Onderzoek naar wachtwoordspray

  • Artikel

Dit artikel bevat richtlijnen voor het identificeren en onderzoeken van wachtwoordsprayaanvallen binnen uw organisatie en het nemen van de vereiste herstelacties om informatie te beschermen en verdere risico's te minimaliseren.

Dit artikel bevat de volgende secties:

  • Vereisten: behandelt de specifieke vereisten die u moet voltooien voordat u het onderzoek start. Logboekregistratie die bijvoorbeeld moet worden ingeschakeld, rollen en machtigingen die vereist zijn, zijn onder andere vereist.
  • Werkstroom: Toont de logische stroom die u moet volgen om dit onderzoek uit te voeren.
  • Controlelijst: Bevat een lijst met taken voor elk van de stappen in het stroomdiagram. Deze controlelijst kan nuttig zijn in sterk gereglementeerde omgevingen om te controleren wat u hebt gedaan of gewoon als een kwaliteitspoort voor uzelf.
  • Onderzoeksstappen: Bevat een gedetailleerde stapsgewijze handleiding voor dit specifieke onderzoek.
  • Herstel: Bevat stappen op hoog niveau voor het herstellen/beperken van een wachtwoordspray-aanval.
  • Verwijzingen: Bevat meer lees- en referentiemateriaal.

Vereisten

Voordat u begint met het onderzoek, moet u ervoor zorgen dat u de installatie voor logboeken en waarschuwingen en andere systeemvereisten hebt voltooid.

Volg voor Microsoft Entra-bewaking onze aanbevelingen en richtlijnen in onze Microsoft Entra SecOps Guide.

AD FS-logboekregistratie instellen

Logboekregistratie van gebeurtenissen op ADFS 2016

De Microsoft Active Directory Federation Services (ADFS) in Windows Server 2016 heeft standaard een basisniveau voor controle ingeschakeld. Met eenvoudige controle kunnen beheerders vijf of minder gebeurtenissen voor één aanvraag zien. Stel logboekregistratie in op het hoogste niveau en verzend de AD FS-logboeken (& beveiliging) naar een SIEM om te correleren met AD-verificatie en Microsoft Entra-id.

Gebruik deze PowerShell-opdracht om het huidige controleniveau weer te geven:

Get-AdfsProperties

Example of the Get-AdfsProperties PowerShell command

Deze tabel bevat de controleniveaus die beschikbaar zijn.

Controleniveau PowerShell-syntaxis Beschrijving
Geen Set-AdfsProperties -AuditLevel None Controle is uitgeschakeld en er worden geen gebeurtenissen geregistreerd
Basic (standaard) Set-AdfsProperties -AuditLevel Basic Er worden niet meer dan vijf gebeurtenissen geregistreerd voor één aanvraag
Uitgebreid Set-AdfsProperties -AuditLevel Verbose Alle gebeurtenissen worden geregistreerd. Op dit niveau wordt een aanzienlijke hoeveelheid informatie per aanvraag vastgelegd.

Als u het controleniveau wilt verhogen of verlagen, gebruikt u deze PowerShell-opdracht:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

ADFS 2012 R2/2016/2019-beveiligingslogboeken instellen

  1. Klik op Start, navigeer naar Programma's Beheer istratieve hulpprogramma's >en klik vervolgens op Lokaal beveiligingsbeleid.

  2. Navigeer naar de map Security Instellingen\Local Policies\User Rights Management en dubbelklik op Beveiligingscontroles genereren.

  3. Controleer op het tabblad Lokale beveiligingsinstelling of het ADFS-serviceaccount wordt weergegeven. Als deze niet aanwezig is, klikt u op Gebruiker of groep toevoegen en voegt u deze toe aan de lijst en klikt u op OK.

  4. Als u de controle wilt inschakelen, opent u een opdrachtprompt met verhoogde bevoegdheden en voert u de volgende opdracht uit:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Kies Lokaal beveiligingsbeleid.

  6. Open vervolgens de module ADFS-beheer, klik op Start, navigeer naar Programma's Beheer istratieve hulpprogramma's> en klik vervolgens op ADFS-beheer.

