Поделиться через

Сборник схем кражи маркеров

  • Статья

Эта статья и его сопутствующее дерево принятия решений предоставляют рекомендации для аналитиков безопасности и реагирования на инциденты для выявления и расследования атак кражи маркеров в организации. Поскольку организации повышают уровень безопасности, субъекты угроз используют более сложные методы для компрометации ресурсов. Быстрый ответ необходим для расследования, хранения и устранения ущерба, полученного из-за кражи маркеров.

Атака кражи маркеров возникает, когда субъекты угроз компрометируют и воспроизводит маркеры, выданные пользователю, даже если этот пользователь выполнил многофакторную проверку подлинности. Так как требования к проверке подлинности выполнены, субъект угроз получает доступ к ресурсам организации с помощью украденного маркера.

Подробнее:

Необходимые компоненты

  • Доступ к идентификатору Microsoft Entra ID и журналам аудита для пользователей и субъектов-служб
  • Учетная запись с одной из следующих ролей Microsoft Entra, назначенных:
    • Администратор безопасности
    • Читатель сведений о безопасности
    • Глобальный читатель
    • Оператор безопасности

Рекомендации

Хотя это не обязательно, рекомендуется:

Требования

Настройка SIEM

Средства управления безопасностью и событиями (SIEM), такие как Microsoft Sentinel, имеют централизованную видимость журнала. Настройте SIEM для приема событий риска:

  • Журналы входа и журналы аудита
  • Интеграция Microsoft Sentinel (предварительная версия) описывает, как интегрировать приложения Microsoft Defender для облака с Microsoft Sentinel (масштабируемым, облачным siEM и SOAR) для централизованного мониторинга оповещений и данных обнаружения.
  • Журналы входа в Office и журналы аудита
  • Настройка соответствующих оповещений

Подробнее:

Настройте правила Microsoft Sentinel (или стороннее SIEM) для обнаружения угроз и реагирования, следуя инструкциям в статье "Обнаружение угроз вне поля".

Подробнее:

  • Настройте оповещения Защита идентификации Microsoft Entra. Практическое руководство. Экспорт данных риска описывает, как хранить данные в течение длительного периода, изменяя параметры диагностики в идентификаторе Microsoft Entra для отправки данных RiskyUsers, UserRiskEvents, RiskyServicePrincipals и ServicePrincipalRiskEvents в рабочую область Log Analytics, архивирование данных в учетную запись хранения, потоковую передачу данных в концентратор событий или отправку данных в партнерское решение.

Интеграция SIEM с приложениями Microsoft Defender для облака

Microsoft Defender для облака приложения и Microsoft Sentinel по умолчанию подключены. Если вы не используете Microsoft Sentinel, подключите SIEM к Microsoft Defender для облака приложениям, которые поддерживают Microsoft Sentinel, ArcSight by Open Text и универсальный общий формат событий (CEF).

Подробнее:

Интеграция SIEM с API Microsoft Graph

Подключите SIEM к API безопасности Microsoft Graph.

  • Поддерживаемые варианты интеграции— написание кода для подключения приложения к получению аналитических сведений. Обзор API безопасности Microsoft Graph описывает ключевые функции и предоставляет примеры кодов.
  • Собственные интеграции и соединители , созданные партнерами Майкрософт
  • Соединители — для API через решения SIEM, автоматическое реагирование оркестрации безопасности (SOAR), отслеживание инцидентов и управление службами (ITSM), отчеты и т. д.

Исследования

Ознакомьтесь со следующими разделами, чтобы ознакомиться с инструкциями по триггерам, контрольным спискам исследования и т. д. Используйте дерево принятия решений о краже маркеров, чтобы помочь в расследовании и принятии решений.

Триггеры расследования

Каждая организация имеет типичные сценарии с нетипичными сценариями. Используйте следующий контрольный список исследования, чтобы определить триггеры или необычные действия для:

  • Удостоверения
  • Журналы входа
  • Журналы аудита
  • Приложения Office
  • Устройства, связанные с затронутыми пользователями

Если эти действия пользователя подтверждены, нет нарушения. Если они не могут быть подтверждены допустимыми, предположим, что нарушение и выполнение действий по устранению рисков. Обнаружение попыток кражи маркеров путем поиска и изучения типов событий на портале Microsoft Sentinel или в SIEM.

