סיווג התראה עבור כתובות IP חשודות הקשורות להתקפות ריסוס סיסמה
חל על:
- Microsoft Defender XDR
שחקני איומים משתמשים בטכניקות של ניחוש סיסמה כדי לקבל גישה לחשבון משתמש. בהתקפת תרסיס סיסמה, מעורר האיום עשוי להשתמש בכמה מהסיסמאות הנמצאות בשימוש הרב ביותר מול חשבונות שונים רבים. התוקפים מתפשרים בהצלחה על חשבונות באמצעות פעולת ההתפללה באמצעות סיסמה מכיוון שמשתמשים רבים עדיין משתמשים בסיסמאות ברירת מחדל וחלשות.
ספר הפעלות זה עוזר לך לחקור מופעים שבהם כתובות IP נושאות תווית מסוכן או משויכת להתקפת התזה של סיסמאות, או שזוהו פעילויות חשודות בלתי מוסברות, כגון כניסה של משתמש ממיקום לא מוכר או שמשתמש מקבל בקשות אימות רב-גורמי (MFA) בלתי צפויות. מדריך זה מיועד לצוותי אבטחה, כגון מרכז פעולות האבטחה (SOC) ומנהלי ה- IT ה הסוקרים, מטפלים/מנהלים, וסווגים את ההתראות. מדריך זה מסייע בסיווג מהיר של ההתראות כחיוביות אמיתית (TP) או כתוצאה חיובית מוטעית (FP) וב במקרה של TP, לבצע פעולות מומלצות כדי לתקנו את ההתקפה ולצמצם את סיכוני האבטחה.
התוצאות המיועדות לשימוש במדריך זה הן:
זיהית את ההתראות המשויכות לכתובות IP המותזות באמצעות סיסמה כפעילויות זדוניות (TP) או פעילויות חיוביות מוטעות (FP).
נקטת בפעולה הדרושה אם כתובות IP מבצעות מתקפות תרסיס סיסמה.
שלבי חקירה
סעיף זה מכיל הדרכה שלב אחר שלב לתגובה להתראה ולבצע את הפעולות המומלצות כדי להגן על הארגון שלך מפני תקיפות נוספות.
1. סקור את ההתראה
להלן דוגמה של התראת ריסוס סיסמה בתור ההתראה:
משמעות הדבר היא שיש פעילות משתמש חשודה שמקורה בכתובת IP שעשויה להיות משויכת לניסיון בריון כוח או תרסיס סיסמה בהתאם למקורות בינת איומים.
2. בדוק את כתובת ה- IP
בחן את הפעילויות שמקורן ב- IP:
האם הוא בעיקר נכשל בניסיונות כניסה?
האם מרווח הזמן בין ניסיונות כניסה נראה חשוד? מתקפות אוטומטיות של תרסיס סיסמה נוטות לקבל מרווח זמן קבוע בין ניסיונות.
האם קיימים ניסיונות מוצלחים של משתמש/מספר משתמשים שנכנסים באמצעות בקשות MFA ? קיומם של ניסיונות אלה עשוי להצביע על כך שה- IP אינו זדוני.
האם נעשה שימוש בפרוטוקולים מדור קודם? שימוש בפרוטוקולים כגון POP3, IMAP ו- SMTP עשוי להצביע על ניסיון לבצע מתז סיסמה. חיפוש
Unknown(BAV2ROPC)
בסוכן המשתמש (סוג מכשיר) ביומן הפעילות מציין שימוש בפרוטוקולים מדור קודם. באפשרותך לעיין בדוגמה שלהלן בעת התעיין ביומן הפעילות. פעילות זו חייבת להיות מותכת עוד יותר לפעילויות אחרות.איור 1. השדה סוג מכשיר מציג סוכן
Unknown(BAV2ROPC)
משתמש Microsoft Defender XDR.בדוק את השימוש ב- Proxy אנונימי או ברשת Tor. שחקני איומים משתמשים לעתים קרובות בתוכנות Proxy חלופיות אלה כדי להסתיר את המידע שלהם, מה שקשה לאתר אותם. עם זאת, לא כל השימוש ב- Proxies אמר מתאם עם פעילויות זדוניות. עליך לחקור פעילויות חשודות אחרות שעשויות לספק מחווני תקיפה טובים יותר.
האם כתובת ה- IP מגיעה מרשת וירטואלית פרטית (VPN)? האם ה- VPN מהימן? בדוק אם ה- IP הגיע מ- VPN ועיין בארגון שמאחוריו באמצעות כלים כגוןRiskIQ.