  7. Klik in het deelvenster Acties op Federation Service-eigenschappen bewerken.

  8. Klik in het dialoogvenster Federation Service-eigenschappen op het tabblad Gebeurtenissen.

  9. Schakel de selectievakjes bij Succesvolle controles en Mislukte controles in.

  10. Klik op OK om de configuratie te voltooien en op te slaan.

Microsoft Entra Verbinding maken Health voor ADFS installeren

Met de Microsoft Entra Verbinding maken Health for ADFS-agent hebt u meer inzicht in uw federatieomgeving. Het biedt u verschillende vooraf geconfigureerde dashboards, zoals gebruik, prestatiebewaking en riskante IP-rapporten.

Als u ADFS Verbinding maken Health wilt installeren, doorloopt u de vereisten voor het gebruik van Microsoft Entra Verbinding maken Health en installeert u vervolgens de Azure ADFS Verbinding maken Health Agent.

Riskante IP-waarschuwingen instellen met behulp van de werkmap ADFS Riskant IP-rapport

Nadat Microsoft Entra Verbinding maken Health for ADFS is geconfigureerd, moet u waarschuwingen bewaken en instellen met behulp van de ADFS Riskante IP-rapportwerkmap en Azure Monitor. De voordelen van het gebruik van dit rapport zijn:

  • Detectie van IP-adressen die een drempelwaarde overschrijden voor mislukte aanmeldingen op basis van een wachtwoord.
  • Ondersteunt mislukte aanmeldingen vanwege een ongeldig wachtwoord of vanwege de vergrendelingsstatus van het extranet.
  • Biedt ondersteuning voor het inschakelen van waarschuwingen via Azure-waarschuwingen.
  • Aanpasbare drempelwaarde-instellingen die overeenkomen met het beveiligingsbeleid van een organisatie.
  • Aanpasbare query's en uitgebreide visualisaties voor verdere analyse.
  • Uitgebreide functionaliteit uit het vorige riskante IP-rapport, dat vanaf 24 januari 2022 is afgeschaft.

SIEM-hulpprogrammawaarschuwingen instellen op Microsoft Sentinel

Als u SIEM-hulpprogrammawaarschuwingen wilt instellen, gaat u door de zelfstudie over kant-en-klare waarschuwingen.

SIEM-integratie in Microsoft Defender voor Cloud-apps

Verbinding maken het SIEM-hulpprogramma (Security Information and Event Management) voor het Microsoft Defender voor Cloud-apps, dat momenteel ondersteuning biedt voor Micro Focus ArcSight en algemene CEF (Common Event Format).

Zie Algemene SIEM-integratie voor meer informatie.

SIEM-integratie met Graph API

U kunt SIEM verbinden met de Microsoft Graph-beveiligings-API met behulp van een van de volgende opties:

  • Rechtstreeks met behulp van de ondersteunde integratieopties : raadpleeg de lijst met ondersteunde integratieopties, zoals het schrijven van code om uw toepassing rechtstreeks te verbinden om uitgebreide inzichten af te leiden. Gebruik voorbeelden om aan de slag te gaan.
  • Gebruik systeemeigen integraties en connectors die zijn gebouwd door Microsoft-partners. Raadpleeg de microsoft Graph beveiligings-API partneroplossingen om deze integraties te gebruiken.
  • Connectors gebruiken die zijn gebouwd door Microsoft : raadpleeg de lijst met connectors die u kunt gebruiken om verbinding te maken met de API via verschillende oplossingen voor SIEM (Security Incident and Event Management), Security Response and Orchestration (SOAR), Incident Tracking and Service Management (ITSM), rapportage, enzovoort.

Zie Integraties van beveiligingsoplossingen met behulp van de Microsoft Graph-beveiligings-API voor meer informatie.

Splunk gebruiken

U kunt ook het Splunk-platform gebruiken om waarschuwingen in te stellen.

Workflow

[Password spray investigation workflow]

U kunt ook het volgende doen:

  • Download de playbookwerkstromen voor wachtwoordspray en andere werkstromen voor reacties op incidenten als PDF.
  • Download de werkstromen voor wachtwoordspray en andere playbookwerkstromen voor reacties op incidenten als visio-bestand.

