Odzyskiwanie po naruszeniu bezpieczeństwa tożsamości systemowej
W tym artykule opisano zasoby i zalecenia firmy Microsoft dotyczące odzyskiwania po ataku na naruszenie tożsamości systemowej w organizacji.
Zawartość tego artykułu jest oparta na wskazówkach dostarczonych przez zespół ds. wykrywania i reagowania firmy Microsoft (DART), który działa w celu reagowania na naruszenia zabezpieczeń i pomagania klientom w cyberodpornym dostępie. Aby uzyskać więcej wskazówek od zespołu DART, zobacz serię blogów dotyczących zabezpieczeń firmy Microsoft.
Wiele organizacji przeszedło do podejścia opartego na chmurze w celu zapewnienia większego bezpieczeństwa w zakresie zarządzania tożsamościami i dostępem. Jednak organizacja może również mieć systemy lokalne i korzystać z różnych metod architektury hybrydowej. W tym artykule uznano, że ataki na tożsamość systemową wpływają na chmurę, lokalnie i systemy hybrydowe oraz udostępniają zalecenia i odwołania do wszystkich tych środowisk.
Ważne
Te informacje są dostarczane zgodnie z rzeczywistymi informacjami i stanowią uogólnione wskazówki; ostateczna determinacja dotycząca sposobu stosowania tych wskazówek do środowiska IT i dzierżawców musi uwzględniać unikatowe środowisko i potrzeby, które każdy klient jest w najlepszej pozycji do określenia.
Informacje o naruszeniu bezpieczeństwa tożsamości systemowej
Atak na naruszenie tożsamości systemowej w organizacji występuje, gdy osoba atakująca pomyślnie uzyska przyczółek do administrowania infrastrukturą tożsamości organizacji.
Jeśli stało się to z organizacją, jesteś w wyścigu przeciwko atakującemu, aby zabezpieczyć środowisko przed dalszymi szkodami.
Osoby atakujące z kontrolą administracyjną infrastruktury tożsamości środowiska mogą używać tej kontrolki do tworzenia, modyfikowania lub usuwania tożsamości i uprawnień tożsamości w tym środowisku.
W przypadku naruszenia zabezpieczeń lokalnych, jeśli zaufane certyfikaty podpisywania tokenów SAML nie są przechowywane w module HSM, atak obejmuje dostęp do tego zaufanego certyfikatu podpisywania tokenów SAML.
Osoby atakujące mogą następnie używać certyfikatu do tworzenia tokenów SAML w celu personifikacji dowolnego z istniejących użytkowników i kont organizacji bez konieczności uzyskiwania dostępu do poświadczeń konta i bez opuszczania śladów.
Dostęp do konta o wysokim poziomie uprawnień może również służyć do dodawania poświadczeń kontrolowanych przez osobę atakującą do istniejących aplikacji, umożliwiając osobom atakującym dostęp do niezakrytych systemów, takich jak wywoływanie interfejsów API przy użyciu tych uprawnień.
Reagowanie na atak
Reagowanie na naruszenia tożsamości systemowej powinno zawierać kroki przedstawione na poniższej ilustracji i tabeli:
| Krok | opis |
|---|---|
| Ustanawianie bezpiecznej komunikacji | Organizacja, która doświadczyła naruszenia tożsamości systemowej, musi przyjąć, że ma to wpływ na całą komunikację. Przed podjęciem jakichkolwiek działań odzyskiwania należy upewnić się, że członkowie zespołu, którzy są kluczem do badania i wysiłku w zakresie reagowania, mogą bezpiecznie komunikować się. Zabezpieczanie komunikacji musi być pierwszym krokiem, aby można było kontynuować bez wiedzy osoby atakującej. |
| Badanie środowiska | Po zabezpieczeniu komunikacji w podstawowym zespole dochodzeniowym możesz zacząć szukać początkowych punktów dostępu i technik trwałości. Zidentyfikuj swoje wskazania dotyczące naruszenia, a następnie poszukaj początkowych punktów dostępu i trwałości. Jednocześnie rozpocznij ustanawianie operacji ciągłego monitorowania podczas wykonywania działań związanych z odzyskiwaniem. |
| Zwiększanie poziomu zabezpieczeń | Włącz funkcje zabezpieczeń i możliwości zgodnie z zaleceniami dotyczącymi najlepszych rozwiązań w celu zwiększenia bezpieczeństwa systemu. Pamiętaj, aby kontynuować ciągłe działania związane z monitorowaniem w miarę upływu czasu i zmian w krajobrazie zabezpieczeń. |
| Odzyskaj/zachowaj kontrolę | Należy odzyskać kontrolę administracyjną nad środowiskiem od osoby atakującej. Po ponownym kontrolce i odświeżeniu stanu zabezpieczeń systemu należy skorygować lub zablokować wszystkie możliwe techniki trwałości i nowe wstępne luki w zabezpieczeniach. |
Ustanawianie bezpiecznej komunikacji
Zanim zaczniesz odpowiadać, musisz mieć pewność, że możesz bezpiecznie komunikować się bez podsłuchiwania osoby atakującej. Upewnij się, że wyizoluj wszelkie komunikaty związane ze zdarzeniem, aby osoba atakująca nie przechyliła się na twoje dochodzenie i jest niespodziewana podczas akcji reagowania.
