Helyreállítás rendszerszintű identitás sérüléséből
Ez a cikk a Microsoft erőforrásait és a szervezet elleni rendszerszintű identitást veszélyeztető támadásból való helyreállításra vonatkozó javaslatokat ismerteti, amelyek zsarolóprogramos támadások során fordulhatnak elő.
A cikk tartalma a Microsoft incidenskezelési csapata (korábbi nevén DART/CRSP) útmutatásán alapul, amely a biztonsági résekre való reagálásra és az ügyfelek kiberrezilienssé válásának elősegítésére szolgál. A Microsoft incidenskezelési csapatának további útmutatását a Microsoft biztonsági blogsorozatában talál.
Számos szervezet vált át felhőalapú megközelítésre az identitás- és hozzáférés-kezelés nagyobb biztonsága érdekében. Előfordulhat azonban, hogy a szervezet helyszíni rendszerekkel is rendelkezik, és a hibrid architektúra különböző módszereit használja. Ez a cikk elismeri, hogy a rendszerszintű identitástámadások hatással vannak a felhőre, a helyszíni és a hibrid rendszerekre, és javaslatokat és hivatkozásokat biztosít az összes ilyen környezethez.
Fontos
Ezeket az információkat a rendszer a rendelkezésre állásnak megfelelően adja meg, és általános útmutatást nyújt; Az útmutató informatikai környezetekre és bérlőkre való alkalmazásának végső eldöntéséhez figyelembe kell vennie az Ön egyedi környezetét és igényeit, amelyeket minden ügyfél a legjobb helyzetben van meghatározni.
Tudnivalók a rendszerszintű identitások feltöréséről
Egy szervezet rendszerszintű identitásvédett támadása akkor fordul elő, ha egy támadó sikeresen beveszi a lábát a szervezet identitásinfrastruktúra felügyeletébe.
Ha ez történt a szervezetével, a támadó ellen versenyben van, hogy biztosítsa a környezetet, mielőtt további károk keletkezhetnek.
A környezet identitásinfrastruktúra rendszergazdai felügyeletével rendelkező támadók ezzel a vezérlővel hozhatnak létre, módosíthatnak vagy törölhetnek identitásokat és identitásengedélyeket ebben a környezetben.
Helyszíni biztonsági rés esetén, ha a megbízható SAML-jogkivonat-aláíró tanúsítványok nem HSM-ben vannak tárolva, a támadás a megbízható SAML-jogkivonat-aláíró tanúsítványhoz való hozzáférést is magában foglalja.
A támadók ezután a tanúsítvány használatával SAML-jogkivonatokat hamisíthatnak a szervezet meglévő felhasználóinak és fiókjainak megszemélyesítéséhez anélkül, hogy hozzáférést kellene igényelni a fiók hitelesítő adataihoz, és nem hagyhatnak nyomokat.
A magas jogosultsági szintű fiókhozzáférés a támadó által ellenőrzött hitelesítő adatok meglévő alkalmazásokhoz való hozzáadására is használható, így a támadók észrevétlenül férhetnek hozzá a rendszerhez, például api-kat hívhatnak meg az engedélyek használatával.
Válasz a támadásra
A rendszerszintű identitások sérülésére való reagálásnak tartalmaznia kell az alábbi képen és táblázatban látható lépéseket:
Lépés | Leírás |
---|---|
Biztonságos kommunikáció létrehozása | Egy rendszerszintű identitást veszélyeztető szervezetnek feltételeznie kell, hogy minden kommunikáció érintett. Mielőtt bármilyen helyreállítási műveletet végrehajtanának, gondoskodnia kell arról, hogy a csapat azon tagjai, akik kulcsfontosságúak a vizsgálathoz és a válaszlépéshez , biztonságosan kommunikálhassanak. A kommunikáció biztonságossá tételének az első lépése kell, hogy legyen, hogy a támadó tudta nélkül folytathassa a műveletet. |
A környezet vizsgálata | Miután biztonságossá tette a kommunikációt az alapvető vizsgálati csapatban, elkezdhet kezdeti hozzáférési pontokat és adatmegőrzési technikákat keresni. Azonosítsa a biztonsági résre utaló jeleket, majd keresse meg a kezdeti hozzáférési pontokat és a megőrzést. Ezzel egyidejűleg kezdje el a folyamatos monitorozási műveleteket a helyreállítási erőfeszítések során. |
A biztonsági helyzet javítása | Engedélyezze a biztonsági funkciókat és képességeket a jobb rendszerbiztonságra vonatkozó ajánlott eljárások alapján. Győződjön meg arról, hogy az idő előrehaladtával és a biztonsági helyzet változásaival folyamatosan figyeli a munkát. |
Irányítás visszaszerzése/megtartása | Vissza kell szereznie a környezet rendszergazdai ellenőrzését a támadótól. Miután ismét szabályozta az irányítást, és frissítette a rendszer biztonsági helyzetét, győződjön meg arról, hogy elhárítja vagy letiltja az összes lehetséges adatmegőrzési technikát és az új kezdeti hozzáférés-kihasználást. |
Biztonságos kommunikáció létrehozása
Mielőtt válaszol, győződjön meg arról, hogy a támadó lehallgatása nélkül tud biztonságosan kommunikálni. Ügyeljen arra, hogy elkülönítse az incidenssel kapcsolatos kommunikációt, hogy a támadó ne legyen a nyomozásra utalva, és meglepetéssel járjon a válaszműveletek során.