Checklijst

Onderzoekstriggers

  • Een trigger ontvangen van SIEM, firewalllogboeken of Microsoft Entra-id
  • Microsoft Entra ID Protection Password Spray-functie of riskant IP-adres
  • Groot aantal mislukte aanmeldingen (gebeurtenis-id 411)
  • Piek in Microsoft Entra Verbinding maken Health for ADFS
  • Een ander beveiligingsincident (bijvoorbeeld phishing)
  • Onverklaarbare activiteit, zoals een aanmelding vanaf een onbekende locatie of een gebruiker krijgt onverwachte MFA-prompts

Onderzoek

  • Wat wordt er gewaarschuwd?
  • Kunt u bevestigen dat deze aanval een wachtwoordspray is?
  • Bepaal de tijdlijn voor aanvallen.
  • Bepaal het IP-adres(en) van de aanval.
  • Filteren op geslaagde aanmeldingen voor deze periode en IP-adres, inclusief geslaagd wachtwoord, maar mislukte MFA
  • MFA-rapportage controleren
  • Is er iets buiten het gewone account, zoals een nieuw apparaat, een nieuw besturingssysteem, een nieuw IP-adres dat wordt gebruikt? Gebruik Defender voor Cloud-apps of Azure Information Protection om verdachte activiteiten te detecteren.
  • Informeer de lokale autoriteiten/derden voor hulp.
  • Als u een inbreuk vermoedt, controleert u op gegevensexfiltratie.
  • Controleer het gekoppelde account op verdacht gedrag en kijk of ze correleren met andere mogelijke accounts en services, evenals andere schadelijke IP-adressen.
  • Controleer accounts van iedereen die in hetzelfde kantoor of gedelegeerde toegang werkt - wachtwoordcontroles (zorg ervoor dat ze niet hetzelfde wachtwoord gebruiken als het gecompromitteerde account)
  • Help voor ADFS uitvoeren

Oplossingen

Raadpleeg de sectie Verwijzingen voor hulp bij het inschakelen van de volgende functies:

Herstel

U kunt ook de controlelijsten voor wachtwoordenspray en andere incidentplaybooks downloaden als een Excel-bestand.

Onderzoeksstappen

Reactie op het wachtwoordspray-incident

Laten we een paar technieken voor wachtwoordspray-aanvallen begrijpen voordat we verdergaan met het onderzoek.

Wachtwoordcompromittatie: Een aanvaller heeft het wachtwoord van de gebruiker geraden, maar heeft geen toegang tot het account gehad vanwege andere besturingselementen, zoals meervoudige verificatie (MFA).

Accountcompromitt: Een aanvaller heeft het wachtwoord van de gebruiker geraden en toegang gekregen tot het account.

Ontdekking omgeving

Verificatietype identificeren

Als eerste stap moet u controleren welk verificatietype wordt gebruikt voor een tenant/geverifieerd domein dat u onderzoekt.

Gebruik de Opdracht Get-MgDomain PowerShell om de verificatiestatus voor een specifieke domeinnaam te verkrijgen. Hier volgt een voorbeeld:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

Is de verificatie federatief of beheerd?

Als de verificatie federatief is, worden geslaagde aanmeldingen opgeslagen in Microsoft Entra-id. De mislukte aanmeldingen bevinden zich in hun IDP (Identity Provider). Zie AD FS-probleemoplossing en logboekregistratie voor meer informatie.

Als het verificatietype alleen wordt beheerd in de cloud, wachtwoord-hashsynchronisatie (PHS) of passthrough-verificatie (PTA), worden geslaagde en mislukte aanmeldingen opgeslagen in de aanmeldingslogboeken van Microsoft Entra.

Notitie

Met de functie Gefaseerde implementatie kan de domeinnaam van de tenant worden gefedereerd, maar specifieke gebruikers worden beheerd. Bepaal of gebruikers lid zijn van deze groep.

Is Microsoft Entra Verbinding maken Health ingeschakeld voor ADFS?

Is de geavanceerde logboekregistratie ingeschakeld in ADFS?

Worden de logboeken opgeslagen in SIEM?

