Aracılığıyla paylaş

Parola spreyi saldırılarıyla ilgili şüpheli IP adresleri için uyarı sınıflandırması

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Tehdit aktörleri, kullanıcı hesaplarına erişim elde etmek için parola tahmin tekniklerini kullanır. Bir parola spreyi saldırısında, tehdit aktörü birçok farklı hesapta en çok kullanılan parolalardan birkaçını kullanabilir. Birçok kullanıcı hala varsayılan ve zayıf parolaları kullandığından, saldırganlar parola püskürtmeyi kullanarak hesapların güvenliğini başarıyla tehlikeye atabilir.

Bu playbook, IP adreslerinin riskli olarak etiketlendiği veya parola spreyi saldırısıyla ilişkilendirildiği ya da bilinmeyen bir konumdan oturum açmış bir kullanıcı veya beklenmeyen çok faktörlü kimlik doğrulaması (MFA) istemleri alan bir kullanıcı gibi şüpheli açıklanamayan etkinliklerin algılandığı örnekleri araştırmanıza yardımcı olur. Bu kılavuz, güvenlik operasyonları merkezi (SOC) gibi güvenlik ekiplerine ve uyarıları gözden geçiren, işleyen/yöneten ve sınıflandıran BT yöneticilerine yöneliktir. Bu kılavuz, uyarıların doğru pozitif (TP) veya hatalı pozitif (FP) olarak hızla sınıflandırılmalarına yardımcı olur ve TP söz konusu olduğunda, saldırıyı düzeltmek ve güvenlik risklerini azaltmak için önerilen eylemleri gerçekleştirir.

Bu kılavuzu kullanmanın amaçlanan sonuçları şunlardır:

  • Parola spreyi IP adresleriyle ilişkili uyarıları kötü amaçlı (TP) veya hatalı pozitif (FP) etkinlikler olarak belirlediniz.

  • IP adresleri parola spreyi saldırıları gerçekleştiriyorsa gerekli eylemi gerçekleştirdiniz.

Araştırma adımları

Bu bölüm, uyarıya yanıt vermek ve kuruluşunuzu başka saldırılara karşı korumak için önerilen eylemleri gerçekleştirmeye yönelik adım adım yönergeler içerir.

1. Uyarıyı gözden geçirin

Aşağıda, uyarı kuyruğunda parola spreyi uyarısı örneği verilmişti:

Microsoft Defender 365 uyarısının ekran görüntüsü.

Bu, tehdit bilgileri kaynaklarına göre deneme yanılma veya parola spreyi denemesiyle ilişkili olabilecek bir IP adresinden kaynaklanan şüpheli kullanıcı etkinliği olduğu anlamına gelir.

2. IP adresini araştırma

  • IP'den kaynaklanan etkinliklere bakın:

    • Çoğunlukla başarısız oturum açma girişimleri mi?

    • Oturum açma girişimleri arasındaki aralık şüpheli görünüyor mu? Otomatik parola spreyi saldırıları, denemeler arasında düzenli bir zaman aralığına sahip olma eğilimindedir.

    • Bir kullanıcının/birkaç kullanıcının MFA istemleriyle oturum açma girişimi başarılı mı? Bu girişimlerin varlığı, IP'nin kötü amaçlı olmadığını gösterebilir.

    • Eski protokoller kullanılıyor mu? POP3, IMAP ve SMTP gibi protokollerin kullanılması parola spreyi saldırısı gerçekleştirme girişimini gösterebilir. Etkinlik günlüğünde kullanıcı aracısında (Cihaz türü) bulmakUnknown(BAV2ROPC), eski protokollerin kullanıldığını gösterir. Etkinlik günlüğüne bakarken aşağıdaki örniğe başvurabilirsiniz. Bu etkinliğin diğer etkinliklerle daha fazla bağıntılı olması gerekir.

      Cihaz türünü gösteren Microsoft Defender 365 arabiriminin ekran görüntüsü.

      Şekil 1. Cihaz türü alanında kullanıcı aracısı Microsoft Defender XDR gösterilirUnknown(BAV2ROPC).

    • Anonim ara sunucuların veya Tor ağının kullanımını denetleyin. Tehdit aktörleri genellikle bilgilerini gizlemek için bu alternatif proxy'leri kullanır ve bu da izlemelerini zorlaştırır. Ancak, söz dizimli proxy'lerin tüm kullanımı kötü amaçlı etkinliklerle ilişkili değildir. Daha iyi saldırı göstergeleri sağlayabilecek diğer şüpheli etkinlikleri araştırmanız gerekir.

    • IP adresi bir sanal özel ağdan mı (VPN) geliyor? VPN güvenilir mi? IP'nin bir VPN'den kaynaklanıp kaynaklandığını denetleyin veRiskIQ gibi araçları kullanarak arkasındaki kuruluşu gözden geçirin.

    • Aynı alt ağa/ISS'ye sahip diğer IP'leri denetleyin. Bazen parola spreyi saldırıları aynı alt ağ/ISS içindeki birçok farklı IP'den kaynaklanır.

  • IP adresi kiracı için ortak mı? Kiracının son 30 gün içinde IP adresini görüp görmediğini görmek için Etkinlik günlüğünü denetleyin.

  • Kiracıdaki IP'den kaynaklanan diğer şüpheli etkinlikler veya uyarılar için Arama. Dikkate alınabilecek etkinliklere örnek olarak e-posta silme, iletme kuralları oluşturma veya başarılı bir oturum açma girişiminden sonra dosya indirme işlemleri verilebilir.

  • RiskIQ gibi araçları kullanarak IP adresinin risk puanını denetleyin.

