Jelszópermet vizsgálata
Ez a cikk útmutatást nyújt a jelszóspray-támadások szervezeten belüli azonosításához és kivizsgálásához, valamint az információk védelme és a további kockázatok minimalizálása érdekében szükséges javítási műveletek végrehajtásához.
Ez a cikk a következő szakaszokat tartalmazza:
- Előfeltételek: A vizsgálat megkezdése előtt teljesítenie kell azokat a konkrét követelményeket, amelyeket teljesítenie kell. Például be kell kapcsolni a naplózást, többek között a szerepköröket és a szükséges engedélyeket.
- Munkafolyamat: A vizsgálat elvégzéséhez követendő logikai folyamatot jeleníti meg.
- Ellenőrzőlista: A folyamatábra egyes lépéseihez tartozó tevékenységek listáját tartalmazza. Ez az ellenőrzőlista segíthet a szigorúan szabályozott környezetekben annak ellenőrzésében, hogy mit tett, vagy egyszerűen csak minőségi kapuként.
- Vizsgálati lépések: Részletes részletes útmutatót tartalmaz ehhez az adott vizsgálathoz.
- Helyreállítás: Magas szintű lépéseket tartalmaz a jelszóspray-támadás helyreállítására/enyhítésére.
- Hivatkozások: További olvasási és referenciaanyagokat tartalmaz.
Előfeltételek
A vizsgálat megkezdése előtt győződjön meg arról, hogy elvégezte a naplók, riasztások és egyéb rendszerkövetelmények beállítását.
A Microsoft Entra monitorozásához kövesse a Microsoft Entra SecOps útmutatójában található javaslatokat és útmutatást.
Az AD FS naplózásának beállítása
Eseménynaplózás az ADFS 2016-on
A Windows Server 2016-ban a Microsoft Active Directory összevonási szolgáltatások (AD FS) (ADFS) alapértelmezés szerint engedélyezve van az alapszintű naplózás. Az alapszintű naplózással a rendszergazdák öt vagy kevesebb eseményt láthatnak egyetlen kéréshez. Állítsa be a naplózást a legmagasabb szintre, és küldje el az AD FS (> biztonsági) naplóit egy SIEM-nek az AD-hitelesítéssel és a Microsoft Entra-azonosítóval való korrelációhoz.
Az aktuális naplózási szint megtekintéséhez használja ezt a PowerShell-parancsot:
Get-AdfsProperties
Ez a táblázat az elérhető naplózási szinteket sorolja fel.
Naplózási szint | PowerShell-szintaxis | Leírás |
---|---|---|
Egyik sem | Set-AdfsProperties -AuditLevel None |
A naplózás le van tiltva, és a rendszer nem naplózza az eseményeket |
Alapszintű (alapértelmezett) | Set-AdfsProperties -AuditLevel Basic |
Egyetlen kéréshez legfeljebb öt esemény lesz naplózva |
Részletezés | Set-AdfsProperties -AuditLevel Verbose |
A rendszer minden eseményt naplóz. Ez a szint kérésenként jelentős mennyiségű információt naplóz. |
A naplózási szint emeléséhez vagy csökkentéséhez használja ezt a PowerShell-parancsot:
Set-AdfsProperties -AuditLevel <None | Basic | Verbose>
Az ADFS 2012 R2/2016/2019 biztonsági naplózásának beállítása
Kattintson a Start gombra, keresse meg a Programok > Rendszergazda istrative Tools, majd a Helyi biztonsági szabályzat lehetőséget.
Lépjen a Biztonsági Gépház\Helyi házirendek\Felhasználói jogok kezelése mappára, majd kattintson duplán a Biztonsági auditok létrehozása elemre.
A Helyi biztonsági beállítás lapon ellenőrizze, hogy az ADFS szolgáltatásfiók szerepel-e a listában. Ha nem jelenik meg, kattintson a Felhasználó vagy csoport hozzáadása elemre, és adja hozzá a listához, majd kattintson az OK gombra.
A naplózás engedélyezéséhez nyisson meg egy parancssort emelt szintű jogosultságokkal, és futtassa a következő parancsot:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
Zárja be a Helyi biztonsági házirend lapot.
Ezután nyissa meg az ADFS Management beépülő modult, kattintson a Start gombra, keresse meg a Programok > Rendszergazda istrative Tools elemet, majd kattintson az ADFS Management elemre.
