Megosztás a következőn keresztül:


Riasztásbesorolás jelszópermetes támadásokkal kapcsolatos gyanús IP-címekhez

Érintett szolgáltatás:

  • Microsoft Defender XDR

A fenyegetésészlelők jelszótippelési technikákat használnak a felhasználói fiókokhoz való hozzáféréshez. A jelszóspray-támadás során a fenyegetési szereplő a leggyakrabban használt jelszavak közül néhányat számos különböző fiókhoz használhat. A támadók jelszópermetezéssel sikeresen feltörik a fiókokat, mivel sok felhasználó továbbra is alapértelmezett és gyenge jelszavakat használ.

Ez a forgatókönyv segít kivizsgálni azokat a példányokat, ahol az IP-címeket kockázatosnak címkézték, vagy jelszófeltöréses támadással társították, vagy gyanús, megmagyarázhatatlan tevékenységeket észleltek, például egy ismeretlen helyről bejelentkező felhasználót, vagy egy felhasználó váratlan többtényezős hitelesítési (MFA-) kéréseket kap. Ez az útmutató olyan biztonsági csapatok számára készült, mint a biztonsági üzemeltetési központ (SOC) és a riasztásokat felülvizsgáló, kezelő/kezelő és osztályozó informatikai rendszergazdák. Ez az útmutató segít a riasztások valódi pozitívként (TP) vagy hamis pozitívként (FP) történő gyors besorolásában, és TP esetén ajánlott intézkedéseket tesz a támadás elhárításához és a biztonsági kockázatok mérsékléséhez.

Az útmutató használatának tervezett eredményei a következők:

  • A jelszófeltöréses IP-címekhez társított riasztásokat rosszindulatú (TP) vagy hamis pozitív (FP) tevékenységként azonosította.

  • Megtette a szükséges műveletet, ha az IP-címek jelszóspray-támadásokat hajtottak végre.

Vizsgálati lépések

Ez a szakasz lépésenkénti útmutatást tartalmaz a riasztásra való reagáláshoz, valamint a szervezet további támadások elleni védelméhez ajánlott műveletek elvégzéséhez.

1. A riasztás áttekintése

Íme egy példa egy jelszópermetes riasztásra a riasztási üzenetsorban:

Képernyőkép Microsoft Defender 365-ös riasztásról.

Ez azt jelenti, hogy gyanús felhasználói tevékenység származik egy IP-címről, amely a fenyegetésfelderítési források alapján találgatásos vagy jelszófeltörési kísérlethez lehet társítva.

2. Az IP-cím vizsgálata

  • Tekintse meg a IP-címről származó tevékenységeket :

    • Többnyire sikertelen bejelentkezési kísérletekről van szó?

    • Gyanúsnak tűnik a bejelentkezési kísérletek közötti időköz? Az automatizált jelszópermetes támadások általában rendszeres időközönként jelennek meg a kísérletek között.

    • Vannak sikeres kísérletek egy felhasználóra/több felhasználóra, aki MFA-kérésekkel jelentkezik be? Ezeknek a kísérleteknek a megléte azt jelezheti, hogy az IP-cím nem rosszindulatú.

    • Használnak örökölt protokollokat? Az olyan protokollok használata, mint a POP3, az IMAP és az SMTP, jelszópermetes támadást jelezhetnek. A felhasználói ügynökben (eszköztípus) a Tevékenységnaplóban való keresés Unknown(BAV2ROPC) az örökölt protokollok használatát jelzi. A tevékenységnapló megtekintésekor tekintse meg az alábbi példát. Ennek a tevékenységnek további korrelációban kell lennie más tevékenységekkel.

      Képernyőkép Microsoft Defender 365 felületről, amelyen az Eszköz típusa látható.

      1. ábra. Az Eszköz típusa mező a felhasználói ügynököt jeleníti meg Unknown(BAV2ROPC) a Microsoft Defender XDR.

    • Ellenőrizze a névtelen proxyk vagy a Tor-hálózat használatát. A fenyegetést jelölő szereplők gyakran használják ezeket az alternatív proxykat az információik elrejtésére, ami megnehezíti a nyomkövetést. Azonban az említett proxyk nem minden használata korrelál a rosszindulatú tevékenységekkel. Meg kell vizsgálnia más gyanús tevékenységeket, amelyek jobb támadási mutatókat nyújthatnak.

    • Az IP-cím virtuális magánhálózatról (VPN) származik? Megbízható a VPN? Ellenőrizze, hogy az IP-cím VPN-ről származik-e, és tekintse át a mögöttes szervezetet olyan eszközökkel , mint a RiskIQ.

