Jelszópermet vizsgálata

  • Cikk

Ez a cikk útmutatást nyújt a jelszóspray-támadások szervezeten belüli azonosításához és kivizsgálásához, valamint az információk védelme és a további kockázatok minimalizálása érdekében szükséges javítási műveletek végrehajtásához.

Ez a cikk a következő szakaszokat tartalmazza:

  • Előfeltételek: A vizsgálat megkezdése előtt teljesítenie kell azokat a konkrét követelményeket, amelyeket teljesítenie kell. Például be kell kapcsolni a naplózást, többek között a szerepköröket és a szükséges engedélyeket.
  • Munkafolyamat: A vizsgálat elvégzéséhez követendő logikai folyamatot jeleníti meg.
  • Ellenőrzőlista: A folyamatábra egyes lépéseihez tartozó tevékenységek listáját tartalmazza. Ez az ellenőrzőlista segíthet a szigorúan szabályozott környezetekben annak ellenőrzésében, hogy mit tett, vagy egyszerűen csak minőségi kapuként.
  • Vizsgálati lépések: Részletes részletes útmutatót tartalmaz ehhez az adott vizsgálathoz.
  • Helyreállítás: Magas szintű lépéseket tartalmaz a jelszóspray-támadás helyreállítására/enyhítésére.
  • Hivatkozások: További olvasási és referenciaanyagokat tartalmaz.

Előfeltételek

A vizsgálat megkezdése előtt győződjön meg arról, hogy elvégezte a naplók, riasztások és egyéb rendszerkövetelmények beállítását.

A Microsoft Entra monitorozásához kövesse a Microsoft Entra SecOps útmutatójában található javaslatokat és útmutatást.

Az AD FS naplózásának beállítása

Eseménynaplózás az ADFS 2016-on

A Windows Server 2016-ban a Microsoft Active Directory összevonási szolgáltatások (AD FS) (ADFS) alapértelmezés szerint engedélyezve van az alapszintű naplózás. Az alapszintű naplózással a rendszergazdák öt vagy kevesebb eseményt láthatnak egyetlen kéréshez. Állítsa be a naplózást a legmagasabb szintre, és küldje el az AD FS (> biztonsági) naplóit egy SIEM-nek az AD-hitelesítéssel és a Microsoft Entra-azonosítóval való korrelációhoz.

Az aktuális naplózási szint megtekintéséhez használja ezt a PowerShell-parancsot:

Get-AdfsProperties

Example of the Get-AdfsProperties PowerShell command

Ez a táblázat az elérhető naplózási szinteket sorolja fel.

Naplózási szint PowerShell-szintaxis Leírás
Egyik sem Set-AdfsProperties -AuditLevel None A naplózás le van tiltva, és a rendszer nem naplózza az eseményeket
Alapszintű (alapértelmezett) Set-AdfsProperties -AuditLevel Basic Egyetlen kéréshez legfeljebb öt esemény lesz naplózva
Részletezés Set-AdfsProperties -AuditLevel Verbose A rendszer minden eseményt naplóz. Ez a szint kérésenként jelentős mennyiségű információt naplóz.

A naplózási szint emeléséhez vagy csökkentéséhez használja ezt a PowerShell-parancsot:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Az ADFS 2012 R2/2016/2019 biztonsági naplózásának beállítása

  1. Kattintson a Start gombra, keresse meg a Programok > Rendszergazda istrative Tools, majd a Helyi biztonsági szabályzat lehetőséget.

  2. Lépjen a Biztonsági Gépház\Helyi házirendek\Felhasználói jogok kezelése mappára, majd kattintson duplán a Biztonsági auditok létrehozása elemre.

  3. A Helyi biztonsági beállítás lapon ellenőrizze, hogy az ADFS szolgáltatásfiók szerepel-e a listában. Ha nem jelenik meg, kattintson a Felhasználó vagy csoport hozzáadása elemre, és adja hozzá a listához, majd kattintson az OK gombra.

  4. A naplózás engedélyezéséhez nyisson meg egy parancssort emelt szintű jogosultságokkal, és futtassa a következő parancsot:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Zárja be a Helyi biztonsági házirend lapot.

  6. Ezután nyissa meg az ADFS Management beépülő modult, kattintson a Start gombra, keresse meg a Programok > Rendszergazda istrative Tools elemet, majd kattintson az ADFS Management elemre.