Na przykład:
W przypadku początkowej komunikacji "jeden na jeden" i komunikacji grupowej możesz użyć połączeń PSTN, mostków konferencyjnych, które nie są połączone z infrastrukturą firmową, oraz kompleksowe rozwiązania do obsługi zaszyfrowanych wiadomości.
Komunikacja poza tymi strukturami powinna być traktowana jako naruszona i niezaufana, chyba że zostanie zweryfikowana za pośrednictwem bezpiecznego kanału.
Po tych początkowych konwersacjach możesz utworzyć całkowicie nową dzierżawę platformy Microsoft 365 odizolowaną od dzierżawy produkcyjnej organizacji. Utwórz konta tylko dla kluczowych pracowników, którzy muszą być częścią odpowiedzi.
Jeśli tworzysz nową dzierżawę platformy Microsoft 365, pamiętaj, aby postępować zgodnie ze wszystkimi najlepszymi rozwiązaniami dla dzierżawy, a zwłaszcza w przypadku kont administracyjnych i praw. Ogranicz prawa administracyjne bez relacji zaufania dla aplikacji zewnętrznych ani dostawców.
Ważne
Upewnij się, że nie komunikujesz się o nowej dzierżawie w istniejącej i potencjalnie naruszonych kontach e-mail.
Aby uzyskać więcej informacji, zobacz Best practices for securely using Microsoft 365 (Najlepsze rozwiązania dotyczące bezpiecznego korzystania z platformy Microsoft 365).
Identyfikowanie wskazówek dotyczących naruszenia zabezpieczeń
Zalecamy, aby klienci przestrzegali aktualizacji od dostawców systemów, w tym firmy Microsoft i wszystkich partnerów, oraz zaimplementowali wszelkie nowe wykrycia i zabezpieczenia udostępniane oraz zidentyfikowały opublikowane incydenty naruszenia (IOCs).
Sprawdź aktualizacje w następujących produktach zabezpieczeń firmy Microsoft i zaimplementuj wszelkie zalecane zmiany:
- Microsoft Sentinel
- Rozwiązania i usługi zabezpieczeń platformy Microsoft 365
- Windows 10 Enterprise Security
- aplikacje Microsoft Defender dla Chmury
- Usługa Microsoft Defender dla IoT
Zaimplementowanie nowych aktualizacji pomoże zidentyfikować wcześniejsze kampanie i zapobiec przyszłym kampaniom przeciwko systemowi. Należy pamiętać, że listy IOC mogą nie być wyczerpujące i mogą być rozszerzane w miarę kontynuowania badań.
W związku z tym zalecamy również wykonanie następujących czynności:
Upewnij się, że zastosowano test porównawczy zabezpieczeń w chmurze firmy Microsoft i monitorujesz zgodność za pośrednictwem Microsoft Defender dla Chmury.
Uwzględnij źródła danych analizy zagrożeń w rozwiązaniu SIEM, takie jak konfigurowanie Połączenie danych usługi Microsoft Purview w usłudze Microsoft Sentinel.
Upewnij się, że wszystkie rozszerzone narzędzia do wykrywania i reagowania, takie jak Usługa Microsoft Defender dla IoT, korzystają z najnowszych danych analizy zagrożeń.
Aby uzyskać więcej informacji, zobacz dokumentację zabezpieczeń firmy Microsoft:
Badanie środowiska
Gdy osoby reagujące na zdarzenia i kluczowy personel mają bezpieczne miejsce do współpracy, możesz rozpocząć badanie zagrożonego środowiska.
