Oturum tanımlama bilgisi hırsızlığı uyarısı için uyarı notları

Şunlar için geçerlidir:

• Microsoft Defender XDR

Bu makale, Microsoft Defender XDR'de Oturum Tanımlama Bilgisi hırsızlığı uyarıları için uyarı not alma hakkında bilgi içerir:

• Çalınan oturum çerezi kullanıldı
• AiTM ile ilgili kimlik avı sayfasından kimlik doğrulama isteği

Tehdit aktörleri, hedef ortamlarına sızmak için yenilikçi yollar kullanır. Ortadaki Saldırgan saldırılarından ilham alan bu saldırı türü, kötü amaçlı eylemleri gerçekleştirmek için kimlik bilgilerini veya oturum açma oturumlarını çalmak için kimlik avı kullanır. BEC kampanyaları mükemmel bir örnektir.

Bu saldırı, bir ara (kimlik avı) sitesi ayarlayarak çalışır ve kullanıcı ile saldırganın kimliğine büründiği meşru web sitesi arasında etkili bir şekilde proxy bağlantısı olarak çalışır. Saldırgan, aracı (ara sunucu) olarak hareket ederek hedefin parolasını ve oturum tanımlama bilgisini çalabilir. Bu nedenle saldırgan, kullanıcı adına kimlik doğrulaması yaptıkları için meşru bir oturumda kimlik doğrulaması yapabilir.

Bu playbook, tanımlama bilgisi hırsızlığına yönelik bir Ortadaki Saldırı (AiTM) saldırısının göstergesi olarak şüpheli davranışların gözlemlendiği durumların araştırılmasında yardımcı olur. Bu, güvenlik operasyonları merkezi (SOC) ve BT yöneticileri gibi güvenlik ekiplerinin uyarıları Gerçek Pozitif (TP) veya Hatalı Pozitif (FP) olarak gözden geçirmesine, yönetmesine ve not vermesine yardımcı olur ve TP ise, saldırıyı düzeltmek ve bu nedenle ortaya çıkan güvenlik risklerini azaltmak için önerilen eylemleri gerçekleştirir.

Bu playbook'u kullanmanın sonuçları şunlardır:

• AiTM ile ilişkili uyarıları kötü amaçlı (TP) veya iyi huylu (FP) etkinlikler olarak belirlediniz.
• Kötü amaçlı olarak tanımlanırsa, saldırıyı düzeltmek için gerekli eylemi yaptınız demektir.

Adımları araştırma

1. Etkilenen kullanıcının diğer güvenlik uyarılarını tetikleyip tetiklemediğini araştırın.

   • Oturum açma işlemleri için coğrafi konum anomalilerini temel alan uyarılara [AadSignInEventsBeta or IdentityLogonEvents]odaklanın.
   • Oturum Kimliği bilgilerine [AadSignInEventsBeta]bakarak ilgili oturum açma olaylarını araştırın.
     • Çalınan tanımlama bilgisi [CloudAppEvents]kullanılarak gerçekleştirilen etkinlikleri izlemek için tanımlanan (çalınan) oturum kimliğiyle ilişkili olayları arayın.
     • Coğrafi konumda fark bulunan oturum açma etkinlikleri arasında bir zaman farkı arayın. Farklı konumlara sahip aynı hesap için birden çok oturum mümkün olmamalıdır (oturumun çalınabileceğini belirtir).
   • Şirket ana bilgisayarından hesap için oluşturulan uyarıları denetleyin.
     • Hesabın güvenliği aşılırsa, güvenliğin aşılmasından önce saldırıları gösteren uyarılar olabilir, örneğin SmartScreen uyarıları [NetworkConnectionEvents].

2. Şüpheli davranışı araştırın.

   • ISS/Country/City gibi kullanıcılar için nadir özellikler gibi şüpheli desenleri tanımlamak için olağan dışı desenleri [CloudAppEvents] gösteren olayları arayın.
   • Yeni veya daha önce hiç kullanılmayan hizmetlerde oturum açma girişimleri [başarılı/başarısız] gibi yeni veya daha önce görünmeyen etkinlikleri gösteren olayları, posta erişim etkinliğindeki artışı, Azure kaynak kullanımında bir değişikliği vb. arayın.
   • Ortamınızda aşağıdakilerden başlayarak yapılan son değişiklikleri inceleyin:
     • Office 365 uygulamaları (Exchange online izin değişiklikleri, posta otomatik iletme veya yeniden yönlendirme gibi)
     • PowerApps (PowerAutomate aracılığıyla otomatik veri iletimini yapılandırma gibi)
     • Azure ortamları (örneğin, Azure portalı abonelik değişiklikleri vb.)
     • SharePoint Online (birden çok siteye veya kimlik bilgileri veya finansal tablolar gibi hassas içeriğe sahip dosyalara erişir)
   • Etkilenen kullanıcı için kısa bir süre içinde birden çok platformda (EXO, SPO, Azure vb.) gözlemlenen işlemleri inceleyin.
     • Örneğin, posta okuma/gönderme işlemlerinin ve Azure kaynak ayırma/değişikliklerinin (yeni makine sağlama veya Microsoft Entra Id'ye ekleme) denetim olaylarının zaman çizelgeleri birbiriyle çakışmamalıdır.

