Megosztás a következőn keresztül:

Jelszószóró támadás vizsgálata

Ez a cikk útmutatást nyújt a jelszóspray-támadások szervezeten belüli azonosításához és kivizsgálásához, valamint az információk védelme és a további kockázatok minimalizálása érdekében szükséges javítási műveletek végrehajtásához.

Ez a cikk a következő szakaszokat tartalmazza:

  • Előfeltételek: A vizsgálat megkezdése előtt teljesítenie kell bizonyos konkrét követelményeket. Például a naplózást be kell kapcsolni, és szükség van a szerepkörökre és engedélyekre, többek között.
  • Munkafolyamat: A vizsgálat elvégzéséhez követendő logikai folyamatot jeleníti meg.
  • Ellenőrzőlista: A folyamatábra egyes lépéseihez tartozó tevékenységek listáját tartalmazza. Ez az ellenőrzőlista segíthet a szigorúan szabályozott környezetekben annak ellenőrzésében, hogy mit tett, vagy egyszerűen csak minőségi ellenőrzési pontként saját magának.
  • Vizsgálati lépések: Részletes részletes útmutatót tartalmaz ehhez az adott vizsgálathoz.
  • Helyreállítás: Magas szintű lépéseket tartalmaz a jelszóspray-támadás helyreállítására/enyhítésére.
  • Hivatkozások: További olvasási és referenciaanyagokat tartalmaz.

Előfeltételek

A vizsgálat megkezdése előtt győződjön meg arról, hogy elvégezte a naplók, riasztások és egyéb rendszerkövetelmények beállítását.

A Microsoft Entra monitorozásához kövesse a Microsoft Entra SecOps útmutatójában található javaslatokat és útmutatást.

Az AD FS naplózásának beállítása

Eseménynaplózás az ADFS 2016-on

Alapértelmezés szerint a Windows Server 2016-ban a Microsoft Active Directory szövetségi szolgáltatások (AD FS) esetében az alapszintű naplózás engedélyezve van. Az alapszintű naplózással a rendszergazdák öt vagy kevesebb eseményt láthatnak egyetlen kéréshez. Állítsa be a naplózást a legmagasabb szintre, és küldje el az AD FS (> biztonsági) naplóit egy SIEM-nek az AD-hitelesítéssel és a Microsoft Entra-azonosítóval való korrelációhoz.

Az aktuális naplózási szint megtekintéséhez használja ezt a PowerShell-parancsot:

Get-AdfsProperties

Képernyőkép a Get-AdfsProperties PowerShell-parancsról.

Ez a táblázat az elérhető ellenőrzési szinteket sorolja fel.

Ellenőrzési szint PowerShell-szintaxis Leírás
Egyik sem Set-AdfsProperties -AuditLevel None A naplózás le van tiltva, és nincsenek naplózott események
Alapszintű (alapértelmezett) Set-AdfsProperties -AuditLevel Basic Egyetlen kéréshez legfeljebb öt esemény lesz naplózva
Részletezés Set-AdfsProperties -AuditLevel Verbose Minden esemény naplózva van. Ez a szint kérésenként jelentős mennyiségű információt naplóz.

A naplózási szint emeléséhez vagy csökkentéséhez használja ezt a PowerShell-parancsot:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Az ADFS 2012 R2/2016/2019 biztonsági naplózásának beállítása

  1. Válassza a Start lehetőséget, lépjen a Programok > felügyeleti eszközök elemre, majd válassza a Helyi biztonsági szabályzat lehetőséget.

  2. Lépjen a Biztonsági beállítások\Helyi házirendek\Felhasználói jogok kezelése mappára, majd kattintson duplán a Biztonsági auditok létrehozása elemre.

  3. A Helyi biztonsági beállítás lapon ellenőrizze, hogy az ADFS szolgáltatásfiók szerepel-e a listában. Ha nem jelenik meg, válassza a Felhasználó vagy csoport hozzáadása lehetőséget, és adja hozzá a listához, majd kattintson az OK gombra.