Musisz zrównoważyć dotarcie do dołu każdego nietypowego zachowania i podjąć szybką akcję, aby zatrzymać dalszą aktywność osoby atakującej. Każde pomyślne korygowanie wymaga zrozumienia początkowej metody wprowadzania i trwałości używanych przez osobę atakującą, jak to możliwe w danym momencie. Wszelkie metody trwałości pominięte podczas badania mogą spowodować stały dostęp przez osobę atakującą i potencjalną ponowną kompilację.
W tym momencie możesz wykonać analizę ryzyka, aby określić priorytety akcji. Aby uzyskać więcej informacji, zobacz:
- Zagrożenie, luka w zabezpieczeniach i ocena ryzyka centrum danych
- Śledzenie pojawiających się zagrożeń i reagowanie na nie za pomocą analizy zagrożeń
- Zarządzanie zagrożeniami i lukami
Usługi zabezpieczeń firmy Microsoft udostępniają obszerne zasoby na potrzeby szczegółowych badań. W poniższych sekcjach opisano najważniejsze zalecane akcje.
Uwaga
Jeśli okaże się, że co najmniej jedno z wymienionych źródeł rejestrowania nie jest obecnie częścią programu zabezpieczeń, zalecamy skonfigurowanie ich tak szybko, jak to możliwe, aby umożliwić wykrywanie i przyszłe przeglądy dzienników.
Pamiętaj, aby skonfigurować przechowywanie dzienników w celu wspierania celów badania organizacji w przyszłości. Zachowaj dowody zgodnie z potrzebami w celach prawnych, regulacyjnych lub ubezpieczeniowych.
Badanie i przeglądanie dzienników środowiska chmury
Zbadaj i przejrzyj dzienniki środowiska chmury pod kątem podejrzanych akcji i wskazówek dotyczących naruszenia zabezpieczeń przez osobę atakującą. Na przykład sprawdź następujące dzienniki:
- Ujednolicone dzienniki inspekcji (UAL)
- Dzienniki usługi Microsoft Entra
- Dzienniki lokalne programu Microsoft Exchange
- Dzienniki sieci VPN, takie jak z usługi VPN Gateway
- Dzienniki systemu inżynieryjnego
- Dzienniki wykrywania oprogramowania antywirusowego i punktu końcowego
Przeglądanie dzienników inspekcji punktu końcowego
Przejrzyj dzienniki inspekcji punktu końcowego pod kątem zmian lokalnych, takich jak następujące typy akcji:
- Zmiany członkostwa w grupach
- Tworzenie nowego konta użytkownika
- Delegowanie w usłudze Active Directory
Szczególnie należy rozważyć dowolne z tych zmian, które występują wraz z innymi typowymi oznakami naruszenia lub aktywności.
Przeglądanie praw administracyjnych w środowiskach
Przejrzyj prawa administracyjne zarówno w środowiskach chmurowych, jak i lokalnych. Na przykład:
| Environment | opis |
|---|---|
| Wszystkie środowiska chmury | — Przejrzyj wszelkie uprawnienia dostępu uprzywilejowanego w chmurze i usuń wszelkie niepotrzebne uprawnienia - Implementowanie usługi Privileged Identity Management (PIM) — Konfigurowanie zasad dostępu warunkowego w celu ograniczenia dostępu administracyjnego podczas wzmacniania zabezpieczeń |
| Wszystkie środowiska lokalne | — Przeglądanie dostępu uprzywilejowanego lokalnie i usuwanie niepotrzebnych uprawnień - Zmniejszenie członkostwa w grupach wbudowanych — Weryfikowanie delegowania usługi Active Directory — Wzmacnianie poziomu środowiska warstwy 0 i ograniczanie dostępu do zasobów warstwy 0 |
| Wszystkie aplikacje dla przedsiębiorstw | Przejrzyj informacje o delegowanych uprawnieniach i udzielaniu zgody, które zezwalają na dowolną z następujących akcji: - Modyfikowanie uprzywilejowanych użytkowników i ról - Odczytywanie lub uzyskiwanie dostępu do wszystkich skrzynek pocztowych - Wysyłanie lub przekazywanie wiadomości e-mail w imieniu innych użytkowników — Uzyskiwanie dostępu do całej zawartości witryny usługi OneDrive lub programu SharePoint — Dodawanie jednostek usługi, które mogą odczytywać/zapisywać w katalogu |
| Środowiska platformy Microsoft 365 | Przejrzyj ustawienia dostępu i konfiguracji środowiska platformy Microsoft 365, w tym: - Udostępnianie usługi SharePoint Online — Microsoft Teams — Power Apps - Microsoft OneDrive dla Firm |
| Przeglądanie kont użytkowników w środowiskach | — Przeglądanie i usuwanie kont użytkowników-gości, które nie są już potrzebne. — Przejrzyj konfiguracje poczty e-mail dla delegatów, uprawnień folderu skrzynki pocztowej, rejestracji urządzeń przenośnych ActiveSync, reguł skrzynki odbiorczej i programu Outlook w opcjach sieci Web. — Przejrzyj prawa applicationImpersonation i zmniejsz wszelkie możliwości korzystania ze starszego uwierzytelniania. — Sprawdź, czy uwierzytelnianie wieloskładnikowe jest wymuszane i czy zarówno uwierzytelnianie wieloskładnikowe, jak i samoobsługowe resetowanie hasła (SSPR) są poprawne. |
Ustanawianie ciągłego monitorowania
Wykrywanie zachowania osoby atakującej obejmuje kilka metod i zależy od narzędzi zabezpieczeń, które organizacja ma dostęp do reagowania na atak.