  7. A Műveletek panelen kattintson az Összevonási szolgáltatás tulajdonságainak szerkesztése elemre.

  8. Az Összevonási szolgáltatás tulajdonságai párbeszédpanelen kattintson az Események lapra.

  9. Jelölje be a Sikernaplók és a Hibanaplók jelölőnégyzeteket.

  10. Kattintson az OK gombra a konfiguráció befejezéséhez és mentéséhez.

A Microsoft Entra Csatlakozás Health for ADFS telepítése

A Microsoft Entra Csatlakozás Health for ADFS-ügynökkel jobban áttekintheti összevonási környezetét. Számos előre konfigurált irányítópultot biztosít, például a használatot, a teljesítményfigyelést és a kockázatos IP-jelentéseket.

Az ADFS Csatlakozás Health telepítéséhez tekintse át a Microsoft Entra Csatlakozás Health használatára vonatkozó követelményeket, majd telepítse az Azure ADFS Csatlakozás Health Agentet.

Kockázatos IP-riasztások beállítása az ADFS kockázatos IP-jelentés munkafüzetével

Miután a Microsoft Entra Csatlakozás Health for ADFS konfigurálva van, az ADFS kockázatos IP-jelentés munkafüzetével és az Azure Monitorral kell figyelnie és beállítania a riasztásokat. A jelentés használatának előnyei a következők:

  • Olyan IP-címek észlelése, amelyek túllépik a sikertelen jelszóalapú bejelentkezések küszöbértékét.
  • Támogatja a hibás jelszó vagy az extranetes zárolási állapot miatt meghiúsult bejelentkezéseket.
  • Támogatja a riasztások Azure-riasztásokon keresztüli engedélyezését.
  • Testre szabható küszöbérték-beállítások, amelyek megfelelnek egy szervezet biztonsági szabályzatának.
  • Testre szabható lekérdezések és bővített vizualizációk további elemzéshez.
  • Az előző kockázatos IP-jelentés bővített funkciói, amelyek 2022. január 24-től elavultak.

SIEM-eszközriasztások beállítása a Microsoft Sentinelen

A SIEM-eszközök riasztásainak beállításához tekintse át a dobozon kívüli riasztásokról szóló oktatóanyagot.

SIEM-integráció a Felhőhöz készült Microsoft Defender-alkalmazásokba

Csatlakozás a Security Information and Event Management (SIEM) eszközt az alkalmazások Felhőhöz készült Microsoft Defender, amely jelenleg támogatja a Micro Focus ArcSightot és az általános általános eseményformátumot (CEF).

További információ: Általános SIEM-integráció.

SIEM-integráció a Graph API-val

A SIEM-et a Microsoft Graph Biztonsági API az alábbi lehetőségek bármelyikével csatlakoztathatja:

  • Közvetlenül a támogatott integrációs lehetőségek használatával – Tekintse meg a támogatott integrációs lehetőségek listáját, például a kód írásával, hogy közvetlenül összekapcsolja az alkalmazást a részletes megállapítások kinyeréséhez. Első lépésként használjon példákat.
  • A Microsoft-partnerek által létrehozott natív integrációk és összekötők használata – Az integrációk használatához tekintse meg a Microsoft Graph Biztonsági API partnermegoldásait.
  • A Microsoft által létrehozott összekötők használata – Tekintse meg azoknak az összekötőknek a listáját, amelyeket az API-val való csatlakozáshoz használhat a biztonsági incidensek és események kezelése (SIEM), a biztonsági válasz és vezénylés (SOAR), az incidenskövetés és a szolgáltatáskezelés (ITSM), a jelentéskészítés stb.

További információt a Microsoft Graph Biztonsági API használatával végzett biztonsági megoldásintegrációkban talál.

A Splunk használata

A Splunk platformmal riasztásokat is beállíthat.

Munkafolyamat

[Password spray investigation workflow]

További lehetőségek:

  • Töltse le PDF-ként a jelszópermetet és más incidenskezelési forgatókönyv-munkafolyamatokat.
  • Töltse le Visio-fájlként a jelszópermetet és más incidenskezelési forgatókönyv-munkafolyamatokat.

