Udostępnij za pośrednictwem


Badanie sprayu haseł

Ten artykuł zawiera wskazówki dotyczące identyfikowania i badania ataków sprayu haseł w organizacji oraz podjęcia wymaganych działań naprawczych w celu ochrony informacji i zminimalizowania dalszych zagrożeń.

Ten artykuł zawiera następujące sekcje:

  • Wymagania wstępne: obejmuje określone wymagania, które należy wykonać przed rozpoczęciem badania. Na przykład rejestrowanie, które powinno być włączone, wymagane są między innymi role i uprawnienia.
  • Przepływ pracy: przedstawia przepływ logiczny, który należy wykonać, aby wykonać to badanie.
  • Lista kontrolna: zawiera listę zadań dla każdego z kroków na wykresie blokowym. Ta lista kontrolna może być przydatna w środowiskach wysoce regulowanych, aby sprawdzić, co zrobiłeś, lub po prostu jako bramę jakości dla siebie.
  • Kroki badania: zawiera szczegółowe wskazówki krok po kroku dotyczące tego konkretnego badania.
  • Odzyskiwanie: zawiera ogólne kroki dotyczące odzyskiwania/ograniczania ryzyka ataku z użyciem sprayu haseł.
  • Dokumentacja: zawiera więcej materiałów do czytania i materiałów referencyjnych.

Wymagania wstępne

Przed rozpoczęciem badania upewnij się, że konfiguracja dzienników i alertów oraz innych wymagań systemowych została ukończona.

W przypadku monitorowania firmy Microsoft Entra postępuj zgodnie z naszymi zaleceniami i wskazówkami w przewodniku Microsoft Entra SecOps.

Konfigurowanie rejestrowania usług AD FS

Rejestrowanie zdarzeń w usłudze ADFS 2016

Domyślnie usługi Microsoft Active Directory Federation Services (ADFS) w systemie Windows Server 2016 mają włączony podstawowy poziom inspekcji. Dzięki podstawowej inspekcji administratorzy mogą zobaczyć pięć lub mniej zdarzeń dla pojedynczego żądania. Ustaw rejestrowanie na najwyższy poziom i wyślij dzienniki usług AD FS (& security) do rozwiązania SIEM w celu skorelowania z uwierzytelnianiem usługi AD i identyfikatorem Microsoft Entra.

Aby wyświetlić bieżący poziom inspekcji, użyj tego polecenia programu PowerShell:

Get-AdfsProperties

Zrzut ekranu przedstawiający przykład polecenia Get-AdfsProperties programu PowerShell.

W tej tabeli wymieniono dostępne poziomy inspekcji.

Poziom inspekcji Składnia środowiska PowerShell Opis
None Set-AdfsProperties -AuditLevel None Inspekcja jest wyłączona i nie są rejestrowane żadne zdarzenia
Podstawowy (domyślny) Set-AdfsProperties -AuditLevel Basic Nie więcej niż pięć zdarzeń zostanie zarejestrowanych dla pojedynczego żądania
Pełne informacje Set-AdfsProperties -AuditLevel Verbose Wszystkie zdarzenia są rejestrowane. Ten poziom rejestruje znaczną ilość informacji na żądanie.

Aby podnieść lub obniżyć poziom inspekcji, użyj tego polecenia programu PowerShell:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Konfigurowanie rejestrowania zabezpieczeń usług AD FS 2012 R2/2016/2019

  1. Wybierz pozycję Start, przejdź do pozycji Programy > Narzędzia administracyjne, a następnie wybierz pozycję Zasady zabezpieczeń lokalnych.

  2. Przejdź do folderu Ustawienia zabezpieczeń\Zasady lokalne\Zarządzanie prawami użytkownika, a następnie kliknij dwukrotnie pozycję Generuj inspekcje zabezpieczeń.

  3. Na karcie Ustawienia zabezpieczeń lokalnych sprawdź, czy konto usługi ADFS jest wyświetlane. Jeśli nie jest obecny, wybierz pozycję Dodaj użytkownika lub grupę i dodaj ją do listy, a następnie wybierz przycisk OK.