Példa:
A kezdeti egy-az-egyhez és a csoportos kommunikációhoz érdemes PSTN-hívásokat, a vállalati infrastruktúrához nem csatlakozó konferenciahidakat és végpontok közötti titkosított üzenetkezelési megoldásokat használni.
Az ezeken a keretrendszereken kívüli kommunikációt sérültnek és nem megbízhatónak kell tekinteni, kivéve, ha biztonságos csatornán keresztül ellenőrzik.
A kezdeti beszélgetések után érdemes lehet egy teljesen új Microsoft 365-bérlőt létrehozni, amely elkülönítve van a szervezet éles bérlőjével. Csak olyan kulcsfontosságú munkatársak számára hozzon létre fiókokat, akiknek részt kell vennie a válaszban.
Ha új Microsoft 365-bérlőt hoz létre, mindenképpen kövesse a bérlőre vonatkozó ajánlott eljárásokat, különösen a rendszergazdai fiókok és jogosultságok esetében. Korlátozza a rendszergazdai jogosultságokat, és nincs megbízhatóság a külső alkalmazások vagy szállítók számára.
Fontos
Győződjön meg arról, hogy nem kommunikál az új bérlőjével a meglévő és potenciálisan sérült e-mail-fiókjain.
További információ: Ajánlott eljárások a Microsoft 365 biztonságos használatához.
A biztonsági rés jelzéseinek azonosítása
Javasoljuk, hogy az ügyfelek kövessék a rendszerszolgáltatók frissítéseit, beleértve a Microsoftot és a partnereket is, és implementáljanak minden új észlelést és védelmet, és azonosítsák a közzétett biztonsági incidenseket (IOC-ket).
Ellenőrizze, hogy vannak-e frissítések a Microsoft alábbi biztonsági termékeiben, és implementáljon minden javasolt módosítást:
- Microsoft Sentinel
- Microsoft 365 biztonsági megoldások és szolgáltatások
- Windows 10 Enterprise Security
- Felhőhöz készült Microsoft Defender-alkalmazások
- Microsoft Defender for IoT
Az új frissítések implementálása segít azonosítani a korábbi kampányokat, és megelőzni a rendszer elleni jövőbeli kampányokat. Ne feledje, hogy az IOC-k listája nem feltétlenül teljes, és a vizsgálatok folytatásával bővülhet.
Ezért a következő műveleteket is javasoljuk:
Győződjön meg arról, hogy alkalmazta a Microsoft felhőbiztonsági teljesítménytesztét, és Felhőhöz készült Microsoft Defender keresztül figyeli a megfelelőséget.
A fenyegetésintelligencia-hírcsatornákat beépítheti a SIEM-be, például a Microsoft Purview Data Connectors konfigurálásával a Microsoft Sentinelben.
Győződjön meg arról, hogy az olyan kiterjesztett észlelési és válaszeszközök, mint például a Microsoft Defender for IoT, a legújabb fenyegetésfelderítési adatokat használják.
További információkért tekintse meg a Microsoft biztonsági dokumentációját:
A környezet vizsgálata
Miután az incidensre reagálók és a kulcsfontosságú munkatársak biztonságosan együttműködhetnek, megkezdheti a sérült környezet kivizsgálását.
