Klasyfikacja alertów dla podejrzanych adresów IP związanych z atakami natryskami haseł
Dotyczy:
- Microsoft Defender XDR
Aktorzy zagrożeń używają technik zgadywania haseł w celu uzyskania dostępu do kont użytkowników. W przypadku ataku natryskowego hasłem aktor zagrożeń może odwołać się do kilku najczęściej używanych haseł względem wielu różnych kont. Osoby atakujące pomyślnie naruszają konta przy użyciu opryskiwania haseł, ponieważ wielu użytkowników nadal używa domyślnych i słabych haseł.
Ten podręcznik pomaga zbadać wystąpienia, w których adresy IP zostały oznaczone jako ryzykowne lub skojarzone z atakiem na spray haseł, lub wykryto podejrzane niewyjaśnione działania, takie jak logowanie się użytkownika z nieznanej lokalizacji lub otrzymywanie nieoczekiwanych monitów uwierzytelniania wieloskładnikowego (MFA). Ten przewodnik jest przeznaczony dla zespołów zabezpieczeń, takich jak centrum operacji zabezpieczeń (SOC) i administratorzy IT, którzy przeglądają alerty, obsługują je i klasyfikują oraz je klasyfikują. Ten przewodnik pomaga szybko klasyfikować alerty jako prawdziwie dodatnie (TP) lub fałszywie dodatnie (FP), a w przypadku protokołu TP podjąć zalecane działania w celu skorygowania ataku i ograniczenia zagrożeń bezpieczeństwa.
Zamierzone wyniki korzystania z tego przewodnika to:
Alerty skojarzone z adresami IP natryskami haseł zostały zidentyfikowane jako działania złośliwe (TP) lub fałszywie dodatnie (FP).
Podjęto niezbędne działania, jeśli adresy IP przeprowadzały ataki natryskowe hasła.
Kroki badania
Ta sekcja zawiera szczegółowe wskazówki dotyczące reagowania na alert i podejmowania zalecanych akcji w celu ochrony organizacji przed dalszymi atakami.
1. Przejrzyj alert
Oto przykład alertu natryskowego hasła w kolejce alertów:
Oznacza to, że istnieje podejrzana aktywność użytkownika pochodząca z adresu IP, który może być skojarzony z próbą ataku siłowego lub natryskowego hasła według źródeł analizy zagrożeń.
2. Zbadaj adres IP
Przyjrzyj się działaniom pochodzącym z adresu IP:
Czy w większości przypadków próby zalogowania się nie powiodły się?
Czy interwał między próbami logowania wygląda podejrzanie? Automatyczne ataki natryskowe hasła zwykle mają regularny interwał czasu między próbami.
Czy próby zalogowania użytkownika/kilku użytkowników są pomyślne za pomocą monitów uwierzytelniania wieloskładnikowego? Istnienie tych prób może wskazywać, że adres IP nie jest złośliwy.
Czy używane są starsze protokoły? Użycie protokołów takich jak POP3, IMAP i SMTP może wskazywać na próbę przeprowadzenia ataku natryskowego hasłem. Znalezienie
Unknown(BAV2ROPC)
w agencie użytkownika (typ urządzenia) w dzienniku aktywności wskazuje użycie starszych protokołów. Możesz zapoznać się z poniższym przykładem, patrząc na dziennik aktywności. To działanie musi być dalej skorelowane z innymi działaniami.Rysunek 1. W polu Typ urządzenia jest wyświetlany
Unknown(BAV2ROPC)
agent użytkownika w Microsoft Defender XDR.Sprawdź użycie anonimowych serwerów proxy lub sieci Tor. Aktorzy zagrożeń często używają tych alternatywnych serwerów proxy do ukrywania swoich informacji, co utrudnia ich śledzenie. Jednak nie wszystkie użycie wspomnianych serwerów proxy koreluje ze złośliwymi działaniami. Należy zbadać inne podejrzane działania, które mogą zapewnić lepsze wskaźniki ataku.
Czy adres IP pochodzi z wirtualnej sieci prywatnej (VPN)? Czy sieć VPN jest godna zaufania? Sprawdź, czy adres IP pochodzi z sieci VPN i przejrzyj organizację, która za nim stoi, przy użyciu narzędzi takich jak RiskIQ.
Sprawdź inne adresy IP z tą samą podsiecią/usługodawcą isp. Czasami ataki natryskowe hasła pochodzą z wielu różnych adresów IP w tej samej podsieci/usługodawcy isp.