  4. Aby włączyć inspekcję, otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom poniższe polecenie.

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Zamknij okno Zasady zabezpieczeń lokalnych.

  6. Następnie otwórz przystawkę Zarządzanie usługami ADFS, wybierz pozycję Start, przejdź do pozycji Programy > Narzędzia administracyjne, a następnie wybierz pozycję Zarządzanie usługami ADFS.

  7. W okienku Akcje wybierz pozycję Edytuj właściwości usługi federacyjnej.

  8. W oknie dialogowym Właściwości usługi federacyjnej wybierz kartę Zdarzenia.

  9. Zaznacz pola wyboru Inspekcje zakończone sukcesem i Inspekcje zakończone niepowodzeniem.

  10. Wybierz przycisk OK , aby zakończyć i zapisać konfigurację.

Instalowanie programu Microsoft Entra Connect Health dla usług ADFS

Program Microsoft Entra Connect Health dla agenta usług AD FS umożliwia lepszy wgląd w środowisko federacyjne. Udostępnia on kilka wstępnie skonfigurowanych pulpitów nawigacyjnych, takich jak użycie, monitorowanie wydajności i ryzykowne raporty IP.

Aby zainstalować program ADFS Connect Health, zapoznaj się z wymaganiami dotyczącymi używania programu Microsoft Entra Connect Health, a następnie zainstaluj agenta programu Azure ADFS Connect Health.

Konfigurowanie ryzykownych alertów IP przy użyciu skoroszytu raportu ryzykownych adresów IP usług ADFS

Po skonfigurowaniu programu Microsoft Entra Connect Health dla usług ADFS należy monitorować i konfigurować alerty przy użyciu skoroszytu raportu ryzykownych adresów IP usług ADFS i usługi Azure Monitor. Korzyści wynikające z korzystania z tego raportu to:

  • Wykrywanie adresów IP, które przekraczają próg nieudanych logowań opartych na hasłach.
  • Obsługuje nieudane logowania z powodu nieprawidłowego hasła lub ze względu na stan blokady ekstranetu.
  • Obsługuje włączanie alertów za pośrednictwem alertów platformy Azure.
  • Dostosowywalne ustawienia progowe zgodne z zasadami zabezpieczeń organizacji.
  • Dostosowywalne zapytania i rozwinięte wizualizacje na potrzeby dalszej analizy.
  • Rozszerzone funkcje z poprzedniego raportu ryzykownego adresu IP, który jest przestarzały od 24 stycznia 2022 r.

Konfigurowanie alertów narzędzi SIEM w usłudze Microsoft Sentinel

Aby skonfigurować alerty narzędzi SIEM, zapoznaj się z samouczkiem dotyczącym braku alertów.

Integracja rozwiązania SIEM z aplikacjami Microsoft Defender dla Chmury

Połącz narzędzie Security Information and Event Management (SIEM) z aplikacjami Microsoft Defender dla Chmury, które obecnie obsługuje usługę Micro Focus ArcSight i ogólny format typowych zdarzeń (CEF).

Aby uzyskać więcej informacji, zobacz Generic SIEM Integration (Ogólna integracja rozwiązania SIEM).

Integracja rozwiązania SIEM z interfejsem API programu Graph

Rozwiązanie SIEM można połączyć za pomocą interfejs API Zabezpieczenia programu Microsoft Graph, korzystając z dowolnej z następujących opcji:

  • Bezpośrednio przy użyciu obsługiwanych opcji integracji — zapoznaj się z listą obsługiwanych opcji integracji, takich jak pisanie kodu w celu bezpośredniego łączenia aplikacji w celu uzyskania szczegółowych informacji. Rozpocznij pracę przy użyciu przykładów.
  • Użyj natywnych integracji i łączników utworzonych przez partnerów firmy Microsoft — zapoznaj się z rozwiązaniami partnerskimi programu Microsoft Graph interfejs API Zabezpieczenia, aby korzystać z tych integracji.
  • Używanie łączników utworzonych przez firmę Microsoft — zapoznaj się z listą łączników, których można używać do nawiązywania połączenia z interfejsem API za pomocą różnych rozwiązań do zarządzania zdarzeniami zabezpieczeń i zdarzeń (SIEM), reagowania na zabezpieczenia i orkiestracji (SOAR), śledzenia zdarzeń i zarządzania usługami (ITSM), raportowania itd.

