Dela via

Aviseringsklassificering för misstänkta IP-adresser relaterade till lösenordsattacker

  • Gäller för: Microsoft Defender XDR

Hotaktörer använder tekniker för lösenords gissande för att få åtkomst till användarkonton. I en lösenordssprayattack kan hotskådespelaren tillgripa några av de mest använda lösenorden mot många olika konton. Angripare kan kompromettera konton med hjälp av lösenordssprutning eftersom många användare fortfarande använder standardlösenord och svaga lösenord.

Den här spelboken hjälper dig att undersöka instanser där IP-adresser har märkts som riskfyllda eller associerade med en lösenordssprayattack, eller misstänkta oförklarliga aktiviteter har identifierats, till exempel en användare som loggar in från en okänd plats eller en användare som får oväntade frågor om multifaktorautentisering (MFA). Den här guiden är avsedd för säkerhetsteam som SOC (Security Operations Center) och IT-administratörer som granskar, hanterar/hanterar och klassificerar aviseringarna. Den här guiden hjälper dig att snabbt klassificera aviseringarna som antingen sann positiv (TP) eller falsk positiv (FP) och, när det gäller TP, vidta rekommenderade åtgärder för att åtgärda attacken och minska säkerhetsriskerna.

De avsedda resultaten av att använda den här guiden är:

  • Du har identifierat aviseringarna som är associerade med IP-adresser för lösenordsspray som skadliga aktiviteter (TP) eller falska positiva aktiviteter (FP).

  • Du har vidtagit nödvändiga åtgärder om IP-adresser har utfört lösenordsattacker.

Undersöka aviseringen

Det här avsnittet innehåller stegvisa anvisningar för att svara på aviseringen och vidta de rekommenderade åtgärderna för att skydda din organisation från ytterligare attacker.

1. Granska aviseringen

Här är ett exempel på en avisering om lösenordsspray i aviseringskön:

Skärmbild av Microsoft Defender 365-avisering.

Det innebär att det finns misstänkt användaraktivitet som kommer från en IP-adress som kan associeras med ett brute force- eller lösenordsbesprutningsförsök enligt hotinformationskällor.

2. Undersök IP-adressen

  • Titta på de aktiviteter som kommer från IP-adressen:

    • Är det oftast misslyckade försök att logga in?

    • Ser intervallet mellan inloggningsförsöken misstänkt ut? Automatiserade lösenordssprayattacker tenderar att ha ett regelbundet tidsintervall mellan försöken.

    • Finns det lyckade försök för en användare/flera användare att logga in med MFA-frågor ? Förekomsten av dessa försök kan tyda på att IP-adressen inte är skadlig.

    • Används äldre protokoll? Att använda protokoll som POP3, IMAP och SMTP kan tyda på ett försök att utföra en lösenordssprayattack. Att hitta Unknown(BAV2ROPC) i användaragenten (enhetstyp) i aktivitetsloggen anger användning av äldre protokoll. Du kan se exemplet nedan när du tittar på aktivitetsloggen. Denna aktivitet måste korreleras ytterligare med andra aktiviteter.

      Skärmbild av Microsoft Defender 365-gränssnittet som visar enhetstypen.

      Bild 1. Fältet Enhetstyp visar Unknown(BAV2ROPC) användaragenten i Microsoft Defender XDR.

    • Kontrollera användningen av anonyma proxyservrar eller Tor-nätverket. Hotaktörer använder ofta dessa alternativa proxyservrar för att dölja sin information, vilket gör dem svåra att spåra. Men inte all användning av dessa proxyservrar korrelerar med skadliga aktiviteter. Du måste undersöka andra misstänkta aktiviteter som kan ge bättre attackindikatorer.

    • Kommer IP-adressen från ett virtuellt privat nätverk (VPN)? Är VPN-nätverket tillförlitligt? Kontrollera om IP-adressen kommer från ett VPN och granska organisationen bakom den med hjälp av verktyg som RiskIQ.