  4. A naplózás engedélyezéséhez nyisson meg egy parancssort emelt szintű jogosultságokkal, és futtassa a következő parancsot:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Zárja be a Helyi biztonsági házirend lapot.

  6. Ezután nyissa meg az ADFS Management beépülő modult, válassza a Start lehetőséget, keresse meg a Programok > felügyeleti eszközeit, majd válassza az ADFS Management lehetőséget.

  7. A Műveletek panelen válassza a Föderációs szolgáltatás tulajdonságainak szerkesztése lehetőséget.

  8. A Felügyeleti szolgáltatás tulajdonságai párbeszédpanelen válassza az Események lapot.

  9. Jelölje be a Sikerauditorok és a Hibaauditorok jelölőnégyzeteket.

  10. Kattintson az OK gombra a konfiguráció befejezéséhez és mentéséhez.

A Microsoft Entra Connect Health telepítése az ADFS-hez

A Microsoft Entra Connect Health for ADFS-ügynökkel jobban áttekintheti összevonási környezetét. Számos előre konfigurált irányítópultot biztosít, például a használatot, a teljesítményfigyelést és a kockázatos IP-jelentéseket.

Az ADFS Connect Health telepítéséhez tekintse át a Microsoft Entra Connect Health használatára vonatkozó követelményeket, majd telepítse az Azure ADFS Connect Health-ügynököt.

Kockázatos IP-riasztások beállítása az ADFS kockázatos IP-jelentés munkafüzetével

A Microsoft Entra Connect Health for ADFS konfigurálása után az ADFS kockázatos IP-jelentés munkafüzetével és az Azure Monitorral kell figyelnie és beállítania a riasztásokat. A jelentés használatának előnyei a következők:

  • Olyan IP-címek észlelése, amelyek túllépik a sikertelen jelszóalapú bejelentkezések küszöbértékét.
  • Támogatja a hibás jelszó vagy az extranetes zárolási állapot miatt meghiúsult bejelentkezéseket.
  • Támogatja a riasztások Azure-riasztásokon keresztüli engedélyezését.
  • Testre szabható küszöbérték-beállítások, amelyek megfelelnek egy szervezet biztonsági szabályzatának.
  • Testre szabható lekérdezések és bővített vizualizációk további elemzéshez.
  • Az előző kockázatos IP-jelentés bővített funkciói, amelyek 2022. január 24-től elavultak.

SIEM-eszközriasztások beállítása a Microsoft Sentinelen

A SIEM-eszközök riasztásainak beállításához tekintse át a dobozon kívüli riasztásokról szóló oktatóanyagot.

SIEM-integráció a Felhőhöz készült Microsoft Defender-alkalmazásokba

Csatlakoztassa a Security Information and Event Management (SIEM) eszközt a Felhőalkalmazásokhoz készült Microsoft Defenderhez, amely jelenleg támogatja a Micro Focus ArcSightot és az általános eseményformátumot (CEF).

További információ: Általános SIEM-integráció.

SIEM-integráció a Graph API-val

A(z) Microsoft Graph Biztonsági API-t a SIEM-mel az alábbi lehetőségek bármelyikével csatlakoztathatja:

  • A támogatott integrációs lehetőségek közvetlen használata – Tekintse meg a támogatott integrációs lehetőségek listáját, mint például a kód írását az alkalmazás közvetlen összekapcsolására részletes adatok kinyerése érdekében. Első lépésként használjon példákat.
  • A Microsoft-partnerek által létrehozott natív integrációk és összekötők használata – Az integrációk használatához tekintse meg a Microsoft Graph Biztonsági API partnermegoldásait.
  • A Microsoft által létrehozott összekötők használata – Tekintse meg azoknak az összekötőknek a listáját, amelyeket az API-val való csatlakozáshoz használhat a biztonsági incidensek és események kezelése (SIEM), a biztonsági válasz és vezénylés (SOAR), az incidenskövetés és a szolgáltatáskezelés (ITSM), a jelentéskészítés stb.