Aby uzyskać więcej informacji, zobacz Security solution integrations using the Microsoft Graph interfejs API Zabezpieczenia (Integracje rozwiązań zabezpieczeń przy użyciu programu Microsoft Graph interfejs API Zabezpieczenia).

Korzystanie z funkcji Splunk

Możesz również użyć platformy Splunk, aby skonfigurować alerty.

Przepływ pracy

Poniższy schemat blokowy przedstawia przepływ pracy badania sprayu haseł.

Schemat blokowy przeprowadzania badania sprayu haseł.

Możesz również wykonać następujące czynności:

Lista kontrolna

Wyzwalacze badania

  • Odebrano wyzwalacz z rozwiązania SIEM, dzienników zapory lub identyfikatora Entra firmy Microsoft
  • Ochrona tożsamości Microsoft Entra funkcji sprayu haseł lub ryzykownych adresów IP
  • Duża liczba nieudanych logowania (zdarzenie o identyfikatorze 411)
  • Skok w programie Microsoft Entra Connect Health dla usług ADFS
  • Inne zdarzenie zabezpieczeń (na przykład wyłudzanie informacji)
  • Niewyjaśnione działanie, takie jak logowanie z nieznanej lokalizacji lub użytkownik otrzymuje nieoczekiwane monity uwierzytelniania wieloskładnikowego

Badanie

  • Co jest powiadamiane?
  • Czy można potwierdzić, że ten atak jest sprayem haseł?
  • Określanie osi czasu ataku.
  • Ustal co najmniej jeden adres IP ataku.
  • Filtruj pomyślne logowania dla tego okresu i adresu IP, w tym pomyślne hasło, ale nie powiodło się uwierzytelnianie wieloskładnikowe
  • Sprawdzanie raportowania uwierzytelniania wieloskładnikowego
  • Czy na koncie jest coś zwykłego, takiego jak nowe urządzenie, nowy system operacyjny, używany nowy adres IP? Użyj usługi Defender dla Chmury Apps lub Azure Information Protection, aby wykryć podejrzane działania.
  • Poinformuj władze lokalne/osoby trzecie o pomocy.
  • Jeśli podejrzewasz naruszenie, sprawdź eksfiltrację danych.
  • Sprawdź skojarzone konto pod kątem podejrzanego zachowania i poszukaj skorelowania z innymi możliwymi kontami i usługami, a także innymi złośliwymi adresami IP.
  • Sprawdź konta osób pracujących w tym samym biurze/delegowanym dostępie — higiena haseł (upewnij się, że nie używają tego samego hasła co konto, którego bezpieczeństwo dotyczy)
  • Uruchamianie pomocy usługi ADFS

Środki zaradcze

Zapoznaj się z sekcją Dokumentacja, aby uzyskać wskazówki dotyczące włączania następujących funkcji:

Odzyskiwanie

Możesz również pobrać spray haseł i inne listy kontrolne podręcznika zdarzeń jako plik programu Excel.

Kroki badania

Reagowanie na zdarzenia sprayu haseł

Zanim przejdziemy do badania, zapoznajmy się z kilkoma technikami ataku w sprayu haseł.

Naruszenie hasła: osoba atakująca odgadnęła hasło użytkownika, ale nie mogła uzyskać dostępu do konta z powodu innych mechanizmów kontroli, takich jak uwierzytelnianie wieloskładnikowe (MFA).

Naruszenie konta: osoba atakująca odgadła hasło użytkownika i uzyskała dostęp do konta.

Odkrycie środowiska

Identyfikowanie typu uwierzytelniania

W pierwszym kroku należy sprawdzić, jaki typ uwierzytelniania jest używany dla badanej domeny dzierżawy/zweryfikowanej.