Ki kell egyensúlyoznia az összes rendellenes viselkedés aljára való eljutást, és gyors lépéseket kell tennie, hogy megállítsa a támadó további tevékenységeit. A sikeres szervizeléshez ismernie kell a támadó által használt kezdeti belépési és adatmegőrzési módszereket, a lehető legteljesebb mértékben. A vizsgálat során elmulasztott adatmegőrzési módszerek a támadó folyamatos hozzáférését és esetleges újrafordítását eredményezhetik.
Ezen a ponton érdemes lehet kockázatelemzést végezni a műveletek rangsorolása érdekében. További információk:
- Adatközponti veszélyforrások, biztonsági rések és kockázatértékelés
- Az újonnan megjelenő fenyegetések nyomon követése és megválaszolása fenyegetéselemzéssel
- Veszélyforrás- és biztonságirés-kezelés
A Microsoft biztonsági szolgáltatásai széles körű erőforrásokat biztosítanak a részletes vizsgálatokhoz. A következő szakaszok a javasolt műveleteket ismertetik.
Feljegyzés
Ha úgy találja, hogy egy vagy több felsorolt naplózási forrás jelenleg nem része a biztonsági programnak, javasoljuk, hogy a lehető leghamarabb konfigurálja őket az észlelések és a későbbi naplóértékelések engedélyezéséhez.
Ügyeljen arra, hogy a naplómegőrzést úgy konfigurálja, hogy támogassa a szervezet jövőbeni vizsgálati céljait. A jogi, szabályozási vagy biztosítási célokra szükséges bizonyíték megőrzése.
Felhőkörnyezeti naplók vizsgálata és áttekintése
Vizsgálja meg és tekintse át a felhőkörnyezet naplóit a gyanús műveletek és a támadók sérülésére utaló jelek alapján. Ellenőrizze például a következő naplókat:
- Egyesített naplózási naplók (UAL)
- Microsoft Entra-naplók
- Helyszíni Microsoft Exchange-naplók
- VPN-naplók, például a VPN Gatewayről
- Mérnöki rendszernaplók
- Víruskereső és végpontészlelési naplók
Végpontnaplók áttekintése
Tekintse át a végpont auditnaplóit a helyszíni változásokról, például a következő típusú műveletekről:
- Csoporttagság módosítása
- Új felhasználói fiók létrehozása
- Delegálások az Active Directoryban
Különösen vegye figyelembe ezeket a változásokat, amelyek a kompromisszum vagy tevékenység egyéb tipikus jeleivel együtt fordulnak elő.
Felügyeleti jogosultságok áttekintése a környezetekben
Tekintse át a felügyeleti jogosultságokat a felhőbeli és a helyszíni környezetekben is. Példa:
Környezet | Leírás |
---|---|
Minden felhőkörnyezet | – Tekintse át a felhőben a jogosultsági jogosultságokat, és távolítsa el a szükségtelen engedélyeket - Privileged Identity Management (PIM) implementálása – Feltételes hozzáférési szabályzatok beállítása a rendszergazdai hozzáférés korlátozásához a megkeményedés során |
Minden helyszíni környezet | – A kiemelt hozzáférés helyszíni áttekintése és a szükségtelen engedélyek eltávolítása – Beépített csoportok tagságának csökkentése – Active Directory-delegálások ellenőrzése – A 0. rétegbeli környezet megerősítése, és a 0. rétegbeli eszközök hozzáférésének korlátozása |
Minden vállalati alkalmazás | Tekintse át azokat a delegált engedélyeket és hozzájárulási támogatásokat, amelyek lehetővé teszik az alábbi műveletek bármelyikét: – Kiemelt felhasználók és szerepkörök módosítása – Az összes postaláda olvasása vagy elérése - E-mail küldése vagy továbbítása más felhasználók nevében – Az összes OneDrive- vagy SharePoint-webhelytartalom elérése – Olyan szolgáltatásnevek hozzáadása, amelyek olvasásra/írásra képesek a címtárban |
Microsoft 365-környezetek | Tekintse át a Microsoft 365-környezet hozzáférési és konfigurációs beállításait, beleértve a következőket: – SharePoint Online-megosztás - Microsoft Teams - Power Apps - Microsoft OneDrive Vállalati verzió |
Felhasználói fiókok áttekintése a környezetekben | – Tekintse át és távolítsa el a már nem szükséges vendégfelhasználói fiókokat. – Tekintse át a meghatalmazottak e-mail-konfigurációit, a postaláda-mappa engedélyeit, az ActiveSync mobileszköz-regisztrációit, a beérkezett üzenetekre vonatkozó szabályokat és a Webes Outlook beállításait. – Tekintse át az ApplicationImpersonation jogosultságait, és a lehető legnagyobb mértékben csökkentse az örökölt hitelesítés használatát. - Ellenőrizze, hogy az MFA érvényes-e, és hogy az MFA és az önkiszolgáló jelszó-visszaállítás (SSPR) kapcsolattartási adatai is helyesek-e. |
Folyamatos monitorozás létrehozása
A támadó viselkedésének észlelése több módszert is tartalmaz, és attól függ, hogy a szervezet milyen biztonsági eszközökkel rendelkezik a támadásra való reagáláshoz.
