הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
חל על:
- Microsoft Defender XDR
מאמר זה מכיל מידע אודות מתן התראות עבור התראות על גניבת קבצי Cookie של הפעלה ב- Microsoft Defender XDR:
- נעשה שימוש בקובץ Cookie של הפעלה שנגנבה
- בקשת אימות בדף דיוג הקשור ל- AiTM
שחקני איומים משתמשים בדרכים חדשניות כדי לחדור לסביבות היעד שלהם. מתוך השראה מתקפות תואר הפועל באמצע, סוג זה של תקיפה משתמש בפעולות דיוג כדי לגנוב אישורים או את הפעלת הכניסה שלהם כדי לבצע פעולות זדוניות. קמפיינים של BEC הם דוגמה מצוינת.
התקפה זו פועלת על-ידי הגדרת אתר ביניים (דיוג), אשר פועל ביעילות כחיבור Proxy בין המשתמש לבין אתר האינטרנט החוקי שתוקף מתחזה. על-ידי פעולה כמתווך (Proxy), התוקף יכול לגנוב את הסיסמה ואת קובץ ה- Cookie של ההפעלה של היעד. לכן, התוקף יכול לבצע אימות מול הפעלה חוקית בזמן שהוא מאמת בשמו של המשתמש.
ספר הפעלות זה עוזר לחקור מקרים שבהם נצפתה התנהגות חשודה המציינת סוג התקפה מסוג Attack-in-the-middle (AiTM) לגניבת עוגיות. פעולה זו עוזרת לצוותי אבטחה כגון מרכז פעולות אבטחה (SOC) ומנהלי IT לסקור, לנהל ולדרג את ההתראות כחיוביות אמיתית (TP) או כ- False Positive (FP), ואם זהו TP, בצע פעולות מומלצות כדי לתקנו את התקיפה ולצמצם את סיכוני האבטחה הנובעים בשל כך.
תוצאות השימוש בספר משחקים זה הן:
- זיהית את ההתראות המשויכות ל- AiTM כפעילויות זדוניות (TP) או ישנות (FP).
- אם זוהתה כנועה זדונית, נקטת בפעולה הנדרשת כדי לתקנו את ההתקפה.
בודק שלבים
בדוק אם המשתמש המושפע הפעיל התראות אבטחה אחרות.
- התמקד בהתראות המבוססות על חריגות של מיקום גיאוגרפי עבור כניסה
[AadSignInEventsBeta or IdentityLogonEvents]. - בדוק אם קיימים אירועי כניסה רלוונטיים על-ידי התעניינות במידע מזהה הפעלה
[AadSignInEventsBeta].- חפש אירועים המשויכים מזהה ההפעלה המזוהה (נגנב) כדי לעקוב אחר פעילויות שבוצעו באמצעות קובץ ה- Cookie הגנוב
[CloudAppEvents]. - חפש הפרש זמן בין פעילויות כניסה שבהן יש הבדל במיקום הגיאוגרפי. הפעלות מרובות לא אמורות להיות אפשריות עבור אותו חשבון עם מיקומים שונים (המציין שההפעלה עלולה להיגנב).
- חפש אירועים המשויכים מזהה ההפעלה המזוהה (נגנב) כדי לעקוב אחר פעילויות שבוצעו באמצעות קובץ ה- Cookie הגנוב
- בדוק אם קיימות התראות שנוצרו עבור החשבון מהמארח של החברה.
- אם החשבון נחשף לסכנה, קיימות התראות שמופיעות לפני הסכנה המציינות תקיפות, לדוגמה, התראות
[NetworkConnectionEvents]SmartScreen.
- אם החשבון נחשף לסכנה, קיימות התראות שמופיעות לפני הסכנה המציינות תקיפות, לדוגמה, התראות
- התמקד בהתראות המבוססות על חריגות של מיקום גיאוגרפי עבור כניסה
לחקור התנהגות חשודה.
- חפש אירועים המציינים דפוסים
[CloudAppEvents]יוצאי דופן לזיהוי דפוסים חשודים כגון מאפיינים לא נדירים עבור משתמשים, כגון ISP/מדינה/עיר וכו'. - חפש אירועים המציינים פעילויות חדשות או פעילויות שלא נראו בעבר, כגון ניסיונות כניסה [הצלחה/כישלון] לשירותים חדשים או שירותים שלא היו בשימוש בעבר, עלייה בפעילות הגישה לדואר, שינוי בניצול המשאבים של Azure וכן הלאה.
- בדוק את כל השינויים האחרונים בסביבה שלך החל מ:
- יישומי Office 365 (כגון שינויי הרשאות Exchange Online, העברה אוטומטית או ניתוב מחדש של דואר)
- PowerApps (כגון קביעת תצורה של שידור נתונים אוטומטי באמצעות PowerAutomate)
- סביבות Azure (לדוגמה, שינויים במנוי פורטל Azure וכולי)
- SharePoint Online (גישה לאתרים מרובים, או עבור קבצים בעלי תוכן רגיש כגון פרטי אישורים או דוחות כספיים) וכולי)
- בדוק את הפעולות שנצפתו בפלטפורמות מרובות (EXO, SPO, Azure וכדומה) בטווח זמן קצר עבור המשתמש המושפע.