    • Ellenőrizze az azonos alhálózattal/ISP-vel rendelkező többi IP-címet. Néha a jelszópermetes támadások számos különböző IP-címről származnak ugyanazon az alhálózaton/ISP-en belül.

  • Gyakori az IP-cím a bérlőhöz? Ellenőrizze a tevékenységnaplóban, hogy a bérlő látta-e az IP-címet az elmúlt 30 napban.

  • Keresés a bérlő IP-címéről származó egyéb gyanús tevékenységekhez vagy riasztásokhoz. A figyelendő tevékenységek közé tartozhatnak például az e-mailek törlése, a továbbítási szabályok létrehozása vagy a sikeres bejelentkezés utáni fájlletöltések.

  • Ellenőrizze az IP-cím kockázati pontszámát olyan eszközökkel, mint a RiskIQ.

3. Gyanús felhasználói tevékenység vizsgálata bejelentkezés után

Miután felismert egy gyanús IP-címet, áttekintheti a bejelentkezett fiókokat. Lehetséges, hogy a fiókok egy csoportját feltörték, és sikeresen használták a bejelentkezéshez az IP-címről vagy más hasonló IP-címekről.

Szűrjön minden sikeres bejelentkezési kísérletet az IP-címről, és röviddel a riasztások időpontja után. Ezután bejelentkezés után keressen rosszindulatú vagy szokatlan tevékenységeket az ilyen fiókokban.

  • Felhasználói fiók tevékenységei

    Ellenőrizze, hogy a jelszóspray-tevékenységet megelőző fiókban nem gyanús-e a tevékenység. Ellenőrizze például, hogy van-e olyan rendellenes tevékenység a közös hely vagy az isp alapján, hogy a fiók olyan felhasználói ügynököt használ-e, amelyet korábban nem használt, vagy hogy létrejött-e más vendégfiók, illetve hogy a fiók rosszindulatú IP-címről való bejelentkezése után más hitelesítő adatok lettek-e létrehozva.

  • Riasztások

    Ellenőrizze, hogy a felhasználó kapott-e más riasztásokat a jelszópermetezési tevékenység előtt. Ezek a riasztások azt jelzik, hogy a felhasználói fiók biztonsága sérült. Ilyenek például a lehetetlen utazási riasztások, a ritkán előforduló országból/régióból származó tevékenységek, valamint többek között a gyanús e-mail-törlési tevékenységek.

  • Esemény

    Ellenőrizze, hogy a riasztás más riasztásokhoz van-e társítva, amelyek incidenst jeleznek. Ha igen, ellenőrizze, hogy az incidens tartalmaz-e más valódi pozitív riasztásokat.

Speciális keresési lekérdezések

A speciális veszélyforrás-keresés egy lekérdezésalapú veszélyforrás-keresési eszköz, amellyel megvizsgálhatja a hálózat eseményeit, és megkeresheti a fenyegetésjelzőket.

Ezzel a lekérdezéssel megkeresheti azokat a fiókokat, amelyek a rosszindulatú IP-címből származó legmagasabb kockázati pontszámmal próbálnak bejelentkezni. Ez a lekérdezés az összes sikeres bejelentkezési kísérletet is szűri a megfelelő kockázati pontszámokkal.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores

Ezzel a lekérdezésrel ellenőrizheti, hogy a gyanús IP-cím örökölt protokollokat használt-e a bejelentkezéshez.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent

Ezzel a lekérdezéssel áttekintheti a gyanús IP-címmel kapcsolatos összes riasztást az elmúlt hét napban.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize ( 
        AlertEvidence
            | where Timestamp between (start_date .. end_date)
            | where RemoteIP == ip_address
            | project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)

Ezzel a lekérdezéssel áttekintheti a feltört fiókok fióktevékenységét.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
CloudAppEvents
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | summarize ActivityCount = count() by AccountObjectId, ActivityType
    | extend ActivityPack = pack(ActivityType, ActivityCount)
    | summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId

Ezzel a lekérdezésrel áttekintheti a feltört fiókokra vonatkozó összes riasztást.

let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
  1. Tiltsa le a támadó IP-címét.
  2. Állítsa alaphelyzetbe a felhasználói fiókok hitelesítő adatait.
  3. A feltört fiókok hozzáférési jogkivonatainak visszavonása.
  4. Letilthatja a régi hitelesítést.
  5. Az MFA megkövetelése a felhasználók számára , ha lehetséges, a fiók biztonságának növelése és a fiók feltörése jelszópermetes támadással megnehezítve a támadó számára.
  6. Ha szükséges, tiltsa le a feltört felhasználói fiók bejelentkezését.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.