Előfordulhat például, hogy a Microsoft biztonsági szolgáltatásainak konkrét erőforrásai és útmutatásai relevánsak a támadáshoz, az alábbi szakaszokban leírtak szerint.
Fontos
Ha a vizsgálat bizonyítékokat talál a rendszer biztonsága érdekében beszerzett rendszergazdai engedélyekről, amelyek hozzáférést biztosítottak a szervezet globális rendszergazdai fiókjához és/vagy megbízható SAML-jogkivonat-aláíró tanúsítványához, javasoljuk, hogy tegyen lépéseket a rendszergazdai ellenőrzés szervizelése és megtartása érdekében.
Monitorozás a Microsoft Sentinelrel
A Microsoft Sentinel számos beépített erőforrással rendelkezik, amelyek segítenek a vizsgálatban, ilyenek például a keresési munkafüzetek és az elemzési szabályok, amelyek segítenek észlelni a környezet érintett területeire irányuló támadásokat.
A Microsoft Sentinel tartalomközpontjával olyan kiterjesztett biztonsági megoldásokat és adatösszekötőket telepíthet, amelyek tartalmat streamelnek a környezet más szolgáltatásaiból. További információk:
- A környezet vizualizációja és elemzése
- Veszélyforrások észlelése a dobozon kívül
- Beépített megoldások felderítése és üzembe helyezése
Monitorozás az IoT-hez készült Microsoft Defenderrel
Ha a környezet operatív technológiai (OT) erőforrásokat is tartalmaz, előfordulhat, hogy speciális protokollokat használó eszközökkel rendelkezik, amelyek elsőbbséget adnak a biztonsági üzemeltetési kihívásoknak.
Helyezze üzembe a Microsoft Defender for IoT-t az eszközök monitorozásához és védelméhez, különösen azokat, amelyeket nem védenek a hagyományos biztonsági monitorozási rendszerek. Telepítse az IoT-hez készült Defender hálózati érzékelőket a környezet bizonyos fontos pontjain, hogy ügynök nélküli monitorozással és dinamikus fenyegetésfelderítéssel észlelje a folyamatban lévő hálózati tevékenységek fenyegetéseit.
További információ: Ismerkedés az OT hálózati biztonsági monitorozásával.
Monitorozás a Microsoft Defender XDR használatával
Javasoljuk, hogy ellenőrizze a Microsoft Defender XDR for Endpoint alkalmazást, és Microsoft Defender víruskereső a támadással kapcsolatos konkrét útmutatásért.
Keressen más példákat az észlelésekre, a keresési lekérdezésekre és a fenyegetéselemzési jelentésekre a Microsoft biztonsági központban, például a Microsoft Defender XDR-ben, a Microsoft Defender XDR for Identityben és a Felhőhöz készült Microsoft Defender-alkalmazásokban. A lefedettség biztosításához minden tartományvezérlő mellett telepítse a Microsoft Defender for Identity-ügynököt az ADFS-kiszolgálókra.
További információk:
- Az újonnan megjelenő fenyegetések nyomon követése és megválaszolása fenyegetéselemzéssel
- Az elemzői jelentés megismerése a fenyegetéselemzésben
Monitorozás a Microsoft Entra-azonosítóval
A Microsoft Entra bejelentkezési naplói meg tudják jeleníteni, hogy a többtényezős hitelesítés helyesen van-e használva. A bejelentkezési naplókat közvetlenül az Azure Portal Microsoft Entra területéről érheti el, használhatja a Get-MgBetaAuditLogSignIn parancsmagot, vagy megtekintheti őket a Microsoft Sentinel Naplók területén.