Подробнее:

Убедитесь, что вы получаете оповещения для следующих событий, которые могут указывать на атаку кражи маркеров:

Функция Защита идентификации Microsoft Entra имеет следующие триггеры:

  • Аномальный маркер (автономное обнаружение) — обнаруженные нетипические характеристики маркера или маркер, используемый из незнакомого расположения. Алгоритмы, обнаруживающие это поведение, используют данные из идентификатора Microsoft Entra с свойствами Microsoft 365. Это обнаружение указывает, повторяет ли злоумышленник маркер.

  • Незнакомые свойства входа — вход является аномальным при сравнении с журналом входа. Это событие возникает, когда свойства входа пользователя незнакомы.

  • Незнакомый вход — происходит неинтерактивный вход. Повышение контроля над незнакомыми входами, особенно при обнаружении с подозрительными устройствами. Мы рекомендуем немедленно обратить внимание на обнаружение неинтерактивных входов.

  • Попытка доступа к первичному маркеру обновления (PRT) в Windows 10 и 11 Microsoft Defender для конечной точки обнаруживает подозрительный доступ к PRT и связанным артефактам. Обнаружение передается в оценку риска Microsoft Entra, которая управляет условным доступом к ресурсам. Это обнаружение является низким объемом и редко.

  • Обнаружение XDR в Microsoft Defender — интеграция Защита идентификации Microsoft Entra и XDR в Microsoft Defender для просмотра обнаружения на одном портале.

    • По умолчанию включены наиболее релевантные оповещения для центра операций безопасности (SOC). Для всех обнаружения рисков IP-адресов Microsoft Entra или отключения интеграции внесите изменения в параметр службы оповещений XDR в Microsoft Defender.

    Снимок экрана: параметр

  • Подозрительные URL-адреса — пользователь, возможно, щелкнул ссылку на фишинговую почту. Подозрительный электронный адрес может быть злоумышленником в середине (AiTM) фишинговый комплект и начало атаки.

    Снимок экрана: список подозрительных действий.

  • Другие подозрительные действия — Defender для Microsoft 365 расширенных оповещений охотника и таблицы оповещений показывают действия, указывающие на кражу маркеров. Проверьте журналы, чтобы определить:

    • Массовое скачивание файла пользователем
    • Необычный скачивание файла пользователем
    • Добавление многофакторной проверки подлинности или учетных данных без пароля в учетную запись
    • Правила пересылки почтовых ящиков добавлены или изменены

Запуск исследования

Перед началом работы: выполните и включите необходимые компоненты. Кроме того, в этом сборнике схем предполагается, что клиенты Майкрософт и команды исследования могут не иметь набора лицензий Microsoft 365 E5 или Microsoft Entra ID P2, доступных или настроенных. Поэтому обратите внимание на предоставленные рекомендации по автоматизации.

Для этого расследования предполагается, что у вас есть признак потенциального компрометации с кражей маркеров в следующих целях:

  • Отчет пользователя
  • Пример журналов входа в Microsoft Entra
  • обнаружение Защита идентификации Microsoft Entra

Контрольный список для исследования

С помощью знаний о типичных сценариях определите аномалии или необычные действия для:

  • Удостоверения
  • Журналы входа — неожиданное расположение или устройство
  • Журналы аудита — только что зарегистрированные устройства, дополнительные параметры многофакторной проверки подлинности или изменения учетных данных.
  • Приложение Office — изменения с момента возникновения триггера
  • Устройства , связанные с затронутыми пользователями. Оценка оповещений с момента триггера инцидента.

Свидетельство компрометации или кражи маркеров: подтверждение пользователя

После выявления потенциально скомпрометированных учетных записей пользователей проверьте подозрительные действия. Этот процесс отличается для каждой организации.

Подробнее:

Исследование пользователей и (или) устройств

Если вы считаете, что учетная запись или несколько учетных записей пользователей были скомпрометированы, различайте действия исследования между двумя контекстами: сеансами пользователей и компьютерным устройством.