További információt a Microsoft Graph Biztonsági API használatával végzett biztonsági megoldásintegrációkban talál.

A Splunk használata

A Splunk platformmal riasztásokat is beállíthat.

Munkafolyamat

Az alábbi folyamatábra a jelszóspray vizsgálati munkafolyamatot mutatja be.

Hogyan végezzünk jelszópermet vizsgálatot: folyamatábra.

További lehetőségek:

  • Töltse le PDF-ként a jelszópermetet és más incidenskezelési forgatókönyv-munkafolyamatokat.
  • Töltse le Visio-fájlként a jelszópermetet és más incidenskezelési forgatókönyv-munkafolyamatokat.

Ellenőrzőlista

Vizsgálati eseményindítók

  • Eseményindítót kapott a SIEM-től, a tűzfalnaplóktól vagy a Microsoft Entra-azonosítótól
  • Microsoft Entra azonosítóvédelem Jelszó húzás funkció vagy kockázatos IP
  • Nagy számú sikertelen bejelentkezés (411-es eseményazonosító)
  • Kiugrás a Microsoft Entra Connect Health-ben az ADFS számára
  • Egy másik biztonsági incidens (például adathalászat)
  • Megmagyarázhatatlan tevékenység, például ismeretlen helyről való bejelentkezés, vagy váratlan MFA-kéréseket kapó felhasználó

Vizsgálat

  • Mi a riasztás?
  • Meg tudja erősíteni, hogy ez a támadás jelszószórásos?
  • A támadás idővonalának meghatározása.
  • Határozza meg a támadás egy vagy több IP-címét.
  • Szűrjön a sikeres bejelentkezésekre erre az időszakra és IP-címre, beleértve azokat az eseteket, amikor a jelszó sikeres volt, de az MFA (többtényezős hitelesítés) sikertelen.
  • MFA-jelentések ellenőrzése
  • Van valami szokatlan a fiókban, például új eszköz, új operációs rendszer, új IP-cím? A gyanús tevékenységek észleléséhez használja az Felhőhöz készült Defender-alkalmazásokat vagy az Azure Information Protectiont.
  • Segítségért tájékoztassa a helyi hatóságokat/harmadik feleket.
  • Ha kompromisszumra gyanakszik, ellenőrizze, hogy van-e adatkiszivárgás.
  • Ellenőrizze a társított fiók gyanús viselkedését, és keressen összefüggést más lehetséges fiókokkal és szolgáltatásokkal, valamint más rosszindulatú IP-címekkel.
  • Ellenőrizze az azonos irodában/delegált hozzáférésben dolgozó felhasználók fiókját – jelszóhigiénia (győződjön meg arról, hogy nem ugyanazt a jelszót használja, mint a feltört fiók)
  • Az ADFS súgójának futtatása

Kezelési lehetőségek

Az alábbi funkciók engedélyezéséhez tekintse meg a Hivatkozások szakasz útmutatását:

Helyreállítás

Excel-fájlként letöltheti a jelszó spray-t és az incidensek egyéb forgatókönyv-ellenőrzőlistáit is.

Vizsgálati lépések

Jelszó-permet támadásra adott válasz

Ismerkedjünk meg néhány jelszóspray-támadási technikával, mielőtt folytatjuk a vizsgálatot.

Jelszósértés: A támadó kitalálta a felhasználó jelszavát, de más vezérlők, például a többtényezős hitelesítés (MFA) miatt nem tudott hozzáférni a fiókhoz.

Fiók biztonsága: A támadó kitalálta a felhasználó jelszavát, és hozzáférést kapott a fiókhoz.

Környezet felfedezése

Hitelesítési típus azonosítása

Első lépésként ellenőriznie kell, hogy milyen hitelesítési típust használ a vizsgált bérlő/ellenőrzött tartomány.

