Partager via


Classification des alertes pour les adresses IP suspectes liées aux attaques par pulvérisation de mot de passe

S’applique à :

  • Microsoft Defender XDR

Les acteurs des menaces utilisent des techniques de devinage de mot de passe pour accéder aux comptes d’utilisateur. Dans une attaque par pulvérisation de mot de passe, l’acteur de menace peut recourir à quelques-uns des mots de passe les plus utilisés sur de nombreux comptes différents. Les attaquants ont réussi à compromettre les comptes à l’aide de la pulvérisation de mot de passe, car de nombreux utilisateurs utilisent toujours des mots de passe par défaut et faibles.

Ce playbook vous permet d’examiner les instances où des adresses IP ont été étiquetées à risque ou associées à une attaque par pulvérisation de mot de passe, ou où des activités inexpliquées suspectes ont été détectées, telles qu’un utilisateur se connectant à partir d’un emplacement inconnu ou lorsqu’un utilisateur reçoit des invites d’authentification multifacteur (MFA) inattendues. Ce guide s’adresse aux équipes de sécurité comme le centre d’opérations de sécurité (SOC) et aux administrateurs informatiques qui examinent, gèrent/gèrent et classent les alertes. Ce guide permet de classer rapidement les alertes en tant que vrai positif (TP) ou faux positif (FP) et, dans le cas de TP, de prendre les mesures recommandées pour corriger l’attaque et atténuer les risques de sécurité.

Les résultats prévus de l’utilisation de ce guide sont les suivants :

  • Vous avez identifié les alertes associées aux adresses IP de pulvérisation de mot de passe en tant qu’activités malveillantes (TP) ou faux positifs (FP).

  • Vous avez pris les mesures nécessaires si des adresses IP ont effectué des attaques par pulvérisation de mot de passe.

Étapes d’investigation

Cette section contient des instructions pas à pas pour répondre à l’alerte et prendre les mesures recommandées pour protéger votre organization contre d’autres attaques.

1. Passer en revue l’alerte

Voici un exemple d’alerte de pulvérisation de mot de passe dans la file d’attente d’alerte :

Capture d’écran de l’alerte Microsoft Defender 365.

Cela signifie qu’il existe une activité suspecte de l’utilisateur provenant d’une adresse IP qui peut être associée à une tentative de pulvérisation de mot de passe ou par force brute selon des sources de renseignement sur les menaces.

2. Examiner l’adresse IP

  • Examinez les activités qui proviennent de l’adresse IP :

    • S’agit-il principalement d’échecs de tentatives de connexion ?

    • L’intervalle entre les tentatives de connexion semble-t-il suspect ? Les attaques par pulvérisation de mot de passe automatisées ont tendance à avoir un intervalle de temps régulier entre les tentatives.

    • Y a-t-il des tentatives réussies d’un utilisateur ou de plusieurs utilisateurs qui se connectent avec des invites MFA ? L’existence de ces tentatives peut indiquer que l’adresse IP n’est pas malveillante.

    • Les protocoles hérités sont-ils utilisés ? L’utilisation de protocoles tels que POP3, IMAP et SMTP peut indiquer une tentative d’exécution d’une attaque par pulvérisation de mot de passe. La recherche Unknown(BAV2ROPC) dans l’agent utilisateur (type d’appareil) dans le journal d’activité indique l’utilisation des protocoles hérités. Vous pouvez vous référer à l’exemple ci-dessous lorsque vous examinez le journal d’activité. Cette activité doit être corrélée à d’autres activités.

      Capture d’écran de l’interface Microsoft Defender 365 montrant le type d’appareil.

      Figure 1. Le champ Type d’appareil affiche Unknown(BAV2ROPC) l’agent utilisateur dans Microsoft Defender XDR.

    • Vérifiez l’utilisation de proxys anonymes ou du réseau Tor. Les acteurs de menace utilisent souvent ces proxys alternatifs pour masquer leurs informations, ce qui les rend difficiles à tracer. Toutefois, toutes les utilisations de ces proxys ne sont pas corrélées avec des activités malveillantes. Vous devez examiner d’autres activités suspectes susceptibles de fournir de meilleurs indicateurs d’attaque.

    • L’adresse IP provient-elle d’un réseau privé virtuel (VPN) ? Le VPN est-il digne de confiance ? Vérifiez si l’adresse IP provient d’un VPN et passez en revue les organization qui la sous-tendent à l’aide d’outils tels que RiskIQ.