Контрольный список для исследования пользователей

Изучите журналы с поведением пользователя. В случае подозрительных действий пользователей:

  • В Защита идентификации Microsoft Entra или в аналогичной функции оповещения предлагают кражу маркеров
  • Дополнительные учетные данные или устройства, добавленные пользователю
    • Запись списка удостоверений для отзыва
  • Затронутые пользователи получают подозрительные сообщения электронной почты
  • Исследование фишинга предоставляет рекомендации по выявлению и расследованию фишинговых атак в организации.
  • Затронутые привилегированные учетные записи
    • Проверка изменений привилегированных учетных записей, внесенных после компрометации
  • Создание правил папки "Входящие"
    • Запись правил подозрительных почтовых ящиков
    • Скомпрометированные пользователи
    • Ip-адреса документов и учетные записи пользователя
    • Определение других потенциально скомпрометированных учетных записей
    • Определение дополнительных аутентификаций из предполагаемого IP-адреса или строки агента пользователя

Фишинг или вредоносные сообщения электронной почты

Если есть признаки фишинга или другого вредоносного сообщения электронной почты, изучите вредоносные сообщения, доставленные в Microsoft 365, описывает, как найти и исследовать подозрительные сообщения электронной почты.

Проверка подлинности строки агента или IP-адреса злоумышленника

Следующие запросы относятся к таблицам в Sentinel. Найдите признаки сохраняемости: регистрация многофакторной проверки подлинности, регистрация устройств, правила пересылки почтовых ящиков или правила папки "Входящие".

Сведения о правилах в руководстве по операциям безопасности Microsoft Entra.

AADUserRiskEvents
| where RiskEventType contains "unfamiliar" or RiskEventType contains "anomalous"
| where IpAddress == "x"

Кроме того, используйте журналы входа, чтобы получить пользователей с тем же IP-адресом.

SigninLogs
| where IPAddress == "x"

Для привилегированных пользователей подтвердите изменения в окне времени.

AuditLogs
| where TimeGenerated between (datetime(2023-03-01) .. datetime(2023-03-15))
| where InitiatedBy has "x"

Изменения метода проверки подлинности для привилегированной учетной записи

Используйте следующий запрос, чтобы найти любые изменения в сведениях о безопасности пользователей, которым назначены привилегированные роли администратора.

Query
  let queryperiod = 14d;
  let queryfrequency = 2h;
  let security_info_actions = dynamic(["User registered security info", "User changed default security info", "User deleted security info", "Admin updated security info", "User reviewed security info", "Admin deleted security info", "Admin registered security info"]);
  let VIPUsers = (
      IdentityInfo
      | where TimeGenerated > ago(queryperiod)
      | mv-expand AssignedRoles
      | where AssignedRoles matches regex 'Admin'
      | summarize by tolower(AccountUPN));
  Audit logs
  | where TimeGenerated > ago(queryfrequency)
  | where Category =~ "UserManagement"
  | where ActivityDisplayName in (security_info_actions)
  | extend Initiator = tostring(InitiatedBy.user.userPrincipalName)
  | extend IP = tostring(InitiatedBy.user.ipAddress)
  | extend Target = 
tolower(tostring(TargetResources[0].userPrincipalName))
  | where Target in (VIPUsers)

Сомнительные удостоверения и аномалии

Используйте Log Analytics или Sentinel (источник журнала в идентификаторе Microsoft Entra) для обнаружения сомнительных удостоверений и аномалий.

SigninLogs
    | where UserId == "x"
    | extend deviceId_ = tostring(DeviceDetail.deviceId)
    | extend displayName_ = tostring(DeviceDetail.displayName)
    | extend city_ = tostring(LocationDetails.city)
    | extend countryOrRegion_ = tostring(LocationDetails.countryOrRegion)
    | summarize min(TimeGenerated), max(TimeGenerated) by IPAddress, ResultDescription, deviceId_, displayName_, city_, countryOrRegion_, AppDisplayName

Примечание.

Не все оповещения, создаваемые действиями Microsoft Entra, имеют соответствующую запись в SigninLogs, как показано при обнаружении аномальных маркеров. Мы рекомендуем увидеть другие таблицы, такие как OfficeActivity и AuditLogs.

