Sdílet prostřednictvím

Vyšetřování hesel ve spreji

  • Článek

Tento článek obsahuje pokyny k identifikaci a prošetření útoků password spray ve vaší organizaci a provedení požadovaných nápravných akcí pro ochranu informací a minimalizaci dalších rizik.

Tento článek obsahuje následující části:

  • Požadavky: Řeší konkrétní požadavky, které je potřeba dokončit před zahájením šetření. Protokolování, které by mělo být zapnuté, role a oprávnění se vyžadují mimo jiné.
  • Pracovní postup: Zobrazuje logický tok, podle kterého byste měli provést toto šetření.
  • Kontrolní seznam: Obsahuje seznam úkolů pro každý z kroků v vývojovém diagramu. Tento kontrolní seznam může být užitečný v vysoce regulovaných prostředích k ověření toho, co jste udělali, nebo jednoduše jako brána kvality pro sebe.
  • Kroky šetření: Obsahuje podrobné pokyny pro toto konkrétní šetření.
  • Obnovení: Obsahuje základní kroky, jak obnovit nebo zmírnit útoky pomocí útoku password spray.
  • Odkazy: Obsahuje další materiály pro čtení a referenční materiály.

Požadavky

Před zahájením šetření se ujistěte, že jste dokončili nastavení pro protokoly a výstrahy a další požadavky na systém.

V případě monitorování Microsoft Entra postupujte podle našich doporučení a pokynů v příručce Microsoft Entra SecOps.

Nastavení protokolování služby AD FS

Protokolování událostí v ADFS 2016

Ve výchozím nastavení má Microsoft Active Directory Federation Services (AD FS) (ADFS) ve Windows Serveru 2016 základní úroveň auditování povolenou. Při základním auditování můžou správci zobrazit pět nebo méně událostí pro jeden požadavek. Nastavte protokolování na nejvyšší úroveň a odešlete protokoly služby AD FS (&security) do SIEM, aby se korelovaly s ověřováním AD a Microsoft Entra ID.

Pokud chcete zobrazit aktuální úroveň auditování, použijte tento příkaz PowerShellu:

Get-AdfsProperties

Snímek obrazovky s příkladem příkazu Get-AdfsProperties PowerShellu

Tato tabulka obsahuje seznam úrovní auditování, které jsou k dispozici.

Úroveň auditu Syntaxe PowerShellu Popis
Nic Set-AdfsProperties -AuditLevel None Auditování je zakázané a nejsou zaprotokolovány žádné události.
Základní (výchozí) Set-AdfsProperties -AuditLevel Basic Pro jeden požadavek se zaprotokoluje maximálně pět událostí.
Podrobnosti Set-AdfsProperties -AuditLevel Verbose Protokolují se všechny události. Tato úroveň zaznamenává značné množství informací na požadavek.

Pokud chcete zvýšit nebo snížit úroveň auditování, použijte tento příkaz PowerShellu:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Nastavení protokolování zabezpečení ADFS 2012 R2/2016/2019

  1. Vyberte Start, přejděte na Nástroje pro správu programů > a pak vyberte Místní zásady zabezpečení.

  2. Přejděte do složky Nastavení zabezpečení\Místní zásady\Správa uživatelských práv a poklikejte na Generovat audity zabezpečení.

  3. Na kartě Místní nastavení zabezpečení ověřte, že je uvedený účet služby ADFS. Pokud není k dispozici, vyberte Přidat uživatele nebo skupinu a přidejte ho do seznamu a pak vyberte OK.

  4. Chcete-li povolit auditování, otevřete příkazový řádek se zvýšenými oprávněními a spusťte následující příkaz:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Zavřete místní zásady zabezpečení.

  6. Dále otevřete modul snap-in Správa služby AD FS, vyberte Start, přejděte na Nástroje pro správu programů > a pak vyberte ADFS Management.