Ellenőrzőlista

Vizsgálati eseményindítók

  • Eseményindítót kapott a SIEM-től, a tűzfalnaplóktól vagy a Microsoft Entra-azonosítótól
  • Microsoft Entra ID-védelem Jelszópermet funkció vagy kockázatos IP-cím
  • Nagy számú sikertelen bejelentkezés (411-es eseményazonosító)
  • A Microsoft Entra Csatlakozás Health for ADFS kiugró száma
  • Egy másik biztonsági incidens (például adathalászat)
  • Megmagyarázhatatlan tevékenység, például ismeretlen helyről való bejelentkezés, vagy váratlan MFA-kéréseket kapó felhasználó

Vizsgálat

  • Mi a riasztás?
  • Meg tudja erősíteni, hogy a támadás jelszópermet?
  • A támadás idővonalának meghatározása.
  • Határozza meg a támadás IP-címét.
  • Szűrjön a sikeres bejelentkezésekre erre az időszakra és az IP-címre, beleértve a sikeres jelszót, de sikertelen MFA-t
  • MFA-jelentések ellenőrzése
  • Van valami szokatlan a fiókban, például új eszköz, új operációs rendszer, új IP-cím? A gyanús tevékenységek észleléséhez használja az Felhőhöz készült Defender-alkalmazásokat vagy az Azure Information Protectiont.
  • Segítségért tájékoztassa a helyi hatóságokat/harmadik feleket.
  • Ha kompromisszumra gyanakszik, ellenőrizze, hogy van-e adatkiszivárgás.
  • Ellenőrizze a társított fiók gyanús viselkedését, és keressen összefüggést más lehetséges fiókokkal és szolgáltatásokkal, valamint más rosszindulatú IP-címekkel.
  • Ellenőrizze az azonos irodában/delegált hozzáférésben dolgozó felhasználók fiókját – jelszóhigiénia (győződjön meg arról, hogy nem ugyanazt a jelszót használja, mint a feltört fiók)
  • Az ADFS súgójának futtatása

Kezelési lehetőségek

Az alábbi funkciók engedélyezéséhez tekintse meg a Hivatkozások szakasz útmutatását:

Helyreállítási

Excel-fájlként letöltheti a jelszópermetet és az incidensek egyéb forgatókönyv-ellenőrzőlistáit is.

Vizsgálati lépések

Jelszópermet-incidens válasza

Ismerkedjünk meg néhány jelszóspray-támadási technikával, mielőtt folytatjuk a vizsgálatot.

Jelszósértés: A támadó kitalálta a felhasználó jelszavát, de más vezérlők, például a többtényezős hitelesítés (MFA) miatt nem tudott hozzáférni a fiókhoz.

Fiók biztonsága: A támadó kitalálta a felhasználó jelszavát, és hozzáférést kapott a fiókhoz.

Környezetfelderítés

Hitelesítési típus azonosítása

Első lépésként ellenőriznie kell, hogy milyen hitelesítési típust használ a vizsgált bérlő/ellenőrzött tartomány.

Egy adott tartománynév hitelesítési állapotának lekéréséhez használja a Get-MgDomain PowerShell parancsot. Példa:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

Összevont vagy felügyelt hitelesítés?

Ha a hitelesítés összevont, akkor a sikeres bejelentkezések a Microsoft Entra-azonosítóban lesznek tárolva. A sikertelen bejelentkezések az identitásszolgáltatójukban (IDP) találhatók. További információ: AD FS hibaelhárítás és eseménynaplózás.

Ha a hitelesítési típus felügyelt – csak felhőalapú, jelszókivonat-szinkronizálás (PHS) vagy átmenő hitelesítés (PTA) – akkor a sikeres és sikertelen bejelentkezések a Microsoft Entra bejelentkezési naplóiban lesznek tárolva.

Feljegyzés

A szakaszos bevezetés funkció lehetővé teszi a bérlői tartománynév összevonását, de bizonyos felhasználók kezelését. Állapítsa meg, hogy a felhasználók a csoport tagjai-e.

Engedélyezve van a Microsoft Entra Csatlakozás Health az ADFS-ben?

Engedélyezve van a speciális naplózás az ADFS-ben?

A naplók a SIEM-ben vannak tárolva?

