluttautua kohdeympäristöihinsä. Tämäntyyppinen hyökkäys hyödyntää tietojenkalastelutoimintoa varastaakseen tunnistetietoja tai kirjautumisistuntoaan toteuttaakseen haitallisia toimia. BEC-kampanjat ovat erinomainen esimerkki.
Tämä hyökkäys toimii määrittämällä välitason sivusto (tietojenkalastelu), joka toimii käytännössä välityspalvelinyhteydenä käyttäjän ja hyökkääjäksi tekeytyneen laillisen verkkosivuston välillä. Toimimalla välittäjänä (välityspalvelimena) hyökkääjä voi varastaa kohteen salasanan ja istunnon evästeen. Hyökkääjä voi näin ollen todentaa lailliseen istuntoon, kun hän todentaa käyttäjän puolesta.
Tämä pelikirja auttaa tutkimaan tapauksia, joissa epäilyttävän käyttäytymisen havaitaan viittaavan Attack-in-the-middle (AiTM) -tyyppiseen hyökkäykseen evästevarkaudelle. Tämä auttaa suojausryhmiä, kuten suojaustoimintokeskusta (SOC) ja IT-järjestelmänvalvojia, tarkastelemaan, hallitsemaan ja luokittelemaan hälytyksiä arvoilla True Positive (TP) tai False Positive (FP). Jos se on TP, suorita suositellut toimet hyökkäyksen korjaamiseksi ja sen vuoksi aiheutuvien suojausriskien lieventämiseksi.
Tämän pelikirjan käytön tulokset ovat seuraavat:
- Olet määrittänyt AiTM:hen liittyvät hälytykset haitallisiksi (TP) tai hyväntahtoisiksi (FP) toimiksi.
- Jos sinut tunnistetaan pahantahtoiseksi, olet tehnyt tarvittavat toimet hyökkäyksen korjaamiseksi.
Tutkitaan vaiheita
Tutki, onko käyttäjä, jota asia koskee, käynnistänyt muita suojaushälytyksiä.
- Keskity hälytyksiin, jotka perustuvat kirjautumisten maantieteellisen sijainnin poikkeavuuksille
[AadSignInEventsBeta or IdentityLogonEvents]
. - Tutki asianmukaisia kirjautumistapahtumia katsomalla istunnon tunnustietoja
[AadSignInEventsBeta]
.- Etsi tapahtumia, jotka liittyvät tunnistettuun (varastettuun) istuntotunnukseen, ja seuraa tapahtumia, jotka on suoritettu varastetulla evästeellä
[CloudAppEvents]
. - Etsi aikaero kirjautumistoimintojen välillä, jos maantieteellisessä sijainnissa on eroja. Useita istuntoja ei pitäisi olla mahdollista samalle tilille, jolla on eri sijainnit (tarkoittaa, että istunto voidaan varastaa).
- Etsi tapahtumia, jotka liittyvät tunnistettuun (varastettuun) istuntotunnukseen, ja seuraa tapahtumia, jotka on suoritettu varastetulla evästeellä
- Tarkista yrityksen isännän tilille luodut ilmoitukset.
- Jos tili on vaarantunut, ennen kompromissia voi olla hälytyksiä, jotka ilmaisevat hyökkäyksiä, esimerkiksi SmartScreen-hälytyksiä
[NetworkConnectionEvents]
.
- Jos tili on vaarantunut, ennen kompromissia voi olla hälytyksiä, jotka ilmaisevat hyökkäyksiä, esimerkiksi SmartScreen-hälytyksiä
- Keskity hälytyksiin, jotka perustuvat kirjautumisten maantieteellisen sijainnin poikkeavuuksille
Tutki epäilyttävää käytöstä.
- Etsi tapahtumia, jotka ilmaisevat epätavallisia malleja, tunnistaaksesi epäilyttäviä malleja
[CloudAppEvents]
, kuten epätavallisia ominaisuuksia käyttäjille, kuten ISP/ Maa / Kaupunki jne. - Etsi tapahtumia, jotka ilmaisevat uusia tai aiemmin näkymättömiä toimintoja, kuten kirjautumisyrityksiä [onnistuminen/epäonnistuminen] uusiin tai koskaan ennen käytettyihin palveluihin, sähköpostin käyttöoikeuksien lisäämistä, Azure-resurssien käytön muutosta jne.
- Tarkista ympäristösi viimeisimmät muutokset alkaen:
- Office 365 -sovellukset (kuten Exchange Online -käyttöoikeuksien muutokset, sähköpostin automaattinen edelleenlähetys tai uudelleenohjaus)
- PowerApps (kuten automaattisen tiedonsiirron määrittäminen PowerAutomaten kautta)
- Azure-ympäristöt (esimerkiksi Azure-portaalin tilausmuutokset jne.)
- SharePoint Online (käyttöoikeudet useisiin sivustoihin tai tiedostoihin, joissa on arkaluontoista sisältöä, kuten tunnistetiedot tai tilinpäätökset)
- Tarkastaa toiminnot, joita on havaittu useissa ympäristöissä (EXO, SPO, Azure jne.) lyhyen ajan kuluessa kyseiselle käyttäjälle.
