Varslingsklassifisering for passordsprayangrep

Obs!

Vil du prøve Microsoft 365 Defender? Finn ut mer om hvordan du kan evaluere og prøve ut Microsoft 365 Defender.

Gjelder for:

• Microsoft 365 Defender

Trusselaktører bruker innovative måter å kompromittere sine målmiljøer på. En type angrep som får trekkraft er passordsprayangrepet, hvor angripere tar sikte på å få tilgang til mange kontoer i et nettverk med minimal innsats. I motsetning til tradisjonelle brute force angrep, hvor trusselaktører prøver mange passord på en enkelt konto, fokuserer passordsprayangrep på å gjette riktig passord for mange kontoer med et begrenset sett med vanlige passord. Det gjør angrepet spesielt effektivt mot organisasjoner med svake eller lett gjettelige passord, noe som fører til alvorlige databrudd og økonomiske tap for organisasjoner.

Angripere bruker automatiserte verktøy til gjentatte ganger å forsøke å få tilgang til en bestemt konto eller system ved hjelp av en liste over ofte brukte passord. Angripere misbruker noen ganger legitime skytjenester ved å opprette mange virtuelle maskiner eller beholdere for å starte et passordsprayangrep.

Denne strategiplanen bidrar til å undersøke tilfeller der mistenkelig oppførsel observeres som et tegn på et passordsprayangrep. Denne veiledningen er for sikkerhetsteam som sikkerhetsoperasjonssenteret (SOC) og IT-administratorer som ser gjennom, håndterer/administrerer og klassifiserer varslene. Denne veiledningen bidrar til raskt å klassifisere varslene som enten sanne positive (TP) eller falske positive (FP), og når det gjelder TP, kan du utføre anbefalte tiltak for å utbedre angrepet og redusere sikkerhetsrisikoene.

De tiltenkte resultatene av å bruke denne veiledningen er:

• Du har identifisert varslene som er knyttet til passordsprøyteforsøk, som skadelige aktiviteter (TP) eller falske positive aktiviteter (FP).

• Du har gjort de nødvendige tiltak for å utbedre angrepet.

Undersøkelsestrinn

Denne delen inneholder trinnvis veiledning for å svare på varselet og utføre anbefalte handlinger for å beskytte organisasjonen mot ytterligere angrep.

1. Undersøk sikkerhetsvarslingene

• Kommer de varslede påloggingsforsøkene fra et mistenkelig sted? Kontroller påloggingsforsøk fra andre steder enn de som er typiske for berørte brukerkontoer. Flere påloggingsforsøk fra én eller mange brukere er nyttige indikatorer.

2. Undersøke mistenkelig brukeraktivitet

• Finnes det uvanlige hendelser med uvanlige egenskaper? Unike egenskaper for en påvirket bruker, for eksempel uvanlig Internett-adresse, land/område eller poststed, kan indikere mistenkelige påloggingsmønstre.

• Er det en markant økning i e-post eller filrelaterte aktiviteter? Mistenkelige hendelser som økte forsøk på e-posttilgang eller sendeaktivitet eller en økning i opplasting av filer til SharePoint eller OneDrive for en berørt bruker, er noen tegn å se etter.

• Finnes det flere mislykkede påloggingsforsøk? Et høyt antall mislykkede påloggingsforsøk fra ulike IP-er og geografiske plasseringer av en påvirket bruker kan indikere et passordsprayangrep.

• Identifiser Internett-leverandøren fra påloggingsaktiviteten til en berørt bruker. Se etter påloggingsaktiviteter for andre brukerkontoer fra samme Internett-leverandør.

• Undersøk eventuelle nylige endringer i miljøet:

  • Endringer i Office 365 programmer som Exchange Online tillatelse, automatisk videresending av e-post, e-postomadressering
  • Endringer i PowerApps, for eksempel automatisert konfigurasjon av dataoverføring gjennom PowerAutomate
  • Endringer i Azure-miljøer, for eksempel Azure Portal abonnementsendringer
  • Endringer i SharePoint Online, for eksempel den berørte brukerkontoen som får tilgang til flere nettsteder eller filer med sensitivt/konfidensielt/innhold som bare gjelder for firmaet

• Undersøk aktivitetene til den berørte kontoen som forekommer innen kort tid på flere plattformer og apper. Overvåk hendelser for å kontrollere tidslinjen for aktiviteter, for eksempel kontrast til brukerens tid som brukes til å lese eller sende e-post, etterfulgt av tildeling av ressurser til brukerens konto eller andre kontoer.

3. Undersøk mulige oppfølgingsangrep

Undersøk miljøet for andre angrep som involverer berørte brukerkontoer , da angripere ofte utfører ondsinnede aktiviteter etter et vellykket angrep med passordspray. Vurder å undersøke følgende mulige mistenkelige aktiviteter:

• Godkjenning med flere faktorer (MFA)-relaterte angrep

  • Angripere bruker MFA tretthet for å omgå dette sikkerhetstiltaket som organisasjoner vedtar for å beskytte sine systemer. Se etter flere MFA-forespørsler som er reist av en berørt brukerkonto.
  • Angripere kan utføre MFA-manipulering ved hjelp av en påvirket brukerkonto med utvidede rettigheter ved å deaktivere MFA-beskyttelse for andre kontoer i leieren. Se etter mistenkelige administratoraktiviteter utført av en påvirket bruker.