A Műveletek panelen kattintson az Összevonási szolgáltatás tulajdonságainak szerkesztése elemre.
Az Összevonási szolgáltatás tulajdonságai párbeszédpanelen kattintson az Események lapra.
Jelölje be a Sikernaplók és a Hibanaplók jelölőnégyzeteket.
Kattintson az OK gombra a konfiguráció befejezéséhez és mentéséhez.
A Microsoft Entra Csatlakozás Health for ADFS telepítése
A Microsoft Entra Csatlakozás Health for ADFS-ügynökkel jobban áttekintheti összevonási környezetét. Számos előre konfigurált irányítópultot biztosít, például a használatot, a teljesítményfigyelést és a kockázatos IP-jelentéseket.
Az ADFS Csatlakozás Health telepítéséhez tekintse át a Microsoft Entra Csatlakozás Health használatára vonatkozó követelményeket, majd telepítse az Azure ADFS Csatlakozás Health Agentet.
Kockázatos IP-riasztások beállítása az ADFS kockázatos IP-jelentés munkafüzetével
Miután a Microsoft Entra Csatlakozás Health for ADFS konfigurálva van, az ADFS kockázatos IP-jelentés munkafüzetével és az Azure Monitorral kell figyelnie és beállítania a riasztásokat. A jelentés használatának előnyei a következők:
- Olyan IP-címek észlelése, amelyek túllépik a sikertelen jelszóalapú bejelentkezések küszöbértékét.
- Támogatja a hibás jelszó vagy az extranetes zárolási állapot miatt meghiúsult bejelentkezéseket.
- Támogatja a riasztások Azure-riasztásokon keresztüli engedélyezését.
- Testre szabható küszöbérték-beállítások, amelyek megfelelnek egy szervezet biztonsági szabályzatának.
- Testre szabható lekérdezések és bővített vizualizációk további elemzéshez.
- Az előző kockázatos IP-jelentés bővített funkciói, amelyek 2022. január 24-től elavultak.
SIEM-eszközriasztások beállítása a Microsoft Sentinelen
A SIEM-eszközök riasztásainak beállításához tekintse át a dobozon kívüli riasztásokról szóló oktatóanyagot.
SIEM-integráció a Felhőhöz készült Microsoft Defender-alkalmazásokba
Csatlakozás a Security Information and Event Management (SIEM) eszközt az alkalmazások Felhőhöz készült Microsoft Defender, amely jelenleg támogatja a Micro Focus ArcSightot és az általános általános eseményformátumot (CEF).
További információ: Általános SIEM-integráció.
SIEM-integráció a Graph API-val
A SIEM-et a Microsoft Graph Biztonsági API az alábbi lehetőségek bármelyikével csatlakoztathatja:
- Közvetlenül a támogatott integrációs lehetőségek használatával – Tekintse meg a támogatott integrációs lehetőségek listáját, például a kód írásával, hogy közvetlenül összekapcsolja az alkalmazást a részletes megállapítások kinyeréséhez. Első lépésként használjon példákat.
- A Microsoft-partnerek által létrehozott natív integrációk és összekötők használata – Az integrációk használatához tekintse meg a Microsoft Graph Biztonsági API partnermegoldásait.
- A Microsoft által létrehozott összekötők használata – Tekintse meg azoknak az összekötőknek a listáját, amelyeket az API-val való csatlakozáshoz használhat a biztonsági incidensek és események kezelése (SIEM), a biztonsági válasz és vezénylés (SOAR), az incidenskövetés és a szolgáltatáskezelés (ITSM), a jelentéskészítés stb.
További információt a Microsoft Graph Biztonsági API használatával végzett biztonsági megoldásintegrációkban talál.
A Splunk használata
A Splunk platformmal riasztásokat is beállíthat.
- Ebből a videóból megtudhatja, hogyan hozhat létre Splunk-riasztásokat.
- További információ: Splunk riasztási kézikönyv.
Munkafolyamat
[]
További lehetőségek:
- Töltse le PDF-ként a jelszópermetet és más incidenskezelési forgatókönyv-munkafolyamatokat.
- Töltse le Visio-fájlként a jelszópermetet és más incidenskezelési forgatókönyv-munkafolyamatokat.