Annak ellenőrzéséhez, hogy a naplókat biztonsági információk és események kezelése (SIEM) vagy bármely más rendszerben tárolja és korrelálja-e:

  • Log analytics – előre összeállított lekérdezések
  • Sentinel – előre összeállított lekérdezések
  • Splunk – előre összeállított lekérdezések
  • Tűzfalnaplók
  • UAL, ha > 30 nap

A Microsoft Entra ID és az MFA jelentéskészítésének ismertetése

Fontos, hogy tisztában legyen azokkal a naplókkal, amelyeket lát, hogy képes legyen megállapítani a kompromisszumot. Az alábbiakban rövid útmutatókat talál a Microsoft Entra-bejelentkezések és az MFA-jelentések megismeréséhez:

Incidensindítók

Az incidens-eseményindító olyan esemény vagy eseménysorozat, amely előre definiált riasztás aktiválását okozza. Ilyen például a helytelen jelszókísérletek száma az előre definiált küszöbérték felett. Az alábbiakban további példákat talál azokra az eseményindítókra, amelyek riasztást kaphatnak a jelszópermet-támadások esetén, és ahol ezek a riasztások felszínre kerülnek. Az incidensindítók a következők:

  • Felhasználók

  • IP

  • Felhasználói ügynök sztringjei

  • Dátum/idő

  • Rendellenességek

  • Hibás jelszókísérletek

    pwdattemptsA hibás jelszókísérletek számát ábrázoló grafikon

A tevékenység szokatlan kiugrása a Microsoft Entra Health Csatlakozás fő mutatói (feltéve, hogy ez az összetevő telepítve van). Egyéb mutatók a következők:

  • A SIEM-alapú riasztások kiugró értéket mutatnak a naplók rendezésekor.
  • Az ADFS-bejelentkezések esetében a normálnál nagyobb a naplóméret, ami riasztás lehet a SIEM-eszközben).
  • Nagyobb mennyiségű 342/411 eseményazonosító – a felhasználónév vagy a jelszó helytelen. Vagy 516 extranetes zárolás esetén.
  • Sikertelen hitelesítési kérelem küszöbértékének elérése – Kockázatos IP-cím a Microsoft Entra-azonosítóban vagy a SIEM-eszköz riasztásában/342-ben és 411-ben is (Az információk megtekintéséhez be kell kapcsolni a speciális naplózást.)

Kockázatos IP-cím a Microsoft Entra Health Csatlakozás portálon

Kockázatos IP-riasztások akkor fordulnak elő, ha a testreszabott küszöbérték egy óra alatt elérte a hibás jelszavakat, egy nap alatt pedig a helytelen jelszavak számát, valamint az extranetes zárolásokat.

Example of risky IP report data

Kockázatos IP-jelentés adatai

A sikertelen kísérletek részletei a lapok IP-címében és az extranetes zárolásokban érhetők el.

ipaddresstable

IP-cím és extranetes zárolások a kockázatos IP-jelentésben

Jelszópermet észlelése az Azure Identity Protectionben

Az Azure Identity Protection egy Microsoft Entra ID P2 szolgáltatás, amely jelszóspray-észlelési kockázati riasztással és keresési funkcióval rendelkezik, amely további információkat vagy automatikus szervizelést biztosít.

Example of password spray attack

Jelszóspray-támadás részletei

Alacsony és lassú támadásjelzők

Az alacsony és lassú támadási jelzők akkor jelennek meg, ha a fiókzárolás vagy a rossz jelszavak küszöbértékei nem érik el a küszöbértékeket. Ezeket a mutatókat a következőkkel észlelheti:

  • Hibák GAL sorrendben
  • Ismétlődő attribútumokkal (UA, célAlkalmazásazonosító, IP-blokk/hely) kapcsolatos hibák
  • Időzítés – Az automatizált spray-k általában rendszeresebb időintervallummal rendelkeznek a kísérletek között.

Vizsgálat és kockázatcsökkentés

Feljegyzés

A folyamatos/folyamatban lévő támadások során egyszerre végezhet vizsgálatot és kockázatcsökkentést.

  1. Ha még nincs bekapcsolva, kapcsolja be a speciális naplózást az ADFS-ben.

  2. Határozza meg a támadás kezdő dátumát és időpontját.

  3. Határozza meg a támadó IP-címét (több forrás és több IP-cím is lehet) a tűzfalról, az ADFS-ről, az SIEM-ről vagy a Microsoft Entra-azonosítóról.

  4. Miután a jelszó spray megerősítést nyert, előfordulhat, hogy tájékoztatnia kell a helyi ügynökségeket (rendőrség, harmadik felek, többek között).