Als u wilt controleren of u logboeken opslaat en correeert in een SIEM (Security Information and Event Management) of in een ander systeem:

  • Log Analytics- vooraf gemaakte query's
  • Sentinel- vooraf gemaakte query's
  • Splunk - vooraf samengestelde query's
  • Firewalllogboeken
  • UAL als > 30 dagen

Informatie over Microsoft Entra ID en MFA-rapportage

Het is belangrijk dat u de logboeken begrijpt die u ziet om inbreuk te kunnen vaststellen. Hier volgen snelle handleidingen voor het begrijpen van Microsoft Entra-aanmeldingen en MFA-rapportage:

Incidenttriggers

Een incidenttrigger is een gebeurtenis of een reeks gebeurtenissen die ervoor zorgen dat vooraf gedefinieerde waarschuwingen worden geactiveerd. Een voorbeeld is dat het aantal ongeldige wachtwoordpogingen boven de vooraf gedefinieerde drempelwaarde is gegaan. Hier volgen nog meer voorbeelden van triggers die kunnen worden gewaarschuwd bij wachtwoordsprayaanvallen en waar deze waarschuwingen worden weergegeven. Incidenttriggers zijn onder andere:

  • Gebruikers

  • IP

  • Tekenreeksen voor gebruikersagent

  • Datum/tijd

  • Afwijkingen

  • Ongeldige wachtwoordpogingen

    pwdattemptsGrafiek met het aantal ongeldige wachtwoordpogingen

Ongebruikelijke pieken in activiteit zijn belangrijke indicatoren via Microsoft Entra Health Verbinding maken (ervan uitgaande dat dit onderdeel is geïnstalleerd). Andere indicatoren zijn:

  • Waarschuwingen via SIEM geven een piek weer wanneer u de logboeken samenvouwt.
  • Groter dan de normale logboekgrootte voor mislukte aanmeldingen van ADFS, wat een waarschuwing kan zijn in het SIEM-hulpprogramma).
  • Verhoogde hoeveelheden van 342/411 gebeurtenis-id's: gebruikersnaam of wachtwoord is onjuist. Of 516 voor extranetvergrendeling.
  • Bereikt de drempelwaarde voor mislukte verificatieaanvragen: riskante IP in Microsoft Entra-id of SIEM-hulpprogrammawaarschuwing/zowel 342- als 411-fouten (om deze informatie te kunnen bekijken, moet de geavanceerde logboekregistratie zijn ingeschakeld.)

Riskant IP-adres in microsoft Entra Health Verbinding maken-portal

Riskante IP-waarschuwingen treden op wanneer de aangepaste drempelwaarde is bereikt voor slechte wachtwoorden in een uur en het aantal ongeldige wachtwoorden in een dag en extranetvergrendelingen.

Example of risky IP report data

Riskante IP-rapportgegevens

De details van mislukte pogingen zijn beschikbaar in de tabbladen IP-adres en extranetvergrendelingen.

ipaddresstable

IP-adres- en extranetvergrendelingen in het riskante IP-rapport

Wachtwoordspray detecteren in Azure Identity Protection

Azure Identity Protection is een Microsoft Entra ID P2-functie met een waarschuwing voor detectie van wachtwoordsprays en zoekfuncties die meer informatie of automatische herstelmogelijkheden bieden.

Example of password spray attack

Details van een wachtwoordspray-aanval

Indicatoren voor lage en langzame aanvallen

Lage en trage aanvalsindicatoren zijn wanneer drempelwaarden voor accountvergrendeling of ongeldige wachtwoorden niet worden bereikt. U kunt deze indicatoren detecteren via:

  • Fouten in galvolgorde
  • Fouten met terugkerende kenmerken (UA, doel-AppID, IP-blok/locatie)
  • Timing – geautomatiseerde sprays hebben meestal een meer regelmatig tijdsinterval tussen pogingen.

Onderzoek en risicobeperking

Notitie

U kunt tegelijkertijd onderzoek en risicobeperking uitvoeren tijdens aanhoudende/lopende aanvallen.

  1. Schakel geavanceerde logboekregistratie in op ADFS als deze nog niet is ingeschakeld.

  2. Bepaal de datum en tijd van het begin van de aanval.

  3. Bepaal het IP-adres van de aanvaller (mogelijk meerdere bronnen en meerdere IP-adressen) van de firewall, ADFS, SIEM of Microsoft Entra-id.