Egy adott tartománynév hitelesítési állapotának lekéréséhez használja a Get-MgDomain PowerShell parancsot. Íme egy példa:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

Összevont vagy felügyelt hitelesítés?

Ha a hitelesítés összevont, akkor a sikeres bejelentkezések a Microsoft Entra-azonosítóban lesznek tárolva. A sikertelen bejelentkezések az identitásszolgáltatójukban (IDP) találhatók. További információ: AD FS hibaelhárítás és eseménynaplózás.

Ha a hitelesítési típus felügyelt – csak felhőalapú, jelszókivonat-szinkronizálás (PHS) vagy átmenő hitelesítés (PTA) – akkor a sikeres és sikertelen bejelentkezések a Microsoft Entra bejelentkezési naplóiban lesznek tárolva.

Feljegyzés

A szakaszos bevezetés funkció lehetővé teszi a bérlői tartománynév föderálását és bizonyos felhasználók kezelését. Állapítsa meg, hogy a felhasználók a csoport tagjai-e.

Engedélyezve van az ADFS-ben a Microsoft Entra Connect Health?

Engedélyezve van a speciális naplózás az ADFS-ben?

A naplók a SIEM-ben vannak tárolva?

Annak ellenőrzése, hogy a naplókat biztonsági információk és események kezelése (SIEM) vagy bármely más rendszerben tárolja-e és korrelálja-e:

  • Log analytics – előre összeállított lekérdezések
  • Microsoft Sentinel – előre összeállított lekérdezések
  • Splunk – előre összeállított lekérdezések
  • Tűzfal naplók
  • UAL, ha > 30 nap

A Microsoft Entra ID és az MFA jelentéskészítésének ismertetése

Fontos, hogy megértse azokat a naplókat, amelyeket lát, hogy képes legyen megállapítani a kompromisszumot. Az alábbiakban rövid útmutatókat talál a Microsoft Entra-bejelentkezések és az MFA-jelentések megismeréséhez:

Incidensindítók

Az incidens-eseményindító olyan esemény vagy eseménysorozat, amely előre definiált riasztás aktiválását okozza. Ilyen például az előre megadott küszöbérték fölötti hibás jelszókísérletek száma. Az alábbiakban további példákat talál azokra az eseményindítókra, amelyek riasztást kaphatnak a jelszópermet-támadások esetén, és ahol ezek a riasztások felszínre kerülnek. Az incidensindítók a következők:

  • Felhasználók

  • IP

  • Felhasználói ügynök karakterlánca

  • Dátum/idő

  • Rendellenességek

  • Hibás jelszókísérletek

    Képernyőkép a hibás jelszókísérletek nyomon követéséről.

A tevékenységek szokatlan megugrásai a Microsoft Entra Health Connect fő mutatói (feltéve, hogy ez az összetevő telepítve van). Egyéb mutatók a következők:

  • A SIEM-alapú riasztások növekedést jeleznek, amikor a naplókat rendezzük.
  • Az ADFS sikertelen bejelentkezései esetében a naplóméret a normálnál nagyobb, ami riasztás lehet a SIEM eszközben.
  • Nagyobb mennyiségű 342/411 eseményazonosító – a felhasználónév vagy a jelszó helytelen. Vagy 516 extranetes zárolás esetén.
  • Sikertelen hitelesítési kérelmek küszöbértékének elérése – Veszélyes IP-cím a Microsoft Entra ID-ben vagy SIEM eszköz riasztásában, 342 és 411 hibák esetén (Az információk megtekintéséhez be kell kapcsolni a speciális naplózást.)

Kockázatos IP-cím a Microsoft Entra Health Connect portálon

Kockázatos IP-riasztások akkor fordulnak elő, ha a testreszabott küszöbérték egy óra alatt elérte a hibás jelszavakat, egy nap alatt pedig a helytelen jelszavak számát, valamint az extranetes zárolásokat.