Ha például az MFA-találatok mezője olyan MFA-követelményt ad meg, amely megfelel a jogkivonatban szereplő jogcímnek, keressen vagy szűrje az eredményeket. Ha a szervezet ADFS-t használ, és a naplózott jogcímek nem szerepelnek az ADFS-konfigurációban, ezek a jogcímek támadói tevékenységet jelezhetnek.
A további zajok kizárása érdekében keressen vagy szűrje tovább az eredményeket. Előfordulhat például, hogy csak összevont tartományokból származó eredményeket szeretne belefoglalni. Ha gyanús bejelentkezéseket talál, még tovább részletezheti az IP-címek, a felhasználói fiókok stb. alapján.
Az alábbi táblázat a Microsoft Entra-naplók vizsgálatban való használatának további módszereit ismerteti:
Metódus | Leírás |
---|---|
Kockázatos bejelentkezési események elemzése | A Microsoft Entra ID és identitásvédelmi platformja a támadó által létrehozott SAML-jogkivonatok használatával kapcsolatos kockázati eseményeket okozhat. Ezek az események ismeretlen tulajdonságokként, névtelen IP-címként, lehetetlen utazásként stb. címkézhetők. Javasoljuk, hogy alaposan elemezze a rendszergazdai jogosultságokkal rendelkező fiókokhoz társított összes kockázati eseményt, beleértve azokat is, amelyek automatikusan el lettek utasítva vagy szervizelve lettek. Előfordulhat például, hogy egy kockázati esemény vagy egy névtelen IP-cím automatikusan szervizelhető, mert a felhasználó átadta az MFA-t. Ügyeljen arra, hogy az ADFS Connect Health használatával minden hitelesítési esemény látható legyen a Microsoft Entra-azonosítóban. |
Tartományhitelesítési tulajdonságok észlelése | A támadó által a tartományhitelesítési szabályzatok módosítására tett kísérletek a Microsoft Entra naplózási naplóiban lesznek rögzítve, és megjelennek az egyesített naplózási naplóban. Tekintse át például a tartományhitelesítés beállításával kapcsolatos eseményeket az Egyesített naplózási naplóban, a Microsoft Entra naplózási naplóiban és /vagy a SIEM-környezetben annak ellenőrzéséhez, hogy az összes felsorolt tevékenység várt és tervezett volt-e. |
OAuth-alkalmazások hitelesítő adatainak észlelése | Azok a támadók, akik megszerezték az irányítást egy emelt szintű fiók felett, kereshetnek olyan alkalmazást, amely képes hozzáférni a szervezet bármely felhasználójának e-mailjeihez, majd támadó által ellenőrzött hitelesítő adatokat adhatnak hozzá az alkalmazáshoz. Előfordulhat például, hogy a következő tevékenységek bármelyikét szeretné megkeresni, ami összhangban lenne a támadó viselkedésével: – Szolgáltatásnév hitelesítő adatainak hozzáadása vagy frissítése - Alkalmazástanúsítványok és titkos kódok frissítése – Alkalmazásszerepkör-hozzárendelési támogatás hozzáadása egy felhasználóhoz - Oauth2PermissionGrant hozzáadása |
E-mail-hozzáférés észlelése alkalmazások szerint | Keresse meg az e-mailekhez való hozzáférést a környezetben lévő alkalmazások szerint. Használhatja például a Microsoft Purview Auditálás (Prémium) funkciókat a feltört fiókok vizsgálatához. |
Nem interaktív bejelentkezések észlelése a szolgáltatásnevekbe | A Microsoft Entra bejelentkezési jelentései részletesen ismertetik a szolgáltatásnév hitelesítő adatait használó nem interaktív bejelentkezéseket. A bejelentkezési jelentések használatával például értékes adatokat kereshet a vizsgálathoz, például egy IP-címet, amelyet a támadó használ az e-mail-alkalmazások eléréséhez. |
A biztonsági helyzet javítása
Ha biztonsági esemény történt a rendszereiben, javasoljuk, hogy tekintse át az aktuális biztonsági stratégiát és prioritásokat.
Az incidens válaszadóit gyakran arra kérik, hogy javaslatokat adjanak arra, hogy milyen befektetéseket kell előnyben részesítenie a szervezetnek, most, hogy új fenyegetésekkel szembesült.