Ellenőrzőlista
Vizsgálati eseményindítók
- Eseményindítót kapott a SIEM-től, a tűzfalnaplóktól vagy a Microsoft Entra-azonosítótól
- Microsoft Entra ID-védelem Jelszópermet funkció vagy kockázatos IP-cím
- Nagy számú sikertelen bejelentkezés (411-es eseményazonosító)
- A Microsoft Entra Csatlakozás Health for ADFS kiugró száma
- Egy másik biztonsági incidens (például adathalászat)
- Megmagyarázhatatlan tevékenység, például ismeretlen helyről való bejelentkezés, vagy váratlan MFA-kéréseket kapó felhasználó
Vizsgálat
- Mi a riasztás?
- Meg tudja erősíteni, hogy a támadás jelszópermet?
- A támadás idővonalának meghatározása.
- Határozza meg a támadás IP-címét.
- Szűrjön a sikeres bejelentkezésekre erre az időszakra és az IP-címre, beleértve a sikeres jelszót, de sikertelen MFA-t
- MFA-jelentések ellenőrzése
- Van valami szokatlan a fiókban, például új eszköz, új operációs rendszer, új IP-cím? A gyanús tevékenységek észleléséhez használja az Felhőhöz készült Defender-alkalmazásokat vagy az Azure Information Protectiont.
- Segítségért tájékoztassa a helyi hatóságokat/harmadik feleket.
- Ha kompromisszumra gyanakszik, ellenőrizze, hogy van-e adatkiszivárgás.
- Ellenőrizze a társított fiók gyanús viselkedését, és keressen összefüggést más lehetséges fiókokkal és szolgáltatásokkal, valamint más rosszindulatú IP-címekkel.
- Ellenőrizze az azonos irodában/delegált hozzáférésben dolgozó felhasználók fiókját – jelszóhigiénia (győződjön meg arról, hogy nem ugyanazt a jelszót használja, mint a feltört fiók)
- Az ADFS súgójának futtatása
Kezelési lehetőségek
Az alábbi funkciók engedélyezéséhez tekintse meg a Hivatkozások szakasz útmutatását:
- A támadó IP-címének letiltása (figyelje meg a másik IP-cím módosításait)
- Módosította a felhasználó jelszavát a feltételezett biztonsági rés miatt
- Az ADFS extranetes zárolásának engedélyezése
- Letiltott örökölt hitelesítés
- Engedélyezett Azure Identity Protection (bejelentkezési és felhasználói kockázati szabályzatok)
- Engedélyezett MFA (ha még nem tette meg)
- Engedélyezett jelszóvédelem
- A Microsoft Entra Csatlakozás Health for ADFS üzembe helyezése (ha még nem tette meg)
Helyreállítási
- Hibás IP-cím címkézése Felhőhöz készült Defender Alkalmazások, SIEM, ADFS és Microsoft Entra-azonosítóban
- Ellenőrizze a postaláda-adatmegőrzés egyéb formáit, például a továbbítási szabályokat vagy a hozzáadott egyéb delegálásokat
- MFA elsődleges hitelesítésként
- SIEM-integrációk konfigurálása a Felhővel
- Riasztás konfigurálása – Identity Protection, ADFS Health Csatlakozás, SIEM és Felhőhöz készült Defender Apps
- Tanulságok (a főbb érdekelt felek, harmadik felek, kommunikációs csapatok)
- Biztonsági helyzet áttekintése/fejlesztései
- Normál támadásszimulátorok futtatásának tervezése
Excel-fájlként letöltheti a jelszópermetet és az incidensek egyéb forgatókönyv-ellenőrzőlistáit is.
Vizsgálati lépések
Jelszópermet-incidens válasza
Ismerkedjünk meg néhány jelszóspray-támadási technikával, mielőtt folytatjuk a vizsgálatot.
Jelszósértés: A támadó kitalálta a felhasználó jelszavát, de más vezérlők, például a többtényezős hitelesítés (MFA) miatt nem tudott hozzáférni a fiókhoz.
Fiók biztonsága: A támadó kitalálta a felhasználó jelszavát, és hozzáférést kapott a fiókhoz.
Környezetfelderítés
Hitelesítési típus azonosítása
Első lépésként ellenőriznie kell, hogy milyen hitelesítési típust használ a vizsgált bérlő/ellenőrzött tartomány.