Képernyőkép a kockázatos IP-jelentés adatairól.

A sikertelen kísérletek részletei a lapok IP-címében és az extranetes zárolásokban érhetők el.

Képernyőkép az IP-címtábláról.

A jelszóleszórás észlelése az Azure Identity Protectionben

Az Azure Identity Protection a Microsoft Entra ID P2 szolgáltatás része, amely jelszóspray-észlelési kockázati riasztást és keresési funkciót kínál, így további információkat biztosít, vagy automatikusan megoldást nyújt.

Példa a jelszóspray-támadásra.

Alacsony és lassú támadásindikátorok

Az alacsony és lassú támadási jelzők akkor jelennek meg, ha a fiókzárolás vagy a rossz jelszavak nem érik el a beállított küszöbértékeket. Ezeket a mutatókat a következőkkel észlelheti:

  • Hibák a GAL rendszerben
  • Ismétlődő attribútumokkal (UA, célAlkalmazásazonosító, IP-blokk/hely) kapcsolatos hibák
  • Időzítés – Az automatizált spray-k általában rendszeresebb időintervallummal rendelkeznek a kísérletek között.

Vizsgálat és kockázatcsökkentés

Feljegyzés

A folyamatos/folyamatban lévő támadások során egyszerre végezhet vizsgálatot és kockázatcsökkentést.

  1. Ha még nincs bekapcsolva, kapcsolja be a speciális naplózást az ADFS-ben.

  2. Határozza meg a támadás kezdő dátumát és időpontját.

  3. Határozza meg a támadó IP-címét (több forrás és több IP-cím is lehet) a tűzfalról, az ADFS-ről, az SIEM-ről vagy a Microsoft Entra-azonosítóról.

  4. Miután a jelszó spray megerősítést nyert, előfordulhat, hogy tájékoztatnia kell a helyi ügynökségeket (rendőrség, harmadik felek, többek között).

  5. Az ADFS eseményazonosítóinak összeállítása és megfigyelése:

    ADFS 2012 R2

    • Ellenőrzési esemény 403 – a kérést intéző felhasználói ügynök
    • Audit esemény 411 – sikertelen hitelesítési kérelmek
    • 516-os audit esemény – extranetes zárolás
    • 342-es ellenőrzési esemény – sikertelen hitelesítési kérelmek
    • Audit Event 412 – Sikeres bejelentkezés

  6. A sikertelen hitelesítési kérelmek naplózásához használja a következő szkriptet:

    PARAM ($PastDays = 1, $PastHours)
#************************************************
#ADFSBadCredsSearch.ps1
#Version 1.0
#Date: 6-20-2016
#Author: Tim Springston [MSFT]
#Description: This script will parse the ADFS server's (not proxy) security ADFS
#for events which indicate an incorrectly entered username or password. The script can specify a
#past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
#review of UPN, IP address of submitter, and timestamp.
#************************************************
cls
if ($PastHours -gt 0)
{$PastPeriod = (Get-Date).AddHours(-($PastHours))}
else
{$PastPeriod = (Get-Date).AddDays(-($PastDays))}
$Outputfile = $Pwd.path + "\BadCredAttempts.csv"
$CS = get-wmiobject -class win32_computersystem
$Hostname = $CS.Name + '.' + $CS.Domain
$Instances = @{}
$OSVersion = gwmi win32_operatingsystem
[int]$BN = $OSVersion.Buildnumber
if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
else {$ADFSLogName = "AD FS/Admin"}
$Users = @()
$IPAddresses = @()
$Times = @()
$AllInstances = @()
Write-Host "Searching event log for bad credential events..."
if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
$Instance = New-Object PSObject
$UPN = $_.Properties[2].Value
$UPN = $UPN.Split("-")[0]
$IPAddress = $_.Properties[4].Value
$Users += $UPN
$IPAddresses += $IPAddress
$Times += $_.TimeCreated
add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
$AllInstances += $Instance
$Instance = $null
}
}
$AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
Write-Host "Data collection finished. The output file can be found at >$outputfile`."
$AllInstances = $null

ADFS 2016/2019

A fenti eseményazonosítókkal együtt gyűjtse össze az Audit Event 1203 – Friss hitelesítőadat-ellenőrzési hiba eseményt.