  5. Az ADFS-hez tartozó következő eseményazonosítók rendezése és figyelése:

    ADFS 2012 R2

    • Naplózási esemény 403 – a kérést intéző felhasználói ügynök
    • Audit event 411 – failed authentication requests
    • 516-os naplózási esemény – extranetes zárolás
    • 342-s naplózási esemény – sikertelen hitelesítési kérelmek
    • Audit Event 412 – Sikeres bejelentkezés

  6. A sikertelen hitelesítési kérelmek naplózásához használja a következő szkriptet:

    PARAM ($PastDays = 1, $PastHours)
#************************************************
#ADFSBadCredsSearch.ps1
#Version 1.0
#Date: 6-20-2016
#Author: Tim Springston [MSFT]
#Description: This script will parse the ADFS server's (not proxy) security ADFS
#for events which indicate an incorrectly entered username or password. The script can specify a
#past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
#review of UPN, IP address of submitter, and timestamp.
#************************************************
cls
if ($PastHours -gt 0)
{$PastPeriod = (Get-Date).AddHours(-($PastHours))}
else
{$PastPeriod = (Get-Date).AddDays(-($PastDays))}
$Outputfile = $Pwd.path + "\BadCredAttempts.csv"
$CS = get-wmiobject -class win32_computersystem
$Hostname = $CS.Name + '.' + $CS.Domain
$Instances = @{}
$OSVersion = gwmi win32_operatingsystem
[int]$BN = $OSVersion.Buildnumber
if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
else {$ADFSLogName = "AD FS/Admin"}
$Users = @()
$IPAddresses = @()
$Times = @()
$AllInstances = @()
Write-Host "Searching event log for bad credential events..."
if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
$Instance = New-Object PSObject
$UPN = $_.Properties[2].Value
$UPN = $UPN.Split("-")[0]
$IPAddress = $_.Properties[4].Value
$Users += $UPN
$IPAddresses += $IPAddress
$Times += $_.TimeCreated
add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
$AllInstances += $Instance
$Instance = $null
}
}
$AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
Write-Host "Data collection finished. The output file can be found at >$outputfile`."
$AllInstances = $null

ADFS 2016/2019

A fenti eseményazonosítókkal együtt rendezse össze a 1203-at tartalmazó auditesemény – Friss hitelesítő adatok érvényesítési hibáját.

  1. Az összes sikeres bejelentkezés rendezése erre az időre az ADFS-en (ha összevont). A gyors bejelentkezés és a kijelentkezés (ugyanabban a másodpercben) azt jelzi, hogy a támadó sikeresen kitalált jelszót talál ki és próbál ki.
  2. Az összevont és a felügyelt forgatókönyvek esetében az adott időszakra vonatkozó sikeres vagy megszakított Microsoft Entra-események rendezése.

Eseményazonosítók monitorozása és rendezése a Microsoft Entra-azonosítóból

Megtudhatja, hogyan keresheti meg a hibanaplók jelentését.

A Microsoft Entra-azonosító alábbi eseményazonosítói relevánsak:

  • 50057 – A felhasználói fiók le lett tiltva
  • 50055 – Jelszó lejárt
  • 50072 – A felhasználó az MFA megadását kéri
  • 50074 – MFA szükséges
  • 50079 – a felhasználónak regisztrálnia kell a biztonsági adatokat
  • 53003 – Feltételes hozzáféréssel letiltott felhasználó
  • 53004 – Gyanús tevékenység miatt nem konfigurálható az MFA
  • 530032 – A biztonsági házirend feltételes hozzáférése letiltja
  • Bejelentkezési állapot sikeressége, sikertelensége, megszakítása

Eseményazonosítók rendezése a Sentinel forgatókönyvéből

A GitHubon elérhető Sentinel-forgatókönyvből lekérheti az összes eseményazonosítót.

Támadás elkülönítése és megerősítése

Az ADFS és a Microsoft Entra sikeres és megszakított bejelentkezési eseményeinek elkülönítése. Ezek az Ön érdeklődési körei.

Az összevont hitelesítéshez tiltsa le az ADFS 2012R2 és újabb IP-címet. Példa:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

ADFS-naplók gyűjtése

Gyűjtsön össze több eseményazonosítót egy időkereten belül. Példa:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

ADFS-naplók rendezése a Microsoft Entra-azonosítóban

A Microsoft Entra bejelentkezési jelentései közé tartozik az ADFS bejelentkezési tevékenysége a Microsoft Entra Csatlakozás Health használatakor. A bejelentkezési naplók szűrése tokenkibocsátó típusa szerint "Összevont".

