Varslingsklassifisering for mistenkelige IP-adresser relatert til passordsprayangrep
Gjelder for:
- Microsoft Defender XDR
Trusselaktører bruker teknikker for å gjette passord for å få tilgang til brukerkontoer. I et passordsprayangrep kan trusselskuespilleren ty til noen av de mest brukte passordene mot mange forskjellige kontoer. Angripere kan kompromittere kontoer ved hjelp av passordsprøyting siden mange brukere fortsatt bruker standard og svake passord.
Denne strategiplanen hjelper deg med å undersøke forekomster der IP-adresser har blitt merket som risikable eller knyttet til et passordsprayangrep, eller mistenkelige uforklarlige aktiviteter ble oppdaget, for eksempel en bruker som logger på fra en ukjent plassering, eller en bruker får uventede MFA-ledetekster (multi-factor authentication). Denne veiledningen er for sikkerhetsteam som sikkerhetsoperasjonssenteret (SOC) og IT-administratorer som ser gjennom, håndterer/administrerer og klassifiserer varslene. Denne veiledningen bidrar til raskt å klassifisere varslene som enten sanne positive (TP) eller falske positive (FP), og når det gjelder TP, kan du utføre anbefalte tiltak for å utbedre angrepet og redusere sikkerhetsrisikoene.
De tiltenkte resultatene av å bruke denne veiledningen er:
Du har identifisert varslene som er knyttet til IP-adresser for passordspray som ondsinnede aktiviteter (TP) eller falske positive aktiviteter (FP).
Du har utført den nødvendige handlingen hvis IP-adresser har utført passordsprayangrep.
Undersøkelsestrinn
Denne delen inneholder trinnvis veiledning for å svare på varselet og utføre anbefalte handlinger for å beskytte organisasjonen mot ytterligere angrep.
1. Se gjennom varselet
Her er et eksempel på et varsel om passordspray i varselkøen:
Dette betyr at det er mistenkelig brukeraktivitet som stammer fra en IP-adresse som kan være forbundet med et brute-force eller passordsprayforsøk i henhold til trusselintelligenskilder.
2. Undersøk IP-adressen
Se på aktivitetene som stammer fra IP-adressen:
Er det for det meste mislykkede forsøk på å logge på?
Ser intervallet mellom forsøk på å logge på mistenkelig ut? Automatiserte passordsprayangrep har en tendens til å ha et regelmessig tidsintervall mellom forsøk.
Er det vellykkede forsøk på en bruker/flere brukere som logger på med MFA-ledetekster? Disse forsøkene kan indikere at IP-adressen ikke er skadelig.
Brukes eldre protokoller? Bruk av protokoller som POP3, IMAP og SMTP kan indikere et forsøk på å utføre et passordsprayangrep. Søk
Unknown(BAV2ROPC)
i brukeragenten (enhetstype) i aktivitetsloggen indikerer bruk av eldre protokoller. Du kan referere til eksemplet nedenfor når du ser på aktivitetsloggen. Denne aktiviteten må være mer korrelert med andre aktiviteter.Figur 1. Enhetstypefeltet viser
Unknown(BAV2ROPC)
brukeragenten i Microsoft Defender XDR.Kontroller bruken av anonyme proxyer eller Tor-nettverket. Trusselaktører bruker ofte disse alternative proxyene til å skjule informasjonen sin, noe som gjør dem vanskelige å spore. Men ikke all bruk av nevnte proxyer korrelerer med ondsinnede aktiviteter. Du må undersøke andre mistenkelige aktiviteter som kan gi bedre angrepsindikatorer.
Kommer IP-adressen fra et virtuelt privat nettverk (VPN)? Er VPN pålitelig? Kontroller om IP-adressen stammer fra et VPN, og se gjennom organisasjonen bak den ved hjelp av verktøy som RiskIQ.
Kontroller andre IP-er med samme delnett/ISP. Noen ganger kommer passordsprayangrep fra mange forskjellige IP-er i samme delnett/ISP.
Er IP-adressen vanlig for leieren? Kontroller aktivitetsloggen for å se om leieren har sett IP-adressen de siste 30 dagene.
Søk for andre mistenkelige aktiviteter eller varsler som stammer fra IP-adressen i leieren. Eksempler på aktiviteter du bør se etter, kan omfatte e-postsletting, opprettelse av videresendingsregler eller filnedlastinger etter et vellykket forsøk på å logge på.
Kontroller IP-adressens risikopoengsum ved hjelp av verktøy som RiskIQ.
3. Undersøke mistenkelig brukeraktivitet etter pålogging
Når en mistenkelig IP gjenkjennes, kan du se gjennom kontoene som er logget på. Det er mulig at en gruppe kontoer ble kompromittert og brukt til å logge på fra IP-adressen eller andre lignende IP-adresser.
Filtrer alle vellykkede forsøk på å logge på fra IP-adressen rundt og kort tid etter tidspunktet for varslene. Deretter søker du etter ondsinnede eller uvanlige aktiviteter i slike kontoer etter pålogging.
Brukerkontoaktiviteter
Valider at aktiviteten i kontoen før passordsprayaktiviteten ikke er mistenkelig. Kontroller for eksempel om det er avvikende aktivitet basert på felles plassering eller Internett-leverandør, hvis kontoen bruker en brukeragent som den ikke brukte før, hvis andre gjestekontoer ble opprettet, hvis andre legitimasjoner ble opprettet etter at kontoen ble logget på fra en ondsinnet IP, blant andre.
Varsler
Kontroller om brukeren mottok andre varsler før passordsprayaktiviteten. Hvis du har disse varslene, indikerer det at brukerkontoen kan bli kompromittert. Eksempler inkluderer blant annet umulig reisevarsel, aktivitet fra sjeldne land/område og mistenkelig aktivitet for sletting av e-post.
Hendelsen
Kontroller om varselet er knyttet til andre varsler som indikerer en hendelse. I så fall må du kontrollere om hendelsen inneholder andre sanne positive varsler.
Avanserte jaktspørringer
Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg undersøke hendelser i nettverket og finne trusselindikatorer.
Bruk denne spørringen til å finne kontoer med forsøk på å logge på med høyest risikoresultat som kom fra den skadelige IP-adressen. Denne spørringen filtrerer også alle vellykkede forsøk på å logge på med tilsvarende risikoresultater.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores
Bruk denne spørringen til å kontrollere om den mistenkelige IP-en brukte eldre protokoller i forsøk på å logge på.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent
Bruk denne spørringen til å se gjennom alle varsler i løpet av de siste sju dagene som er knyttet til den mistenkelige IP-adressen.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize (
AlertEvidence
| where Timestamp between (start_date .. end_date)
| where RemoteIP == ip_address
| project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
Bruk denne spørringen til å se gjennom kontoaktivitet for mistenkte kompromitterte kontoer.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| summarize ActivityCount = count() by AccountObjectId, ActivityType
| extend ActivityPack = pack(ActivityType, ActivityCount)
| summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId
Bruk denne spørringen til å se gjennom alle varsler for mistenkte kompromitterte kontoer.
let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
Anbefalte handlinger
- Blokker angriperens IP-adresse.
- Tilbakestill legitimasjon for brukerkontoer.
- Opphev tilgangstokener for kompromitterte kontoer.
- Blokker eldre godkjenning.
- Krev MFA for brukere hvis mulig for å forbedre kontosikkerheten og gjøre kontokompromisse ved et passordsprayangrep vanskelig for angriperen.
- Blokker den kompromitterte brukerkontoen fra å logge på om nødvendig.
Se også
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.