  1. Az összes sikeres bejelentkezés összegyűjtése ebben az időszakban az ADFS-en (ha federált). A gyors bejelentkezés és a kijelentkezés (ugyanabban a másodpercben) azt jelzi, hogy a támadó sikeresen kitalált jelszót talál ki és próbál ki.
  2. Microsoft Entra sikeres vagy megszakított események összegyűjtése az adott időszakra, mind az összevont, mind a felügyelt forgatókönyvek esetében.

Eseményazonosítók monitorozása és rendezése a Microsoft Entra-azonosítóból

Megtudhatja, hogyan keresheti meg a hibanaplók jelentését.

A Microsoft Entra-azonosító alábbi eseményazonosítói relevánsak:

  • 50057 – A felhasználói fiók le lett tiltva
  • 50055 – Jelszó lejárt
  • 50072 – A felhasználó az MFA megadását kéri
  • 50074 – MFA szükséges
  • 50079 – a felhasználónak regisztrálnia kell a biztonsági adatokat
  • 53003 – Feltételes hozzáféréssel letiltott felhasználó
  • 53004 – Gyanús tevékenység miatt nem konfigurálható az MFA
  • 530032 – A biztonsági házirend feltételes hozzáférése letiltja
  • Bejelentkezési állapot sikeressége, sikertelensége, megszakítása

Eseményazonosítók összegyűjtése a Microsoft Sentinel Playbook listából

Az eseményazonosítókat a GitHubon elérhető Microsoft Sentinel forgatókönyvből szerezheti be.

Támadás elkülönítése és megerősítése

Az ADFS és a Microsoft Entra sikeres és megszakított bejelentkezési eseményeinek elkülönítése. Ezek az Ön érdeklődési körei.

Az összevont hitelesítéshez tiltsa le az ADFS 2012R2 és újabb IP-címet. Itt egy példa:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

ADFS-naplók gyűjtése

Gyűjtsön össze több eseményazonosítót egy időkereten belül. Itt van egy példa:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

ADFS-naplók rendezése a Microsoft Entra-azonosítóban

A Microsoft Entra bejelentkezési jelentései közé tartozik az ADFS bejelentkezési tevékenysége a Microsoft Entra Connect Health használatakor. A bejelentkezési naplók szűrése tokenkibocsátó típusa szerint "Összevont".

Íme egy példa PowerShell-parancs egy adott IP-cím bejelentkezési naplóinak lekérésére:

Get-AzureADIRSignInDetail -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -IpAddress 131.107.128.76

Emellett keressen rá az Azure Portalon az időkeretre, az IP-címre, valamint a sikeres és megszakított bejelentkezésre az alábbi képeken látható módon.

Képernyőkép az időkeret-tartomány kiválasztásáról.

Képernyőkép arról, hogyan kereshet bejelentkezéseket egy adott IP-címen.

Bejelentkezések keresése az állapot alapján.

Ezután ezeket az adatokat .csv fájlként töltheti le elemzésre. További információ: Bejelentkezési tevékenységjelentések a Microsoft Entra felügyeleti központban.