Íme egy példa PowerShell-parancs egy adott IP-cím bejelentkezési naplóinak lekérésére:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Emellett keressen rá az Azure Portalon az időkeretre, az IP-címre, valamint a sikeres és megszakított bejelentkezésre az alábbi képeken látható módon.

timeframe

Bejelentkezések keresése adott időkereten belül

ipaddress

Bejelentkezések keresése egy adott IP-címen

status

Bejelentkezések keresése az állapot alapján

Ezután ezeket az adatokat .csv fájlként töltheti le elemzésre. További információ: Bejelentkezési tevékenységjelentések a Microsoft Entra felügyeleti központban.

Eredmények rangsorolása

Fontos, hogy képes legyen reagálni a legkritikusabb fenyegetésre. Ez a fenyegetés azt jelezheti, hogy a támadó sikeresen hozzáfért egy fiókhoz, ezért hozzáférhet/kiszűrheti az adatokat; a támadó rendelkezik a jelszóval, de előfordulhat, hogy nem fér hozzá a fiókhoz. Például rendelkezik a jelszóval, de nem felel meg az MFA-feladatnak. A támadó nem tudta helyesen kitalálni a jelszavakat, de továbbra is próbálkozik. Az elemzés során rangsorolja az alábbi megállapításokat:

  • Sikeres bejelentkezések ismert támadó IP-cím alapján
  • Az ismert támadó IP-címe megszakította a bejelentkezést
  • Sikertelen bejelentkezések az ismert támadó IP-címével
  • Egyéb ismeretlen IP-címek sikeres bejelentkezései

Régi hitelesítés ellenőrzése

A legtöbb támadás örökölt hitelesítést használ. A támadás protokollját számos módon lehet meghatározni.

  1. A Microsoft Entra-azonosítóban keresse meg a bejelentkezéseket , és szűrjön az ügyfélalkalmazásra .

  2. Válassza ki a felsorolt örökölt hitelesítési protokollokat.

    authenticationcheck

    Örökölt protokollok listája

  3. Ha rendelkezik Azure-munkaterületekkel, használhatja a Microsoft Entra Felügyeleti központban, a Figyelés és munkafüzetek területen található előre összeállított örökölt hitelesítési munkafüzetet.

    workbook

    Örökölt hitelesítési munkafüzet

A Microsoft Entra ID IP-címének letiltása felügyelt forgatókönyv esetén (PHS, beleértve az előkészítést)

  1. Lépjen az Új névvel ellátott helyekre.

    Example of a new named location

  2. Hozzon létre egy ca-szabályzatot, amely az összes alkalmazást megcélozza, és csak ehhez a névvel ellátott helyhez tiltsa le.

Használta már a felhasználó ezt az operációs rendszert, IP-címet, internetszolgáltatót, eszközt vagy böngészőt?

Ha nem, és ez a tevékenység szokatlan, jelölje meg a felhasználót, és vizsgálja meg az összes tevékenységét.

Az IP-cím "kockázatosként" van megjelölve?

Győződjön meg arról, hogy sikeres jelszavakat, de sikertelen MFA-válaszokat rögzít, mivel ez a tevékenység azt jelzi, hogy a támadó megkapja a jelszót, de nem adja át az MFA-t.

Helyezzen félre minden olyan fiókot, amely normál bejelentkezésnek tűnik, például nem a szokásos módon átadott MFA-t, helyet és IP-címet.

MFA-jelentéskészítés

Fontos, hogy ellenőrizze az MFA-naplókat is annak megállapításához, hogy a támadó sikeresen kitalált-e jelszót, de az MFA-kérés sikertelen. A Microsoft Entra többtényezős hitelesítési naplói az események hitelesítési adatait jelenítik meg, amikor egy felhasználó többtényezős hitelesítést kér. Ellenőrizze, hogy nincsenek-e nagy gyanús MFA-naplók a Microsoft Entra-azonosítóban. További információkért tekintse át a Microsoft Entra többtényezős hitelesítési eseményeit a bejelentkezési jelentés használatával.

További ellenőrzések

Az Felhőhöz készült Defender-alkalmazásokban vizsgálja meg a feltört fiók tevékenységeit és fájlhozzáférését. További információkért lásd:

Ellenőrizze, hogy a felhasználó hozzáfér-e többek között több erőforráshoz, például virtuális gépekhez, tartományi fiókengedélyekhez, tárterülethez. Adatsértés esetén több ügynökséget, például a rendőrséget is tájékoztatnia kell.