    • Kontrollera andra IP-adresser med samma undernät/INTERNETleverantör. Ibland kommer lösenordssprayattacker från många olika IP-adresser i samma undernät/Internetleverantör.

  • Är IP-adressen gemensam för klientorganisationen? Kontrollera aktivitetsloggen för att se om klientorganisationen har sett IP-adressen under de senaste 30 dagarna.

  • Sök efter andra misstänkta aktiviteter eller aviseringar som kommer från IP-adressen i klientorganisationen. Exempel på aktiviteter att hålla utkik efter kan vara borttagning av e-post, skapande av vidarebefordransregler eller filnedladdningar efter ett lyckat försök att logga in.

  • Kontrollera IP-adressens riskpoäng med hjälp av verktyg som RiskIQ.

3. Undersök misstänkt användaraktivitet efter inloggning

När en misstänkt IP-adress identifieras kan du granska de konton som loggade in. Det är möjligt att en grupp med konton komprometterades och användes för att logga in från IP-adressen eller andra liknande IP-adresser.

Filtrera alla lyckade försök att logga in från IP-adressen runt och strax efter tidpunkten för aviseringarna. Sök sedan efter skadliga eller ovanliga aktiviteter i sådana konton när du har loggat in.

  • Användarkontoaktiviteter

    Kontrollera att aktiviteten i kontot som föregår lösenordssprayaktiviteten inte är misstänkt. Kontrollera till exempel om det finns avvikande aktivitet baserat på gemensam plats eller ISP, om kontot använder en användaragent som det inte använde tidigare, om några andra gästkonton har skapats, om några andra autentiseringsuppgifter har skapats efter att kontot loggat in från en skadlig IP-adress, bland annat.

  • Varningar

    Kontrollera om användaren har fått andra aviseringar före lösenordssprayaktiviteten. Dessa aviseringar indikerar att användarkontot kan ha komprometterats. Exempel är omöjlig reseavisering, aktivitet från ett land/en region som är ovanlig och misstänkt e-postborttagningsaktivitet.

  • Incident

    Kontrollera om aviseringen är associerad med andra aviseringar som indikerar en incident. I så fall kontrollerar du om incidenten innehåller andra sanna positiva aviseringar.

Avancerade jaktfrågor

Avancerad jakt är ett frågebaserat verktyg för hotjakt som gör att du kan inspektera händelser i nätverket och hitta hotindikatorer.

Använd den här frågan för att hitta konton med försök att logga in med de högsta riskpoängen som kom från den skadliga IP-adressen. Den här frågan filtrerar även alla lyckade försök att logga in med motsvarande riskpoäng.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores

Använd den här frågan för att kontrollera om den misstänkta IP-adressen använde äldre protokoll i försök att logga in.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent

Använd den här frågan för att granska alla aviseringar under de senaste sju dagarna som är associerade med den misstänkta IP-adressen.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize ( 
        AlertEvidence
            | where Timestamp between (start_date .. end_date)
            | where RemoteIP == ip_address
            | project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)

Använd den här frågan för att granska kontoaktiviteten för misstänkta komprometterade konton.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
CloudAppEvents
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | summarize ActivityCount = count() by AccountObjectId, ActivityType
    | extend ActivityPack = pack(ActivityType, ActivityCount)
    | summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId

Använd den här frågan för att granska alla aviseringar för misstänkta komprometterade konton.

let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
  1. Blockera angriparens IP-adress.
  2. Återställ autentiseringsuppgifterna för användarkonton.
  3. Återkalla åtkomsttoken för komprometterade konton.
  4. Blockera äldre autentisering.
  5. Kräv MFA för användare om möjligt för att förbättra kontosäkerheten och göra det svårt för angriparen att kompromettera kontot genom en lösenordssprayattack.
  6. Blockera det komprometterade användarkontot från att logga in om det behövs.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.