  7. V podokně Akce vyberte Upravit vlastnosti služby FS (Federation Service).

  8. V dialogovém okně Vlastnosti služby FS vyberte kartu Události .

  9. Zaškrtněte políčka Úspěšné audity a Neúspěšné audity.

  10. Kliknutím na TLAČÍTKO OK konfiguraci dokončíte a uložíte ji.

Instalace služby Microsoft Entra Connect Health pro ADFS

Agent Microsoft Entra Connect Health pro ADFS umožňuje získat lepší přehled o vašem federačním prostředí. Poskytuje několik předkonfigurovaných řídicích panelů, jako je využití, monitorování výkonu a sestavy rizikových IP adres.

Pokud chcete nainstalovat službu ADFS Connect Health, projděte si požadavky na používání služby Microsoft Entra Connect Health a pak nainstalujte agenta služby Azure ADFS Connect Health.

Nastavení rizikových výstrah IP adres pomocí sešitu sestavy rizikových IP adres služby AD FS

Po nakonfigurování služby Microsoft Entra Connect Health pro ADFS byste měli monitorovat a nastavit upozorňování pomocí sešitu sestavy rizikových IP adres služby AD FS a služby Azure Monitor. Výhody použití této sestavy jsou:

  • Detekce IP adres, které překračují prahovou hodnotu neúspěšných přihlášení založených na heslech
  • Podporuje neúspěšná přihlášení kvůli chybnému heslu nebo kvůli stavu uzamčení extranetu.
  • Podporuje povolení upozornění prostřednictvím upozornění Azure.
  • Přizpůsobitelné nastavení prahové hodnoty, které odpovídají zásadám zabezpečení organizace.
  • Přizpůsobitelné dotazy a rozšířené vizualizace pro další analýzu
  • Rozšířené funkce z předchozí sestavy rizikových IP adres, které jsou zastaralé od 24. ledna 2022.

Nastavení upozornění nástroje SIEM v Microsoft Sentinelu

Pokud chcete nastavit upozornění nástroje SIEM, projděte si kurz upozorňování.

Integrace SIEM do Microsoft Defenderu for Cloud Apps

Připojte nástroj Security Information and Event Management (SIEM) k Programu Microsoft Defender for Cloud Apps, který aktuálně podporuje Micro Focus ArcSight a obecný společný formát událostí (CEF).

Další informace naleznete v tématu Obecná integrace SIEM.

Integrace SIEM s rozhraním Graph API

SIEM můžete připojit k microsoft Graphu Rozhraní API pro zabezpečení pomocí některé z následujících možností:

  • Přímé použití podporovaných možností integrace – Podívejte se na seznam podporovaných možností integrace, jako je psaní kódu pro přímé připojení aplikace, abyste získali bohaté přehledy. Začněte pomocí ukázek.
  • Použití nativních integrací a konektorů vytvořených partnery Microsoftu – Informace o použití těchto integrací najdete v partnerských řešeních pro Microsoft Graph Rozhraní API pro zabezpečení.
  • Použijte konektory vytvořené Microsoftem – Podívejte se na seznam konektorů, které můžete použít pro připojení k rozhraní API prostřednictvím různých řešení pro správu incidentů zabezpečení a událostí (SIEM), reakce na zabezpečení a orchestraci (SOAR), sledování incidentů a správy služeb (ITSM), vytváření sestav atd.

Další informace najdete v tématu Integrace řešení zabezpečení pomocí Rozhraní API pro zabezpečení Microsoft Graphu.

Použití splunku

K nastavení upozornění můžete použít také platformu Splunk.

  • V tomto videu se dozvíte, jak vytvořit upozornění Splunk.
  • Další informace najdete v příručce k upozorňování splunku.

Workflow

Následující vývojový diagram znázorňuje pracovní postup šetření password spray.

Vývojový diagram postupu, jak provést šetření ve spreji heslem

Můžete také:

  • Stáhněte si pracovní postupy playbooku pro odpovědi na incidenty a heslo jako PDF.
  • Stáhněte si pracovní postupy playbooku pro odpovědi na incidenty a heslo jako soubor Visia.