Aby uzyskać stan uwierzytelniania dla określonej nazwy domeny, użyj polecenia Get-MgDomain programu PowerShell. Oto przykład:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

Czy uwierzytelnianie jest federacyjne, czy zarządzane?

Jeśli uwierzytelnianie jest federacyjne, pomyślne logowania są przechowywane w identyfikatorze Entra firmy Microsoft. Nieudane logowania znajdują się w dostawcy tożsamości (IDP). Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z usługami AD FS i rejestrowanie zdarzeń.

Jeśli typ uwierzytelniania jest zarządzany tylko w chmurze, synchronizacja skrótów haseł (PHS) lub uwierzytelnianie przekazywane (PTA) — pomyślne i nieudane logowania są przechowywane w dziennikach logowania firmy Microsoft Entra.

Uwaga

Funkcja wprowadzania etapowego umożliwia federacyjną nazwę domeny dzierżawy, ale określonym użytkownikom, którzy mają być zarządzani. Ustal, czy użytkownicy są członkami tej grupy.

Czy program Microsoft Entra Connect Health jest włączony dla usług ADFS?

Czy zaawansowane rejestrowanie jest włączone w usługach ADFS?

Czy dzienniki są przechowywane w rozwiązaniu SIEM?

Aby sprawdzić, czy przechowujesz i korelujesz dzienniki w rozwiązaniu SIEM (Security Information and Event Management) lub w innym systemie:

  • Log Analytics — wstępnie utworzone zapytania
  • Microsoft Sentinel — wstępnie utworzone zapytania
  • Splunk — wstępnie utworzone zapytania
  • Dzienniki zapory
  • Rejestrowanie dostępu użytkowników, jeśli > 30 dni

Opis raportowania identyfikatora entra firmy Microsoft i uwierzytelniania wieloskładnikowego

Ważne jest, aby zrozumieć dzienniki, które widzisz, aby móc określić kompromis. Poniżej przedstawiono krótkie przewodniki dotyczące rozumienia logowania i raportowania uwierzytelniania wieloskładnikowego firmy Microsoft:

Wyzwalacze zdarzeń

Wyzwalacz zdarzenia to zdarzenie lub szereg zdarzeń, które powodują wyzwolenie wstępnie zdefiniowanego alertu. Przykładem jest liczba nieudanych prób haseł powyżej wstępnie zdefiniowanego progu. Poniżej przedstawiono dalsze przykłady wyzwalaczy, które mogą być alertowane w atakach sprayowych haseł i gdzie są wyświetlane te alerty. Wyzwalacze zdarzeń obejmują:

  • Użytkownicy

  • Adres IP

  • Ciągi agenta użytkownika

  • Data/godzina

  • Anomalie

  • Nieprawidłowe próby hasła

    Zrzut ekranu przedstawiający sposób śledzenia nieudanych prób haseł.

Nietypowe skoki aktywności są kluczowymi wskaźnikami za pośrednictwem programu Microsoft Entra Health Connect (przy założeniu, że ten składnik jest zainstalowany). Inne wskaźniki to:

  • Alerty za pośrednictwem rozwiązania SIEM pokazują wzrost podczas sortowania dzienników.
  • Większy niż normalny rozmiar dziennika dla logów usług AD FS zakończył się niepowodzeniem, co może być alertem w narzędziu SIEM).
  • Zwiększone ilości identyfikatorów zdarzeń 342/411 — nazwa użytkownika lub hasło są nieprawidłowe. Lub 516 dla blokady ekstranetu.
  • Osiągnięcie progu żądania uwierzytelnienia nie powiodło się — ryzykowny adres IP w usłudze Microsoft Entra ID lub alert narzędzia SIEM/zarówno błędy 342, jak i 411 (aby można było wyświetlić te informacje, należy włączyć zaawansowane rejestrowanie).

Ryzykowny adres IP w portalu Microsoft Entra Health Connect

Alerty ryzykownych adresów IP występują, gdy osiągnięto dostosowany próg dla nieprawidłowych haseł w ciągu godziny, a liczba nieprawidłowych haseł w ciągu dnia i blokad ekstranetu.