OfficeActivity
    | where UserId == "x"
    | summarize min(TimeGenerated), max(TimeGenerated) by ClientIP, OfficeWorkload

Действие в таблицах CloudAppEvents в XDR в Microsoft Defender

Использование этого метода зависит от настройки ведения журнала.

M365D AH
CloudAppEvents
| where AccountId == "x"
| summarize min(Timestamp), max(Timestamp) by IPAddress, CountryCode, City, Application

CloudAppEvents описывает расширенную схему охоты, содержащую сведения о действиях в различных облачных приложениях и службах, охватываемых Microsoft Defender для облака Приложениями.

Вредоносные действия в AuditLogs, AzureActivity, AzureDevOpsAuditing и CloudAppEvents

Подтвердите доступ к злоумышленнику: документы удостоверения, код, репозитории и т. д. Просмотрите элементы для конфиденциальной информации или жестких учетных данных, как показано в следующем примере SharePoint.

OfficeActivity
    | where OfficeWorkload contains "SharePoint" (or other)
    | where ClientIP == "bad IP"
    | project TimeGenerated, Operation, OfficeObjectId

Контрольный список для исследования устройств

Изучите журналы, которые записывают поведение устройства. При наличии подозрительного действия устройства:

  • Портал Microsoft Defender:
    • Устройство имеет оповещения о краже маркеров. Поиск идентификатора устройства: присоединение AlertInfo к AlertId| Где DeviceId — x
    • Пытается получить доступ к основному маркеру обновления (PRT)
    • Пользователь установил подозрительные приложения, расширения или недавно просматривал подозрительные веб-сайты. Поиск Microsoft Defender для конечной точки оповещений о подозрительных процессах или файлах. Оповещения могут включать подозрительные: процесс имплантата из известной возникающей угрозы, имени процесса, поведения процесса, запускаемой службы или запланированного действия задачи. Для возможных запятых используйте действие "Возможные команды и управление".
    • Изучение оповещений Microsoft Defender для конечной точки описывает, как исследовать оповещения, влияющие на вашу сеть, понять, что они означают, и как их устранить.
  • Расширенная охота:
    • Устройство имеет исходящие сетевые подключения из подозрительных процессов. Найдите необычное исходящее действие во время окна триггера.
    • Локальные учетные записи выполнили подозрительное действие

Подробнее:

Изоляция устройства от сети

Содержит устройство. Выполнение действий реагирования на устройстве в Microsoft Defender для конечной точки описывает, как быстро реагировать на обнаруженные атаки путем изоляции устройств или сбора пакета исследования.

Доступ к данным, к которым обращается злоумышленник

Потеря данных — это уничтожение или утечка данных. Узнайте о доступе злоумышленника и конфиденциальности данных. Изучите SharePoint, OneNote, Azure DevOps. Смена учетных данных.

Процедура потери данных

Используйте рекомендации плана аварийного восстановления для доступа злоумышленников к корпоративным данным. Используйте приведенные ниже рекомендации, чтобы предотвратить потерю данных и улучшить или создать план аварийного восстановления.

Другие затронутые пользователи или устройства: вся среда

Индикаторы компрометации для всей среды. Например, более затронутые устройства. Итерации, чтобы обеспечить обнаружение затронутых пользователей и устройств.

Состояние сдерживания

После идентификации еще одного пользователя, устройства, приложений или удостоверений рабочей нагрузки вредоносные или скомпрометированные действия следует предпринять для хранения злоумышленника. Если это скомпрометировано, вы не можете немедленно свернуть учетные данные приложения, а также удалить его.

Иногда важно собирать сведения о злоумышленниках, чем немедленно реагировать на атаку. Рекомендуется рассмотреть порядок приведенных ниже рекомендаций. В этом примере, сдерживание или устранение рисков определяется приоритетом по сравнению с сбором информации.

Внимание

Определите безопасность и бизнес-эффекты отключения учетных записей пользователей или устройств. Если это слишком здорово, рассмотрите возможность перехода на этап восстановления.

Список задач "Сдерживание"

  1. Измените пароль для учетных записей, подозреваемых в нарушении или если был обнаружен пароль учетной записи.