  4. Zodra de wachtwoordspray is bevestigd, moet u de lokale instanties (politie, derden, onder andere) informeren.

  5. Verzamel en bewaak de volgende gebeurtenis-id's voor ADFS:

    ADFS 2012 R2

    • Controlegebeurtenis 403 : gebruikersagent die de aanvraag indient
    • Controlegebeurtenis 411 : mislukte verificatieaanvragen
    • Controlegebeurtenis 516 – extranetvergrendeling
    • Controlegebeurtenis 342 - mislukte verificatieaanvragen
    • Auditgebeurtenis 412 - Geslaagd aanmelden

  6. Gebruik het volgende script om de auditgebeurtenis 411 - mislukte verificatieaanvragen te verzamelen:

    PARAM ($PastDays = 1, $PastHours)
#************************************************
#ADFSBadCredsSearch.ps1
#Version 1.0
#Date: 6-20-2016
#Author: Tim Springston [MSFT]
#Description: This script will parse the ADFS server's (not proxy) security ADFS
#for events which indicate an incorrectly entered username or password. The script can specify a
#past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
#review of UPN, IP address of submitter, and timestamp.
#************************************************
cls
if ($PastHours -gt 0)
{$PastPeriod = (Get-Date).AddHours(-($PastHours))}
else
{$PastPeriod = (Get-Date).AddDays(-($PastDays))}
$Outputfile = $Pwd.path + "\BadCredAttempts.csv"
$CS = get-wmiobject -class win32_computersystem
$Hostname = $CS.Name + '.' + $CS.Domain
$Instances = @{}
$OSVersion = gwmi win32_operatingsystem
[int]$BN = $OSVersion.Buildnumber
if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
else {$ADFSLogName = "AD FS/Admin"}
$Users = @()
$IPAddresses = @()
$Times = @()
$AllInstances = @()
Write-Host "Searching event log for bad credential events..."
if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
$Instance = New-Object PSObject
$UPN = $_.Properties[2].Value
$UPN = $UPN.Split("-")[0]
$IPAddress = $_.Properties[4].Value
$Users += $UPN
$IPAddresses += $IPAddress
$Times += $_.TimeCreated
add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
$AllInstances += $Instance
$Instance = $null
}
}
$AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
Write-Host "Data collection finished. The output file can be found at >$outputfile`."
$AllInstances = $null

ADFS 2016/2019

Samen met de bovenstaande gebeurtenis-id's kunt u de controlegebeurtenis 1203 – nieuwe referentievalidatiefout samenvouwen.

  1. Verzamel alle geslaagde aanmeldingen voor deze keer op ADFS (indien gefedereerd). Een snelle aanmelding en afmelding (op dezelfde seconde) kan een indicator zijn van een wachtwoord dat met succes wordt geraden en door de aanvaller wordt geprobeerd.
  2. Verzamel alle Microsoft Entra-geslaagde of onderbroken gebeurtenissen voor deze periode voor federatieve en beheerde scenario's.

Gebeurtenis-id's van Microsoft Entra-id bewaken en sorteren

Zie hoe u de betekenis van foutenlogboeken kunt vinden.

De volgende gebeurtenis-id's van Microsoft Entra-id zijn relevant:

  • 50057 - Gebruikersaccount is uitgeschakeld
  • 50055 - Wachtwoord verlopen
  • 50072 - Gebruiker gevraagd om MFA op te geven
  • 50074 - MFA vereist
  • 50079 - gebruiker moet beveiligingsgegevens registreren
  • 53003 - Gebruiker geblokkeerd door voorwaardelijke toegang
  • 53004 - Kan MFA niet configureren vanwege verdachte activiteit
  • 530032 - Geblokkeerd door voorwaardelijke toegang voor beveiligingsbeleid
  • Aanmeldingsstatus geslaagd, mislukt, interrupt

Gebeurtenis-id's uit Sentinel-playbook sorteren

U kunt alle gebeurtenis-id's ophalen uit het Sentinel-playbook dat beschikbaar is op GitHub.

Aanval isoleren en bevestigen

Isoleer de ADFS- en Microsoft Entra-geslaagde en onderbroken aanmeldingsgebeurtenissen. Dit zijn uw interesserekeningen.

Blokkeer het IP-adres ADFS 2012R2 en hoger voor federatieve verificatie. Hier volgt een voorbeeld:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

ADFS-logboeken verzamelen

Verzamel meerdere gebeurtenis-id's binnen een tijdsbestek. Hier volgt een voorbeeld:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

ADFS-logboeken in Microsoft Entra-id sorteren

Microsoft Entra-aanmeldingsrapporten bevatten ADFS-aanmeldingsactiviteiten wanneer u Microsoft Entra Verbinding maken Health gebruikt. Filter aanmeldingslogboeken op tokenverlenertype 'Federatief'.