Na przykład usługi zabezpieczeń firmy Microsoft mogą mieć określone zasoby i wskazówki dotyczące ataku, zgodnie z opisem w poniższych sekcjach.
Ważne
Jeśli badanie wykryje dowody uprawnień administracyjnych uzyskanych w ramach naruszenia zabezpieczeń systemu, które zapewniły dostęp do konta administratora globalnego organizacji i/lub zaufanego certyfikatu podpisywania tokenów SAML, zalecamy podjęcie działań w celu skorygowania i zachowania kontroli administracyjnej.
Monitorowanie za pomocą usługi Microsoft Sentinel
Usługa Microsoft Sentinel ma wiele wbudowanych zasobów ułatwiających badanie, takich jak skoroszyty wyszukiwania zagrożeń i reguły analizy, które mogą pomóc wykrywać ataki w odpowiednich obszarach środowiska.
Centrum zawartości usługi Microsoft Sentinel umożliwia zainstalowanie rozszerzonych rozwiązań zabezpieczeń i łączników danych, które przesyłają strumieniowo zawartość z innych usług w danym środowisku. Aby uzyskać więcej informacji, zobacz:
- Wizualizowanie i analizowanie środowiska
- Wykrywanie zagrożeń poza pudełkiem
- Odnajdywanie i wdrażanie wbudowanych rozwiązań
Monitorowanie za pomocą usługi Microsoft Defender dla IoT
Jeśli środowisko obejmuje również zasoby technologii operacyjnej (OT), mogą istnieć urządzenia korzystające z wyspecjalizowanych protokołów, które priorytetują wyzwania operacyjne związane z zabezpieczeniami.
Wdróż usługę Microsoft Defender dla IoT, aby monitorować i zabezpieczać te urządzenia, zwłaszcza te, które nie są chronione przez tradycyjne systemy monitorowania zabezpieczeń. Zainstaluj czujniki sieciowe usługi Defender for IoT w określonych punktach zainteresowania w danym środowisku, aby wykrywać zagrożenia w bieżącej aktywności sieciowej przy użyciu monitorowania bez agenta i dynamicznej analizy zagrożeń.
Aby uzyskać więcej informacji, zobacz Wprowadzenie do monitorowania zabezpieczeń sieci OT.
Monitorowanie za pomocą usługi Microsoft Defender XDR
Zalecamy sprawdzenie trasy XDR w usłudze Microsoft Defender dla punktu końcowego i Program antywirusowy Microsoft Defender, aby uzyskać szczegółowe wskazówki dotyczące ataku.
Sprawdź inne przykłady wykrywania, wyszukiwania zapytań i raportów analizy zagrożeń w centrum zabezpieczeń firmy Microsoft, takich jak Microsoft Defender XDR, Microsoft Defender XDR for Identity i Microsoft Defender dla Chmury Apps. Aby zapewnić pokrycie, upewnij się, że oprócz wszystkich kontrolerów domeny zainstalowano agenta usługi Microsoft Defender for Identity na serwerach usług AD FS.
Aby uzyskać więcej informacji, zobacz:
- Śledzenie pojawiających się zagrożeń i reagowanie na nie za pomocą analizy zagrożeń
- Omówienie raportu analityka w analizie zagrożeń
Monitorowanie za pomocą identyfikatora Entra firmy Microsoft
Dzienniki logowania firmy Microsoft Entra mogą pokazywać, czy uwierzytelnianie wieloskładnikowe jest prawidłowo używane. Uzyskaj dostęp do dzienników logowania bezpośrednio z obszaru Microsoft Entra w witrynie Azure Portal, użyj polecenia cmdlet Get-MgBetaAuditLogSignIn lub wyświetl je w obszarze Dzienniki usługi Microsoft Sentinel.