Egy adott tartománynév hitelesítési állapotának lekéréséhez használja a Get-MgDomain PowerShell parancsot. Példa:
Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"
Összevont vagy felügyelt hitelesítés?
Ha a hitelesítés összevont, akkor a sikeres bejelentkezések a Microsoft Entra-azonosítóban lesznek tárolva. A sikertelen bejelentkezések az identitásszolgáltatójukban (IDP) találhatók. További információ: AD FS hibaelhárítás és eseménynaplózás.
Ha a hitelesítési típus felügyelt – csak felhőalapú, jelszókivonat-szinkronizálás (PHS) vagy átmenő hitelesítés (PTA) – akkor a sikeres és sikertelen bejelentkezések a Microsoft Entra bejelentkezési naplóiban lesznek tárolva.
Feljegyzés
A szakaszos bevezetés funkció lehetővé teszi a bérlői tartománynév összevonását, de bizonyos felhasználók kezelését. Állapítsa meg, hogy a felhasználók a csoport tagjai-e.
Engedélyezve van a Microsoft Entra Csatlakozás Health az ADFS-ben?
- A RiskyIP-jelentés gyanús IP-címeket és dátumot/időt biztosít. Az értesítéseket engedélyezni kell.
- Ellenőrizze az adathalász forgatókönyv összevont bejelentkezési vizsgálatát is
Engedélyezve van a speciális naplózás az ADFS-ben?
- Ez a beállítás az ADFS Csatlakozás Állapot követelménye, de függetlenül engedélyezhető
- Az ADFS Health Csatlakozás engedélyezésének ismertetése)
- Ellenőrizze az adathalász forgatókönyv összevont bejelentkezési vizsgálatát is
A naplók a SIEM-ben vannak tárolva?
Annak ellenőrzéséhez, hogy a naplókat biztonsági információk és események kezelése (SIEM) vagy bármely más rendszerben tárolja és korrelálja-e:
- Log analytics – előre összeállított lekérdezések
- Sentinel – előre összeállított lekérdezések
- Splunk – előre összeállított lekérdezések
- Tűzfalnaplók
- UAL, ha > 30 nap
A Microsoft Entra ID és az MFA jelentéskészítésének ismertetése
Fontos, hogy tisztában legyen azokkal a naplókkal, amelyeket lát, hogy képes legyen megállapítani a kompromisszumot. Az alábbiakban rövid útmutatókat talál a Microsoft Entra-bejelentkezések és az MFA-jelentések megismeréséhez:
Incidensindítók
Az incidens-eseményindító olyan esemény vagy eseménysorozat, amely előre definiált riasztás aktiválását okozza. Ilyen például a helytelen jelszókísérletek száma az előre definiált küszöbérték felett. Az alábbiakban további példákat talál azokra az eseményindítókra, amelyek riasztást kaphatnak a jelszópermet-támadások esetén, és ahol ezek a riasztások felszínre kerülnek. Az incidensindítók a következők:
Felhasználók
IP
Felhasználói ügynök sztringjei
Dátum/idő
Rendellenességek
Hibás jelszókísérletek
A hibás jelszókísérletek számát ábrázoló grafikon
A tevékenység szokatlan kiugrása a Microsoft Entra Health Csatlakozás fő mutatói (feltéve, hogy ez az összetevő telepítve van). Egyéb mutatók a következők:
- A SIEM-alapú riasztások kiugró értéket mutatnak a naplók rendezésekor.
- Az ADFS-bejelentkezések esetében a normálnál nagyobb a naplóméret, ami riasztás lehet a SIEM-eszközben).
- Nagyobb mennyiségű 342/411 eseményazonosító – a felhasználónév vagy a jelszó helytelen. Vagy 516 extranetes zárolás esetén.
- Sikertelen hitelesítési kérelem küszöbértékének elérése – Kockázatos IP-cím a Microsoft Entra-azonosítóban vagy a SIEM-eszköz riasztásában/342-ben és 411-ben is (Az információk megtekintéséhez be kell kapcsolni a speciális naplózást.)
Kockázatos IP-cím a Microsoft Entra Health Csatlakozás portálon
Kockázatos IP-riasztások akkor fordulnak elő, ha a testreszabott küszöbérték egy óra alatt elérte a hibás jelszavakat, egy nap alatt pedig a helytelen jelszavak számát, valamint az extranetes zárolásokat.