- לדוגמה, צירי זמן עבור אירועי ביקורת של פעולות קריאה/שליחה של דואר והקצאה/שינוי של משאבים ב- Azure (הקצאה או הוספה של מחשב חדש למזהה Microsoft) אינם צריכים להיות זה לצד זה.
- חפש אירועים המציינים דפוסים
לחקור מתקפות מעקב אפשריות. התקפות AiTM הן בדרך כלל אמצעים-בסופו של דבר ולא הסיום, לכן בדוק את הסביבה שלך לאיתור תקיפות אחרות של החשבונות המושפעים.
- דוגמה לתקריות BEC
- חפש פעילויות חיפוש בתיבת הדואר של חשבון המשתמש עם ההתראה
[CloudAppEvents].- פעילויות חיפוש בתיבת הדואר עלולות לכלול מילות מפתח שנצפתו בהונאות פיננסיות (לדוגמה, חשבוניות, תשלומים וכדומה), אשר הן חשודות.
- חפש גם כללי תיבת דואר נכנס שנוצרו מתוך כוונה להזיז ולסמן כנקרא (משהו לאורך שורות ActionType ב- (New-InboxRule, UpdateInboxRules, Set-InboxRule) ו- RawEventData has_all (MarkAsRead, MoveToFolder, Archive).
- חפש פעילויות חיפוש בתיבת הדואר של חשבון המשתמש עם ההתראה
- חפש אירועי זרימת דואר [EmailEvents & EmailUrlInfo ב- NetworkMessageId] שבהם הודעות הדואר האלקטרוני המכפלות נשלחות עם אותה כתובת URL.
- המשך בבדיקה אם התבוננות בהגדלה או בנפח גבוה של מחיקת דואר (ActivityType כפח אשפה או מחיקה)
[CloudAppEvents]בחשבון תיבת הדואר. - התנהגות תואמת עשויה להיהוות חשודה מאוד.
- המשך בבדיקה אם התבוננות בהגדלה או בנפח גבוה של מחיקת דואר (ActivityType כפח אשפה או מחיקה)
- בדוק אירועי מכשיר עבור אירועי כתובת URL התואמים לאירועי לחיצה
[DeviceEvents on AccountName|AccountUpn]עבור הודעות דואר אלקטרוני של Office 365.- התאמת האירועים עבור מקורות לחיצה (לדוגמה, כתובות IP שונות עבור אותה כתובת URL) עשויה להיות אינדיקציה לאונדיקציה זדונית.
- דוגמה לתקריות BEC
שאילתות ציד מתקדמות
ציד מתקדם הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לבדוק אירועים ברשת שלך ולאתר מחווני איומים. השתמש בשאילתות אלה כדי לאסוף מידע נוסף הקשור להתראה ולברר אם הפעילות חשודה.
ודא שיש לך גישה לטבלאות הבאות:
- AadSignInEventsBeta - מכיל פרטי כניסה עבור משתמשים.
- IdentityLogonEvents - מכיל פרטי כניסה עבור משתמשים.
- CloudAppEvents - מכיל יומני ביקורת של פעילויות משתמשים.
- EmailEvents - מכיל מידע על זרימת דואר/תעבורה.
- EmailUrlInfo - מכיל פרטי כתובת URL הכלולים בהודעות דואר אלקטרוני.
- UrlClickEvents - מכיל יומני לחיצה של כתובת URL עבור כתובות URL שלחיצות בהודעות הדואר האלקטרוני.
- DeviceEvents - מכיל אירועי ביקורת של פעילות מכשירים.
השתמש בשאילתה שלהלן כדי לזהות אופן פעולה חשוד של כניסה:
let OfficeHomeSessionIds =
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser"
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country
השתמש בשאילתה שלהלן לזיהוי מדינות/אזורים לא נדירים:
AADSignInEventsBeta
| where Timestamp > ago(7d)
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application
| where ClientAppUsed == "Browser"
| where LogonType has "interactiveUser"
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName
השתמש בשאילתה זו כדי למצוא כללי תיבת דואר נכנס חדשים של דואר אלקטרוני שנוצרו במהלך הפעלת כניסה חשודה:
//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)
פעולות מומלצות
לאחר שתקבע שפעילויות ההתראה הן זדוניות, סמן התראות אלה כ'חיוביות אמיתית' (TP) ובצע את הפעולות הבאות:
- אפס את אישורי החשבון של המשתמש. כמו כן, בטל/בטל אסימונים עבור החשבון שנחשף לסכנה.
- אם הממצאים שנמצאו היו קשורים לדואר אלקטרוני, קבע את התצורה של בלוק בהתבסס על כתובת ה- IP של השולח ותחום השולח.
- תחומים עם שגיאות הקלדה עשויים לנקות פריטי מדיניות DMARC, DKIM, SPF (מאחר שהתחום שונה לחלוטין) או שהם עשויים להחזיר "תוצאות Null (כפי שסביר להניח שהוא לא הוגדר על-ידי שחקן האיומים).
- חסום כתובות URL או כתובות IP (בפלטפורמות ההגנה על הרשת) שזוהו כד זדוניות במהלך החקירה.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.