Guide opérationnel concernant le vol de jetons

Cet article, ainsi que son arbre de décision associé, fournissent des conseils aux analystes de sécurité et aux répondants aux incidents pour identifier et examiner les attaques par vol de jetons dans une organisation. À mesure que les organisations augmentent leur posture de sécurité, les acteurs des menaces utilisent des techniques plus sophistiquées pour compromettre les ressources. Une réponse rapide est nécessaire pour examiner, contenir et corriger les dommages résultant d’attaques par vol de jetons.

Une attaque par vol de jeton se produit lorsque les acteurs de menace compromettent et relectent les jetons émis à un utilisateur, même si cet utilisateur a satisfait l’authentification multifacteur. Étant donné que les exigences d’authentification sont remplies, l’acteur de menace reçoit l’accès aux ressources organisationnelles à l’aide du jeton volé.

En savoir plus :

Prérequis

  • Accès aux journaux de connexion et d'audit Microsoft Entra ID pour les utilisateurs et le principal de service
  • Un compte avec l’un des rôles Microsoft Entra suivants attribués :
    • Administrateur de la sécurité
    • Lecteur de sécurité
    • Lecteur mondial
    • Opérateur de sécurité

Recommandations

Bien que cela ne soit pas obligatoire, nous recommandons de :

  • Activer la fonctionnalité de repérage avancée et accéder aux sept derniers jours de données d’événement
  • Accéder au journal d’accès unifié pour obtenir des signaux supplémentaires
  • Microsoft Entra ID détections de risques premium dans les licences Microsoft Entra ID P2 et E5 permettent des déclencheurs d'enquête plus granulaire et des instructions plus détaillées.
  • Utiliser une configuration d’authentification managée avec la synchronisation de hachage de mot de passe (PHS), non fédérée, pour accéder à des signaux supplémentaires

Spécifications

Configure un SIEM

Les outils SIEM (gestion des informations et des événements de sécurité), tels que Microsoft Sentinel, offrent une visibilité centralisée sur les journaux. Configurez le SIEM pour ingérer des événements à risque pour :

  • Journaux de connexion et journaux d’audit
  • Intégration de Microsoft Sentinel (Aperçu) explique comment intégrer Microsoft Defender for Cloud Apps à Microsoft Sentinel (SIEM natif du cloud et SOAR) évolutif afin de permettre la supervision centralisée des alertes et des données de découverte.
  • Journaux de connexion et d’audit
  • Configurer des alertes pertinentes

En savoir plus :

Configurez Microsoft Sentinel (ou des règles SIEM tierces) pour la détection et la réponse des menaces en suivant les instructions de Détect les menaces prêtes à l’emploi.

En savoir plus :

  • Configurez les alertes Microsoft Entra ID Protection. How To : Export risk data décrit comment stocker des données pendant des périodes plus longues en modifiant les paramètres de diagnostic dans Microsoft Entra ID pour envoyer RiskyUsers, UserRiskEvents, RiskyServicePrincipals et ServicePrincipalRiskEvents à un espace de travail Log Analytics, archiver des données dans un compte de stockage, diffuser des données vers un hub d’événements ou envoyer des données à une solution partenaire.

Intégrer une solution SIEM à Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps et Microsoft Sentinel sont connectés par défaut. Si vous n'utilisez pas Microsoft Sentinel, connectez votre SIEM à Microsoft Defender for Cloud Apps, qui prend en charge Microsoft Sentinel, ArcSight by Open Text et le format d'événement commun générique (CEF).

En savoir plus :

Intégrer SIEM à Microsoft Graph API

Connectez SIEM avec le Microsoft Graph Security API.