Kockázatos IP-jelentés adatai
A sikertelen kísérletek részletei a lapok IP-címében és az extranetes zárolásokban érhetők el.
IP-cím és extranetes zárolások a kockázatos IP-jelentésben
Jelszópermet észlelése az Azure Identity Protectionben
Az Azure Identity Protection egy Microsoft Entra ID P2 szolgáltatás, amely jelszóspray-észlelési kockázati riasztással és keresési funkcióval rendelkezik, amely további információkat vagy automatikus szervizelést biztosít.
Jelszóspray-támadás részletei
Alacsony és lassú támadásjelzők
Az alacsony és lassú támadási jelzők akkor jelennek meg, ha a fiókzárolás vagy a rossz jelszavak küszöbértékei nem érik el a küszöbértékeket. Ezeket a mutatókat a következőkkel észlelheti:
- Hibák GAL sorrendben
- Ismétlődő attribútumokkal (UA, célAlkalmazásazonosító, IP-blokk/hely) kapcsolatos hibák
- Időzítés – Az automatizált spray-k általában rendszeresebb időintervallummal rendelkeznek a kísérletek között.
Vizsgálat és kockázatcsökkentés
Feljegyzés
A folyamatos/folyamatban lévő támadások során egyszerre végezhet vizsgálatot és kockázatcsökkentést.
Ha még nincs bekapcsolva, kapcsolja be a speciális naplózást az ADFS-ben.
Határozza meg a támadás kezdő dátumát és időpontját.
Határozza meg a támadó IP-címét (több forrás és több IP-cím is lehet) a tűzfalról, az ADFS-ről, az SIEM-ről vagy a Microsoft Entra-azonosítóról.
Miután a jelszó spray megerősítést nyert, előfordulhat, hogy tájékoztatnia kell a helyi ügynökségeket (rendőrség, harmadik felek, többek között).
Az ADFS-hez tartozó következő eseményazonosítók rendezése és figyelése:
ADFS 2012 R2
- Naplózási esemény 403 – a kérést intéző felhasználói ügynök
- Audit event 411 – failed authentication requests
- 516-os naplózási esemény – extranetes zárolás
- 342-s naplózási esemény – sikertelen hitelesítési kérelmek
- Audit Event 412 – Sikeres bejelentkezés
A sikertelen hitelesítési kérelmek naplózásához használja a következő szkriptet:
PARAM ($PastDays = 1, $PastHours) #************************************************ #ADFSBadCredsSearch.ps1 #Version 1.0 #Date: 6-20-2016 #Author: Tim Springston [MSFT] #Description: This script will parse the ADFS server's (not proxy) security ADFS #for events which indicate an incorrectly entered username or password. The script can specify a #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for #review of UPN, IP address of submitter, and timestamp. #************************************************ cls if ($PastHours -gt 0) {$PastPeriod = (Get-Date).AddHours(-($PastHours))} else {$PastPeriod = (Get-Date).AddDays(-($PastDays))} $Outputfile = $Pwd.path + "\BadCredAttempts.csv" $CS = get-wmiobject -class win32_computersystem $Hostname = $CS.Name + '.' + $CS.Domain $Instances = @{} $OSVersion = gwmi win32_operatingsystem [int]$BN = $OSVersion.Buildnumber if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"} else {$ADFSLogName = "AD FS/Admin"} $Users = @() $IPAddresses = @() $Times = @() $AllInstances = @() Write-Host "Searching event log for bad credential events..." if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % { $Instance = New-Object PSObject $UPN = $_.Properties[2].Value $UPN = $UPN.Split("-")[0] $IPAddress = $_.Properties[4].Value $Users += $UPN $IPAddresses += $IPAddress $Times += $_.TimeCreated add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString() $AllInstances += $Instance $Instance = $null } } $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation Write-Host "Data collection finished. The output file can be found at >$outputfile`." $AllInstances = $null
ADFS 2016/2019
A fenti eseményazonosítókkal együtt rendezse össze a 1203-at tartalmazó auditesemény – Friss hitelesítő adatok érvényesítési hibáját.
- Az összes sikeres bejelentkezés rendezése erre az időre az ADFS-en (ha összevont). A gyors bejelentkezés és a kijelentkezés (ugyanabban a másodpercben) azt jelzi, hogy a támadó sikeresen kitalált jelszót talál ki és próbál ki.