Kontrolní seznam

Triggery šetření

  • Přijetí triggeru ze SIEM, protokolů brány firewall nebo ID Microsoft Entra
  • Microsoft Entra ID Protection Password Spray funkce nebo riziková IP adresa
  • Velký počet neúspěšných přihlášení (ID události 411)
  • Špička ve službě Microsoft Entra Connect Health pro ADFS
  • Jiný incident zabezpečení (například phishing)
  • Nevysvětlovaná aktivita, například přihlášení z neznámého umístění nebo zobrazení neočekávaných výzev vícefaktorového ověřování

Šetření

  • Co je upozorňování?
  • Můžete potvrdit, že tento útok je ve spreji s heslem?
  • Určete časovou osu útoku.
  • Určete jednu nebo více IP adres útoku.
  • Filtrování úspěšných přihlášení pro toto časové období a IP adresu, včetně úspěšného hesla, ale neúspěšného vícefaktorového ověřování
  • Kontrola generování sestav vícefaktorového ověřování
  • Je v účtu něco neobvyklého, například nové zařízení, nový operační systém, použitá nová IP adresa? K detekci podezřelých aktivit použijte Defender for Cloud Apps nebo Azure Information Protection.
  • Informujte místní orgány nebo třetí strany o pomoc.
  • Pokud máte podezření na ohrožení zabezpečení, zkontrolujte exfiltraci dat.
  • Zkontrolujte podezřelé chování účtu a hledejte korelaci s jinými možnými účty a službami a dalšími škodlivými IP adresami.
  • Zkontrolujte účty uživatelů pracujících ve stejné kanceláři nebo delegovaném přístupu – hygiena hesel (ujistěte se, že nepoužívají stejné heslo jako ohrožený účet).
  • Spuštění nápovědy k ADFS

Omezení rizik

Pokyny k povolení následujících funkcí najdete v části Reference :

Obnovovací

Jako excelový soubor si také můžete stáhnout kontrolní seznamy pro heslo a další playbooky incidentů.

Postup prověřování

Reakce na incidenty password spray

Než budete pokračovat ve vyšetřování, pojďme se seznámit s několika technikami útoku password spray.

Ohrožení zabezpečení heslem: Útočník uhodnul heslo uživatele, ale kvůli jiným ovládacím prvkům, jako je vícefaktorové ověřování (MFA), nemohl získat přístup k účtu.

Ohrožení zabezpečení účtu: Útočník odhadl heslo uživatele a získal přístup k účtu.

Zjišťování prostředí

Identifikace typu ověřování

V prvním kroku je potřeba zkontrolovat, jaký typ ověřování se používá pro doménu tenanta nebo ověřenou doménu, kterou prošetřujete.

Pokud chcete získat stav ověřování pro konkrétní název domény, použijte příkaz Get-MgDomain PowerShellu. Tady je příklad:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

Je ověřování federované nebo spravované?

Pokud je ověřování federované, úspěšné přihlášení se uloží v MICROSOFT Entra ID. Neúspěšné přihlášení jsou ve zprostředkovateli identity (IDP). Další informace najdete v tématu Řešení potíží se službou AD FS a protokolováním událostí.

Pokud je typ ověřování spravovaný– jenom cloud, synchronizace hodnot hash hesel (PHS) nebo předávací ověřování (PTA) – úspěšné a neúspěšné přihlášení se uloží v protokolech přihlašování Microsoft Entra.

Poznámka:

Funkce postupného uvedení umožňuje federovat název domény tenanta, ale konkrétní uživatele, kteří se mají spravovat. Určete, jestli jsou všichni uživatelé členy této skupiny.

Je pro ADFS povolená služba Microsoft Entra Connect Health?

Je rozšířené protokolování povolené v ADFS?

Jsou protokoly uložené v SIEM?