  • Options d’intégration prises en charge : écrivez du code pour connecter votre application pour dériver des insights. La vue d’ensemble de l’API de sécurité Microsoft Graph décrit les fonctionnalités clés et fournit des exemples de codes.
  • Intégrations et connecteurs natifs - créés par les partenaires Microsoft
  • Connecteurs : pour l’API via des solutions SIEM, la réponse automatisée de l’orchestration de la sécurité (SOAR), le suivi des incidents et la gestion des services (ITSM), la création de rapports, et ainsi de suite

Enquêtes

Consultez les sections suivantes pour obtenir des conseils sur les déclencheurs, les listes de contrôle de l'enquête, etc. Utilisez l’arbre de décision de flux de travail de vol de jeton pour faciliter votre investigation et votre prise de décision.

Déclencheurs d’investigation

Chaque organisation a des scénarios typiques et atypiques. Utilisez la liste de contrôle d’investigation suivante pour déterminer les déclencheurs ou les activités inhabituelles pour :

  • Identités
  • Journaux de connexion
  • Journaux d’audit
  • Applications Office
  • Appareils associés aux utilisateurs affectés

Si ces activités utilisateur sont confirmées valides, il n’y a aucune violation. S’ils ne peuvent pas être confirmés valides, supposez une violation et effectuez des actions d’atténuation. Détecter les tentatives de vol de jetons en recherchant et en examinant les types d’événements dans le portail Microsoft Sentinel ou dans un SIEM.

En savoir plus :

Veillez à recevoir des alertes pour les événements suivants, ce qui peut indiquer une attaque par vol de jeton :

La fonctionnalité Microsoft Entra ID Protection a les déclencheurs suivants :

  • Jeton anormal (détection hors connexion) : caractéristiques de jeton atypique détectées ou jeton utilisé à partir d’un emplacement inconnu. Les algorithmes détectant ce comportement utilisent des données de Microsoft Entra ID avec des propriétés Microsoft 365. Cette détection indique si l’attaquant remet en jeu le jeton.

  • Propriétés de connexion inconnues : la connexion est anormale par rapport à l’historique de connexion. Cet événement se produit lorsque les propriétés de connexion de l’utilisateur ne sont pas familières.

  • Connexion inconnue : une connexion non interactive se produit. Augmentez l’examen des connexions inconnues, en particulier si elles sont détectées avec des appareils suspects. Nous vous recommandons d’attirer immédiatement l’attention sur la détection des connexions non interactives.

  • Tentative d'accès au jeton de renouvellement principal (PRT) - dans Windows 10 et 11, Microsoft Defender pour Endpoint détecte l'accès suspect au PRT et aux artefacts associés. Les détections alimentent le score de risque Microsoft Entra, qui contrôle l’accès conditionnel aux ressources. Cette détection est faible et peu fréquente.

  • Détections Microsoft Defender XDR – intégrez Microsoft Entra ID Protection et Microsoft Defender XDR pour voir les détections dans un seul portail.

    • Par défaut, les alertes les plus pertinentes pour le centre d’opérations de sécurité (SOC) sont activées. Pour toutes les détections de risque IP Microsoft Entra ou pour désactiver l’intégration, apportez la modification au paramètre de service Microsoft Defender XDR Alert.

    Capture d’écran de l’option Afficher les alertes à impact élevé uniquement.

  • URL suspectes : un utilisateur a peut-être cliqué sur un lien d’e-mail de hameçonnage. L’e-mail suspect pourrait être un kit d'hameçonnage d'adversaire-dans-la-milieu (AiTM) et le début d’une attaque.

    Capture d’écran d’une liste d’activités suspectes.

  • Autres comportements suspects - Les preuves d’alerte et les tableaux d’alerte du chasseur avancé chez Defender pour Office 365 montrent des actions qui indiquent le vol de jetons. Passez en revue les logs pour déterminer :

    • Téléchargement massif par un même utilisateur
    • Le téléchargement de fichiers inhabituel par un utilisateur
    • L’ajout d’une authentification multifacteur ou d’informations d’identification sans mot de passe à un compte
    • Des modifications ou ajouts de règles de transfert de boîte aux lettres

Démarrage de l’enquête

Avant de commencer : Terminez et activez les prérequis. En outre, ce playbook suppose que les clients Microsoft et les équipes d’investigation n’ont peut-être pas la suite de licences Microsoft 365 E5 ou la suite Microsoft Entra ID P2 disponible ou configurée. Notez donc les instructions d’automatisation fournies.