Na przykład wyszukaj lub przefiltruj wyniki, gdy pole wyników uwierzytelniania wieloskładnikowego ma wartość wymagania uwierzytelniania wieloskładnikowego spełnionego przez oświadczenie w tokenie. Jeśli organizacja korzysta z usług ADFS, a zarejestrowane oświadczenia nie są uwzględnione w konfiguracji usług AD FS, te oświadczenia mogą wskazywać na działanie osoby atakującej.
Wyszukaj lub przefiltruj wyniki, aby wykluczyć dodatkowy szum. Możesz na przykład uwzględnić wyniki tylko z domen federacyjnych. Jeśli znajdziesz podejrzane logowania, przejdź do szczegółów jeszcze bardziej na podstawie adresów IP, kont użytkowników itd.
W poniższej tabeli opisano więcej metod używania dzienników firmy Microsoft Entra podczas badania:
| Metoda | opis |
|---|---|
| Analizowanie ryzykownych zdarzeń logowania | Microsoft Entra ID i jego platforma Identity Protection mogą generować zdarzenia ryzyka związane z użyciem tokenów SAML generowanych przez osobę atakującą. Te zdarzenia mogą być oznaczone jako nieznane właściwości, anonimowy adres IP, niemożliwa podróż itd. Zalecamy dokładne przeanalizowanie wszystkich zdarzeń o podwyższonym ryzyku skojarzonych z kontami z uprawnieniami administracyjnymi, w tym wszystkich zdarzeń, które mogły zostać automatycznie odrzucone lub skorygowane. Na przykład zdarzenie ryzyka lub anonimowy adres IP mogą zostać automatycznie skorygowane, ponieważ użytkownik przekazał uwierzytelnianie wieloskładnikowe. Upewnij się, że używasz usługi ADFS Połączenie Health, aby wszystkie zdarzenia uwierzytelniania są widoczne w identyfikatorze Entra firmy Microsoft. |
| Wykrywanie właściwości uwierzytelniania domeny | Każda próba manipulowania zasadami uwierzytelniania domeny przez osobę atakującą zostanie zarejestrowana w dziennikach inspekcji firmy Microsoft Entra i odzwierciedlona w dzienniku ujednoliconej inspekcji. Na przykład przejrzyj wszystkie zdarzenia skojarzone z ustawieniem uwierzytelniania domeny w dzienniku ujednoliconej inspekcji, dziennikach inspekcji firmy Microsoft i /lub środowisku SIEM, aby sprawdzić, czy wszystkie wymienione działania były oczekiwane i planowane. |
| Wykrywanie poświadczeń dla aplikacji OAuth | Osoby atakujące, które uzyskały kontrolę nad uprzywilejowanym kontem, mogą wyszukać aplikację z możliwością dostępu do poczty e-mail użytkownika w organizacji, a następnie dodać poświadczenia kontrolowane przez osobę atakującą do tej aplikacji. Na przykład możesz wyszukać dowolne z następujących działań, które byłyby zgodne z zachowaniem osoby atakującej: - Dodawanie lub aktualizowanie poświadczeń jednostki usługi - Aktualizowanie certyfikatów aplikacji i wpisów tajnych — Dodawanie przypisania roli aplikacji do użytkownika — Dodawanie elementu Oauth2PermissionGrant |
| Wykrywanie dostępu do poczty e-mail przez aplikacje | Wyszukaj dostęp do poczty e-mail według aplikacji w danym środowisku. Na przykład użyj funkcji Inspekcja w Microsoft Purview (Premium), aby zbadać naruszone konta. |
| Wykrywanie nieinterakcyjnych logów do jednostek usługi | Raporty logowania firmy Microsoft Entra zawierają szczegółowe informacje o wszelkich nieinterakcyjnych logowaniach, które używały poświadczeń jednostki usługi. Możesz na przykład użyć raportów logowania, aby znaleźć cenne dane do badania, takie jak adres IP używany przez osobę atakującą w celu uzyskania dostępu do aplikacji poczty e-mail. |
Zwiększanie poziomu zabezpieczeń
Jeśli w systemach wystąpiło zdarzenie zabezpieczeń, zalecamy zapoznanie się z bieżącą strategią zabezpieczeń i priorytetami.
