Поделиться через


Проверка распыления паролей

В этой статье приводятся рекомендации по выявлению и расследованию атак с распыления паролем в организации и принятии необходимых действий по исправлению для защиты информации и минимизации дополнительных рисков.

Эта статья состоит из следующих разделов:

  • Предварительные требования: охватывает перечень конкретных требований, которые необходимо выполнить перед началом расследования. Например, необходимо включить ведение журнала, среди прочего, требуются роли и разрешения.
  • Рабочий процесс: отображает логический процесс, которому необходимо следовать, чтобы провести расследование.
  • Контрольный список: содержит список задач для каждого из этапов блок-схемы. Этот контрольный список может быть полезным в строго регулируемых средах, чтобы проверить, что вы сделали или просто как качественный шлюз для себя.
  • Этапы расследования: включает подробное пошаговое руководство для целей конкретного расследования.
  • Восстановление: содержит подробные инструкции по восстановлению/смягчению последствий атаки с использованием спрея паролей.
  • Ссылки: содержит дополнительные справочные материалы и материалы.

Необходимые компоненты

Перед началом исследования убедитесь, что вы выполнили настройку журналов и оповещений и других системных требований.

Для мониторинга Microsoft Entra следуйте нашим рекомендациям и рекомендациям в нашем руководстве Microsoft Entra SecOps.

Настройка ведения журнала AD FS

Ведение журнала событий в ADFS 2016

По умолчанию для служб федерации Microsoft Active Directory (ADFS) в Windows Server 2016 включен базовый уровень аудита. При базовом аудите администраторы могут видеть пять или меньше событий для одного запроса. Задайте для ведения журнала наивысший уровень и отправьте журналы AD FS (& security) в SIEM для сопоставления с проверкой подлинности AD и идентификатором Microsoft Entra.

Чтобы просмотреть текущий уровень аудита, используйте следующую команду PowerShell:

Get-AdfsProperties

Снимок экрана: пример команды Get-AdfsProperties PowerShell.

В этой таблице перечислены доступные уровни аудита.

Уровень аудита Синтаксис PowerShell Description
Нет Set-AdfsProperties -AuditLevel None Аудит отключен, и события не регистрируются
Базовый (по умолчанию) Set-AdfsProperties -AuditLevel Basic Для одного запроса регистрируются не более пяти событий.
Подробный Set-AdfsProperties -AuditLevel Verbose Все события регистрируются. На этом уровне регистрируется значительное количество сведений на запрос.

Чтобы повысить или понизить уровень аудита, воспользуйтесь данной командой PowerShell:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Настройка ведения журнала безопасности ADFS 2012 R2/2016/2019

  1. Выберите "Пуск", перейдите к средствам администрирования программ > и выберите "Локальная политика безопасности".

  2. Перейдите в папку "Параметры безопасности\Локальные политики\Управление правами пользователя", а затем дважды щелкните " Создать аудит безопасности".

  3. На вкладке Настройка локальной безопасности убедитесь, что учетная запись службы ADFS указана в списке. Если он отсутствует, выберите "Добавить пользователя или группу" и добавьте его в список, а затем нажмите кнопку "ОК".

  4. Чтобы включить аудит, откройте командную строку с повышенными привилегиями и выполните следующую команду:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Закройте вкладку Параметры локальной безопасности.

  6. Затем откройте оснастку управления ADFS, выберите "Пуск", перейдите к > программам администрирования, а затем выберите ADFS Management.

  7. На панели Действия выберите действие Изменить свойства службы федерации.

  8. В диалоговом окне Свойства службы федерации выберите вкладку События.

  9. Установите флажки Success audits (Успешные события аудита) и Failure audits (Неудачные события аудита).

  10. Нажмите кнопку "ОК" , чтобы завершить и сохранить конфигурацию.

Установка Microsoft Entra Connect Health для ADFS

Агент Microsoft Entra Connect Health для ADFS позволяет получить более высокую видимость в среде федерации. Он предоставляет несколько предварительно настроенных панелей мониторинга, таких как использование, мониторинг производительности и рискованные IP-отчеты.

Чтобы установить ADFS Connect Health, ознакомьтесь с требованиями к использованию Microsoft Entra Connect Health, а затем установите агент работоспособности Azure ADFS Connect.