Pokud chcete zkontrolovat, jestli ukládáte a korelujete protokoly v systému SIEM (Security Information and Event Management) nebo v jiném systému:

  • Log Analytics – předem připravené dotazy
  • Microsoft Sentinel – předem připravené dotazy
  • Splunk – předem připravené dotazy
  • Protokoly brány firewall
  • Protokolování přístupu uživatele v případě > 30 dnů

Principy ID Microsoft Entra a generování sestav vícefaktorového ověřování

Je důležité pochopit protokoly, které vidíte, abyste mohli zjistit ohrožení zabezpečení. Tady jsou stručné příručky pro pochopení přihlášení Microsoft Entra a generování sestav vícefaktorového ověřování:

Triggery incidentů

Trigger incidentu je událost nebo řada událostí, které způsobí aktivaci předdefinované výstrahy. Příkladem je počet chybných pokusů o heslo nad předdefinovanou prahovou hodnotou. Tady jsou další příklady triggerů, které se dají upozorňovat na útoky password spray a kde se tyto výstrahy objevují. Mezi triggery incidentů patří:

  • Uživatelé

  • IP

  • Řetězce uživatelského agenta

  • Datum/čas

  • Anomálie

  • Chybné pokusy o heslo

    Snímek obrazovky znázorňuje, jak sledovat pokusy o chybné heslo

Neobvyklé špičky aktivity jsou klíčovými indikátory prostřednictvím služby Microsoft Entra Health Connect (za předpokladu, že je tato komponenta nainstalovaná). Mezi další indikátory patří:

  • Upozorňování prostřednictvím SIEM ukazuje špičku při kolaci protokolů.
  • Větší než normální velikost protokolu pro neúspěšná přihlášení ADFS, což může být upozornění v nástroji SIEM).
  • Zvýšené množství ID událostí 342/411 – uživatelské jméno nebo heslo je nesprávné. Nebo 516 pro uzamčení extranetu.
  • Dosažení prahové hodnoty neúspěšného požadavku na ověření – riziková IP adresa v upozornění nástroje Microsoft Entra ID nebo SIEM / chyby 342 i 411 (Aby bylo možné zobrazit tyto informace, mělo by být rozšířené protokolování zapnuté.)

Riziková IP adresa na portálu Microsoft Entra Health Connect

Výstrahy rizikových IP adres nastanou, když byla dosažena přizpůsobená prahová hodnota chybných hesel za hodinu a počet chybných hesel za den a uzamčení extranetu.

Snímek obrazovky s příkladem rizikových dat sestavy IP adres

Podrobnosti o neúspěšných pokusech jsou k dispozici na kartách IP adresa a uzamčení extranetu.

Snímek obrazovky s příkladem tabulky IP adres

Detekce služby Password Spray ve službě Azure Identity Protection

Azure Identity Protection je funkce Microsoft Entra ID P2, která má výstrahu rizika detekce spreje heslem a funkci vyhledávání, která poskytuje další informace nebo automatickou nápravu.

Snímek obrazovky s příkladem útoku password spray

Indikátory nízkého a pomalého útoku

Indikátory nízkého a pomalého útoku jsou, když se nedorazí prahové hodnoty pro uzamčení účtu nebo chybná hesla. Tyto indikátory můžete rozpoznat prostřednictvím:

  • Selhání v pořadí globálního adresáře
  • Selhání s opakovanými atributy (UA, cílové ID aplikace, blok IP adresy nebo umístění)
  • Časování – automatizované spreje mají tendenci k pravidelnému časovému intervalu mezi pokusy.

Šetření a zmírnění rizik

Poznámka:

Během trvalých nebo probíhajících útoků můžete provádět šetření a zmírnění rizik současně.

  1. Pokud ještě není zapnuté, zapněte rozšířené protokolování ve službě AD FS.

  2. Určete datum a čas zahájení útoku.

  3. Zjistěte IP adresu útočníka (může to být více zdrojů a více IP adres) z brány firewall, ADFS, SIEM nebo Microsoft Entra ID.