Osoby reagujące na zdarzenia są często proszone o przedstawienie zaleceń dotyczących inwestycji, które organizacja powinna określić priorytetem, teraz, gdy stanął w obliczu nowych zagrożeń.
Oprócz zaleceń opisanych w tym artykule zalecamy rozważenie nadania priorytetów obszarom koncentracji uwagi, które reagują na techniki po wykorzystaniu używane przez tę osobę atakującą i typowe luki w poziomie zabezpieczeń, które je umożliwiają.
W poniższych sekcjach wymieniono zalecenia dotyczące poprawy stanu zabezpieczeń zarówno ogólnych, jak i tożsamości.
Zwiększanie ogólnego poziomu zabezpieczeń
Zalecamy wykonanie następujących akcji, aby zapewnić ogólny stan zabezpieczeń:
Przejrzyj wskaźnik bezpieczeństwa firmy Microsoft, aby zapoznać się z zaleceniami dotyczącymi zabezpieczeń dostosowanymi do używanych produktów i usług firmy Microsoft.
Upewnij się, że organizacja ma w swojej organizacji rozszerzone rozwiązania do wykrywania i reagowania (XDR) oraz informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM), takie jak Usługa Microsoft Defender XDR for Endpoint, Microsoft Sentinel i Usługa Microsoft Defender dla IoT.
Zwiększanie poziomu zabezpieczeń tożsamości
Zalecamy wykonanie następujących akcji w celu zapewnienia stanu zabezpieczeń związanych z tożsamościami:
Zapoznaj się z pięcioma krokami firmy Microsoft, aby zabezpieczyć infrastrukturę tożsamości i określić priorytety kroków odpowiednich dla architektury tożsamości.
Rozważ migrację do domyślnych ustawień zabezpieczeń firmy Microsoft dla zasad uwierzytelniania.
Wyeliminuj korzystanie ze starszego uwierzytelniania w organizacji, jeśli systemy lub aplikacje nadal tego wymagają. Aby uzyskać więcej informacji, zobacz Blokuj starsze uwierzytelnianie w usłudze Microsoft Entra ID z dostępem warunkowym.
Traktuj infrastrukturę usług AD FS i infrastrukturę usługi AD Połączenie jako zasób warstwy 0.
Ogranicz lokalny dostęp administracyjny do systemu, w tym konto używane do uruchamiania usługi ADFS.
Najniższymi uprawnieniami wymaganymi dla konta z uruchomioną usługą ADFS jest przypisanie prawego użytkownika usługi logowanie jako usługa .
Ogranicz dostęp administracyjny do ograniczonych użytkowników i ograniczonych zakresów adresów IP przy użyciu zasad Zapory systemu Windows dla pulpitu zdalnego.
Zalecamy skonfigurowanie serwera przesiadkowego warstwy 0 lub równoważnego systemu.
Blokuj cały przychodzący dostęp SMB do systemów z dowolnego miejsca w środowisku. Aby uzyskać więcej informacji, zobacz Beyond the Edge: How to Secure SMB Traffic in Windows (Jak zabezpieczyć ruch SMB w systemie Windows). Zalecamy również przesyłanie strumieniowe dzienników Zapory systemu Windows do rozwiązania SIEM na potrzeby historycznego i proaktywnego monitorowania.
Jeśli używasz konta usługi i wsparcie środowiska, przeprowadź migrację z konta usługi do konta usługi zarządzanego przez grupę (gMSA). Jeśli nie możesz przejść do konta zarządzanego przez użytkownika, obróć hasło na koncie usługi do złożonego hasła.
Upewnij się, że pełne rejestrowanie jest włączone w systemach usług ADFS.
Korygowanie i zachowywanie kontroli administracyjnej
Jeśli badanie wykazało, że osoba atakująca ma kontrolę administracyjną w środowisku chmurowym lub lokalnym organizacji, musisz odzyskać kontrolę w taki sposób, aby upewnić się, że osoba atakująca nie jest trwała.
Ta sekcja zawiera możliwe metody i kroki, które należy wziąć pod uwagę podczas tworzenia planu odzyskiwania kontroli administracyjnej.
Ważne
Dokładne kroki wymagane w organizacji będą zależeć od tego, jaka trwałość została odkryta w dochodzeniu i jak pewna jest pewność, że badanie zostało ukończone i wykryło wszystkie możliwe metody wprowadzania i trwałości.
Upewnij się, że wszystkie podjęte akcje są wykonywane z zaufanego urządzenia utworzonego na podstawie czystego źródła. Na przykład użyj nowej stacji roboczej z dostępem uprzywilejowanym.