    • Vérifiez les autres adresses IP avec le même sous-réseau/isp. Parfois, les attaques par pulvérisation de mot de passe proviennent de nombreuses adresses IP différentes au sein du même sous-réseau/isp.

  • L’adresse IP est-elle commune au locataire ? Vérifiez le journal d’activité pour voir si le locataire a vu l’adresse IP au cours des 30 derniers jours.

  • Recherche d’autres activités ou alertes suspectes provenant de l’adresse IP du locataire. Parmi les exemples d’activités à rechercher, citons la suppression d’e-mails, la création de règles de transfert ou les téléchargements de fichiers après une tentative de connexion réussie.

  • Vérifiez le score de risque de l’adresse IP à l’aide d’outils tels que RiskIQ.

3. Examiner les activités suspectes des utilisateurs après la connexion

Une fois qu’une adresse IP suspecte est reconnue, vous pouvez passer en revue les comptes qui se sont connectés. Il est possible qu’un groupe de comptes ait été compromis et utilisé avec succès pour se connecter à partir de l’adresse IP ou d’autres adresses IP similaires.

Filtrez toutes les tentatives de connexion réussies à partir de l’adresse IP autour et peu de temps après l’heure des alertes. Recherchez ensuite les activités malveillantes ou inhabituelles dans ces comptes après vous être connecté.

  • Activités de compte d’utilisateur

    Vérifiez que l’activité du compte précédant l’activité de pulvérisation de mot de passe n’est pas suspecte. Par exemple, case activée s’il existe une activité anormale basée sur un emplacement commun ou un fournisseur de services Internet, si le compte utilise un agent utilisateur qu’il n’a pas utilisé auparavant, si d’autres comptes invités ont été créés, si d’autres informations d’identification ont été créées après la connexion du compte à partir d’une adresse IP malveillante, entre autres.

  • Alertes

    Vérifiez si l’utilisateur a reçu d’autres alertes précédant l’activité de pulvérisation de mot de passe. Ces alertes indiquent que le compte d’utilisateur peut être compromis. Les exemples incluent, entre autres, les alertes de voyage impossibles, les activités provenant d’un pays ou d’une région peu fréquents et les activités suspectes de suppression d’e-mails.

  • Incident

    Vérifiez si l’alerte est associée à d’autres alertes qui indiquent un incident. Si c’est le cas, case activée si l’incident contient d’autres alertes vraies positives.

Requêtes de chasse avancées

La chasse avancée est un outil de repérage des menaces basé sur des requêtes qui vous permet d’inspecter les événements de votre réseau et de localiser les indicateurs de menace.

Utilisez cette requête pour rechercher des comptes avec des tentatives de connexion avec les scores de risque les plus élevés provenant de l’adresse IP malveillante. Cette requête filtre également toutes les tentatives de connexion réussies avec les scores de risque correspondants.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores

Utilisez cette requête pour case activée si l’adresse IP suspecte a utilisé des protocoles hérités dans les tentatives de connexion.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent

Utilisez cette requête pour passer en revue toutes les alertes des sept derniers jours associées à l’adresse IP suspecte.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize ( 
        AlertEvidence
            | where Timestamp between (start_date .. end_date)
            | where RemoteIP == ip_address
            | project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)

Utilisez cette requête pour examiner l’activité des comptes soupçonnés d’être compromis.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
CloudAppEvents
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | summarize ActivityCount = count() by AccountObjectId, ActivityType
    | extend ActivityPack = pack(ActivityType, ActivityCount)
    | summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId

Utilisez cette requête pour passer en revue toutes les alertes pour les comptes suspects compromis.

let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
  1. Bloquez l’adresse IP de l’attaquant.
  2. Réinitialisez les informations d’identification des comptes d’utilisateur.
  3. Révoquez les jetons d’accès des comptes compromis.
  4. Bloquer l’authentification héritée.
  5. Exiger l’authentification multifacteur pour les utilisateurs , si possible, afin d’améliorer la sécurité du compte et de rendre la compromission de compte par une attaque par pulvérisation de mot de passe difficile pour l’attaquant.
  6. Empêchez le compte d’utilisateur compromis de se connecter si nécessaire.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.