  4. Po potvrzení hesla budete muset informovat místní agentury (policie, třetí strany, mimo jiné).

  5. Sbalte a monitorujte následující ID událostí pro ADFS:

    ADFS 2012 R2

    • Událost auditu 403 – uživatelský agent provádějící požadavek
    • Auditování události 411 – neúspěšné žádosti o ověření
    • Auditování události 516 – uzamčení extranetu
    • Audit událost 342 – neúspěšné žádosti o ověření
    • Auditování události 412 – Úspěšné přihlášení

  6. Pokud chcete shromáždit událost auditu 411 – neúspěšné žádosti o ověření, použijte následující skript:

    PARAM ($PastDays = 1, $PastHours)
#************************************************
#ADFSBadCredsSearch.ps1
#Version 1.0
#Date: 6-20-2016
#Author: Tim Springston [MSFT]
#Description: This script will parse the ADFS server's (not proxy) security ADFS
#for events which indicate an incorrectly entered username or password. The script can specify a
#past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
#review of UPN, IP address of submitter, and timestamp.
#************************************************
cls
if ($PastHours -gt 0)
{$PastPeriod = (Get-Date).AddHours(-($PastHours))}
else
{$PastPeriod = (Get-Date).AddDays(-($PastDays))}
$Outputfile = $Pwd.path + "\BadCredAttempts.csv"
$CS = get-wmiobject -class win32_computersystem
$Hostname = $CS.Name + '.' + $CS.Domain
$Instances = @{}
$OSVersion = gwmi win32_operatingsystem
[int]$BN = $OSVersion.Buildnumber
if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
else {$ADFSLogName = "AD FS/Admin"}
$Users = @()
$IPAddresses = @()
$Times = @()
$AllInstances = @()
Write-Host "Searching event log for bad credential events..."
if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
$Instance = New-Object PSObject
$UPN = $_.Properties[2].Value
$UPN = $UPN.Split("-")[0]
$IPAddress = $_.Properties[4].Value
$Users += $UPN
$IPAddresses += $IPAddress
$Times += $_.TimeCreated
add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
$AllInstances += $Instance
$Instance = $null
}
}
$AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
Write-Host "Data collection finished. The output file can be found at >$outputfile`."
$AllInstances = $null

ADFS 2016/2019

Společně s ID výše uvedených událostí sbalte událost auditování 1203 – chyba ověření čerstvých přihlašovacích údajů.

  1. Shromáždí všechna úspěšná přihlášení pro tuto dobu ve službě ADFS (pokud je federovaná). Rychlé přihlášení a odhlášení (ve stejné sekundě) může být indikátorem úspěšného odhadu hesla a pokusu útočníka.
  2. Pro federované i spravované scénáře shromáždíte všechny úspěšné nebo přerušené události Microsoft Entra pro toto časové období.

Monitorování a kolace ID událostí z ID Microsoft Entra

Podívejte se, jak najít význam protokolů chyb.

Relevantní jsou následující ID událostí z ID Microsoft Entra:

  • 50057 – Uživatelský účet byl zakázán.
  • 50055 – Platnost hesla vypršela
  • 50072 – Uživatel vyzván k zadání vícefaktorového ověřování
  • 50074 – Vyžaduje se vícefaktorové ověřování
  • 50079 – uživatel musí zaregistrovat bezpečnostní údaje
  • 53003 – Uživatel blokovaný podmíněným přístupem
  • 53004 – Nejde nakonfigurovat vícefaktorové ověřování kvůli podezřelé aktivitě
  • 530032 – blokován podmíněným přístupem v zásadách zabezpečení
  • Stav přihlášení Úspěch, Selhání, Přerušení

Kolace ID událostí z playbooku Microsoft Sentinel

Všechna ID událostí můžete získat z playbooku Microsoft Sentinel, který je k dispozici na GitHubu.

Izolace a potvrzení útoku

Izolujte úspěšné a přerušené události přihlášení ADFS a Microsoft Entra. Jedná se o vaše účty, které vás zajímají.

Zablokujte IP adresu ADFS 2012R2 a novější pro federované ověřování. Tady je příklad:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Shromažďování protokolů ADFS

Shromážděte několik ID událostí v časovém rámci. Tady je příklad:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Kolace protokolů ADFS v Microsoft Entra ID

Sestavy přihlášení Microsoft Entra zahrnují přihlašovací aktivitu ADFS při použití služby Microsoft Entra Connect Health. Protokoly přihlašování můžete filtrovat podle typu vystavitele tokenu "Federováno".