Hier volgt een voorbeeld van een PowerShell-opdracht voor het ophalen van aanmeldingslogboeken voor een specifiek IP-adres:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Zoek ook in Azure Portal naar een tijdsbestek, IP-adres en geslaagde en onderbroken aanmelding, zoals wordt weergegeven in deze afbeeldingen.

timeframe

Zoeken naar aanmeldingen binnen een bepaald tijdsbestek

ipaddress

Zoeken naar aanmeldingen op een specifiek IP-adres

status

Zoeken naar aanmeldingen op basis van de status

U kunt deze gegevens vervolgens downloaden als een .csv-bestand voor analyse. Zie activiteitenrapporten voor aanmelden in het Microsoft Entra-beheercentrum voor meer informatie.

Resultaten prioriteren

Het is belangrijk om te kunnen reageren op de meest kritieke bedreiging. Deze bedreiging kan erop wijzen dat de aanvaller toegang heeft verkregen tot een account en daarom toegang heeft tot/exfiltratie van gegevens; de aanvaller heeft het wachtwoord, maar heeft mogelijk geen toegang tot het account. Ze hebben bijvoorbeeld het wachtwoord, maar geven de MFA-uitdaging niet door. De aanvaller kan ook niet goed raden dat wachtwoorden correct worden geraden, maar blijft proberen. Geef tijdens de analyse prioriteit aan deze bevindingen:

  • Geslaagde aanmeldingen door bekend IP-adres van aanvaller
  • Onderbroken aanmelding door bekend IP-adres van aanvaller
  • Mislukte aanmeldingen door bekend IP-adres van aanvaller
  • Andere onbekende IP-adressen geslaagde aanmeldingen

Verouderde verificatie controleren

De meeste aanvallen maken gebruik van verouderde verificatie. Er zijn veel manieren om het protocol van de aanval te bepalen.

  1. Navigeer in Microsoft Entra-id naar Aanmeldingen en filter op client-app.

  2. Selecteer alle verouderde verificatieprotocollen die worden vermeld.

    authenticationcheck

    Lijst met verouderde protocollen

  3. Of als u een Azure-werkruimte hebt, kunt u de vooraf gemaakte verouderde verificatiewerkmap gebruiken in het Microsoft Entra-beheercentrum onder Bewaking en Werkmappen.

    workbook

    Verouderde verificatiewerkmap

IP-adres Microsoft Entra-id blokkeren voor beheerd scenario (PHS inclusief fasering)

  1. Navigeer naar Nieuwe benoemde locaties.

    Example of a new named location

  2. Maak alleen een CA-beleid om alle toepassingen te targeten en te blokkeren voor deze benoemde locatie.

Heeft de gebruiker dit besturingssysteem, IP, ISP, apparaat of browser eerder gebruikt?

Als ze dat niet hebben gedaan en deze activiteit ongebruikelijk is, markeert u de gebruiker en onderzoekt u al hun activiteiten.

Is het IP-adres gemarkeerd als 'riskant'?

Zorg ervoor dat u geslaagde wachtwoorden opneemt, maar mislukte MFA-antwoorden, omdat deze activiteit aangeeft dat de aanvaller het wachtwoord krijgt, maar niet MFA doorgeeft.

Zet een account opzij dat een normale aanmelding lijkt te zijn, bijvoorbeeld doorgegeven MFA, locatie en IP-adres dat niet normaal is.

MFA-rapportage

Het is belangrijk om ook MFA-logboeken te controleren om te bepalen of een aanvaller een wachtwoord heeft geraden, maar de MFA-prompt mislukt. In de logboeken voor meervoudige verificatie van Microsoft Entra worden verificatiedetails weergegeven voor gebeurtenissen wanneer een gebruiker om meervoudige verificatie wordt gevraagd. Controleer en zorg ervoor dat er geen grote verdachte MFA-logboeken zijn in Microsoft Entra-id. Zie voor meer informatie hoe u het aanmeldingsrapport gebruikt om meervoudige verificatiegebeurtenissen van Microsoft Entra te bekijken.

Aanvullende controles

Onderzoek in Defender voor Cloud Apps activiteiten en bestandstoegang van het gecompromitteerde account. Zie voor meer informatie:

Controleer of de gebruiker toegang heeft tot meer resources, zoals virtuele machines (VM's), domeinaccountmachtigingen, opslag, onder andere. Als er sprake is van een inbreuk op gegevens, moet u meer instanties, zoals de politie, informeren.