A cikkben ismertetett javaslatok mellett javasoljuk, hogy fontolja meg a támadás utáni technikákra reagáló fókuszterületek és az azokat lehetővé tevő gyakori biztonsági helyzetbeli hiányosságok rangsorolását.
Az alábbi szakaszok az általános és az identitásbiztonsági helyzet javítására vonatkozó javaslatokat sorolják fel.
Az általános biztonsági helyzet javítása
Az általános biztonsági helyzet biztosításához az alábbi műveleteket javasoljuk:
Tekintse át a Microsoft biztonságos pontszámát az Ön által használt Microsoft-termékekhez és -szolgáltatásokhoz testre szabott biztonsági alapismeretekhez.
Győződjön meg arról, hogy a szervezet kiterjesztett észlelési és válaszkezelési (XDR) és biztonsági információ- és eseménykezelési (SIEM) megoldásokkal rendelkezik, mint például a Microsoft Defender XDR for Endpoint, a Microsoft Sentinel és a Microsoft Defender for IoT.
A Microsoft Nagyvállalati hozzáférési modelljének áttekintése
Az identitásbiztonság helyzetének javítása
Az identitással kapcsolatos biztonsági helyzet biztosításához a következő műveleteket javasoljuk:
Tekintse át a Microsoft identitásinfrastruktúra védelmének öt lépését, és rangsorolja az identitásarchitektúra megfelelő lépéseit.
Fontolja meg a Microsoft Entra biztonsági alapértelmezett beállításaira való migrálást a hitelesítési szabályzathoz.
Ha a rendszerek vagy alkalmazások továbbra is igénylik, a szervezet nem használja az örökölt hitelesítést. További információ: A Microsoft Entra ID örökölt hitelesítésének letiltása feltételes hozzáféréssel.
Az ADFS-infrastruktúrát és az AD Connect-infrastruktúrát 0. rétegbeli eszközként kezelheti.
Korlátozza a helyi rendszergazdai hozzáférést a rendszerhez, beleértve az ADFS-szolgáltatás futtatásához használt fiókot is.
Az ADFS-t futtató fiókhoz a legkevésbé szükséges jogosultság a bejelentkezés szolgáltatásfelhasználói jogosultság-hozzárendelésként.
A Távoli asztali Windows tűzfalszabályzatok használatával korlátozhatja a rendszergazdai hozzáférést a korlátozott felhasználókhoz és a korlátozott IP-címtartományokhoz .
Javasoljuk, hogy állítson be egy 0. rétegbeli jump boxot vagy azzal egyenértékű rendszert.
Tiltsa le az összes bejövő SMB-hozzáférést a rendszerekhez a környezet bármely pontjáról. További információ : Beyond the Edge: How to Secure SMB Traffic in Windows. Azt is javasoljuk, hogy streamelje a Windows tűzfalnaplókat egy SIEM-be a korábbi és proaktív monitorozás érdekében.
Ha szolgáltatásfiókot használ, és a környezeti támogatás, migráljon egy szolgáltatásfiókból egy csoport által felügyelt szolgáltatásfiókba (gMSA). Ha nem tud gMSA-ra váltani, forgassa a szolgáltatásfiók jelszavát egy összetett jelszóra.
Győződjön meg arról, hogy a részletes naplózás engedélyezve van az ADFS-rendszereken.
Felügyeleti felügyelet szervizelése és megtartása
Ha a vizsgálat megállapította, hogy a támadó rendszergazdai irányítással rendelkezik a szervezet felhőbeli vagy helyszíni környezetében, úgy kell visszavennie az irányítást, hogy meggyőződjön arról, hogy a támadó nem állandó.
Ez a szakasz a felügyeleti vezérlés helyreállítási tervének létrehozásakor megfontolandó módszereket és lépéseket ismerteti.
Fontos
A szervezetben szükséges pontos lépések attól függenek, hogy milyen adatmegőrzést fedezett fel a vizsgálat során, és mennyire biztos abban, hogy a vizsgálat befejeződött, és felderített minden lehetséges belépési és adatmegőrzési módszert.
Győződjön meg arról, hogy a végrehajtott műveletek megbízható , tiszta forrásból készült eszközről vannak végrehajtva. Használjon például egy friss, kiemelt hozzáférésű munkaállomást.