Eredmények rangsorolása

Fontos, hogy képes legyen reagálni a legkritikusabb fenyegetésre. Ez a fenyegetés azt jelezheti, hogy a támadó sikeresen hozzáfért egy fiókhoz, ezért hozzáférhet/kiszűrheti az adatokat; a támadó rendelkezik a jelszóval, de előfordulhat, hogy nem fér hozzá a fiókhoz. Például rendelkezik a jelszóval, de nem felel meg az MFA-feladatnak. A támadó nem tudta helyesen kitalálni a jelszavakat, de továbbra is próbálkozik. Az elemzés során rangsorolja az alábbi megállapításokat:

  • Sikeres bejelentkezések ismert támadó IP-cím alapján
  • Az ismert támadó IP-címe megszakította a bejelentkezést
  • Sikertelen bejelentkezések az ismert támadó IP-címével
  • Egyéb ismeretlen IP-címek sikeres bejelentkezései

Régi hitelesítés ellenőrzése

A legtöbb támadás örökölt hitelesítést használ. A támadás protokollját számos módon lehet meghatározni.

  1. A Microsoft Entra ID-ben navigáljon a bejelentkezésekhez, és szűrjön az ügyfélalkalmazásra.

  2. Válassza ki a felsorolt örökölt hitelesítési protokollokat.

    Képernyőkép az örökölt protokollok listájáról.

  3. Ha rendelkezik Azure-munkaterületekkel, használhatja a Microsoft Entra Felügyeleti központban, a Figyelés és munkafüzetek területen található előre összeállított örökölt hitelesítési munkafüzetet.

    Képernyőkép az örökölt hitelesítési munkafüzetről.

A Microsoft Entra ID IP-címének letiltása felügyelt forgatókönyv esetén (PHS, beleértve az előkészítést)

  1. Lépjen az Új névvel ellátott helyekre.

    Képernyőkép egy új elnevezett helyről.

  2. Hozzon létre egy CA-szabályzatot, amely az összes alkalmazást megcélozza, és csak erre a megnevezett helyre tiltsa le.

Használta már a felhasználó ezt az operációs rendszert, IP-címet, internetszolgáltatót, eszközt vagy böngészőt?

Ha nem, és ez a tevékenység szokatlan, jelölje meg a felhasználót, és vizsgálja meg az összes tevékenységét.

Az IP-cím "kockázatosként" van megjelölve?

Győződjön meg arról, hogy sikeres jelszavakat, de sikertelen MFA-válaszokat rögzít, mivel ez a tevékenység azt jelzi, hogy a támadó megkapja a jelszót, de nem adja át az MFA-t.

Tegyen félre minden olyan fiókot, amely normál bejelentkezésnek tűnik, például sikeresen teljesítette az MFA-t, és a helyszín és az IP-cím is szokványosnak tűnik.

MFA-jelentéskészítés

Fontos ellenőrizni az MFA-naplókat annak érdekében, hogy megállapítsa, a támadó megpróbált-e kitalálni egy jelszót, de elbukott az MFA-kérésnél. A Microsoft Entra többtényezős hitelesítési naplói az események hitelesítési adatait jelenítik meg, amikor egy felhasználó többtényezős hitelesítést kér. Ellenőrizze, hogy nincsenek-e nagy gyanús MFA-naplók a Microsoft Entra-azonosítóban. További információkért lásd: hogyan használja a bejelentkezési jelentést a Microsoft Entra többtényezős hitelesítési események áttekintéséhez.

Extra ellenőrzések

A Cloud Apps védelmi szolgáltatásban vizsgálja meg a feltört fiók tevékenységeit és fájlhozzáférését. További információk:

Ellenőrizze, hogy a felhasználó hozzáfér-e többek között több erőforráshoz, például virtuális gépekhez, tartományi fiókengedélyekhez, tárterülethez. Ha adatsértés történik, tájékoztatnia kell több ügynökséget, például a rendőrséget.