Poniższe sekcje zawierają następujące typy zaleceń dotyczących korygowania i zachowywania kontroli administracyjnej:
- Usuwanie zaufania na bieżących serwerach
- Rotacja certyfikatu podpisywania tokenów SAML lub zastępowanie serwerów usług ADFS w razie potrzeby
- Konkretne działania korygowania dla środowisk w chmurze lub środowiskach lokalnych
Usuwanie zaufania na bieżących serwerach
Jeśli Twoja organizacja utraciła kontrolę nad certyfikatami podpisywania tokenów lub zaufaniem federacyjnym, najbardziej pewnym podejściem jest usunięcie zaufania i przełączenie się do tożsamości opartej na chmurze podczas korygowania lokalnie.
Usunięcie zaufania i przełączenie do tożsamości opartej na chmurze wymaga starannego planowania i dogłębnego zrozumienia skutków operacji biznesowych i izolowania tożsamości. Aby uzyskać więcej informacji, zobacz Ochrona platformy Microsoft 365 przed atakami lokalnymi.
Obracanie certyfikatu podpisywania tokenów SAML
Jeśli Twoja organizacja zdecyduje się nie usuwać zaufania podczas odzyskiwania kontroli administracyjnej lokalnie, musisz ponownie obrócić certyfikat podpisywania tokenów SAML po odzyskaniu kontroli administracyjnej lokalnie i zablokować atakującym możliwość uzyskania dostępu do certyfikatu podpisywania ponownie.
Rotacja certyfikatu podpisywania tokenu za jednym razem umożliwia działanie poprzedniego certyfikatu podpisywania tokenu. Kontynuowanie zezwalania na działanie poprzednich certyfikatów jest wbudowaną funkcją normalnego rotacji certyfikatów, która umożliwia organizacjom aktualizowanie jakichkolwiek relacji zaufania jednostki uzależnionej przed wygaśnięciem certyfikatu.
Jeśli doszło do ataku, nie chcesz, aby osoba atakująca w ogóle zachowała dostęp. Upewnij się, że osoba atakująca nie zachowuje możliwości tworzenia tokenów dla domeny.
Aby uzyskać więcej informacji, zobacz:
Zastępowanie serwerów usług ADFS
Jeśli zamiast obracać certyfikat podpisywania tokenów SAML, decydujesz się zastąpić serwery usług ADFS czystymi systemami, musisz usunąć istniejące usługi ADFS ze środowiska, a następnie skompilować nowy.
Aby uzyskać więcej informacji, zobacz Usuwanie konfiguracji.
Działania korygowania w chmurze
Oprócz zaleceń wymienionych wcześniej w tym artykule zalecamy również następujące działania w środowiskach chmury:
| Aktywność | opis |
|---|---|
| Resetowanie haseł | Zresetuj hasła na dowolnych kontach ze szkła break-glass i zmniejsz liczbę kont z break-glass do absolutnego minimum wymaganego. |
| Ograniczanie kont dostępu uprzywilejowanego | Upewnij się, że konta usługi i użytkowników z uprzywilejowanym dostępem są kontami tylko w chmurze i nie używaj kont lokalnych, które są synchronizowane lub federacyjne z identyfikatorem Entra firmy Microsoft. |
| Wymuszanie uwierzytelniania wieloskładnikowego | Wymuszanie uwierzytelniania wieloskładnikowego (MFA) dla wszystkich użytkowników z podwyższonym poziomem uprawnień w dzierżawie. Zalecamy wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników w dzierżawie. |
| Ograniczanie dostępu administracyjnego | Zaimplementuj usługę Privileged Identity Management (PIM) i dostęp warunkowy, aby ograniczyć dostęp administracyjny. W przypadku użytkowników platformy Microsoft 365 zaimplementuj usługę Privileged Access Management (PAM), aby ograniczyć dostęp do poufnych możliwości, takich jak zbieranie elektronicznych materiałów dowodowych, globalne Administracja, Administracja istration konta i nie tylko. |
| Przeglądanie/zmniejszanie uprawnień delegowanych i udzielania zgody | Przejrzyj i zmniejsz wszystkie delegowane uprawnienia lub zgody aplikacji dla przedsiębiorstw, które zezwalają na dowolną z następujących funkcji: - Modyfikacja uprzywilejowanych użytkowników i ról - Odczytywanie, wysyłanie wiadomości e-mail lub uzyskiwanie dostępu do wszystkich skrzynek pocztowych — Uzyskiwanie dostępu do zawartości usługi OneDrive, usługi Teams lub programu SharePoint — Dodawanie jednostek usługi, które mogą odczytywać/zapisywać w katalogu — Uprawnienia aplikacji a dostęp delegowany |