A következő szakaszok a következő típusú javaslatokat tartalmazzák a felügyeleti ellenőrzés szervizelésével és megtartásával:
- A megbízhatóság eltávolítása az aktuális kiszolgálókon
- Az SAML-jogkivonat-aláíró tanúsítvány elforgatása vagy szükség esetén az ADFS-kiszolgálók cseréje
- Konkrét szervizelési tevékenységek felhőbeli vagy helyszíni környezetekhez
A megbízhatóság eltávolítása az aktuális kiszolgálókon
Ha a szervezet elvesztette az irányítást a jogkivonat-aláíró tanúsítványok vagy az összevont megbízhatóság felett, a legbiztosabb módszer a megbízhatóság eltávolítása, valamint a felhőalapú identitásra váltás a helyszíni szervizelés során.
A bizalom eltávolítása és a felhőalapú identitásra való váltás gondos tervezést és az identitás elkülönítésének üzleti műveleti hatásainak alapos megértését igényli. További információ: A Microsoft 365 védelme a helyszíni támadásokkal szemben.
AZ SAML-jogkivonat-aláíró tanúsítvány elforgatása
Ha a szervezet úgy dönt, hogy nem távolítja el a megbízhatóságot a helyszíni felügyeleti vezérlő helyreállítása során, akkor a helyszíni rendszergazdai ellenőrzés helyreállítása után el kell forgatnia az SAML-jogkivonat-aláíró tanúsítványt, és blokkolnia kell a támadók számára az aláíró tanúsítvány újbóli elérését.
A jogkivonat-aláíró tanúsítvány egyszeri elforgatásával továbbra is működik az előző jogkivonat-aláíró tanúsítvány. A korábbi tanúsítványok működésének engedélyezése a normál tanúsítványváltások beépített funkciója, amely lehetővé teszi, hogy a szervezetek a tanúsítvány lejárata előtt frissítsenek minden függő entitás megbízhatóságát.
Ha támadás történt, nem szeretné, hogy a támadó egyáltalán megőrizze a hozzáférést. Győződjön meg arról, hogy a támadó nem képes jogkivonatokat létrehozni a tartományához.
További információk:
Az ADFS-kiszolgálók cseréje
Ha az SAML-jogkivonat-aláíró tanúsítvány elforgatása helyett úgy dönt, hogy az ADFS-kiszolgálókat tiszta rendszerekre cseréli, el kell távolítania a meglévő ADFS-t a környezetéből, majd létre kell hoznia egy újat.
További információ: Konfiguráció eltávolítása.
Felhőbeli szervizelési tevékenységek
A cikkben korábban felsorolt javaslatok mellett a következő tevékenységeket is javasoljuk a felhőkörnyezetekhez:
Tevékenység | Leírás |
---|---|
Jelszavak alaphelyzetbe állítása | Állítsa vissza a jelszavakat az üvegtöréses fiókokon , és csökkentse az üvegtöréses fiókok számát a minimálisra. |
Emelt szintű hozzáférési fiókok korlátozása | Győződjön meg arról, hogy a kiemelt hozzáféréssel rendelkező szolgáltatás- és felhasználói fiókok csak felhőalapú fiókok, és nem használnak a Microsoft Entra-azonosítóval szinkronizált vagy összevont helyszíni fiókokat. |
MFA kényszerítése | Többtényezős hitelesítés (MFA) kényszerítése a bérlő összes emelt szintű felhasználója számára. Javasoljuk, hogy kényszerítse ki az MFA-t a bérlő összes felhasználója számára. |
Rendszergazdai hozzáférés korlátozása | A rendszergazdai hozzáférés korlátozásához implementálja a Privileged Identity Management (PIM) és a feltételes hozzáférést. A Microsoft 365-felhasználók számára a Privileged Access Management (PAM) implementálása a bizalmas képességekhez való hozzáférés korlátozására, például az adatfeltárás, a globális rendszergazda, a fiókfelügyelet stb. |
Delegált engedélyek és hozzájárulási támogatások áttekintése/csökkentése | Tekintse át és csökkentse az összes olyan vállalati alkalmazás delegált engedélyét vagy hozzájárulási engedélyét , amely lehetővé teszi az alábbi funkciók bármelyikét: - Kiemelt felhasználók és szerepkörök módosítása – Olvasás, e-mail küldése vagy az összes postaláda elérése – OneDrive-, Teams- vagy SharePoint-tartalmak elérése – Olyan egyszerű szolgáltatásnevek hozzáadása, amelyek képesek olvasni/írni a címtárba – Alkalmazásengedélyek és delegált hozzáférés |