Azonnali javítási műveletek

  1. Módosítsa bármely olyan fiók jelszavát, amelyről gyanítja, hogy megsértették vagy a fiók jelszavát felfedezték. Emellett tiltsa le a felhasználót. Ügyeljen arra, hogy kövesse a vészhelyzeti hozzáférés visszavonására vonatkozó irányelveket.
  2. Jelölje meg a feltört fiókokat "feltörtként" az Azure Entra ID Identity Protectionben.
  3. Tiltsa le a támadó IP-címét. Legyen óvatos, miközben végrehajtja ezt a műveletet, mivel a támadók megbízható VPN-eket használhatnak, és nagyobb kockázatot jelenthetnek az IP-címek módosításakor is. Ha felhőalapú hitelesítést használ, tiltsa le az IP-címet a Felhőhöz készült Defender Appsben vagy a Microsoft Entra-azonosítóban. Ha összevont, az IP-címet az ADFS szolgáltatás előtti tűzfalszinten kell blokkolnia.
  4. Letilthatja az örökölt hitelesítést , ha használatban van (ez a művelet azonban hatással lehet az üzletmenetre).
  5. Ha még nem tette meg, engedélyezze az MFA-t .
  6. Az Identity Protection engedélyezése a felhasználói kockázathoz és a bejelentkezési kockázathoz
  7. Ellenőrizze a sérült adatokat (e-mailek, SharePoint, OneDrive, alkalmazások). Megtudhatja, hogyan használhatja a tevékenységszűrőt a Felhőhöz készült Defender-alkalmazásokban.
  8. Jelszóhigiénia fenntartása. További információ: Microsoft Entra jelszóvédelem.
  9. Az ADFS súgójában is olvashat.

Helyreállítási

Jelszavas védelem

Jelszóvédelem implementálása a Microsoft Entra-azonosítón és a helyszínen az egyénileg tiltott jelszólisták engedélyezésével. Ez a konfiguráció megakadályozza, hogy a felhasználók gyenge jelszavakat vagy a szervezethez társított jelszavakat állítsanak be:

pwdprotection

Jelszóvédelem engedélyezése

További információkért tekintse meg , hogyan védhet a jelszópermetes támadások ellen.

IP-cím címkézése

Címkézze fel a Felhőhöz készült Defender-alkalmazások IP-címeit a jövőbeli használatra vonatkozó riasztások fogadásához:

Example of tagging an IP address

IP-címek címkézése

Az Felhőhöz készült Defender-alkalmazásokban az IP-hatókör "címkéje" IP-címe, és riasztás beállítása ehhez az IP-tartományhoz a későbbi referencia és a gyorsított válasz érdekében.

Example of setting up an IP address alert

Riasztások beállítása adott IP-címhez

Riasztások konfigurálása

A szervezet igényeitől függően konfigurálhatja a riasztásokat.

Állítson be riasztást a SIEM-eszközben , és vizsgálja meg a naplózási hiányosságok javítását. Integrálja az ADFS-t, a Microsoft Entra-azonosítót, az Office 365-öt és a Felhőhöz készült Defender-alkalmazások naplózását.

Konfigurálja a küszöbértéket és a riasztásokat az ADFS Health Csatlakozás és a Kockázatos IP-portálon.

Example of configuring threshold settings

Küszöbérték-beállítások konfigurálása

Example of configuring notifications

Értesítések konfigurálása

Tekintse meg, hogyan konfigurálhat riasztásokat az Identity Protection portálon.

Bejelentkezési kockázati szabályzatok beállítása feltételes hozzáféréssel vagy identitásvédelemmel

  • A végfelhasználók, a főbb érdekelt felek, a frontvonali műveletek, a műszaki csapatok, a kiberbiztonsági és kommunikációs csapatok képzése
  • Tekintse át a biztonsági ellenőrzést, és végezze el a szükséges módosításokat a szervezeten belüli biztonsági ellenőrzés javításához vagy megerősítéséhez
  • Javaslat a Microsoft Entra konfigurációs értékelésére
  • Rendszeres támadásszimulátor-gyakorlatok futtatása

Hivatkozások

Előfeltételek

Kezelési lehetőségek

Helyreállítási

További incidenskezelési forgatókönyvek

Tekintse át az alábbi további támadások azonosítására és kivizsgálására vonatkozó útmutatást:

Incidenskezelési erőforrások