共用方式為

密碼噴洒調查

  • 發行項

本文提供識別和調查組織內密碼噴洒攻擊的指引,並採取必要的補救動作來保護資訊,並將進一步的風險降到最低。

本文包含下列章節:

  • 必要條件: 涵蓋開始調查之前,您需要完成的特定需求。 例如,應該開啟的記錄、所需的角色和許可權等等。
  • 工作流程: 顯示您應該遵循的邏輯流程,以執行此調查。
  • 檢查清單: 包含流程圖中每個步驟的工作清單。 此檢查清單在高度管制的環境中非常有幫助,可以用來驗證您所做的,或僅作為您自己的品質控制標準。
  • 調查步驟: 包含此特定調查的詳細逐步指引。
  • 復原: 包含如何從密碼噴洒攻擊中復原/減輕的高階步驟。
  • 參考: 包含更多閱讀和參考數據。

必要條件

開始調查之前,請確定您已完成記錄和警示和其他系統需求的設定。

如需Microsoft Entra 監視,請遵循我們的 Microsoft Entra SecOps 指南中的建議和指引

設定 AD FS 記錄

ADFS 2016 上的事件記錄

根據預設,Windows Server 2016 中的Microsoft Active Directory 同盟服務 (ADFS) 已啟用基本層級的稽核。 透過基本稽核,系統管理員可以看到單一要求的五個或更少事件。 將記錄設定為最高層級,並將AD FS (& security) 記錄傳送至 SIEM,以與 AD 驗證和Microsoft Entra ID 相互關聯。

若要檢視目前的稽核層級,請使用下列 PowerShell 命令:

Get-AdfsProperties

Get-AdfsProperties PowerShell 命令的螢幕快照範例。

下表列出可用的稽核層級。

稽核層級 PowerShell 語法 描述
None Set-AdfsProperties -AuditLevel None 稽核已停用,且不會記錄任何事件
基本 (預設值) Set-AdfsProperties -AuditLevel Basic 單一要求不會記錄超過五個事件
詳細資訊 Set-AdfsProperties -AuditLevel Verbose 記錄所有事件。 此層級會記錄每個要求的大量資訊。

若要提高或降低稽核層級,請使用下列 PowerShell 命令:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

設定 ADFS 2012 R2/2016/2019 安全性記錄

  1. 選取 [開始],流覽至 >],然後選取 [本機安全策略]。

  2. 流覽至 [ 安全性設定\本機原則\用戶版權管理 ] 資料夾,然後按兩下 [ 產生安全性稽核]。

  3. 在 [ 本機安全性設定 ] 索引標籤上,確認已列出 ADFS 服務帳戶。 如果不存在,請選取 [新增使用者群組 ],並將其新增至列表,然後選取 [ 確定]。

  4. 若要啟用稽核,請使用提高的許可權開啟命令提示字元,然後執行下列命令:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. 關閉本機安全性原則

  6. 接下來,開啟 ADFS 管理嵌入式管理單元,選取 [開始],流覽至 [程式 > 管理工具],然後選取 [ADFS 管理]。

  7. 在 [動作] 窗格中,選取 [編輯同盟服務屬性]

  8. 在 [同盟服務屬性] 對話方塊中,選取 [事件] 索引標籤。

  9. 選取 [成功稽核] 和 [失敗稽核] 核取方塊。

  10. 選取 [ 確定 ] 以完成並儲存組態。

安裝 Microsoft Entra Connect Health for ADFS

Microsoft Entra Connect Health for ADFS 代理程式可讓您更瞭解同盟環境。 它提供數個預先設定的儀錶板,例如使用量、效能監控和高風險IP報告。

若要安裝 ADFS Connect Health,請流覽 使用 Microsoft Entra Connect Health 的需求,然後安裝 Azure ADFS Connect Health 代理程式

使用 ADFS高風險IP報告活頁簿設定高風險IP警示

在為 ADFS 配置 Microsoft Entra Connect Health 之後,您應該使用 ADFS 風險 IP 報告活頁簿和 Azure 監視器來監控和設置警報。 使用此報表的優點包括:

  • 偵測超過密碼型登入失敗閾值的IP位址。
  • 支援因為密碼錯誤或外部網路鎖定狀態而失敗的登入。
  • 支援透過 Azure Alerts 啟用警示。
  • 符合組織安全策略的可自定義閾值設定。
  • 可自定義的查詢和展開的視覺效果,以進行進一步分析。
  • 自 2022 年 1 月 24 日起,Risky IP 報告已被淘汰,其功能已經擴展。

在 Microsoft Sentinel 設定 SIEM 工具警示

若要設定 SIEM 工具警示,請瀏覽開箱即用警示的教學課程。

SIEM 與 適用於雲端的 Microsoft Defender Apps 整合

將安全性資訊和事件管理 (SIEM) 工具連線到 適用於雲端的 Microsoft Defender Apps,其目前支援 Micro Focus ArcSight 和一般事件格式 (CEF)。

如需詳細資訊,請參閱 泛型 SIEM 整合

SIEM 與圖形 API 整合

您可以使用下列任一選項,將 SIEM 與 Microsoft Graph 安全性 API 連線:

  • 直接使用支援的整合選項 – 請參閱支援的整合選項 清單,例如撰寫程式代碼以直接連接您的應用程式來衍生豐富的深入解析。 使用範例來開始。
  • 使用Microsoft合作夥伴所建置的原生整合和連接器 – 請參閱 Microsoft Graph 安全性 API 合作夥伴解決方案,以使用這些整合。
  • 使用Microsoft 所建置的連接器 – 請參閱您可以透過各種安全性事件和事件管理(SIEM)、安全性回應和協調流程(SOAR)、事件追蹤和服務管理 (ITSM)、報告等各種解決方案來與 API 連線的連接器清單。