Pour cette enquête, il est supposé que vous avez un soupçon de compromission potentielle par vol de jeton dans :

  • Un rapport utilisateur
  • Exemple de journaux de connexion de Microsoft Entra
  • détection de Microsoft Entra ID Protection

Liste de contrôle d’investigation

Avec la connaissance de vos scénarios classiques, déterminez les anomalies ou l’activité inhabituelle pour :

  • Identités
  • Journaux de connexion - emplacement ou appareil inattendu
  • Journaux d’audit : appareils nouvellement inscrits, options d’authentification multifacteur supplémentaires ou modifications d’informations d’identification.
  • Applications Office : modifications depuis le déclenchement
  • Appareils associés aux utilisateurs affectés. Évaluez les alertes depuis le déclencheur d’incident.

Preuve de compromission ou de vol de jeton : confirmation de l’utilisateur

Après avoir identifié les comptes d’utilisateur potentiellement compromis, vérifiez les activités suspectes. Ce processus diffère pour chaque organisation.

En savoir plus :

Examen de l’utilisateur et/ou de l’appareil

Si vous pensez qu’un compte ou plusieurs comptes d’utilisateur ont été compromis, différenciez vos activités d’investigation entre deux contextes : les sessions utilisateur et dispositifs de machines.

Liste de contrôle d'enquête utilisateur

Examinez les journaux qui indiquent le comportement des utilisateurs. Il existe une activité suspecte de l’utilisateur si :

  • Dans Microsoft Entra ID Protection, ou dans une fonctionnalité similaire, les alertes suggèrent le vol de jeton
  • Informations d’identification supplémentaires ou appareils ajoutés à l’utilisateur
    • Enregistrer la liste des identités à révoquer
  • Les utilisateurs affectés reçoivent des e-mails suspects
  • L’enquête sur le hameçonnage fournit des conseils sur l’identification et l’examen des attaques par hameçonnage au sein de votre organisation.
  • Comptes privilégiés affectés
    • Passer en revue les modifications apportées au compte privilégié après la compromission
  • Création de règles de boîte de réception
    • Enregistrer les règles de boîtes aux lettres suspectes
    • Utilisateurs compromis
    • Documenter les adresses IP et les comptes d’utilisateur
    • Déterminer d’autres comptes potentiellement compromis
    • Identifier des authentifications supplémentaires à partir de l’adresse IP suspecte ou de la chaîne de l’agent utilisateur

Hameçonnage ou courrier électronique malveillant

S'il y a des indications de hameçonnage ou d'autres e-mails malveillants, Investigation de courrier malveillant remis dans Microsoft 365 décrit comment rechercher et examiner les messages électroniques suspects.

Authentifications par adresse IP de l’attaquant ou par chaîne de l'agent utilisateur

Les requêtes suivantes font référence aux tables dans Sentinel. Recherchez des signes de persistance : enregistrement à l’authentification multifacteur, enregistrement de l’appareil, règles de transfert de boîte aux lettres ou règles de la boîte de réception.

Découvrez les règles du guide des opérations de sécurité Microsoft Entra.

AADUserRiskEvents
| where RiskEventType contains "unfamiliar" or RiskEventType contains "anomalous"
| where IpAddress == "x"

Vous pouvez également utiliser les journaux de connexion pour obtenir des utilisateurs ayant la même adresse IP.

SigninLogs
| where IPAddress == "x"

Pour les utilisateurs privilégiés, vérifiez les modifications apportées à la fenêtre de temps.

AuditLogs
| where TimeGenerated between (datetime(2023-03-01) .. datetime(2023-03-15))
| where InitiatedBy has "x"

Modifications de méthode d’authentification pour un compte privilégié

Utilisez la requête suivante pour rechercher les modifications apportées aux informations de sécurité des utilisateurs disposant de rôles d’administrateur privilégiés.

