Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli attori delle minacce usano tecniche di individuazione delle password per ottenere l'accesso agli account utente. In un attacco con password spray, l'attore della minaccia potrebbe ricorrere ad alcune delle password più usate per molti account diversi. Gli utenti malintenzionati compromettono correttamente gli account che usano l'irrorazione delle password perché molti utenti usano ancora password predefinite e vulnerabili.
Questo playbook consente di analizzare le istanze in cui gli indirizzi IP sono stati etichettati come rischiosi o associati a un attacco con password spray o sono state rilevate attività sospette non spiegate, ad esempio un utente che accede da una posizione non familiare o un utente che riceve richieste impreviste di autenticazione a più fattori (MFA). Questa guida è destinata a team di sicurezza come il Centro operazioni di sicurezza (SOC) e gli amministratori IT che esaminano, gestiscono/gestiscono e classificano gli avvisi. Questa guida consente di classificare rapidamente gli avvisi come veri positivi (TP) o falsi positivi (FP) e, nel caso del protocollo TP, intraprendere azioni consigliate per correggere l'attacco e mitigare i rischi per la sicurezza.
I risultati previsti per l'uso di questa guida sono:
Gli avvisi associati agli indirizzi IP con password spray sono stati identificati come attività dannose (TP) o false positive (FP).
È stata eseguita l'azione necessaria se gli indirizzi IP hanno eseguito attacchi di spray password.
Analizzare l'avviso
Questa sezione contiene indicazioni dettagliate per rispondere all'avviso ed eseguire le azioni consigliate per proteggere l'organizzazione da altri attacchi.
1. Esaminare l'avviso
Di seguito è riportato un esempio di avviso di spray password nella coda di avvisi:
Ciò significa che esiste un'attività utente sospetta proveniente da un indirizzo IP che potrebbe essere associata a un tentativo di attacco con forza bruta o password in base alle origini di intelligence sulle minacce.
2. Analizzare l'indirizzo IP
Esaminare le attività che hanno origine dall'IP:
Si tratta per lo più di tentativi non riusciti di accedere?
L'intervallo tra i tentativi di accesso sembra sospetto? Gli attacchi con password spray automatizzati tendono ad avere un intervallo di tempo regolare tra i tentativi.
Sono stati eseguiti tentativi riusciti di accesso di un utente o di più utenti con richieste di autenticazione a più fattori? L'esistenza di questi tentativi potrebbe indicare che l'IP non è dannoso.
Vengono usati protocolli legacy? L'uso di protocolli come POP3, IMAP e SMTP potrebbe indicare un tentativo di eseguire un attacco con password spray. La ricerca
Unknown(BAV2ROPC)nell'agente utente (tipo di dispositivo) nel log attività indica l'uso di protocolli legacy. È possibile fare riferimento all'esempio seguente quando si esamina il log attività. Questa attività deve essere ulteriormente correlata ad altre attività.
Figura 1. Il campo Tipo di dispositivo mostra
Unknown(BAV2ROPC)l'agente utente in Microsoft Defender XDR.Controllare l'uso di proxy anonimi o della rete Tor. Gli attori delle minacce spesso usano questi proxy alternativi per nascondere le loro informazioni, rendendole difficili da tracciare. Tuttavia, non tutti l'uso di tali proxy è correlato ad attività dannose. È necessario analizzare altre attività sospette che potrebbero fornire indicatori di attacco migliori.
L'indirizzo IP proviene da una rete privata virtuale (VPN)? La VPN è attendibile? Controllare se l'INDIRIZZO IP è stato originato da una VPN ed esaminare l'organizzazione sottostante usando strumenti come RiskIQ.
Controllare altri indirizzi IP con la stessa subnet/ISP. A volte gli attacchi con password spray provengono da molti indirizzi IP diversi all'interno della stessa subnet/ISP.
L'indirizzo IP è comune per il tenant? Controllare il log attività per verificare se il tenant ha visto l'indirizzo IP negli ultimi 30 giorni.
Cercare altre attività sospette o avvisi originati dall'INDIRIZZO IP nel tenant. Esempi di attività da cercare potrebbero includere l'eliminazione della posta elettronica, la creazione di regole di inoltro o il download di file dopo un tentativo di accesso riuscito.
Controllare il punteggio di rischio dell'indirizzo IP usando strumenti come RiskIQ.
3. Analizzare le attività sospette degli utenti dopo l'accesso
Dopo aver riconosciuto un INDIRIZZO IP sospetto, è possibile esaminare gli account che hanno eseguito l'accesso. È possibile che un gruppo di account sia stato compromesso e usato correttamente per accedere dall'IP o da altri indirizzi IP simili.
Filtrare tutti i tentativi riusciti di accesso dall'indirizzo IP intorno e poco dopo l'ora degli avvisi. Quindi cercare attività dannose o insolite in tali account dopo l'accesso.
Attività dell'account utente
Verificare che l'attività nell'account che precede l'attività di spruzzatura della password non sia sospetta. Ad esempio, verificare se è presente un'attività anomala in base alla posizione comune o all'ISP, se l'account usa un agente utente che non ha usato prima, se sono stati creati altri account guest, se sono state create altre credenziali dopo l'accesso dell'account da un IP dannoso, tra gli altri.
Avvisi
Controllare se l'utente ha ricevuto altri avvisi prima dell'attività di spruzzatura della password. La presenza di questi avvisi indica che l'account utente potrebbe essere compromesso. Gli esempi includono l'avviso di viaggio impossibile, l'attività da un paese/area geografica non frequente e l'attività sospetta di eliminazione della posta elettronica, tra gli altri.
Incidente
Controllare se l'avviso è associato ad altri avvisi che indicano un evento imprevisto. In tal caso, verificare se l'evento imprevisto contiene altri avvisi positivi reali.
Query di ricerca avanzate
La ricerca avanzata è uno strumento di ricerca delle minacce basato su query che consente di controllare gli eventi nella rete e individuare gli indicatori di minaccia.
Usare questa query per trovare gli account con tentativi di accesso con i punteggi di rischio più elevati provenienti dall'IP dannoso. Questa query filtra anche tutti i tentativi riusciti di accesso con i punteggi di rischio corrispondenti.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores
Usare questa query per verificare se l'IP sospetto ha usato protocolli legacy nei tentativi di accesso.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent
Usare questa query per esaminare tutti gli avvisi negli ultimi sette giorni associati all'IP sospetto.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize (
AlertEvidence
| where Timestamp between (start_date .. end_date)
| where RemoteIP == ip_address
| project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
Usare questa query per esaminare l'attività dell'account per gli account sospetti compromessi.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| summarize ActivityCount = count() by AccountObjectId, ActivityType
| extend ActivityPack = pack(ActivityType, ActivityCount)
| summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId
Usare questa query per esaminare tutti gli avvisi per i sospetti account compromessi.
let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
Azioni consigliate
- Bloccare l'indirizzo IP dell'utente malintenzionato.
- Reimpostare le credenziali degli account utente.
- Revocare i token di accesso degli account compromessi.
- Blocca l'autenticazione legacy.
- Richiedere l'autenticazione a più fattori per gli utenti , se possibile, per migliorare la sicurezza dell'account e compromettere l'account con un attacco con password spray difficile per l'utente malintenzionato.
- Bloccare l'accesso dell'account utente compromesso, se necessario.
Vedere anche
- Panoramica della classificazione degli avvisi
- Classificazione degli attacchi con password spray
- Esaminare gli avvisi
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.