Tady je ukázkový příkaz PowerShellu pro načtení protokolů přihlašování pro konkrétní IP adresu:

Get-AzureADIRSignInDetail -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -IpAddress 131.107.128.76

Vyhledejte také na webu Azure Portal časový rámec, IP adresu a úspěšné a přerušené přihlášení, jak je znázorněno na těchto obrázcích.

Snímek obrazovky znázorňuje, jak vybrat rozsah časového rámce

Snímek obrazovky znázorňující, jak vyhledat přihlášení na konkrétní IP adrese

Hledání přihlášení na základě stavu

Tato data si pak můžete stáhnout jako .csv soubor pro analýzu. Další informace najdete v tématu Sestavy aktivit přihlašování v Centru pro správu Microsoft Entra.

Stanovení priorit zjištění

Je důležité, abyste mohli reagovat na nejdůležitější hrozbu. Tato hrozba může znamenat, že útočník úspěšně získal přístup k účtu, a proto může získat přístup k datům nebo je exfiltrovat; útočník má heslo, ale nemusí mít přístup k účtu. Mají například heslo, ale neprocházejí výzvou vícefaktorového ověřování. Útočník také nemohl správně uhodnout hesla, ale pokračoval v pokusu. Během analýzy určete prioritu těchto zjištění:

  • Úspěšné přihlášení známými IP adresami útočníka
  • Přerušené přihlášení známou IP adresou útočníka
  • Neúspěšné přihlášení známými IP adresami útočníka
  • Další neznámá IP adresa – úspěšné přihlášení

Kontrola starší verze ověřování

Většina útoků používá starší ověřování. Existuje mnoho způsobů, jak určit protokol útoku.

  1. V Microsoft Entra ID přejděte k přihlášení a filtrování v klientské aplikaci.

  2. Vyberte všechny starší ověřovací protokoly, které jsou uvedené.

    Snímek obrazovky se seznamem starších protokolů

  3. Nebo pokud máte pracovní prostor Azure, můžete použít předem připravený starší ověřovací sešit umístěný v Centru pro správu Microsoft Entra v části Monitorování a sešity.

    Snímek obrazovky se starší verzí sešitu ověřování

Blokovat IP adresu Microsoft Entra ID pro spravovaný scénář (PHS, včetně přípravy)

  1. Přejděte na Nová pojmenovaná umístění.

    Snímek obrazovky s příkladem nového pojmenovaného umístění

  2. Vytvořte zásadu certifikační autority, která bude cílit na všechny aplikace a blokovat pouze pro toto pojmenované umístění.

Použil uživatel tento operační systém, IP adresu, ISP, zařízení nebo prohlížeč?

Pokud ne a tato aktivita je neobvyklá, označte uživatele příznakem a prozkoumejte všechny své aktivity.

Je IP adresa označená jako "riziková"?

Ujistěte se, že zaznamenáte úspěšná hesla, ale neúspěšné odpovědi MFA, protože tato aktivita indikuje, že útočník získá heslo, ale nepředává vícefaktorové ověřování.

Vyhraďte si všechny účty, které se jeví jako normální přihlášení, například předané vícefaktorové ověřování, umístění a IP adresa, které nejsou běžné.

Generování sestav vícefaktorového ověřování

Je důležité také zkontrolovat protokoly vícefaktorového ověřování a zjistit, jestli útočník uhodnul heslo, ale výzva vícefaktorového ověřování selhává. Protokoly vícefaktorového ověřování Microsoft Entra zobrazují podrobnosti o ověřování událostí, když se uživateli zobrazí výzva k vícefaktorovém ověřování. Zkontrolujte a ujistěte se, že v ID Microsoft Entra nejsou žádné velké podezřelé protokoly vícefaktorového ověřování. Další informace najdete v tématu použití sestavy přihlašování ke kontrole událostí vícefaktorového ověřování Microsoft Entra.

Další kontroly

V Defenderu pro Cloud Apps prozkoumejte aktivity a přístup k souborům ohroženého účtu. Další informace naleznete v tématu:

Zkontrolujte, jestli má uživatel přístup k dalším prostředkům, jako jsou virtuální počítače, oprávnění účtu domény, úložiště mimo jiné. Pokud dojde k porušení zabezpečení dat, měli byste informovat další agentury, jako je policie.