Настройка оповещений о рискованных IP-адресах с помощью книги отчетов ADFS Risky IP

После настройки Microsoft Entra Connect Health для ADFS необходимо отслеживать и настраивать оповещения с помощью книги отчетов ADFS Risky IP и Azure Monitor. Преимущества использования этого отчета:

  • Обнаружение IP-адресов, превышающих пороговое значение неудачных имен входа на основе паролей.
  • Поддерживает неудачные имена входа из-за неправильного пароля или из-за состояния блокировки экстрасети.
  • Поддерживает включение оповещений с помощью оповещений Azure.
  • Настраиваемые параметры порогового значения, соответствующие политике безопасности организации.
  • Настраиваемые запросы и развернутые визуализации для дальнейшего анализа.
  • Расширенная функциональность из предыдущего отчета о рискованных IP-адресах, которая устарела с 24 января 2022 г.

Настройка оповещений средств SIEM в Microsoft Sentinel

Чтобы настроить оповещения инструмента SIEM, просмотрите руководство по готовым оповещениям.

Интеграция SIEM с приложениями Microsoft Defender для облака

Подключите средство управления сведениями и событиями безопасности (SIEM) к Microsoft Defender для облака приложениям, которые в настоящее время поддерживают Micro Focus ArcSight и универсальный общий формат событий (CEF).

Для получения дополнительной информации см. Общая интеграция SIEM.

Интеграция SIEM с Graph API

Вы можете подключить SIEM к Microsoft Graph Security API, воспользовавшись одним из следующих вариантов:

  • Непосредственное использование поддерживаемых опций интеграции – обратитесь к списку поддерживаемых опций интеграции, например напишите код для прямого подключения вашего приложения, чтобы получить подробные сведения. Используйте примеры для начала работы.
  • Используйте встроенные интеграции и соединители, созданные партнерами Microsoft – обратитесь к партнерским решениям Microsoft Graph Security API, чтобы использовать эти интеграции.
  • Используйте соединители, созданные корпорацией Майкрософт . Ознакомьтесь со списком соединителей, которые можно использовать для подключения к API с помощью различных решений для управления инцидентами безопасности и событиями (SIEM), реагирования на безопасность и оркестрации (SOAR), отслеживания инцидентов и управления службами (ITSM), отчетов и т. д.

Дополнительные сведения см. в статье об интеграции решений безопасности с помощью API безопасности Microsoft Graph.

Использование Splunk

Вы также можете использовать платформу Spunk для настройки предупреждений.

  • Ознакомьтесь с этим видео учебником по созданию оповещений Splunk.
  • Дополнительные сведения см . в руководстве по предупреждению Splunk.

Рабочий процесс

В следующей блок-схеме показан рабочий процесс исследования спрея паролей.

Блок-схема проведения исследования спрея паролей.

Кроме того, вы можете сделать следующее:

  • Скачайте рабочие процессы сборника схем со способами реагирования на распыление пароля и другие инциденты в виде PDF-файла.
  • Скачайте рабочие процессы сборника схем со способами реагирования на распыление пароля и другие инциденты в виде файла Visio.

Контрольный список

Триггеры расследования

  • Получен триггер из SIEM, журналов брандмауэра или идентификатора Microsoft Entra
  • функция Защита идентификации Microsoft Entra спрей паролей или рискованные IP-адреса
  • Большое количество неудачных попыток входа (событие с кодом 411)
  • Пик в Microsoft Entra Connect Health для ADFS
  • Другой инцидент безопасности (например, фишинг)
  • Необъяснимая активность – вход из незнакомого места или пользователь получает неожиданные запросы MFA.

Исследование

  • О чем свидетельствует предупреждение?
  • Можно ли подтвердить, что эта атака является распылением паролей?
  • Определите график атаки.
  • Определите один или несколько IP-адресов атаки.
  • Отфильтруйте успешные входы в систему за этот период времени и IP-адрес, включая успешный пароль, но неудачную MFA.
  • Проверьте отчеты MFA
  • Имеется ли в учетной записи что-нибудь нестандартное, например новое устройство, новая ОС, новый IP-адрес? Используйте Defender для облака Apps или Azure Information Protection для обнаружения подозрительных действий.
  • Обратитесь к местным властям/третьим лицам за помощью.
  • Если вы подозреваете, что безопасность нарушена, проверьте не были ли украдены данные.
  • Проверьте связанную учетную запись на предмет подозрительного поведения и сопоставьте ее с другими возможными учетными записями и службами, а также с другими вредоносными IP-адресами.
  • Проверьте учетные записи всех, кто работает в одном офисе или делегированном доступе — гигиена паролей (убедитесь, что они не используют тот же пароль, что и скомпрометированная учетная запись).
  • Откройте справку ADFS.