3. Oturum açtıktan sonra şüpheli kullanıcı etkinliğini araştırma

Şüpheli bir IP tanındıktan sonra oturum açan hesapları gözden geçirebilirsiniz. Ip veya diğer benzer IP'lerden oturum açmak için bir grup hesabın güvenliği aşılmış ve başarıyla kullanılmış olabilir.

IP adresinden oturum açmak için yapılan tüm başarılı girişimleri, uyarıların zamanından kısa bir süre sonra filtreleyin. Ardından oturum açtıktan sonra bu tür hesaplarda kötü amaçlı veya olağan dışı etkinlikleri arayın.

  • Kullanıcı hesabı etkinlikleri

    Parola spreyi etkinliğinden önceki hesaptaki etkinliğin şüpheli olmadığını doğrulayın. Örneğin, ortak konumu veya ISS'yi temel alan anormal bir etkinlik olup olmadığını, hesabın daha önce kullanmadığı bir kullanıcı aracısını kullanıp kullanmadığını, başka konuk hesapları oluşturulup oluşturulmadığını, hesap kötü amaçlı bir IP'den oturum açtıktan sonra başka kimlik bilgileri oluşturulup oluşturulmadığını denetleyin.

  • Uyarılar

    Kullanıcının parola spreyi etkinliğinden önce başka uyarılar alıp almadığını denetleyin. Bu uyarıların olması, kullanıcı hesabının gizliliğinin tehlikeye girmiş olabileceğini gösterir. İmkansız seyahat uyarısı, seyrek ülke/bölgeden etkinlik ve şüpheli e-posta silme etkinliği gibi örnekler verilebilir.

  • Olay

    Uyarının bir olayı gösteren diğer uyarılarla ilişkili olup olmadığını denetleyin. Öyleyse, olayın diğer gerçek pozitif uyarılar içerip içermediğini denetleyin.

Gelişmiş tehdit avcılığı sorguları

Gelişmiş avcılık , ağınızdaki olayları incelemenize ve tehdit göstergelerini bulmanıza olanak tanıyan sorgu tabanlı bir tehdit avcılığı aracıdır.

Kötü amaçlı IP'den gelen en yüksek risk puanlarıyla oturum açmaya çalışan hesapları bulmak için bu sorguyu kullanın. Bu sorgu ayrıca ilgili risk puanlarıyla oturum açma girişimlerinin tümünü filtreler.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| where isnotempty(RiskLevelDuringSignIn)
| project Timestamp, IPAddress, AccountObjectId, RiskLevelDuringSignIn, Application, ResourceDisplayName, ErrorCode
| sort by Timestamp asc
| sort by AccountObjectId, RiskLevelDuringSignIn
| partition by AccountObjectId ( top 1 by RiskLevelDuringSignIn ) // remove line to view all successful logins risk scores

Şüpheli IP'nin oturum açma girişiminde eski protokolleri kullanıp kullanmadiğini denetlemek için bu sorguyu kullanın.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
AADSignInEventsBeta
| where Timestamp between (start_date .. end_date)
| where IPAddress == ip_address
| summarize count() by UserAgent

Şüpheli IP ile ilişkili son yedi gün içindeki tüm uyarıları gözden geçirmek için bu sorguyu kullanın.

let start_date = now(-7d);
let end_date = now();
let ip_address = ""; // enter here the IP address
let ip_alert_ids = materialize ( 
        AlertEvidence
            | where Timestamp between (start_date .. end_date)
            | where RemoteIP == ip_address
            | project AlertId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)

Güvenliği aşılmış olduğundan şüphelenilen hesapların hesap etkinliğini gözden geçirmek için bu sorguyu kullanın.

let start_date = now(-8h);
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
CloudAppEvents
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | summarize ActivityCount = count() by AccountObjectId, ActivityType
    | extend ActivityPack = pack(ActivityType, ActivityCount)
    | summarize AccountActivities = make_bag(ActivityPack) by AccountObjectId

Güvenliği aşılmış olduğundan şüphelenilen hesapların tüm uyarılarını gözden geçirmek için bu sorguyu kullanın.

let start_date = now(-8h); // change time range
let end_date = now();
let ip_address = ""; // enter here the IP address
let compromise_users = 
    materialize ( AADSignInEventsBeta
                    | where Timestamp between (start_date .. end_date)
                    | where IPAddress == ip_address
                    | where ErrorCode == 0
                    | distinct AccountObjectId);
let ip_alert_ids = materialize ( AlertEvidence
    | where Timestamp between (start_date .. end_date)
    | where AccountObjectId in (compromise_users)
    | project AlertId, AccountObjectId);
AlertInfo
| where Timestamp between (start_date .. end_date)
| where AlertId in (ip_alert_ids)
| join kind=innerunique ip_alert_ids on AlertId
| project Timestamp, AccountObjectId, AlertId, Title, Category, Severity, ServiceSource, DetectionSource, AttackTechniques
| sort by AccountObjectId, Timestamp
  1. Saldırganın IP adresini engelleyin.
  2. Kullanıcı hesaplarının kimlik bilgilerini sıfırlayın.
  3. Güvenliği aşılmış hesapların erişim belirteçlerini iptal etme.
  4. Eski kimlik doğrulamasını engelle.
  5. Hesap güvenliğini artırmak ve parola spreyi saldırısıyla hesabın güvenliğini tehlikeye atmak için mümkünse kullanıcılar için MFA gerektirin.
  6. Gerekirse güvenliği aşılmış kullanıcı hesabının oturum açmasını engelleyin.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.