- Az összevont és a felügyelt forgatókönyvek esetében az adott időszakra vonatkozó sikeres vagy megszakított Microsoft Entra-események rendezése.
Eseményazonosítók monitorozása és rendezése a Microsoft Entra-azonosítóból
Megtudhatja, hogyan keresheti meg a hibanaplók jelentését.
A Microsoft Entra-azonosító alábbi eseményazonosítói relevánsak:
- 50057 – A felhasználói fiók le lett tiltva
- 50055 – Jelszó lejárt
- 50072 – A felhasználó az MFA megadását kéri
- 50074 – MFA szükséges
- 50079 – a felhasználónak regisztrálnia kell a biztonsági adatokat
- 53003 – Feltételes hozzáféréssel letiltott felhasználó
- 53004 – Gyanús tevékenység miatt nem konfigurálható az MFA
- 530032 – A biztonsági házirend feltételes hozzáférése letiltja
- Bejelentkezési állapot sikeressége, sikertelensége, megszakítása
Eseményazonosítók rendezése a Sentinel forgatókönyvéből
A GitHubon elérhető Sentinel-forgatókönyvből lekérheti az összes eseményazonosítót.
Támadás elkülönítése és megerősítése
Az ADFS és a Microsoft Entra sikeres és megszakított bejelentkezési eseményeinek elkülönítése. Ezek az Ön érdeklődési körei.
Az összevont hitelesítéshez tiltsa le az ADFS 2012R2 és újabb IP-címet. Példa:
Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
ADFS-naplók gyűjtése
Gyűjtsön össze több eseményazonosítót egy időkereten belül. Példa:
Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }
ADFS-naplók rendezése a Microsoft Entra-azonosítóban
A Microsoft Entra bejelentkezési jelentései közé tartozik az ADFS bejelentkezési tevékenysége a Microsoft Entra Csatlakozás Health használatakor. A bejelentkezési naplók szűrése tokenkibocsátó típusa szerint "Összevont".
Íme egy példa PowerShell-parancs egy adott IP-cím bejelentkezési naplóinak lekérésére:
Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76
Emellett keressen rá az Azure Portalon az időkeretre, az IP-címre, valamint a sikeres és megszakított bejelentkezésre az alábbi képeken látható módon.
Bejelentkezések keresése adott időkereten belül
Bejelentkezések keresése egy adott IP-címen
Bejelentkezések keresése az állapot alapján
Ezután ezeket az adatokat .csv fájlként töltheti le elemzésre. További információ: Bejelentkezési tevékenységjelentések a Microsoft Entra felügyeleti központban.
Eredmények rangsorolása
Fontos, hogy képes legyen reagálni a legkritikusabb fenyegetésre. Ez a fenyegetés azt jelezheti, hogy a támadó sikeresen hozzáfért egy fiókhoz, ezért hozzáférhet/kiszűrheti az adatokat; a támadó rendelkezik a jelszóval, de előfordulhat, hogy nem fér hozzá a fiókhoz. Például rendelkezik a jelszóval, de nem felel meg az MFA-feladatnak. A támadó nem tudta helyesen kitalálni a jelszavakat, de továbbra is próbálkozik. Az elemzés során rangsorolja az alábbi megállapításokat:
- Sikeres bejelentkezések ismert támadó IP-cím alapján
- Az ismert támadó IP-címe megszakította a bejelentkezést
- Sikertelen bejelentkezések az ismert támadó IP-címével
- Egyéb ismeretlen IP-címek sikeres bejelentkezései
Régi hitelesítés ellenőrzése
A legtöbb támadás örökölt hitelesítést használ. A támadás protokollját számos módon lehet meghatározni.
A Microsoft Entra-azonosítóban keresse meg a bejelentkezéseket , és szűrjön az ügyfélalkalmazásra .
Válassza ki a felsorolt örökölt hitelesítési protokollokat.
Örökölt protokollok listája
Ha rendelkezik Azure-munkaterületekkel, használhatja a Microsoft Entra Felügyeleti központban, a Figyelés és munkafüzetek területen található előre összeállított örökölt hitelesítési munkafüzetet.
Örökölt hitelesítési munkafüzet
A Microsoft Entra ID IP-címének letiltása felügyelt forgatókönyv esetén (PHS, beleértve az előkészítést)
Lépjen az Új névvel ellátott helyekre.