Query
  let queryperiod = 14d;
  let queryfrequency = 2h;
  let security_info_actions = dynamic(["User registered security info", "User changed default security info", "User deleted security info", "Admin updated security info", "User reviewed security info", "Admin deleted security info", "Admin registered security info"]);
  let VIPUsers = (
      IdentityInfo
      | where TimeGenerated > ago(queryperiod)
      | mv-expand AssignedRoles
      | where AssignedRoles matches regex 'Admin'
      | summarize by tolower(AccountUPN));
  Audit logs
  | where TimeGenerated > ago(queryfrequency)
  | where Category =~ "UserManagement"
  | where ActivityDisplayName in (security_info_actions)
  | extend Initiator = tostring(InitiatedBy.user.userPrincipalName)
  | extend IP = tostring(InitiatedBy.user.ipAddress)
  | extend Target = 
tolower(tostring(TargetResources[0].userPrincipalName))
  | where Target in (VIPUsers)

Identités douteuses et anomalies

Utilisez Log Analytics ou Sentinel (journal provenant de Microsoft Entra ID) pour découvrir des identités et des anomalies suspectes.

SigninLogs
    | where UserId == "x"
    | extend deviceId_ = tostring(DeviceDetail.deviceId)
    | extend displayName_ = tostring(DeviceDetail.displayName)
    | extend city_ = tostring(LocationDetails.city)
    | extend countryOrRegion_ = tostring(LocationDetails.countryOrRegion)
    | summarize min(TimeGenerated), max(TimeGenerated) by IPAddress, ResultDescription, deviceId_, displayName_, city_, countryOrRegion_, AppDisplayName

Remarque

Toutes les alertes générées par des activités Microsoft Entra n'ont pas une entrée correspondante dans les SigninLogs, comme dans la détection de jetons anormaux. Nous vous recommandons de consulter d’autres tables, telles que OfficeActivity et AuditLogs.

OfficeActivity
    | where UserId == "x"
    | summarize min(TimeGenerated), max(TimeGenerated) by ClientIP, OfficeWorkload

Activité dans les tables CloudAppEvents dans Microsoft Defender XDR

L’utilisation de cette méthode dépend de la configuration de la journalisation.

M365D AH
CloudAppEvents
| where AccountId == "x"
| summarize min(Timestamp), max(Timestamp) by IPAddress, CountryCode, City, Application

CloudAppEvents décrit le schéma de repérage avancé qui contient des informations sur les activités de diverses applications et services cloud couverts par Microsoft Defender for Cloud Apps.

Actions malveillantes dans AuditLogs, AzureActivity, AzureDevOpsAuditing et CloudAppEvents

Vérifiez ce que l’attaquant a accédé : documents d’identité, code, référentiels, etc. Passez en revue les éléments pour obtenir des informations sensibles ou des informations d’identification codées en dur, comme illustré dans l’exemple de SharePoint suivant.

OfficeActivity
    | where OfficeWorkload contains "SharePoint" (or other)
    | where ClientIP == "bad IP"
    | project TimeGenerated, Operation, OfficeObjectId

Liste de contrôle d’investigation de l’appareil

Examinez les journaux qui enregistrent le comportement de l’appareil. Il y a activité suspecte de l’appareil si :

  • portail Microsoft Defender :
    • L’appareil a des alertes liées au vol de jetons. Rechercher l’ID d’appareil : joindre AlertInfo sur AlertId| là où DeviceId est x
    • Tentatives d'accès à un jeton d'actualisation principal (PRT)
    • L’utilisateur a installé des applications suspectes, des extensions ou a récemment consulté des sites web suspects. Recherchez des alertes dans Microsoft Defender pour point de terminaison concernant des processus ou fichiers suspects. Les alertes peuvent inclure : un processus d'implantation suspect provenant d'une menace émergente connue, le nom, le comportement du processus, un service lancé ou une activité de tâche planifiée. Pour les comms C2 possibles, utilisez l’activité possible de commande et de contrôle.
    • Enquête sur les alertes Microsoft Defender for Endpoint explique comment examiner les alertes qui affectent votre réseau, comprendre ce qu'elles signifient et comment les résoudre.
  • Recherche avancée :
    • L’appareil dispose de connexions réseau sortantes à partir de processus suspects. Recherchez une activité sortante inhabituelle pendant la fenêtre de déclenchement.
    • Les comptes locaux ont effectué une activité suspecte