Устранение проблем

Ознакомьтесь с разделом "Ссылки", чтобы узнать, как включить следующие функции:

Восстановление

Другие контрольные списки сборника схем со способами реагирования на распыление пароля и другие инциденты можно также скачать в виде файла Excel.

Шаги для исследования

Ответ на инцидент с распылением пароля

Давайте поймем несколько методов атаки с применением паролей, прежде чем продолжить расследование.

Компрометация паролей: злоумышленник угадал пароль пользователя, но не смог получить доступ к учетной записи из-за других элементов управления, таких как многофакторная проверка подлинности (MFA).

Компрометация учетной записи: злоумышленник угадал пароль пользователя и получил доступ к учетной записи.

Открытие среды

Определите тип аутентификации

В качестве первого шага необходимо проверить, какой тип проверки подлинности используется для проверяемого домена клиента или проверенного домена.

Чтобы получить состояние проверки подлинности для определенного доменного имени, используйте команду Get-MgDomain PowerShell. Приведем пример:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

Проверка подлинности является федеративной или управляемой?

Если проверка подлинности федеративна, успешные входы хранятся в идентификаторе Microsoft Entra. Неудачные входы находятся в поставщике удостоверений (IDP). Дополнительные сведения см. в статье об устранении неполадок AD FS и ведении журнала событий.

Если тип проверки подлинности управляется только в облаке, синхронизация хэша паролей (PHS) или сквозная проверка подлинности (PTA) — то успешные и неудачные входы хранятся в журналах входа Microsoft Entra.

Примечание.

Функция поэтапного развертывания позволяет объединить доменное имя клиента, но управлять определенными пользователями. Определите, являются ли пользователи членами данной группы.

Включена ли Служба работоспособности Microsoft Entra Connect для ADFS?

Включено ли расширенное ведение журнала в ADFS?

Журналы хранятся в SIEM?

Чтобы проверить, храните ли вы и сопоставляете журналы в системе управления сведениями и событиями безопасности (SIEM) или в любой другой системе:

  • Log Analytics— предварительно созданные запросы
  • Предварительно созданные запросы Microsoft Sentinel
  • Splunk — предварительно созданные запросы
  • Журналы брандмауэра
  • UAL, если > 30 дней

Общие сведения об идентификаторе Записи Майкрософт и отчетах MFA

Важно понимать журналы, которые вы видите, чтобы определить компромисс. Ниже приведены краткие руководства по пониманию входа Microsoft Entra и отчетов MFA:

Триггеры инцидентов

Триггер инцидента представляет собой событие или серия событий, которые вызывают срабатывание предопределенного предупреждения. Примером является число неудачных попыток пароля выше заданного порогового значения. Ниже приведены дополнительные примеры триггеров, которые могут быть оповещены в атаках с распыления паролем и где отображаются эти оповещения. Триггеры инцидента включают следующее:

  • Пользователи

  • IP-адрес

  • Строки пользовательского агента

  • Дата/время

  • Аномалии

  • Неправильные попытки ввода пароля

    Снимок экрана: отслеживание неудачных попыток пароля.

Необычные пики активности являются ключевыми индикаторами через Microsoft Entra Health Connect (при условии, что этот компонент установлен). Другие индикаторы:

  • Оповещение через SIEM показывает всплеск при сопоставлении журналов.
  • Больше обычного размера журнала для неудачных входов ADFS, которые могут быть оповещением в средстве SIEM).
  • Увеличено количество идентификаторов событий 342/411 - неверное имя пользователя или пароль. Или 516 для блокировки экстрасети.
  • Пороговое значение запроса проверки подлинности сбоем— рискованные IP-адреса в идентификаторе Microsoft Entra id или оповещении средства SIEM/342 и 411 (чтобы просмотреть эти сведения, необходимо включить расширенное ведение журнала).

Рискованные IP-адреса на портале Microsoft Entra Health Connect

Оповещения о рискованных IP-адресах возникают при достижении настраиваемого порога для неправильных паролей в час и количество неправильных паролей в день и блокировках экстрасети.

Снимок экрана: пример данных о рискованных IP-отчетах.