3. Olası takip saldırılarını araştırın. AiTM saldırıları genellikle oyun sonu değil, bir uçtan uca saldırıdır, bu nedenle etkilenen hesaplar için ortamınızı takip eden diğer saldırılar için inceleyin.

   • BEC olaylarını incelemeye örnek olarak
     • Uyarılı kullanıcı hesabı posta kutusunda [CloudAppEvents]görülen arama etkinliklerini arayın.
       • Posta kutusunda yapılan arama etkinliklerinde şüpheli olan anahtar sözcüklerin finansal dolandırıcılık (örneğin faturalar, ödemeler vb.) olduğu gözlemlenebilir.
       • Ayrıca, (New-InboxRule, UpdateInboxRules, Set-InboxRule) ve RawEventData has_all (MarkAsRead, MoveToFolder, Archive) içindeki ActionType satırları boyunca hareket etmek ve işaretlemek amacıyla oluşturulan gelen kutusu kurallarını da arayın.
   • Birden çok e-postanın aynı Url ile gönderildiği [EmailEvents & NetworkMessageId'de EmailUrlInfo] posta akışı olaylarını arayın.
     • Posta kutusu hesabı için bir artışın mı yoksa yüksek hacimli posta silme işleminin mi (Çöp Kutusu veya Sil olarak ActivityType) gözlemlenip gözlemlenmediğini [CloudAppEvents] incelemeye devam edin.
     • Eşleşen davranış son derece şüpheli olarak kabul edilebilir.
   • Office 365 e-postaları için tıklama olaylarıyla eşleşen URL olayları için cihaz olaylarını [DeviceEvents on AccountName|AccountUpn] inceleyin.
     • Tıklama kaynakları (örneğin, aynı Url için farklı IP adresleri) için olayları eşleştirmek kötü amaçlı bir davranışın göstergesi olabilir.

Gelişmiş tehdit avcılığı sorguları

Gelişmiş avcılık , ağınızdaki olayları incelemenize ve tehdit göstergelerini bulmanıza olanak tanıyan sorgu tabanlı bir tehdit avcılığı aracıdır. Uyarıyla ilgili daha fazla bilgi toplamak ve etkinliğin şüpheli olup olmadığını belirlemek için bu sorguları kullanın.

Aşağıdaki tablolara erişiminiz olduğundan emin olun:

• AadSignInEventsBeta - kullanıcılar için oturum açma bilgilerini içerir.
• IdentityLogonEvents - kullanıcılar için oturum açma bilgilerini içerir.
• CloudAppEvents - Kullanıcı etkinliklerinin denetim günlüklerini içerir.
• EmailEvents - posta akışı/trafik bilgilerini içerir.
• EmailUrlInfo - E-postalarda yer alan URL bilgilerini içerir.
• UrlClickEvents - e-postalarda tıklanan Url'ler için Url tıklama günlüklerini içerir.
• DeviceEvents - cihaz etkinliği denetim olaylarını içerir.

Şüpheli oturum açma davranışını belirlemek için aşağıdaki sorguyu kullanın:

let OfficeHomeSessionIds = 
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser" 
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country

Yaygın olmayan ülkeleri/bölgeleri tanımlamak için aşağıdaki sorguyu kullanın:

AADSignInEventsBeta 
| where Timestamp > ago(7d) 
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName

Şüpheli oturum açma oturumu sırasında oluşturulan yeni e-posta Gelen Kutusu kurallarını bulmak için bu sorguyu kullanın:

//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Önerilen eylemler

Uyarı etkinliklerinin kötü amaçlı olduğunu belirledikten sonra, bu uyarıları Doğru Pozitif (TP) olarak sınıflandırın ve aşağıdaki eylemleri gerçekleştirin:

• Kullanıcının hesap kimlik bilgilerini sıfırlayın. Ayrıca, güvenliği aşılmış hesap için belirteçleri devre dışı bırakın/iptal edin.
• Bulunan yapıtlar e-postayla ilgiliyse, engellemeyi Gönderen IP adresine ve Gönderen etki alanlarına göre yapılandırın.
  • Yazım hatası içeren etki alanları DMARC, DKIM, SPF ilkelerini temizleyerek (etki alanı tamamen farklı olduğundan) veya "null sonuçlar döndürebilir (büyük olasılıkla tehdit aktörü tarafından yapılandırılmadığından).
• Araştırma sırasında kötü amaçlı olarak tanımlanan URL'leri veya IP adreslerini (ağ koruma platformlarında) engelleyin.

Ayrıca bkz.

Tanımlama bilgisi hırsızlığından BEC'ye

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.