En savoir plus :

Isoler l’appareil des réseaux

Sécuriser l’appareil. Prendre des mesures de réponse pour un appareil dans Microsoft Defender pour Endpoint décrit comment répondre rapidement aux attaques détectées en isolant les appareils ou en collectant un package d'enquête.

Données accessibles par l’attaquant

La perte de données est la destruction ou la fuite des données. Découvrez ce à quoi l'attaquant a eu accès et la sensibilité des données. Examinez SharePoint, OneNote, Azure DevOps. Faire pivoter les informations d'identification

Procédure de perte de données

Utilisez les conseils de votre plan de récupération d’urgence sur l’accès des attaquants aux données d’entreprise. Utilisez les conseils suivants pour prévenir la perte de données et améliorer ou créer un plan de récupération d’urgence.

Autres utilisateurs ou appareils affectés : environnement entier

Interroger les indicateurs de compromission pour l’ensemble de l’environnement. Par exemple, plus d’appareils affectés. Itérer pour garantir la découverte d’utilisateurs et d’appareils affectés.

État de confinement

Une fois que vous avez identifié un ou plusieurs utilisateurs, appareils, applications ou identités de charge de travail sont malveillants ou compromis, vous devez prendre des mesures pour contenir l’attaquant. En cas de compromission, vous pourriez ne pas pouvoir modifier immédiatement les informations d'identification de l'application, ni la supprimer.

Parfois, il est plus important de collecter les détails de l’attaquant que de répondre immédiatement à l’attaque. Nous vous recommandons de prendre en compte les conseils suivants dans l’ordre. Dans cet exemple, l’isolement ou l’atténuation sont hiérarchisés par rapport à la collecte d’informations.

Important

Déterminez les effets de la désactivation des comptes d'utilisateurs ou d'appareils sur la sécurité et l'activité de l'entreprise. S'il est trop important, envisagez de passer à l'étape de récupération.

Liste des tâches de confinement

  1. Modifiez le mot de passe des comptes soupçonnés de violation ou si le mot de passe du compte a été découvert.

  2. Bloquez l’utilisateur. Révoquer l'accès utilisateur dans Microsoft Entra ID décrit comment révoquer tous les accès d’un utilisateur dans des scénarios qui incluent des comptes compromis, une résiliation d’employé et d'autres menaces internes.

  3. Dans Microsoft Entra ID Protection ou une fonctionnalité similaire, marquez les comptes pertinents comme compromis.

  4. Bloquez l’adresse IP de l’attaquant.

    Conseil

    Les attaquants peuvent utiliser des réseaux privés virtuels légitimes (VPN), ce qui peut créer plus de risques quand ils changent d’adresses IP. Si vous utilisez l’authentification cloud, bloquez l’adresse IP dans Defender pour Cloud Apps ou Microsoft Entra ID. Si elle est fédérée, bloquez l’adresse IP au niveau du pare-feu devant le Active Directory Federation Services (ADFS).

  5. Activez l’authentification multifacteur. Activer l’authentification multifacteur Microsoft Entra explique comment inviter les utilisateurs à fournir des moyens d'identification supplémentaires lors d’une tentative de connexion.

  6. Activez Microsoft Entra ID Protection pour les risques liés à l’utilisateur et à la connexion. Stratégies de risque : Microsoft Entra ID Protection décrit les stratégies de risque dans Microsoft Entra Conditional Access qui peuvent automatiser la réponse aux risques et permettre aux utilisateurs de résoudre par eux-mêmes les risques détectés.