Подробная информация о неудачных попытках доступна на вкладках IP-адрес и блокировки экстрасети.

Снимок экрана: пример таблицы IP-адресов.

Обнаружение случая распыления паролей в Azure Identity Protection

Защита идентификации Azure — это функция Microsoft Entra ID P2 с оповещением о рисках обнаружения паролей и поиском, которая предоставляет дополнительные сведения или автоматическое исправление.

Снимок экрана: пример атаки с распылением паролей.

Низкие и медленные показатели атаки

Низкие и медленные индикаторы атаки возникают, когда пороговые значения для блокировки учетной записи или неправильных паролей не возникают. Вы можете обнаружить данные индикаторы через:

  • Сбои в порядке GAL
  • Сбои с повторяющимися атрибутами (UA, целевой AppID, IP-блок/местоположение)
  • Время - автоматические спреи, как правило, имеют более регулярный интервал времени между попытками.

Расследование и смягчение последствий

Примечание.

Вы можете проводить расследование и устранять одновременно при длительных/продолжающихся атаках.

  1. Включите расширенный вход в ADFS, если он еще не включен.

  2. Определите дату и время начала атаки.

  3. Определите IP-адрес злоумышленника (может быть несколькими источниками и несколькими IP-адресами) из брандмауэра, ADFS, SIEM или Идентификатора Microsoft Entra.

  4. После подтверждения пароля спрей вам, возможно, придется сообщить в местные органы (полицию, третьи стороны, среди прочих).

  5. Подбирайте и отслеживайте следующие идентификаторы событий для ADFS:

    ADFS 2012 R2

    • Событие аудита 403 – пользовательский агент составляет запрос
    • Событие аудита 411 – неудачные запросы аутентификации
    • Событие аудита 516 – блокировка экстрасети
    • Событие аудита 342 – неудачные запросы аутентификации
    • Событие аудита 412 — успешный вход
  6. Чтобы собрать Событие аудита 411 – неудачные запросы аутентификации, воспользуйтесь следующим сценарием:

    PARAM ($PastDays = 1, $PastHours)
    #************************************************
    #ADFSBadCredsSearch.ps1
    #Version 1.0
    #Date: 6-20-2016
    #Author: Tim Springston [MSFT]
    #Description: This script will parse the ADFS server's (not proxy) security ADFS
    #for events which indicate an incorrectly entered username or password. The script can specify a
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
    #review of UPN, IP address of submitter, and timestamp.
    #************************************************
    cls
    if ($PastHours -gt 0)
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))}
    else
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))}
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv"
    $CS = get-wmiobject -class win32_computersystem
    $Hostname = $CS.Name + '.' + $CS.Domain
    $Instances = @{}
    $OSVersion = gwmi win32_operatingsystem
    [int]$BN = $OSVersion.Buildnumber
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
    else {$ADFSLogName = "AD FS/Admin"}
    $Users = @()
    $IPAddresses = @()
    $Times = @()
    $AllInstances = @()
    Write-Host "Searching event log for bad credential events..."
    if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
    $Instance = New-Object PSObject
    $UPN = $_.Properties[2].Value
    $UPN = $UPN.Split("-")[0]
    $IPAddress = $_.Properties[4].Value
    $Users += $UPN
    $IPAddresses += $IPAddress
    $Times += $_.TimeCreated
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
    $AllInstances += $Instance
    $Instance = $null
    }
    }
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
    Write-Host "Data collection finished. The output file can be found at >$outputfile`."
    $AllInstances = $null
    

ADFS 2016/2019

Наряду с указанными выше идентификаторами событий сопоставьте Событие аудита 1203 - новая ошибка проверки учетных данных.

  1. Сопоставьте все успешные входы за это время в ADFS (если они являются федеративными). Быстрый вход и выход (в ту же секунду) может быть индикатором успешного угадывания пароля и попытки злоумышленника.
  2. Сортировать все успешные или прерванные события Microsoft Entra в течение этого периода времени для федеративных и управляемых сценариев.

Мониторинг и сортировка идентификаторов событий из идентификатора Microsoft Entra

Узнайте, как узнать значение журналов ошибок.