Zrzut ekranu przedstawiający przykład ryzykownych danych raportu IP.

Szczegóły nieudanych prób są dostępne na kartach Adres IP i blokady ekstranetu.

Zrzut ekranu przedstawiający przykład tabeli adresów IP.

Wykrywanie sprayu haseł w usłudze Azure Identity Protection

Azure Identity Protection to funkcja microsoft Entra ID P2 z alertem o ryzyku wykrywania hasła i wyszukiwaniem, która udostępnia więcej informacji lub automatyczne korygowanie.

Zrzut ekranu przedstawiający przykład ataku sprayu haseł.

Wskaźniki niskiego i powolnego ataku

Niskie i powolne wskaźniki ataku są wtedy, gdy progi blokady konta lub nieprawidłowe hasła nie są osiągane. Te wskaźniki można wykryć, wykonując następujące czynności:

  • Błędy w kolejności gal
  • Błędy z powtarzającymi się atrybutami (UA, target AppID, IP block/location)
  • Czas – zautomatyzowane spraye mają zwykle bardziej regularny interwał czasu między próbami.

Badanie i ograniczanie ryzyka

Uwaga

Badanie i środki zaradcze można wykonywać jednocześnie podczas długotrwałych/trwających ataków.

  1. Włącz zaawansowane rejestrowanie w usłudze ADFS, jeśli nie jest jeszcze włączone.

  2. Określ datę i godzinę rozpoczęcia ataku.

  3. Ustal adres IP osoby atakującej (może to być wiele źródeł i wielu adresów IP) z zapory, usług ADFS, SIEM lub identyfikatora Entra firmy Microsoft.

  4. Po potwierdzeniu sprayu haseł może być konieczne informowanie lokalnych agencji (między innymi policji, osób trzecich).

  5. Sortowanie i monitorowanie następujących identyfikatorów zdarzeń dla usług AD FS:

    ADFS 2012 R2

    • Zdarzenie inspekcji 403 — agent użytkownika wysyłający żądanie
    • Zdarzenie inspekcji 411 — nieudane żądania uwierzytelniania
    • Inspekcja zdarzenia 516 — blokada ekstranetu
    • Zdarzenie inspekcji 342 — nieudane żądania uwierzytelniania
    • Zdarzenie inspekcji 412 — pomyślne zalogowanie
  6. Aby zebrać zdarzenie inspekcji 411 — nieudane żądania uwierzytelniania, użyj następującego skryptu:

    PARAM ($PastDays = 1, $PastHours)
    #************************************************
    #ADFSBadCredsSearch.ps1
    #Version 1.0
    #Date: 6-20-2016
    #Author: Tim Springston [MSFT]
    #Description: This script will parse the ADFS server's (not proxy) security ADFS
    #for events which indicate an incorrectly entered username or password. The script can specify a
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
    #review of UPN, IP address of submitter, and timestamp.
    #************************************************
    cls
    if ($PastHours -gt 0)
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))}
    else
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))}
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv"
    $CS = get-wmiobject -class win32_computersystem
    $Hostname = $CS.Name + '.' + $CS.Domain
    $Instances = @{}
    $OSVersion = gwmi win32_operatingsystem
    [int]$BN = $OSVersion.Buildnumber
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
    else {$ADFSLogName = "AD FS/Admin"}
    $Users = @()
    $IPAddresses = @()
    $Times = @()
    $AllInstances = @()
    Write-Host "Searching event log for bad credential events..."
    if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
    $Instance = New-Object PSObject
    $UPN = $_.Properties[2].Value
    $UPN = $UPN.Split("-")[0]
    $IPAddress = $_.Properties[4].Value
    $Users += $UPN
    $IPAddresses += $IPAddress
    $Times += $_.TimeCreated
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
    $AllInstances += $Instance
    $Instance = $null
    }
    }
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
    Write-Host "Data collection finished. The output file can be found at >$outputfile`."
    $AllInstances = $null
    

ADFS 2016/2019

Wraz z powyższymi identyfikatorami zdarzeń posuń zdarzenie inspekcji 1203 — nowy błąd weryfikacji poświadczeń.