Okamžité nápravné akce

  1. Změňte heslo libovolného účtu, u kterého máte podezření, že došlo k porušení zabezpečení nebo zjištěnému heslu účtu. Kromě toho zablokujte uživatele. Ujistěte se, že dodržujete pokyny pro odvolání nouzového přístupu.
  2. Označte všechny ohrožené účty jako ohrožené v Microsoft Entra ID Identity Protection.
  3. Zablokujte IP adresu útočníka. Při provádění této akce buďte opatrní, protože útočníci můžou používat legitimní sítě VPN a můžou způsobit větší riziko při změně IP adres. Pokud používáte cloudové ověřování, zablokujte IP adresu v defenderu pro Cloud Apps nebo v Microsoft Entra ID. Pokud je federovaná, musíte ip adresu blokovat na úrovni brány firewall před službou ADFS.
  4. Zablokujte starší ověřování , pokud se používá (tato akce ale může mít vliv na firmu).
  5. Povolte vícefaktorové ověřování , pokud ještě není hotová.
  6. Povolení služby Identity Protection pro rizika uživatele a rizika přihlašování
  7. Zkontrolujte ohrožená data (e-maily, SharePoint, OneDrive, aplikace). Podívejte se, jak používat filtr aktivit v Defenderu pro Cloud Apps.
  8. Udržujte hygienu hesel. Další informace naleznete v tématu Ochrana heslem Microsoft Entra.
  9. Můžete se také podívat na nápovědu K AD FS.

Obnovovací

Ochrana hesel

Implementujte ochranu heslem v Microsoft Entra ID a místním prostředí tím, že povolíte vlastní seznamy zakázaných hesel. Tato konfigurace brání uživatelům v nastavení slabých hesel nebo hesel přidružených k vaší organizaci:

Snímek obrazovky znázorňuje, jak povolit ochranu heslem

Další informace najdete v tématu obrana proti útokům password spray.

Označení IP adresy

Označte IP adresy v programu Defender for Cloud Apps, aby dostávaly výstrahy související s budoucím použitím:

Snímek obrazovky s příkladem označení IP adresy

Označování IP adres

V programu Defender for Cloud Apps nastavte IP adresu značky pro rozsah IP adres a nastavte upozornění pro tento rozsah IP adres pro budoucí referenci a akcelerovanou odpověď.

Snímek obrazovky s příkladem nastavení upozornění IP adresy

Nastavení upozornění pro konkrétní IP adresu

Konfigurace upozornění

V závislosti na potřebách vaší organizace můžete nakonfigurovat upozornění.

Nastavte upozorňování v nástroji SIEM a podívejte se na vylepšení rozdílů v protokolování. Integrujte protokolování ADFS, Microsoft Entra ID, Office 365 a Defender for Cloud Apps.

Nakonfigurujte prahovou hodnotu a výstrahy na portálu ADFS Health Connect a rizikových IP adres.

Příklad konfigurace nastavení prahové hodnoty

Snímek obrazovky s příkladem konfigurace oznámení

Podívejte se , jak nakonfigurovat výstrahy na portálu Identity Protection.

Nastavení zásad rizik přihlašování pomocí podmíněného přístupu nebo identity Protection

  • Informování koncových uživatelů, klíčových zúčastněných stran, provozu frontline, technických týmů, kybernetických bezpečnostních a komunikačních týmů
  • Kontrola kontroly zabezpečení a provedení nezbytných změn za účelem zlepšení nebo posílení řízení zabezpečení v rámci vaší organizace
  • Navrhnout posouzení konfigurace Microsoft Entra
  • Spuštění cvičení pravidelného simulátoru útoku

Reference

Požadavky

Omezení rizik

Obnovovací

Playbooky pro další reakce na incidenty

Projděte si pokyny k identifikaci a prošetřování těchto dalších typů útoků:

Zdroje informací o reakcích na incidenty