Соответствующие идентификаторы событий из идентификатора Microsoft Entra:

  • 50057 - Учетная запись пользователя отключена
  • 50055 - Срок действия пароля истек
  • 50072 — пользователю предложено предоставить MFA
  • 50074 - требуется наличие MFA
  • 50079 - пользователю необходимо зарегистрировать сведения о безопасности
  • 53003 - Пользователь заблокирован условным доступом
  • 53004 — не удается настроить MFA из-за подозрительного действия
  • 530032 - Заблокировано условным доступом в политике безопасности
  • Статус входа Успех, Ошибка, Прерывание

Идентификаторы событий сортировки из сборника схем Microsoft Sentinel

Вы можете получить все идентификаторы событий из сборника схем Microsoft Sentinel, который доступен на сайте GitHub.

Изолирование и подтверждение атаки

Изолируйте события успешного входа aDFS и Microsoft Entra. Это интересующие вас учетные записи.

Заблокируйте IP-адрес ADFS 2012R2 и выше для федеративной проверки подлинности. Приведем пример:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Сбор журналов ADFS

Соберите несколько идентификаторов событий в течение определенного периода времени. Приведем пример:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Сортировка журналов ADFS в идентификаторе Microsoft Entra

Отчеты о входе в Microsoft Entra включают действие входа ADFS при использовании Microsoft Entra Connect Health. Фильтр журналов входа по типу эмитента маркера «Федеративный».

Ниже приведен пример команды PowerShell для получения журналов входа для определенного IP-адреса:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Помимо этого, найдите на портале Azure временные рамки, IP-адрес и успешный или прерванный вход, как показано на этих изображениях.

Снимок экрана: выбор диапазона временных интервалов.

Снимок экрана: поиск входов в определенный IP-адрес.

Поиск входов на основе состояния.

После этого вы можете загрузить эти данные в виде файла .csv для анализа. Дополнительные сведения см . в отчетах о действиях входа в Центре администрирования Microsoft Entra.

Расстановка приоритетов в результатах

Важно иметь возможность реагировать на наиболее критичную угрозу. Эта угроза может указать, что злоумышленник успешно получил доступ к учетной записи и поэтому может получить доступ к данным и выфильтровать их; Злоумышленник имеет пароль, но может не иметь доступа к учетной записи. Например, у них есть пароль, но они не передают вызов MFA. Кроме того, злоумышленник не мог правильно угадать пароли, но продолжать пытаться. Во время анализа необходимо расставить приоритеты в следующих результатах:

  • Успешный вход по известному IP-адресу злоумышленника
  • Прерванный вход по известному IP-адресу злоумышленника
  • Неудачный вход с известного IP-адреса злоумышленника
  • Другой неизвестный IP-адрес успешных входов

Проверка устаревшей процедуры проверки подлинности

В большинстве атак используется устаревшая процедура проверки подлинности. Существует множество способов определения протокола атаки.

  1. В идентификаторе Microsoft Entra перейдите к входу и фильтруйте в клиентском приложении.

  2. Выберите все перечисленные устаревшие протоколы аутентификации.

    Снимок экрана: список устаревших протоколов.

  3. Или если у вас есть рабочая область Azure, вы можете использовать предварительно созданную книгу проверки подлинности, расположенную в Центре администрирования Microsoft Entra в разделе "Мониторинг и книги".

    Снимок экрана: устаревшая книга проверки подлинности.

Блокировка ИДЕНТИФИКАТОРа MICROSOFT Entra для управляемого сценария (PHS, включая промежуточное размещение)

  1. Перейдите к новым именованным местоположениям.

    Снимок экрана: пример нового именованного расположения.

  2. Создайте политику ЦС для нацеливания на все приложения и блокировки только для этого именованного местоположения.

Использовал ли пользователь эту операционную систему, IP-адрес, интернет-провайдера, устройство или браузер раньше?

Если они не сделали этого действия необычным, пометите пользователя и изучите все свои действия.

Помечен ли IP-адрес как "рискованный"?

Убедитесь, что вы записываете успешные пароли, но не выполнили ответы MFA, так как это действие указывает, что злоумышленник получает пароль, но не передает многофакторную проверку подлинности.

Отложите любую учетную запись, которая выглядит как обычный вход в систему, например, переданные MFA, местоположение и IP-адрес не являются необычными.