  1. Zamień wszystkie pomyślne logowania na ten czas w usłudze ADFS (jeśli są federacyjne). Szybkie logowanie i wylogowywanie (w tej samej sekundzie) może być wskaźnikiem pomyślnego odgadnięcia hasła i wypróbowanego przez osobę atakującą.
  2. Sortowanie wszystkich zdarzeń zakończonych powodzeniem lub przerwanym przez firmę Microsoft w tym okresie zarówno w scenariuszach federacyjnych, jak i zarządzanych.

Monitorowanie i sortowanie identyfikatorów zdarzeń z identyfikatora entra firmy Microsoft

Zobacz, jak znaleźć znaczenie dzienników błędów.

Istotne są następujące identyfikatory zdarzeń z identyfikatora entra firmy Microsoft:

  • 50057 — Konto użytkownika zostało wyłączone
  • 50055 — hasło wygasło
  • 50072 — użytkownik monitował o podanie uwierzytelniania wieloskładnikowego
  • 50074 — wymagana uwierzytelnianie wieloskładnikowe
  • 50079 — użytkownik musi zarejestrować informacje zabezpieczające
  • 53003 — Użytkownik zablokowany przez dostęp warunkowy
  • 53004 — Nie można skonfigurować uwierzytelniania wieloskładnikowego z powodu podejrzanych działań
  • 530032 — zablokowany przez dostęp warunkowy w zasadach zabezpieczeń
  • Stan logowania Powodzenie, Niepowodzenie, Przerwanie

Sortowanie identyfikatorów zdarzeń z podręcznika usługi Microsoft Sentinel

Wszystkie identyfikatory zdarzeń można pobrać z podręcznika usługi Microsoft Sentinel dostępnego w usłudze GitHub.

Izolowanie i potwierdzanie ataku

Izolowanie zdarzeń logowania w usługach ADFS i Microsoft Entra zakończyło się powodzeniem i przerwanym logowaniem. Są to Twoje konta interesujące.

Blokuj adres IP ADFS 2012R2 lub nowszy na potrzeby uwierzytelniania federacyjnego. Oto przykład:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Zbieranie dzienników usług AD FS

Zbierz wiele identyfikatorów zdarzeń w danym przedziale czasu. Oto przykład:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Sortowanie dzienników usług AD FS w identyfikatorze entra firmy Microsoft

Raporty logowania w usłudze Microsoft Entra obejmują działania logowania usługi ADFS w przypadku korzystania z programu Microsoft Entra Connect Health. Filtruj dzienniki logowania według typu wystawcy tokenu "Federacyjne".

Oto przykładowe polecenie programu PowerShell służące do pobierania dzienników logowania dla określonego adresu IP:

Get-AzureADIRSignInDetail -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -IpAddress 131.107.128.76

Ponadto przeszukaj witrynę Azure Portal pod kątem przedziału czasu, adresu IP i pomyślnego i przerwanego logowania, jak pokazano na tych obrazach.

Zrzut ekranu przedstawiający sposób wybierania zakresu ram czasowych.

Zrzut ekranu przedstawiający sposób wyszukiwania logów na określonym adresie IP.

Wyszukiwanie logów na podstawie stanu.

Następnie możesz pobrać te dane jako plik .csv do analizy. Aby uzyskać więcej informacji, zobacz Raporty aktywności logowania w centrum administracyjnym firmy Microsoft Entra.

