שתף באמצעות

סיווג התראה עבור תקיפות ריסוס סיסמה

  • חל על: Microsoft Defender XDR

שחקני איומים משתמשים בדרכים חדשניות כדי לסכן את סביבות היעד שלהם. סוג אחד של מתקפת תקיפה צובר הוא מתקפת תרסיס הסיסמה, שבה התוקפים שואפים לגשת חשבונות רבים בתוך רשת במאמץ מינימלי. שלא כמו מתקפות כוח בות מסורתיות, שבו שחקנים איומים מנסים סיסמאות רבות בחשבון יחיד, מתקפות תרסיס סיסמה מתמקדות לנחש את הסיסמה הנכונה עבור חשבונות רבים עם קבוצה מוגבלת של סיסמאות נפוצות. היא הופכת את המתקפה ליעילה במיוחד נגד ארגונים בעלי סיסמאות חלשות או שניתן לנחש קלות, ומובילות להפרות נתונים חמורות ולהפסדים פיננסיים עבור ארגונים.

תוקפים משתמשים בכלים אוטומטיים כדי לנסות שוב ושוב לקבל גישה לחשבון או למערכת ספציפיים באמצעות רשימה של סיסמאות נפוצות. לעתים תוקפים משתמשים לרעה בשירותים חוקיים בענן על-ידי יצירת מחשבים וירטואליים (VM) או גורמים מכילים רבים כדי להפעיל מתקפת תרסיס סיסמה.

ספר הפעלות זה מסייע לחקור מקרים שבהם התנהגות חשודה נצפתה כמציין מתקפת תרסיס סיסמה. מדריך זה מיועד לצוותי אבטחה, כגון מרכז פעולות האבטחה (SOC) ומנהלי ה- IT ה הסוקרים, מטפלים/מנהלים, וסווגים את ההתראות. מדריך זה מסייע בסיווג מהיר של ההתראות כחיוביות אמיתית (TP) או כתוצאה חיובית מוטעית (FP) וב במקרה של TP, לבצע פעולות מומלצות כדי לתקנו את ההתקפה ולצמצם את סיכוני האבטחה.

התוצאות המיועדות לשימוש במדריך זה הן:

  • זיהית את ההתראות המשויכות לניסיונות ריסוס סיסמה כפעילויות זדוניות (TP) או פעילויות חיוביות מוטעות (FP).

  • נקטת בפעולות הנחוצות כדי לתקנו את ההתקפה.

שלבי חקירה

סעיף זה מכיל הדרכה שלב אחר שלב לתגובה להתראה ולבצע את הפעולות המומלצות כדי להגן על הארגון שלך מפני תקיפות נוספות.

1. בדוק את התראות האבטחה

  • האם ניסיונות הכניסה ההתראה מגיעים ממיקום חשוד? בדוק ניסיונות כניסה ממיקומים שאינם אלה האופייניים עבור חשבונות משתמשים מושפעים. ניסיונות כניסה מרובים ממשתמש אחד או ממשתמשים רבים הם מחוונים שימושיים.

2. בדוק פעילות משתמש חשודה

  • האם קיימים אירועים חריגים עם מאפיינים לא שגרתיים? מאפיינים ייחודיים עבור משתמש מושפע, כגון ספק שירותי אינטרנט לא שגרתי, מדינה/אזור או עיר, עשויים להצביע על דפוסי כניסה חשודים.

  • האם קיימת עלייה מסומנת בפעילויות דואר אלקטרוני או הקשורות לקובץ? אירועים חשודים, כגון ניסיונות מוגברים בגישה לדואר או שליחה של פעילות או העלאה של קבצים ל- SharePoint או ל- OneDrive עבור משתמש מושפע, הם כמה סימנים שברצונך לחפש.

  • האם קיימים כמה נסיונות כניסה כושלים? מספר גבוה של ניסיונות כניסה כושלים ממגוון הודעות IP וממיקומים גיאוגרפיים על-ידי משתמש מושפע עשויים להצביע על מתקפת תרסיס סיסמה.

  • זהה את ספק שירותי האינטרנט מפעילות הכניסה של משתמש מושפע. בדוק אם יש פעילויות כניסה על-ידי חשבונות משתמשים אחרים מאותו ספק שירותי האינטרנט.