Helyszíni szervizelési tevékenységek
A cikk korábbi részében felsorolt javaslatok mellett a következő tevékenységeket is javasoljuk a helyszíni környezetekhez:
Tevékenység | Leírás |
---|---|
Érintett rendszerek újraépítése | Újraépítheti azokat a rendszereket, amelyeket a támadó a nyomozás során feltörtként azonosított. |
Szükségtelen rendszergazdai felhasználók eltávolítása | Távolítsa el a szükségtelen tagokat a tartománygazdákból, a biztonsági mentési operátorokból és a vállalati rendszergazdai csoportokból. További információ: Privileged Access biztonságossá tétele. |
Jelszavak visszaállítása emelt szintű fiókokra | A környezetben lévő összes kiemelt fiók jelszavának alaphelyzetbe állítása. Megjegyzés: A kiemelt fiókok nem csak a beépített csoportokra korlátozódnak, hanem olyan csoportok is lehetnek, amelyek delegált hozzáféréssel rendelkeznek a kiszolgálófelügyelethez, a munkaállomás-felügyelethez vagy a környezet más területeihez. |
A krbtgt-fiók alaphelyzetbe állítása | Állítsa alaphelyzetbe kétszer a krbtgt-fiókot a New-KrbtgtKeys szkripttel. Megjegyzés: Ha írásvédett tartományvezérlőket használ, a szkriptet külön kell futtatnia írásvédett tartományvezérlőkhöz és írásvédett tartományvezérlőkhöz. |
Rendszer újraindításának ütemezése | Miután ellenőrzi, hogy a támadó által létrehozott adatmegőrzési mechanizmusok nem léteznek vagy maradnak-e a rendszeren, ütemezzen rendszer-újraindítást a memória-rezidens kártevők eltávolításához. |
A DSRM-jelszó alaphelyzetbe állítása | Állítsa vissza az egyes tartományvezérlők DSRM-jelszavát (Címtárszolgáltatások visszaállítási módja) egyedire és összetettre. |
A vizsgálat során felderített javítás vagy blokkmegőrzés
A vizsgálat iteratív folyamat, és ki kell egyensúlyoznia a szervezet szervizelési vágyát, mivel azonosítja az anomáliákat, és annak az esélyét, hogy a szervizelés figyelmezteti a támadót az észlelésre, és időt ad nekik a reagálásra.
Például egy támadó, aki tudomást szerez az észlelésről, megváltoztathatja a technikákat, vagy nagyobb adatmegőrzést hozhat létre.
Mindenképpen orvosolja a vizsgálat korábbi szakaszaiban azonosított adatmegőrzési technikákat.
Felhasználói és szolgáltatásfiók-hozzáférés szervizelése
A fent felsorolt javasolt műveletek mellett javasoljuk, hogy fontolja meg a felhasználói fiókok szervizelésére és visszaállítására vonatkozó alábbi lépéseket:
Feltételes hozzáférés kényszerítése megbízható eszközök alapján. Ha lehetséges, javasoljuk, hogy a szervezeti követelményeknek megfelelően kényszerítse ki a helyalapú feltételes hozzáférést .
A kiürítés után új jelszavakat állíthat be az esetlegesen feltört felhasználói fiókokhoz. Győződjön meg arról is, hogy egy félidős tervet is implementál a címtárban lévő összes fiók hitelesítő adatainak alaphelyzetbe állításához.
A hitelesítő adatok elforgatása után azonnal visszavonhatja a frissítési jogkivonatokat .
További információk:
Következő lépések
A felső navigációs sáv Súgó (?) gombjára kattintva segítséget kaphat a Microsoft-termékekből, például a Microsoft Defender portálról, a Microsoft Purview megfelelőségi portál és az Office 365 Biztonsági és megfelelőségi központból.
Az üzembe helyezéssel kapcsolatos segítségért forduljon hozzánk a FastTrackben
Ha terméktámogatással kapcsolatos igényei vannak, küldjön egy Microsoft-támogatási esetet.
Fontos
Ha úgy véli, hogy sérült, és segítségre van szüksége egy incidensválaszon keresztül, nyisson egy Sev A Microsoft támogatási esetet.