Отчетность MFA

Важно также проверить журналы MFA, чтобы определить, угадывает ли злоумышленник пароль, но завершается сбоем запроса MFA. В журналах многофакторной проверки подлинности Microsoft Entra отображаются сведения о проверке подлинности для событий, когда пользователю предлагается многофакторная проверка подлинности. Проверьте и убедитесь, что в идентификаторе Microsoft Entra ID отсутствуют большие подозрительные журналы MFA. Дополнительные сведения см . в отчете об использовании входа для просмотра событий многофакторной проверки подлинности Microsoft Entra.

Дополнительные проверки

В Defender для облака Apps изучите действия и доступ к файлам скомпрометированного учетной записи. Дополнительные сведения см. в разделе:

Проверьте, имеет ли пользователь доступ к дополнительным ресурсам, таким как виртуальные машины, разрешения учетной записи домена, хранилище, среди прочего. Если есть нарушение данных, вы должны сообщить больше учреждений, таких как полиция.

Немедленные корректирующие действия

  1. Измените пароль любой учетной записи, которую вы подозреваете, были нарушены или обнаружен пароль учетной записи. Также следует заблокировать пользователя. Убедитесь, что вы следуете инструкциям по отмене экстренного доступа.
  2. Помечайте любую скомпрометированную учетную запись как скомпрометированную в Службе защиты идентификаторов Microsoft Entra ID.
  3. Заблокируйте IP-адрес злоумышленника. Будьте осторожны при выполнении этого действия, так как злоумышленники могут использовать законные виртуальные сети и могут создавать больше рисков, так как они также изменяют IP-адреса. Если вы используете облачную проверку подлинности, заблокируйте IP-адрес в Defender для облака Apps или идентификаторе Microsoft Entra. В случае объединения необходимо заблокировать IP-адрес на уровне брандмауэра перед службой ADFS.
  4. Блокировать устаревшую проверку подлинности , если она используется (однако это действие может повлиять на бизнес).
  5. Включите MFA , если это еще не сделано.
  6. Включите защиту личных данных, чтобы избежать риска для пользователя и входа в систему
  7. Проверьте скомпрометированные данные (сообщения электронной почты, SharePoint, OneDrive, приложения). Узнайте, как использовать фильтр действий в приложениях Defender для облака.
  8. Соблюдайте гигиену паролей. Дополнительные сведения см. в разделе "Защита паролей Microsoft Entra".
  9. Вы также можете обратиться к справке ADFS.

Восстановление

Защита паролем

Реализуйте защиту паролей на идентификаторе Microsoft Entra и локальной среде, включив настраиваемые списки паролей, запрещенных. Эта конфигурация запрещает пользователям устанавливать слабые пароли или пароли, связанные с вашей организацией:

Снимок экрана: включение защиты паролей.

Для получения дополнительной информации см. раздел как защититься от атак с использованием паролей.

Пометка IP-адреса

Пометьте IP-адреса в приложениях Defender для облака для получения оповещений, связанных с будущим использованием:

Снимок экрана: пример тега IP-адреса.

Пометка IP-адресов

В приложениях Defender для облака IP-адрес тега для области IP-адресов и настройте оповещение для этого диапазона IP-адресов для будущих ссылок и ускорения ответа.

Снимок экрана: пример настройки оповещения IP-адреса.

Настройка предупреждений для определенного IP-адреса

Настройка оповещений

В зависимости от потребностей вашей организации вы можете настроить оповещения.

Настройте оповещения в своем инструменте SIEM и посмотрите, как уменьшить пропуски в журналах. Интеграция ADFS, идентификатора Microsoft Entra, Office 365 и Defender для облака приложений.

Настройте порог и предупреждения на портале ADFS Health Connect и Risky IP.

Пример настройки параметров порогового значения.

Снимок экрана: пример настройки уведомлений.

Узнайте, как настроить оповещения на портале Identity Protection.

Настройте политики риска входа в систему с помощью условного доступа или защиты личных данных

  • Обучение конечных пользователей, ключевых заинтересованных лиц, фронтовых операций, технических команд, кибербезопасности и коммуникаций команд
  • Изучите контроль безопасности и внесите необходимые изменения, чтобы улучшить или усилить контроль безопасности в вашей организации
  • Предложение оценки конфигурации Microsoft Entra
  • Выполняйте регулярные упражнения на симуляторе атаки

Ссылки

Необходимые компоненты

Устранение проблем

Восстановление

Дополнительные сборники схем реагирования на инциденты

Ознакомьтесь с рекомендациями по выявлению и изучению этих дополнительных типов атак:

Ресурсы по реагированию на инциденты