- Esimerkiksi sähköpostin luku-/lähetystoimintojen valvontatapahtumien ja Azure-resurssien varaamisen/muokkauksen (uusien koneiden valmistelun tai Microsoft Entra ID:hen lisäämisen) aikajanoja ei pidä ajoittaa keskenään.
- Etsi tapahtumia, jotka ilmaisevat epätavallisia malleja, tunnistaaksesi epäilyttäviä malleja
Tutki mahdollisia jatkohyökkäyksiä. AiTM-hyökkäykset ovat yleensä keino päästä päähän eivätkä loppupeliä, joten tarkista ympäristösi muiden hyökkäysten osalta, jotka seuraavat kyseisiä tilejä.
- Esimerkki tällaisesta on BEC-palvelupyyntöjen tutkiminen
- Etsi hakutoimintoja, jotka näkyvät hälytetyssä käyttäjätilin postilaatikossa
[CloudAppEvents]
.- Postilaatikon hakutoiminnoissa voi olla epäilyttävissä talouspetoksissa havaittuja avainsanoja (kuten laskuja, maksuja jne.).
- Etsi myös Saapuneet-kansion sääntöjä, jotka on luotu siirtämällä ja merkitsemällä ne luetuiksi (actiontype-parametrin (New-InboxRule, UpdateInboxRules, Set-InboxRule) ja RawEventData has_all (MarkAsRead, MoveToFolder, Archive)) mukaisesti.
- Etsi hakutoimintoja, jotka näkyvät hälytetyssä käyttäjätilin postilaatikossa
- Etsi postinkulun tapahtumia [EmailEvents & EmailUrlInfo on NetworkMessageId], joissa useat sähköpostiviestit lähetetään samalla URL-osoitteella.
- Seuraa ja tarkista, havaitaanko
[CloudAppEvents]
postilaatikon tilin sähköpostin poiston suureneminen tai suuri määrä (ActivityType on roskakori tai poista). - Vastaavuutta voidaan pitää erittäin epäilyttävänä.
- Seuraa ja tarkista, havaitaanko
- Tutki Office 365 -sähköpostiviestien napsautustapahtumia
[DeviceEvents on AccountName|AccountUpn]
vastaavien URL-tapahtumien laitetapahtumia.- Napsautuslähteiden tapahtumien vastaavuus (esimerkiksi saman URL-osoitteen eri IP-osoitteet) voi olla osoitus haitallisesta toiminnasta.
- Esimerkki tällaisesta on BEC-palvelupyyntöjen tutkiminen
Kehittyneet metsästyskyselyt
Kehittynyt metsästys on kyselypohjainen uhkien metsästystyökalu, jonka avulla voit tarkastaa verkkosi tapahtumat ja paikantaa uhkailmaisimet. Näiden kyselyjen avulla voit kerätä lisätietoja hälytyksestä ja määrittää, onko toiminta epäilyttävää.
Varmista, että sinulla on pääsy seuraaviin taulukoihin:
- AadSignInEventsBeta – sisältää käyttäjien kirjautumistiedot.
- IdentityLogonEvents – sisältää käyttäjien kirjautumistiedot.
- CloudAppEvents – sisältää käyttäjän toiminnan valvontalokit.
- EmailEvents – sisältää postinkulun/liikenteen tiedot.
- EmailUrlInfo – Sisältää sähköpostiviestien sisältämät URL-tiedot.
- UrlClickEvents – sisältää url-napsautuslokit sähköpostiviesteissä napsautetuille URL-osoitteille.
- DeviceEvents – Sisältää laitteen toiminnan valvontatapahtumia.
Tunnista epäilyttävä kirjautumistoiminta alla olevan kyselyn avulla:
let OfficeHomeSessionIds =
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser"
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country
Käytä alla olevaa kyselyä epätavallisten maiden tai alueiden tunnistamiseen:
AADSignInEventsBeta
| where Timestamp > ago(7d)
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName
Tämän kyselyn avulla voit etsiä uusia sähköpostin Saapuneet-kansion sääntöjä, jotka on luotu epäilyttävän kirjautumisistunnon aikana:
//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)
Suositellut toiminnot
Kun olet toteanut, että ilmoitustoiminnot ovat haitallisia, luokittele nämä hälytykset True Positive (TP) -arvoksi ja suorita seuraavat toimet:
- Palauta käyttäjän tilin tunnistetiedot. Voit myös poistaa käytöstä tai perua vaarantuneet tilitunnukset.
- Jos löydetyt artefaktit liittyivät sähköpostiin, määritä esto lähettäjän IP-osoitteen ja lähettäjän toimialueiden perusteella.
- Kirjoitusvirheillä kyykistyneet toimialueet saattavat joko tyhjentää DMARC-, DKIM- ja SPF-käytännöt (koska toimialue on täysin erilainen) tai ne saattavat palauttaa tyhjäarvoisia tuloksia (koska uhkatoimija ei todennäköisesti määritä sitä).
- Estä URL-osoitteet tai IP-osoitteet (verkon suojausympäristöissä), jotka on todettu haitallisiksi tutkimuksen aikana.
Tutustu myös seuraaviin ohjeartikkeleihin:
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.