Hozzon létre egy ca-szabályzatot, amely az összes alkalmazást megcélozza, és csak ehhez a névvel ellátott helyhez tiltsa le.
Használta már a felhasználó ezt az operációs rendszert, IP-címet, internetszolgáltatót, eszközt vagy böngészőt?
Ha nem, és ez a tevékenység szokatlan, jelölje meg a felhasználót, és vizsgálja meg az összes tevékenységét.
Az IP-cím "kockázatosként" van megjelölve?
Győződjön meg arról, hogy sikeres jelszavakat, de sikertelen MFA-válaszokat rögzít, mivel ez a tevékenység azt jelzi, hogy a támadó megkapja a jelszót, de nem adja át az MFA-t.
Helyezzen félre minden olyan fiókot, amely normál bejelentkezésnek tűnik, például nem a szokásos módon átadott MFA-t, helyet és IP-címet.
MFA-jelentéskészítés
Fontos, hogy ellenőrizze az MFA-naplókat is annak megállapításához, hogy a támadó sikeresen kitalált-e jelszót, de az MFA-kérés sikertelen. A Microsoft Entra többtényezős hitelesítési naplói az események hitelesítési adatait jelenítik meg, amikor egy felhasználó többtényezős hitelesítést kér. Ellenőrizze, hogy nincsenek-e nagy gyanús MFA-naplók a Microsoft Entra-azonosítóban. További információkért tekintse át a Microsoft Entra többtényezős hitelesítési eseményeit a bejelentkezési jelentés használatával.
További ellenőrzések
Az Felhőhöz készült Defender-alkalmazásokban vizsgálja meg a feltört fiók tevékenységeit és fájlhozzáférését. További információkért lásd:
- A Felhőhöz készült Defender Apps biztonsági résének vizsgálata
- Rendellenességek vizsgálata Felhőhöz készült Defender-alkalmazásokkal
Ellenőrizze, hogy a felhasználó hozzáfér-e többek között több erőforráshoz, például virtuális gépekhez, tartományi fiókengedélyekhez, tárterülethez. Adatsértés esetén több ügynökséget, például a rendőrséget is tájékoztatnia kell.
Azonnali javítási műveletek
- Módosítsa bármely olyan fiók jelszavát, amelyről gyanítja, hogy megsértették vagy a fiók jelszavát felfedezték. Emellett tiltsa le a felhasználót. Ügyeljen arra, hogy kövesse a vészhelyzeti hozzáférés visszavonására vonatkozó irányelveket.
- Jelölje meg a feltört fiókokat "feltörtként" az Azure Entra ID Identity Protectionben.
- Tiltsa le a támadó IP-címét. Legyen óvatos, miközben végrehajtja ezt a műveletet, mivel a támadók megbízható VPN-eket használhatnak, és nagyobb kockázatot jelenthetnek az IP-címek módosításakor is. Ha felhőalapú hitelesítést használ, tiltsa le az IP-címet a Felhőhöz készült Defender Appsben vagy a Microsoft Entra-azonosítóban. Ha összevont, az IP-címet az ADFS szolgáltatás előtti tűzfalszinten kell blokkolnia.
- Letilthatja az örökölt hitelesítést , ha használatban van (ez a művelet azonban hatással lehet az üzletmenetre).
- Ha még nem tette meg, engedélyezze az MFA-t .
- Az Identity Protection engedélyezése a felhasználói kockázathoz és a bejelentkezési kockázathoz
- Ellenőrizze a sérült adatokat (e-mailek, SharePoint, OneDrive, alkalmazások). Megtudhatja, hogyan használhatja a tevékenységszűrőt a Felhőhöz készült Defender-alkalmazásokban.
- Jelszóhigiénia fenntartása. További információ: Microsoft Entra jelszóvédelem.
- Az ADFS súgójában is olvashat.
Helyreállítási
Jelszavas védelem
Jelszóvédelem implementálása a Microsoft Entra-azonosítón és a helyszínen az egyénileg tiltott jelszólisták engedélyezésével. Ez a konfiguráció megakadályozza, hogy a felhasználók gyenge jelszavakat vagy a szervezethez társított jelszavakat állítsanak be:
Jelszóvédelem engedélyezése
További információkért tekintse meg , hogyan védhet a jelszópermetes támadások ellen.