  2. Заблокируйте пользователя. Отмена доступа пользователей в идентификаторе Microsoft Entra описывает, как отозвать весь доступ для пользователя в сценариях, в которых содержатся скомпрометированные учетные записи, прекращение работы сотрудников и другие внутренние угрозы.

  3. В Защита идентификации Microsoft Entra или аналогичной функции пометьте соответствующие учетные записи как скомпрометированные.

  4. Блокировать IP-адрес злоумышленника.

    Совет

    Злоумышленники могут использовать законные виртуальные частные сети (VPN), которые могут создавать больше рисков при изменении IP-адресов. Если вы используете облачную проверку подлинности, заблокируйте IP-адрес в Defender для облака приложениях или идентификаторе Microsoft Entra. При федеративной настройке блокируйте IP-адрес на уровне брандмауэра перед службы федерации Active Directory (AD FS) (ADFS).

  5. Включите многофакторную идентификацию. Включение многофакторной проверки подлинности Microsoft Entra описывает, как запрашивать пользователям дополнительные формы идентификации во время события входа.

  6. Включите Защита идентификации Microsoft Entra для пользователя и риска входа. Политики рисков: Защита идентификации Microsoft Entra описывает политики риска в условном доступе Microsoft Entra, которые могут автоматизировать реагирование на риски и позволяют пользователям самостоятельно устранять обнаруженные риски.

  7. Определите скомпрометированные данные: сообщения электронной почты, SharePoint, OneDrive, приложения. Фильтр действий приложений Microsoft Defender для облака может проверять действия и обновлять новые действия.

  8. Соблюдайте гигиену паролей. В техническом документе "Руководство по паролям" приведены рекомендации по управлению паролями для конечных пользователей и администраторов удостоверений.

  9. Выполните итерацию, пока не обнаружите затронутые учетные записи и устройства, и атака остановлена.

Восстановление

Используйте следующие разделы, чтобы получить рекомендации после исследования и хранения.

Список задач исправления

После завершения расследования и сдерживания исправьте ущерб:

  • Отключение затронутых учетных записей пользователей и устройств
    • Отзыв текущих маркеров
    • Сброс паролей
  • Отключение добавленных учетных данных и (или) устройств
    • Исправление инфицированных устройств
  • Отключение подозрительных правил электронной почты
  • Откат изменений, внесенных скомпрометированных привилегированных учетных записей

Удаление добавленных учетных данных и устройств

Прежде чем повторно включить затронутые учетные записи, используйте следующие рекомендации. Удаление учетных данных, добавленных с помощью API Graph методов проверки подлинности Microsoft Entra.

Чтобы удалить метод проверки подлинности электронной почты пользователя, выполните следующий вызов Graph:

DELETE /users/{id | userPrincipalName}/authentication/emailMethods/{id}

Или удалите добавленный метод проверки подлинности authenticator:

DELETE /users/{id | userPrincipalName}/authentication/microsoftAuthenticatorMethods/{microsoftAuthenticatorAuthenticationMethodId}

Подробнее:

Удаление устройств, зарегистрированных указанными учетными записями пользователей. Используйте следующие вызовы API Graph:

DELETE /devices/{id}

DELETE /devices(deviceId='{deviceId}')

Доступ к данным злоумышленника содержит дополнительные учетные данные

Если вы включили Microsoft Purview, проверьте среду. Используйте определение сущности "Все учетные данные" с скомпрометированных учетных записей. Переверните идентифицированные учетные данные, как описано в следующем разделе о смене учетных данных.

Подробнее:

Срок действия и смена утечки секретов

Смена секретов, связанных с указанным пользователем или учетными данными устройства.

Защита удостоверений в среде

В следующих статьях содержатся дополнительные сведения о защите удостоверений.

Первопричина кражи маркеров

Иногда не удается обнаружить первопричину. Мы рекомендуем выполнить исследование, чтобы получить подробные сведения, которые могут показать первопричину. После восстановления можно выполнить дополнительные следственные действия, чтобы помочь определить первопричину.

Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365 , описывает, как найти и исследовать подозрительные сообщения электронной почты.

Следующие шаги

*Дерево принятия решений о краже маркеров