Czy adres IP jest wspólny dla dzierżawy? Sprawdź dziennik aktywności, aby sprawdzić, czy dzierżawca widział adres IP w ciągu ostatnich 30 dni.
Search dla innych podejrzanych działań lub alertów pochodzących z adresu IP w dzierżawie. Przykłady działań, na które należy zwrócić uwagę, mogą obejmować usuwanie wiadomości e-mail, tworzenie reguł przekazywania lub pobieranie plików po pomyślnej próbie zalogowania się.
Sprawdź ocenę ryzyka dotyczącą adresu IP przy użyciu narzędzi takich jak RiskIQ.
3. Badanie podejrzanych działań użytkowników po zalogowaniu
Po rozpoznaniu podejrzanego adresu IP możesz przejrzeć konta, które się zalogowały. Istnieje możliwość, że grupa kont została naruszona i pomyślnie użyta do logowania się z adresu IP lub innych podobnych adresów IP.
Filtruj wszystkie pomyślne próby zalogowania się z adresu IP w okolicy i wkrótce po czasie alertów. Następnie po zalogowaniu wyszukaj złośliwe lub nietypowe działania na takich kontach.
Działania konta użytkownika
Sprawdź, czy działanie na koncie poprzedzającym działanie sprayu haseł nie jest podejrzane. Na przykład sprawdź, czy istnieje nietypowe działanie oparte na wspólnej lokalizacji lub usługodawcy internetowego, czy konto korzysta z agenta użytkownika, którego wcześniej nie używało, czy zostały utworzone inne konta gościa, czy jakiekolwiek inne poświadczenia zostały utworzone między innymi po zalogowaniu się na koncie ze złośliwego adresu IP.
Alerty
Sprawdź, czy użytkownik otrzymał inne alerty poprzedzające działanie sprayu haseł. Te alerty wskazują, że konto użytkownika może zostać naruszone. Przykłady obejmują między innymi alert o niemożliwej podróży, aktywność z rzadkiego kraju/regionu oraz podejrzane działania usuwania wiadomości e-mail.
Incydent
Sprawdź, czy alert jest skojarzony z innymi alertami wskazującymi zdarzenie. Jeśli tak, sprawdź, czy zdarzenie zawiera inne prawdziwie dodatnie alerty.
Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia inspekcję zdarzeń w sieci i lokalizowanie wskaźników zagrożeń.
Użyj tego zapytania, aby znaleźć konta z próbami zalogowania się z najwyższymi wynikami ryzyka pochodzącymi ze złośliwego adresu IP. To zapytanie filtruje również wszystkie pomyślne próby zalogowania się przy użyciu odpowiednich wyników ryzyka.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores
Użyj tego zapytania, aby sprawdzić, czy podejrzany adres IP używał starszych protokołów podczas prób logowania.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent
Użyj tego zapytania, aby przejrzeć wszystkie alerty w ciągu ostatnich siedmiu dni skojarzone z podejrzanym adresem IP.
let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize (
AlertEvidence
| where Timestamp between (start_date .. end_date)
| where RemoteIP == ip_address
| project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
Użyj tego zapytania, aby przejrzeć działanie konta w przypadku podejrzanych kont, których bezpieczeństwo zostało naruszone.
let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| summarize ActivityCount = count() by AccountObjectId, ActivityType
| extend ActivityPack = pack(ActivityType, ActivityCount)
| summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId
Użyj tego zapytania, aby przejrzeć wszystkie alerty dotyczące podejrzanych kont, których bezpieczeństwo zostało naruszone.
let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users =
materialize ( AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where ErrorCode == 0
| distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
| where Timestamp between (start_date .. end_date)
| where AccountObjectId in (compromise_users)
| project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
Zalecane akcje
- Blokuj adres IP osoby atakującej.
- Resetuj poświadczenia kont użytkowników.
- Odwoływanie tokenów dostępu kont, których zabezpieczenia zostały naruszone.
- Blokuj starsze uwierzytelnianie.
- Wymagaj uwierzytelniania wieloskładnikowego dla użytkowników , jeśli to możliwe, aby zwiększyć bezpieczeństwo konta i utrudnić atakującemu naruszenie zabezpieczeń konta przez atak z użyciem sprayu haseł.
- W razie potrzeby zablokuj konto użytkownika, którego zabezpieczenia zostały naruszone, przed zalogowaniem się.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.