IP-cím címkézése
Címkézze fel a Felhőhöz készült Defender-alkalmazások IP-címeit a jövőbeli használatra vonatkozó riasztások fogadásához:
IP-címek címkézése
Az Felhőhöz készült Defender-alkalmazásokban az IP-hatókör "címkéje" IP-címe, és riasztás beállítása ehhez az IP-tartományhoz a későbbi referencia és a gyorsított válasz érdekében.
Riasztások beállítása adott IP-címhez
Riasztások konfigurálása
A szervezet igényeitől függően konfigurálhatja a riasztásokat.
Állítson be riasztást a SIEM-eszközben , és vizsgálja meg a naplózási hiányosságok javítását. Integrálja az ADFS-t, a Microsoft Entra-azonosítót, az Office 365-öt és a Felhőhöz készült Defender-alkalmazások naplózását.
Konfigurálja a küszöbértéket és a riasztásokat az ADFS Health Csatlakozás és a Kockázatos IP-portálon.
Küszöbérték-beállítások konfigurálása
Értesítések konfigurálása
Tekintse meg, hogyan konfigurálhat riasztásokat az Identity Protection portálon.
Bejelentkezési kockázati szabályzatok beállítása feltételes hozzáféréssel vagy identitásvédelemmel
- Bejelentkezési kockázat konfigurálása
- Felhasználói kockázat konfigurálása
- Szabályzatriasztások konfigurálása az Felhőhöz készült Defender-alkalmazásokban
Ajánlott védelem
- A végfelhasználók, a főbb érdekelt felek, a frontvonali műveletek, a műszaki csapatok, a kiberbiztonsági és kommunikációs csapatok képzése
- Tekintse át a biztonsági ellenőrzést, és végezze el a szükséges módosításokat a szervezeten belüli biztonsági ellenőrzés javításához vagy megerősítéséhez
- Javaslat a Microsoft Entra konfigurációs értékelésére
- Rendszeres támadásszimulátor-gyakorlatok futtatása
Hivatkozások
Előfeltételek
- Sentinel-riasztások
- SIEM-integráció a Felhőhöz készült Defender-alkalmazásokba
- SIEM-integráció a Graph API-val
- Splunk riasztási kézikönyv
- Az ADFS Health Csatlakozás telepítése
- A Microsoft Entra bejelentkezési naplóinak ismertetése
- Az MFA jelentéskészítésének ismertetése
Kezelési lehetőségek
- A jelszóspray-hez használható megoldások
- Jelszóvédelem engedélyezése
- Régi hitelesítési folyamat letiltása
- IP-cím letiltása az ADFS-en
- Hozzáférés-vezérlés (beleértve az IP-címek blokkolását) ADFS v3
- ADFS Jelszóvédelem
- Az ADFS extranetes zárolásának engedélyezése
- MFA elsődleges hitelesítésként
- Az Identity Protection engedélyezése
- A Microsoft Entra naplózási tevékenységének referenciája
- Microsoft Entra auditnaplók sémája
- Microsoft Entra bejelentkezési naplók sémája
- Microsoft Entra auditnapló Graph API
- Kockázatos IP-riasztások
- Az ADFS súgója
Helyreállítási
- SIEM eszközintegrációk
- Felhőhöz készült Defender Apps-riasztások létrehozása
- Kockázatos IP- és ADFS-állapotriasztások létrehozása Csatlakozás
- Identity Protection-riasztások
- Támadásszimulátor
További incidenskezelési forgatókönyvek
Tekintse át az alábbi további támadások azonosítására és kivizsgálására vonatkozó útmutatást:
- Adathalászat
- Alkalmazás hozzájárulása
- A Microsoft Microsoft incidenskezelési csapatának zsarolóprogram-megközelítése és ajánlott eljárásai
Incidenskezelési erőforrások
- A Microsoft biztonsági termékeinek és erőforrásainak áttekintése új szerepkörű és tapasztalt elemzők számára
- A Security Operations Center (SOC) tervezése
- Microsoft Defender XDR incidensválasz
- Felhőhöz készült Microsoft Defender (Azure)
- Microsoft Sentinel incidensre adott válasz
- A Microsoft incidenskezelési csapatának útmutatója a biztonsági csapatok és vezetők számára ajánlott eljárásokat osztja meg
- A Microsoft incidenskezelési útmutatói segítenek a biztonsági csapatoknak a gyanús tevékenységek elemzésében