Określanie priorytetów wyników

Ważne jest, aby móc reagować na najbardziej krytyczne zagrożenie. To zagrożenie może wskazywać, że osoba atakująca pomyślnie uzyskała dostęp do konta i w związku z tym może uzyskiwać dostęp do/eksfiltrować dane; osoba atakująca ma hasło, ale może nie mieć dostępu do konta. Na przykład mają hasło, ale nie przechodzą wyzwania uwierzytelniania wieloskładnikowego. Ponadto osoba atakująca nie mogła poprawnie odgadnąć haseł, ale kontynuować próbę. Podczas analizy określ priorytety tych ustaleń:

  • Pomyślne logowania według znanego adresu IP osoby atakującej
  • Przerwane logowanie za pomocą znanego adresu IP osoby atakującej
  • Nieudane logowania według znanego adresu IP osoby atakującej
  • Inne nieznane logowania zakończone powodzeniem adresu IP

Sprawdzanie starszego uwierzytelniania

Większość ataków korzysta ze starszego uwierzytelniania. Istnieje wiele sposobów określania protokołu ataku.

  1. W obszarze Microsoft Entra ID przejdź do pozycji Logowania i filtruj w aplikacji klienckiej.

  2. Wybierz wszystkie starsze protokoły uwierzytelniania wymienione na liście.

    Zrzut ekranu przedstawiający listę starszych protokołów.

  3. Jeśli masz obszar roboczy platformy Azure, możesz użyć wstępnie utworzonego starszego skoroszytu uwierzytelniania znajdującego się w centrum administracyjnym firmy Microsoft Entra w obszarze Monitorowanie i skoroszyty.

    Zrzut ekranu przedstawiający starszy skoroszyt uwierzytelniania.

Blokuj adres IP Microsoft Entra ID dla scenariusza zarządzanego (PHS, w tym przejściowe)

  1. Przejdź do obszaru Nowe nazwane lokalizacje.

    Zrzut ekranu przedstawiający przykład nowej nazwanej lokalizacji.

  2. Utwórz zasady urzędu certyfikacji, aby kierować wszystkie aplikacje i blokować tylko dla tej nazwanej lokalizacji.

Czy użytkownik korzystał z tego systemu operacyjnego, adresu IP, usługodawcy zewnętrznego, urządzenia lub przeglądarki?

Jeśli nie i to działanie jest nietypowe, oznacz użytkownika i zbadaj wszystkie swoje działania.

Czy adres IP jest oznaczony jako "ryzykowny"?

Upewnij się, że zarejestrowano pomyślne hasła, ale nie powiodło się odpowiedzi uwierzytelniania wieloskładnikowego, ponieważ to działanie wskazuje, że osoba atakująca otrzymuje hasło, ale nie przekazuje uwierzytelniania wieloskładnikowego.

Odłóż dowolne konto, które wydaje się być normalnym logowaniem, na przykład przekazanym uwierzytelnianiem wieloskładnikowym, lokalizacją i adresem IP, które nie jest zwykłe.

Raportowanie uwierzytelniania wieloskładnikowego

Ważne jest również sprawdzenie dzienników uwierzytelniania wieloskładnikowego w celu ustalenia, czy osoba atakująca odgadła hasło, ale kończy się niepowodzeniem monitu uwierzytelniania wieloskładnikowego. Dzienniki uwierzytelniania wieloskładnikowego firmy Microsoft zawierają szczegóły uwierzytelniania dla zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe. Sprawdź i upewnij się, że nie ma dużych podejrzanych dzienników uwierzytelniania wieloskładnikowego w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz , jak używać raportu logowania w celu przejrzenia zdarzeń uwierzytelniania wieloskładnikowego firmy Microsoft.

Dodatkowe kontrole

W usłudze Defender dla Chmury Apps zbadaj działania i dostęp do plików konta, z których naruszono bezpieczeństwo. Aby uzyskać więcej informacji, zobacz:

Sprawdź, czy użytkownik ma dostęp do większej liczby zasobów, takich jak maszyny wirtualne, uprawnienia konta domeny, między innymi magazyn. W przypadku naruszenia danych należy poinformować więcej agencji, takich jak policja.