  • בדוק את כל השינויים האחרונים בסביבה שלך:

    • שינויים באפליקציות Office 365 כגון הרשאת Exchange Online, העברה אוטומטית של דואר, ניתוב מחדש של דואר
    • שינויים ב- PowerApps, כגון קביעת תצורה אוטומטית של שידור נתונים באמצעות PowerAutomate
    • שינויים בסביבות Azure, כגון שינויים במנוי פורטל Azure
    • שינויים ב- SharePoint Online, כגון חשבון המשתמש המושפע, קבלת גישה לאתרים או קבצים מרובים עם תוכן רגיש/סודי/של חברה בלבד

  • בדוק את הפעילויות של החשבון המושפע המתרחשות בטווח זמן קצר בפלטפורמות ובאפליקציות מרובות. בצע ביקורת על אירועים כדי לבדוק את ציר הזמן של הפעילויות, כגון הניגוד בין הזמן שהמשתמש בילה בקריאה או שליחה של דואר אלקטרוני ואחריו הקצאת משאבים לחשבון המשתמש או חשבונות אחרים.

3. חקירת תקיפות מעקב אפשריות

בדוק את הסביבה שלך לאיתור תקיפות אחרות הכוללות חשבונות משתמשים מושפעים, כאשר תוקפים מבצעים לעתים קרובות פעילויות זדוניות לאחר מתקפה מוצלחת של תרסיס סיסמה. שקול לחקור את הפעילויות החשודות הבאות:

  • תקיפות הקשורות לאימות רב-גורמי (MFA)

    • תוקפים משתמשים בעייפות MFA כדי לעקוף אמצעי אבטחה זה שארגונים מאמצים להגן על המערכות שלהם. בדוק אם יש בקשות MFA מרובות המועלה על-ידי חשבון משתמש מושפע.
    • תוקפים עשויים לבצע טיפול שלא כדין ב- MFA באמצעות חשבון משתמש מושפע עם הרשאות מלאות על-ידי השבתת הגנת MFA עבור חשבונות אחרים בתוך הדייר. בדוק אם בוצעו פעילויות ניהול חשודות שבוצעו על-ידי משתמש מושפע.

  • התקפות דיוג פנימיות

שאילתות ציד מתקדמות

ציד מתקדם הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לבדוק אירועים ברשת שלך ולאתר מחווני איומים.

השתמש בשאילתות אלה כדי לאסוף מידע נוסף הקשור להתראה ולברר אם הפעילות חשודה.

ודא שיש לך גישה לטבלאות הבאות:

השתמש בשאילתה זו כדי לזהות פעילות ריסוס סיסמה.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

השתמש בשאילתה זו כדי לזהות פעילויות אחרות של ה- ISP ההתראה.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

השתמש בשאילתה זו כדי לזהות דפוסי כניסה עבור המשתמש המושפע.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

השתמש בשאילתה זו כדי לזהות תקיפות עייפות של MFA.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

השתמש בשאילתה זו כדי לזהות פעילויות איפוס MFA.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

השתמש בשאילתה זו כדי למצוא כללי תיבת דואר נכנס חדשים של דואר אלקטרוני שנוצרו על-ידי המשתמש המושפע.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

לאחר שתקבע שהפעילויות המשויכות להתראה זו הן זדוניות, סמן התראות אלה כ- TP ובצע פעולות אלה לתיקון:

  1. אפס את אישורי החשבון של המשתמש.
  2. בטל אסימוני גישה של החשבון שנחשף לסכנה.
  3. השתמש בהתאמה למספרים ב- Microsoft Authenticator כדי לצמצם תקיפות עייפות של MFA.
  4. החל את העיקרון של ההרשאה המעטה ביותר. צור חשבונות עם הרשאה מינימלית הנדרשת להשלמת משימות.
  5. קבע תצורה של חסימה בהתבסס על כתובת ה- IP והתחום של השולח אם הפריטים החומים קשורים לדואר אלקטרוני.
  6. חסום כתובות URL או כתובות IP (בפלטפורמות ההגנה על הרשת) שזוהו כד זדוניות במהלך החקירה.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.