Działania korygowania lokalnego
Oprócz zaleceń wymienionych wcześniej w tym artykule zalecamy również następujące działania w środowiskach lokalnych:
| Aktywność | opis |
|---|---|
| Ponowne kompilowanie systemów, których dotyczy problem | Ponowne kompilowanie systemów, które zostały zidentyfikowane jako naruszone przez osobę atakującą podczas badania. |
| Usuwanie niepotrzebnych użytkowników administracyjnych | Usuń niepotrzebne elementy członkowskie z Administracja domeny, operatorów kopii zapasowych i grup Administracja przedsiębiorstwa. Aby uzyskać więcej informacji, zobacz Zabezpieczanie uprzywilejowanego dostępu. |
| Resetowanie haseł do kont uprzywilejowanych | Zresetuj hasła wszystkich uprzywilejowanych kont w środowisku. Uwaga: Konta uprzywilejowane nie są ograniczone do wbudowanych grup, ale mogą być również grupami delegowanymi dostępu do administracji serwera, administracji stacji roboczej lub innych obszarów środowiska. |
| Resetowanie konta krbtgt | Zresetuj konto krbtgt dwa razy przy użyciu skryptu New-KrbtgtKeys . Uwaga: jeśli używasz kontrolerów domeny tylko do odczytu, należy uruchomić skrypt oddzielnie dla kontrolerów domeny odczytu i zapisu oraz kontrolerów domeny tylko do odczytu. |
| Planowanie ponownego uruchomienia systemu | Po sprawdzeniu, czy nie istnieją żadne mechanizmy trwałości utworzone przez osobę atakującą lub pozostaną w systemie, zaplanuj ponowne uruchomienie systemu, aby pomóc w usunięciu złośliwego oprogramowania będącego rezydentem pamięci. |
| Resetowanie hasła modułu DSRM | Zresetuj hasło dsRM każdego kontrolera domeny (tryb przywracania usług katalogowych) do czegoś unikatowego i złożonego. |
Korygowanie lub blokowanie trwałości wykrytej podczas badania
Badanie jest procesem iteracyjnym i musisz zrównoważyć chęć organizacji do skorygowania w miarę identyfikowania anomalii i prawdopodobieństwa, że korygowanie powiadomi osobę atakującą o wykryciu i zapewni im czas reakcji.
Na przykład osoba atakująca, która zdaje sobie sprawę z wykrywania, może zmienić techniki lub utworzyć większą trwałość.
Pamiętaj, aby skorygować wszelkie techniki trwałości, które zostały zidentyfikowane we wcześniejszych etapach badania.
Korygowanie dostępu użytkownika i konta usługi
Oprócz zalecanych akcji wymienionych powyżej zalecamy rozważenie następujących kroków w celu skorygowania i przywrócenia kont użytkowników:
Wymuszanie dostępu warunkowego na podstawie zaufanych urządzeń. Jeśli to możliwe, zalecamy wymuszanie dostępu warunkowego opartego na lokalizacji w celu spełnienia wymagań organizacji.
Zresetuj hasła po eksmisji dla wszystkich kont użytkowników, które mogły zostać naruszone. Pamiętaj również o zaimplementowaniu planu średnioterminowego w celu zresetowania poświadczeń dla wszystkich kont w katalogu.
Odwoływanie tokenów odświeżania natychmiast po rotacji poświadczeń.
Aby uzyskać więcej informacji, zobacz:
Następne kroki
Uzyskaj pomoc z produktów firmy Microsoft, w tym witryny Microsoft Defender Portal, portal zgodności Microsoft Purview i Centrum zabezpieczeń i zgodności usługi Office 365, wybierając przycisk Pomoc (?) na górnym pasku nawigacyjnym.
Aby uzyskać pomoc dotyczącą wdrażania, skontaktuj się z nami w usłudze FastTrack
Jeśli masz potrzeby związane z pomocą techniczną produktu, zgłoś zgłoszenie do pomocy technicznej firmy Microsoft.
Ważne
Jeśli uważasz, że bezpieczeństwo zostało naruszone i wymaga pomocy za pośrednictwem reagowania na zdarzenie, otwórz zgłoszenie do pomocy technicznej firmy Microsoft.