Natychmiastowe działania naprawcze

  1. Zmień hasło dowolnego konta, którego podejrzewasz, zostało naruszone lub wykryte hasło konta. Ponadto zablokuj użytkownika. Upewnij się, że przestrzegasz wytycznych dotyczących odwołwania dostępu awaryjnego.
  2. Oznacz wszystkie naruszone konta jako "naruszone" w usłudze Microsoft Entra ID Identity Protection.
  3. Blokuj adres IP osoby atakującej. Należy zachować ostrożność podczas wykonywania tej akcji, ponieważ osoby atakujące mogą używać legalnych sieci VPN i mogą powodować większe ryzyko, ponieważ również zmieniają adresy IP. Jeśli używasz uwierzytelniania w chmurze, zablokuj adres IP w usłudze Defender dla Chmury Apps lub Microsoft Entra ID. W przypadku federacji należy zablokować adres IP na poziomie zapory przed usługą ADFS.
  4. Blokuj starsze uwierzytelnianie , jeśli jest używane (ta akcja może jednak mieć wpływ na firmę).
  5. Włącz uwierzytelnianie wieloskładnikowe , jeśli jeszcze tego nie zrobiono.
  6. Włączanie usługi Identity Protection dla ryzyka związanego z użytkownikiem i ryzyka związanego z logowaniem
  7. Sprawdź naruszone dane (wiadomości e-mail, SharePoint, OneDrive, aplikacje). Zobacz, jak używać filtru działań w usłudze Defender dla Chmury Apps.
  8. Zachowaj higienę haseł. Aby uzyskać więcej informacji, zobacz Ochrona haseł w usłudze Microsoft Entra.
  9. Możesz również zapoznać się z pomocą usług AD FS.

Odzyskiwanie

Ochrona hasłem

Zaimplementuj ochronę haseł w witrynie Microsoft Entra ID i lokalnie, włączając listy haseł z zakazem niestandardowym. Ta konfiguracja uniemożliwia użytkownikom ustawianie słabych haseł lub haseł skojarzonych z organizacją:

Zrzut ekranu przedstawiający sposób włączania ochrony haseł.

Aby uzyskać więcej informacji, zobacz , jak bronić przed atakami sprayowymi haseł.

Tagowanie adresu IP

Oznacz adresy IP w usłudze Defender dla Chmury Apps, aby otrzymywać alerty związane z przyszłym użyciem:

Zrzut ekranu przedstawiający sposób tagowania adresu IP.

Tagowanie adresów IP

W usłudze Defender dla Chmury Apps adres IP "tag" dla zakresu ip i skonfiguruj alert dla tego zakresu adresów IP w celu uzyskania przyszłej dokumentacji i przyspieszonej odpowiedzi.

Zrzut ekranu przedstawiający przykład konfigurowania alertu adresu IP.

Ustawianie alertów dla określonego adresu IP

Konfiguruj alerty

W zależności od potrzeb organizacji można skonfigurować alerty.

Skonfiguruj alerty w narzędziu SIEM i przyjrzyj się poprawie luk w rejestrowaniu. Integrowanie rejestrowania usług ADFS, Microsoft Entra ID, Office 365 i Defender dla Chmury Apps.

Skonfiguruj próg i alerty w portalu programu ADFS Health Connect i ryzykownym adresie IP.

Przykład konfigurowania ustawień progu.

Zrzut ekranu przedstawiający przykład konfigurowania powiadomień.

Zobacz, jak skonfigurować alerty w portalu usługi Identity Protection.

Konfigurowanie zasad ryzyka związanego z logowaniem przy użyciu dostępu warunkowego lub usługi Identity Protection

  • Edukuj użytkowników końcowych, kluczowych uczestników projektu, operacji pierwszej linii, zespołów technicznych, zespołów ds. zabezpieczeń cybernetycznych i komunikacji
  • Przeglądanie kontroli zabezpieczeń i wprowadzanie niezbędnych zmian w celu poprawy lub wzmocnienia kontroli zabezpieczeń w organizacji
  • Sugerowanie oceny konfiguracji firmy Microsoft Entra
  • Uruchamianie regularnych ćwiczeń symulatora ataku

Informacje

Wymagania wstępne

Środki zaradcze

Odzyskiwanie

Dodatkowe podręczniki reagowania na zdarzenia

Zapoznaj się ze wskazówkami dotyczącymi identyfikowania i badania tych dodatkowych typów ataków:

Zasoby reagowania na zdarzenia