  7. Déterminer les données compromises : e-mails, SharePoint, OneDrive, applications. Le filtre Microsoft Defender for Cloud Apps Activities peut analyser les activités et mettre à jour de nouvelles activités.

  8. Maintenez l’hygiène du mot de passe. Le livre blanc d’aide sur le mot de passe fournit des recommandations pour la gestion des mots de passe pour les utilisateurs finaux et les administrateurs d’identité.

  9. Itérer jusqu’à ce que vous découvriez les comptes et les appareils affectés, et que l’attaque soit stoppée.

Récupération

Utilisez les sections suivantes pour obtenir des conseils après examen et isolement.

Liste de tâches de correction

Une fois l’enquête et l’isolement terminés, corrigez les dommages :

  • Désactiver les comptes d’utilisateur et d’appareil affectés
    • Révoquer les jetons actuels
    • Réinitialiser les mots de passe
  • Désactiver les identifiants et/ou les appareils ajoutés
    • Corriger les appareils infectés
  • Désactiver les règles concernant les e-mails suspects
  • Annuler les modifications faites par des comptes privilégiés compromis

Supprimer les informations d’identification et les appareils ajoutés

Avant de réactiver les comptes affectés, suivez les instructions suivantes. Supprimez les informations d’identification ajoutées avec les méthodes d’authentification de Microsoft Entra via l'API Graph.

Pour supprimer une méthode d’authentification par e-mail utilisateur, exécutez l’appel Graph suivant :

DELETE /users/{id | userPrincipalName}/authentication/emailMethods/{id}

Vous pouvez également supprimer une méthode d’authentification d’authentificateur ajoutée :

DELETE /users/{id | userPrincipalName}/authentication/microsoftAuthenticatorMethods/{microsoftAuthenticatorAuthenticationMethodId}

En savoir plus :

  • Vue d’ensemble de l’API des méthodes d’authentification Microsoft Entra

Supprimez les appareils inscrits par le ou les comptes d’utilisateur identifiés. Utilisez les appels Graph API suivants :

DELETE /devices/{id}

DELETE /devices(deviceId='{deviceId}')

Les données accessibles aux attaquants contiennent plus d’informations d’identification

Si vous avez activé Microsoft Purview, analysez votre environnement. Utilisez la définition de l'entité "Toutes les informations d'identification" avec les comptes compromis. Roulez les informations d'identification comme décrit dans la section suivante sur le roullement des informations d'identification.

En savoir plus :

Expiration et rotation des secrets divulgués

Faire pivoter les secrets associés aux informations d’identification de l’utilisateur ou de l’appareil identifiés.

  • Dans le portail Azure pour les comptes cloud, réinitialisez les mots de passe de compte.
  • Pour les comptes hybrides, réinitialisez le mot de passe de l’utilisateur deux fois comme décrit dans Revoke l’accès utilisateur dans Microsoft Entra ID.
  • Dans le compte d’utilisateur Microsoft Entra, vérifiez que les appareils et l’authentification multifacteur sont sous contrôle utilisateur :
    • Désactiver ou supprimer des appareils inconnus
    • Avant de réactiver le compte d'utilisateur, supprimez les options AMF inconnues.
  • Expirez les informations d’identification codées en dur ou en texte clair dans vos référentiels de code :
  • Supprimez les règles de boîte de réception ajoutées ou modifiées dans le portail Microsoft 365 :

Sécurisez les identités dans votre environnement

Les articles suivants fournissent de plus amples informations sur la sécurisation des identités.

Cause première du vol de jetons

Parfois, il n’est pas possible de découvrir la cause première. Nous vous recommandons de terminer l’investigation pour obtenir les détails qui peuvent afficher la cause racine. Après la récupération, vous pouvez effectuer des étapes d’investigation supplémentaires pour vous aider à déterminer la cause première.

Enquêter sur les e-mails malveillants remis dans Microsoft 365 décrit comment rechercher et enquêter sur les mails suspects.

Étapes suivantes

* Arbre de décision de flux de travail de vol de jeton

  • Last updated on