• Interne phishing-angrep

  • Angripere kan bruke en påvirket brukerkonto til å sende interne phishing-e-poster. Kontroller mistenkelige aktiviteter som videresending av e-post eller oppretting av innboksmanipulering eller innboksforsendingsregler. Følgende strategibøker kan hjelpe deg med å undersøke e-posthendelser ytterligere:
    • Klassifisering av varsler for mistenkelig aktivitet for videresending av e-post
    • Klassifisering av varsler for mistenkelige innboks-videresendingsregler
    • Klassifisere varsler for mistenkelige innboksmanipuleringsregler
  • Kontroller om brukeren mottok andre varsler før passordsprayaktiviteten. Hvis du har disse varslene, indikerer det at brukerkontoen kan bli kompromittert. Eksempler inkluderer blant annet umulig reisevarsel, aktivitet fra sjeldne land/område og mistenkelig aktivitet for sletting av e-post.

Avanserte jaktspørringer

Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg undersøke hendelser i nettverket og finne trusselindikatorer.

Bruk disse spørringene til å samle inn mer informasjon relatert til varselet og avgjøre om aktiviteten er mistenkelig.

Sørg for at du har tilgang til følgende tabeller:

• AadSignInEventsBeta
• CloudAppEvents
• DeviceEvents
• EmailEvents
• EmailUrlInfo
• IdentityLogonEvents
• UrlClickEvents

Bruk denne spørringen til å identifisere passordsprøyteaktivitet.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where ActionType == "LogonFailed"
| where isnotempty(RiskLevelDuringSignIn)
| where AccountObjectId == <Impacted User Account Object ID>
| summarize TargetCount = dcount(AccountObjectId), TargetCountry = dcount(Location), TargetIPAddress = dcount(IPAddress) by ISP
| where TargetCount >= 100
| where TargetCountry >= 5
| where TargetIPAddress >= 25

Bruk denne spørringen til å identifisere andre aktiviteter fra den varslede ISP-en.

CloudAppEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| summarize count() by Application, ActionType, bin(Timestamp, 1h)

Bruk denne spørringen til å identifisere påloggingsmønstre for den berørte brukeren.

IdentityLogonEvents
| where Timestamp > ago(7d)
| where AccountObjectId == <Impacted User Account Object ID>
| where ISP == <Alerted ISP>
| where Application != "Active Directory"
| summarize SuccessCount = countif(ActionType == "LogonSuccess"), FailureCount = countif(ActionType == "LogonFailed") by ISP

Bruk denne spørringen til å identifisere MFA-tretthetsangrep.

AADSignInEventsBeta
| where Timestamp > ago(1h)
//Error Code : 50088 : Limit on telecom MFA calls reached
//Error Code : 50074 : Strong Authentication is required.
| where ErrorCode in  ("50074","50088")
| where isnotempty(AccountObjectId)
| where isnotempty(IPAddress)
| where isnotempty(Country)
| summarize (Timestamp, ReportId) = arg_max(Timestamp, ReportId), FailureCount = count() by AccountObjectId, Country, IPAddress
| where FailureCount >= 10

Bruk denne spørringen til å identifisere MFA-tilbakestillingsaktiviteter.

let relevantActionTypes = pack_array("Disable Strong Authentication.","system.mfa.factor.deactivate", "user.mfa.factor.update", "user.mfa.factor.reset_all", "core.user_auth.mfa_bypass_attempted");
CloudAppEvents
AlertInfo
| where Timestamp > ago(1d)
| where isnotempty(AccountObjectId)
| where Application in ("Office 365","Okta")
| where ActionType in (relevantActionTypes)
| where RawEventData contains "success"
| project Timestamp, ReportId, AccountObjectId, IPAddress, ActionType



CloudAppEvents
| where Timestamp > ago(1d)
| where ApplicationId == 11161 
| where ActionType == "Update user." 
| where isnotempty(AccountObjectId)
| where RawEventData has_all("StrongAuthenticationRequirement","[]")
| mv-expand ModifiedProperties = RawEventData.ModifiedProperties
| where ModifiedProperties.Name == "StrongAuthenticationRequirement" and ModifiedProperties.OldValue != "[]" and ModifiedProperties.NewValue == "[]"
| mv-expand ActivityObject = ActivityObjects
| where ActivityObject.Role == "Target object"
| extend TargetObjectId = tostring(ActivityObject.Id)
| project Timestamp, ReportId, AccountObjectId, ActivityObjects, TargetObjectId

Bruk denne spørringen til å finne nye innboksregler for e-post som er opprettet av den berørte brukeren.

CloudAppEvents
| where AccountObjectId == <ImpactedUser>
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Anbefalte handlinger

Når du finner ut at aktivitetene som er knyttet til dette varselet, er skadelige, klassifiserer du disse varslene som TP og utfører disse handlingene for utbedring:

1. Tilbakestill brukerens kontolegitimasjon.
2. Opphev tilgangstokener for den kompromitterte kontoen.
3. Bruk tallsamsvar i Microsoft Authenticator for å redusere MFA-tretthetsangrep.
4. Bruk prinsippet om minst mulig rettighet. Opprett kontoer med minimumsrettigheter som kreves for å fullføre oppgaver.
5. Konfigurer blokkering basert på avsenderens IP-adresse og domener hvis artefaktene er relatert til e-post.
6. Blokker URL-adresser eller IP-adresser (på nettverksbeskyttelsesplattformene) som ble identifisert som skadelige under undersøkelsen.

Se også

• Oversikt over varslingsklassifisering
• Undersøke varsler

Tips

Vil du lære mer? Kommunmuner deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft 365 Defender teknisk fellesskap.