Azonnali javítási műveletek

  1. Módosítsa bármely olyan fiók jelszavát, amelyről gyanítja, hogy megsértették vagy a fiók jelszavát felfedezték. Emellett tiltsa le a felhasználót. Ügyeljen arra, hogy kövesse a vészhelyzeti hozzáférés visszavonására vonatkozó irányelveket.
  2. Jelölje meg a feltört fiókokat "feltörtként" a Microsoft Entra ID Identity Protectionben.
  3. Tiltsa le a támadó IP-címét. Legyen óvatos, miközben végrehajtja ezt a műveletet, mivel a támadók megbízható VPN-eket használhatnak, és nagyobb kockázatot jelenthetnek az IP-címek módosításakor is. Ha felhőalapú hitelesítést használ, tiltsa le az IP-címet Felhőhöz készült Defender Alkalmazásokban vagy a Microsoft Entra-azonosítóban. Ha összevont, az IP-címet az ADFS szolgáltatás előtti tűzfalszinten kell blokkolnia.
  4. Letilthatja az örökölt hitelesítést , ha használatban van (ez a művelet azonban hatással lehet az üzletmenetre).
  5. Ha még nem tette meg, engedélyezze az MFA-t .
  6. Az Identity Protection engedélyezése felhasználói és bejelentkezési kockázat esetén
  7. Ellenőrizze a sérült adatokat (e-mailek, SharePoint, OneDrive, alkalmazások). Megtudhatja, hogyan használhatja a tevékenységszűrőt a Felhőhöz készült Defender-alkalmazásokban.
  8. Jelszóhigiénia fenntartása. További információ: Microsoft Entra jelszóvédelem.

Helyreállítás

Jelszavas védelem

Jelszóvédelem implementálása a Microsoft Entra-azonosítón és a helyszínen az egyénileg tiltott jelszólisták engedélyezésével. Ez a konfiguráció megakadályozza, hogy a felhasználók gyenge jelszavakat vagy a szervezethez társított jelszavakat állítsanak be:

Képernyőkép a jelszóvédelem engedélyezéséről.

További információkért tekintse meg , hogyan védhet a jelszópermetes támadások ellen.

IP-cím címkézése

Címkézze fel a Felhőhöz készült Defender-alkalmazások IP-címeit a jövőbeli használatra vonatkozó riasztások fogadásához:

Képernyőkép egy IP-cím címkézéséről.

IP-címek címkézése

A Felhőhöz készült Defender alkalmazásokban címkézze meg az IP-címet az IP-hatókörhöz, és állítson be riasztást ehhez az IP-tartományhoz a jövőbeli hivatkozás és a gyorsabb válasz érdekében.

Képernyőkép egy IP-címriasztás beállításáról.

Riasztások beállítása adott IP-címhez

Riasztások konfigurálása

A szervezet igényeitől függően konfigurálhatja a riasztásokat.

Állítson be riasztást a SIEM-eszközben , és vizsgálja meg a naplózási hiányosságok javítását. Integrálja az ADFS-t, a Microsoft Entra ID-t, az Office 365-öt és a Cloud Apps Defender naplózását.

Konfigurálja a küszöbértéket és a riasztásokat az ADFS Health Connectben és a kockázatos IP-portálon.

Példa a küszöbérték-beállítások konfigurálására.

Képernyőkép az értesítések konfigurálásáról.

Tekintse meg, hogyan konfigurálhat riasztásokat az Identity Protection portálon.

Bejelentkezési kockázati szabályzatok beállítása feltételes hozzáféréssel vagy identitásvédelemmel

  • A végfelhasználók, a főbb érdekelt felek, az előtérbeli műveletek, a műszaki csapatok, a kiberbiztonsági és kommunikációs csapatok képzése
  • Tekintse át a biztonsági ellenőrzést, és végezze el a szükséges módosításokat a szervezeten belüli biztonsági ellenőrzés javításához vagy megerősítéséhez
  • Javaslat a Microsoft Entra konfigurációs értékelésére
  • Rendszeres támadásszimulátor-gyakorlatok futtatása

Hivatkozások

Előfeltételek

Kezelési lehetőségek

Helyreállítás

Extra incidenskezelési forgatókönyvek

Tekintse át az alábbi további támadások azonosítására és kivizsgálására vonatkozó útmutatást:

Incidenskezelési erőforrások