בדוק רשתות IP אחרות עם אותה רשת משנה/ISP. לעתים, מתקפות ריסוס סיסמה מקורן ב- IP רבות ושונות באותה רשת משנה/ISP.
האם כתובת ה- IP נפוצה עבור הדייר? עיין ביומן הפעילות כדי לראות אם הדייר ראה את כתובת ה- IP ב- 30 הימים האחרונים.
חיפוש עבור פעילויות חשודות או התראות אחרות שמקורן ב- IP בדייר. דוגמאות לפעילויות שיש לעיין אחריהן עשויות לכלול מחיקת דואר אלקטרוני, יצירת כללי העברה או הורדות קבצים לאחר ניסיון כניסה מוצלח.
בדוק את ניקוד הסיכון של כתובת ה- IP באמצעות כלים כגון RiskIQ.
3. בדוק פעילות משתמש חשודה לאחר הכניסה
לאחר זיהוי כתובת IP חשודה, באפשרותך לסקור את החשבונות שנכנסו. ייתכן שקבוצת חשבונות נחשפה לסכנה והצליחה להיכנס מה- IP או מכתובות IP דומות אחרות.
סנן את כל הניסיונות לכניסה מכתובת ה- IP מסביב וזמן קצר לאחר מועד ההתראות. לאחר מכן, חפש פעילויות זדוניות או חריגות בחשבונות כאלה לאחר הכניסה.
פעילויות חשבון משתמש
ודא שהפעילות בחשבון שלפני פעילות התזת הסיסמה אינה חשודה. לדוגמה, בדוק אם קיימת פעילות חריגה בהתבסס על מיקום משותף או ספק שירותי אינטרנט, אם החשבון משתמש בסוכן משתמש שהוא לא השתמש בו קודם לכן, אם נוצרו חשבונות אורחים אחרים, אם נוצרו אישורים אחרים לאחר שהחשבון נכנס מ- IP זדוני, בין היתר.
התראות
בדוק אם המשתמש קיבל התראות אחרות לפני פעילות ריסוס הסיסמה. התראות אלה מציינות שייתכן שחשבון המשתמש נחשף לסכנה. דוגמאות לכך כוללות התראת נסיעה בלתי אפשרית, פעילות ממדינה/אזור נדירים ופעילות חשודה של מחיקת דואר אלקטרוני, בין היתר.
תקרית
בדוק אם ההתראה משויכת להתראות אחרות המציינת מקרה. אם כן, בדוק אם האירוע מכיל התראות חיוביות אחרות.
שאילתות ציד מתקדמות
ציד מתקדם הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לבדוק אירועים ברשת שלך ולאתר מחווני איומים.
השתמש בשאילתה זו כדי למצוא חשבונות עם ניסיונות כניסה עם הציונים בעלי הסיכון הגבוה ביותר שהגיעו מה- IP הזדון. שאילתה זו מסננת גם את כל הניסיונות שהצליכו להיכנס באמצעות תוצאות סיכונים תואמות.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores
השתמש בשאילתה זו כדי לבדוק אם ה- IP החשוד השתמש בפרוטוקולים מדור קודם בניסיון להיכנס.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent
השתמש בשאילתה זו כדי לסקור את כל ההתראות בשבעת הימים האחרונים המשויכים ל- IP החשוד.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize (
AlertEvidence
| where Timestamp between (start_date .. end_date)
| where RemoteIP == ip_address
| project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
השתמש בשאילתה זו כדי לסקור את פעילות החשבון עבור חשבונות הנחשפים לסכנה.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| summarize ActivityCount = count() by AccountObjectId, ActivityType
| extend ActivityPack = pack(ActivityType, ActivityCount)
| summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId
השתמש בשאילתה זו כדי לסקור את כל ההתראות עבור חשבונות הנחשפים לסכנה.
let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
פעולות מומלצות
- חסום את כתובת ה- IP של התוקף.
- אפס את האישורים של חשבונות המשתמשים.
- ביטול אסימוני גישה של חשבונות שנחשף לסכנה.
- חסום אימות מדור קודם.
- דרוש MFA עבור משתמשים אם ניתן לשפר את אבטחת החשבון ותהפוך את החשבון לסכנה על-ידי מתקפת מתז סיסמה קשה עבור התוקף.
- חסום את הכניסה לחשבון המשתמש שנחשף לסכנה במידת הצורך.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.