Onmiddellijke herstelacties

  1. Wijzig het wachtwoord van een account dat u vermoedt is geschonden of het accountwachtwoord is gedetecteerd. Bovendien blokkeert u de gebruiker. Zorg ervoor dat u de richtlijnen voor het intrekken van toegang tot noodgevallen volgt.
  2. Markeer een gecompromitteerd account als 'gecompromitteerd' in Azure Entra ID Identity Protection.
  3. Het IP-adres van de aanvaller blokkeren. Wees voorzichtig bij het uitvoeren van deze actie, omdat aanvallers legitieme VPN's kunnen gebruiken en meer risico's kunnen creëren wanneer ze ook IP-adressen wijzigen. Als u cloudverificatie gebruikt, blokkeert u het IP-adres in Defender voor Cloud Apps of Microsoft Entra-id. Indien federatief, moet u het IP-adres blokkeren op firewallniveau vóór de ADFS-service.
  4. Verouderde verificatie blokkeren als deze wordt gebruikt (deze actie kan echter van invloed zijn op het bedrijf).
  5. Schakel MFA in als dit nog niet is gebeurd.
  6. Identity Protection inschakelen voor het gebruikersrisico en aanmeldingsrisico
  7. Controleer de gecompromitteerde gegevens (e-mailberichten, SharePoint, OneDrive, apps). Zie hoe u het activiteitsfilter gebruikt in Defender voor Cloud Apps.
  8. Wachtwoordcontroles onderhouden. Zie Microsoft Entra-wachtwoordbeveiliging voor meer informatie.
  9. U kunt ook verwijzen naar ADFS Help.

Herstel

Wachtwoordbeveiliging

Implementeer wachtwoordbeveiliging op Microsoft Entra-id en on-premises door de aangepaste lijsten met verboden wachtwoorden in te schakelen. Met deze configuratie voorkomt u dat gebruikers zwakke wachtwoorden of wachtwoorden instellen die zijn gekoppeld aan uw organisatie:

pwdprotection

Wachtwoordbeveiliging inschakelen

Zie voor meer informatie hoe u zich kunt beschermen tegen aanvallen met wachtwoordenspray.

IP-adres taggen

Tag de IP-adressen in Defender voor Cloud Apps om waarschuwingen te ontvangen met betrekking tot toekomstig gebruik:

Example of tagging an IP address

IP-adressen taggen

In Defender voor Cloud Apps tagt u het IP-adres voor het IP-bereik en stelt u een waarschuwing voor dit IP-bereik in voor toekomstig gebruik en versneld antwoord.

Example of setting up an IP address alert

Waarschuwingen instellen voor een specifiek IP-adres

Waarschuwingen configureren

Afhankelijk van de behoeften van uw organisatie kunt u waarschuwingen configureren.

Stel waarschuwingen in uw SIEM-hulpprogramma in en kijk naar het verbeteren van hiaten in logboekregistratie. Integreer ADFS, Microsoft Entra ID, Office 365 en Defender voor Cloud Apps-logboekregistratie.

Configureer de drempelwaarde en waarschuwingen in de ADFS Health Verbinding maken- en Riskante IP-portal.

Example of configuring threshold settings

Drempelwaarde-instellingen configureren

Example of configuring notifications

Meldingen configureren

Zie hoe u waarschuwingen configureert in de Identity Protection-portal.

Beleid voor aanmeldingsrisico's instellen met voorwaardelijke toegang of identiteitsbeveiliging

  • Eindgebruikers, belangrijke belanghebbenden, front line operations, technische teams, cyberbeveiligings- en communicatieteams informeren
  • Controleer het beveiligingsbeheer en breng de benodigde wijzigingen aan om het beveiligingsbeheer binnen uw organisatie te verbeteren of te versterken
  • Configuratie-evaluatie van Microsoft Entra voorstellen
  • Reguliere aanvalsimulatoroefeningen uitvoeren

Verwijzingen

Vereisten

Oplossingen

Herstel

Aanvullende playbooks voor reactie op incidenten

Bekijk richtlijnen voor het identificeren en onderzoeken van deze aanvullende typen aanvallen:

Resources voor reactie op incidenten