如需詳細資訊,請參閱使用 Microsoft Graph 安全性 API 的安全性解決方案整合。

使用 Splunk

您也可以使用 Splunk 平台來設定警示。

工作流程

下列流程圖顯示密碼噴洒調查工作流程。

如何進行密碼噴洒調查的流程圖。

您也可以:

  • 將密碼噴灑和其他事件回應劇本工作流程下載為 PDF
  • 將密碼噴灑和其他事件回應劇本工作流程下載為 Visio 檔案

檢查清單

調查觸發因素

  • 從 SIEM、防火牆記錄或 Microsoft Entra ID 接收到觸發器
  • Microsoft Entra ID 保護的密碼攻擊防護功能或具風險的 IP
  • 大量失敗的登入 (事件識別碼 411)
  • Microsoft Entra Connect Health for ADFS 中的激增
  • 另一個安全性事件(例如網路釣魚)
  • 無法解釋的活動,例如從不熟悉的位置登入,或使用者收到非預期的 MFA 提示

調查

  • 正在收到哪些警示?
  • 您是否可以確認此攻擊是密碼噴灑?
  • 判斷攻擊的時間軸。
  • 判斷攻擊的一或多個IP位址。
  • 篩選在此時段和 IP 位址的成功登入紀錄,包括成功輸入密碼但 MFA 驗證失敗的情況。
  • 檢查 MFA 報告
  • 帳戶上是否有任何異常情況,例如新裝置、新操作系統、使用的新IP位址? 使用 適用於雲端的 Defender Apps 或 Azure 資訊保護 來偵測可疑的活動。
  • 通知地方當局/第三方尋求協助。
  • 如果您懷疑遭到入侵,請檢查數據外洩。
  • 檢查相關聯的帳戶是否有可疑行為,並尋找與其他可能的帳戶和服務以及其他惡意IP位址相互關聯。
  • 檢查在相同辦公室/委派存取中工作的任何人的帳戶 - 密碼衛生 (請確定他們未使用與遭入侵帳戶相同的密碼)
  • 執行 ADFS 說明命令

緩解措施

如需如何啟用下列功能的指引,請參閱參考一節:

復原

  • 在 Microsoft Defender for Cloud Apps、SIEM、ADFS 和 Microsoft Entra 識別中標記不良的 IP 位址
  • 檢查其他類型的信箱持續性,例如轉送規則或其他新增的委派
  • MFA 作為主要驗證
  • 設定 SIEM 與 Cloud 整合
  • 設定警示 - Identity Protection、ADFS Health Connect、SIEM 和 雲端應用程式防護
  • 學到的經驗(包括主要項目關係人、第三方、溝通小組)
  • 安全狀態審查/改善
  • 規劃執行一般攻擊模擬器

您也可以將密碼噴灑和其他事件劇本檢查清單下載為 Excel 檔案

調查步驟

密碼噴灑事件回應

讓我們先瞭解一些密碼噴灑攻擊技術,再繼續進行調查。

密碼入侵: 攻擊者猜到用戶的密碼,但由於多重要素驗證(MFA)等其他控制而無法存取帳戶。

帳戶入侵: 攻擊者猜測用戶的密碼,並取得帳戶的存取權。

環境探索

識別驗證類型

在第一個步驟中,您需要檢查您正在調查的租戶/已驗證網域所使用的身份驗證類型。

若要取得特定網域名稱的驗證狀態,請使用 Get-MgDomain PowerShell 命令。 以下是範例:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

驗證是聯邦還是受管理的?

如果驗證是聯邦的,則成功登入會儲存在 Microsoft Entra ID。 失敗的登入嘗試發生在他們的識別提供者(IDP)中。 如需詳細資訊,請參閱 AD FS疑難解答和事件記錄

如果驗證類型為僅管理型雲端、密碼雜湊同步(PHS)或透過驗證(PTA),則成功和失敗的登入記錄會儲存在 Microsoft Entra 登入記錄中。

注意

漸進式 推出 功能可讓租客網域名稱設為聯盟,但仍可管理特定的使用者。 判斷任何使用者是否為此群組的成員。

Microsoft已啟用 ADFS 的 Entra Connect Health 嗎?

ADFS 中是否已啟用進階記錄?

記錄是否儲存在 SIEM 中?

若要檢查您是否在安全性資訊和事件管理系統(SIEM)或任何其他系統中儲存和關聯日誌:

  • Log Analytics:預先建置的查詢
  • Microsoft Sentinel 預先建置的查詢
  • Splunk – 預先建置的查詢
  • 防火牆記錄
  • UAL 若為 > 30 天

瞭解 Microsoft Entra 識別碼與 MFA 報告

請務必瞭解您目前所看到的記錄,以便能夠判斷是否有入侵。 以下是瞭解Microsoft Entra 登入和 MFA 報告的快速指南:

事件觸發因素

預警觸發條件是指一個或一連串事件導致預先設定的警示啟動。 例如,超出預先定義閾值的錯誤密碼嘗試的次數。 以下是可在密碼噴灑攻擊中警示的觸發程式,以及這些警示浮出水面的進一步範例。 事件觸發因素包括:

  • 使用者

  • IP

  • 使用者代理字串

  • 日期時間

  • 異常

  • 密碼嘗試不正確

    如何追蹤錯誤密碼嘗試的螢幕快照。

活動的異常尖峰是 Microsoft Entra Health Connect 中的關鍵指標(假設已安裝此元件)。 其他指標如下:

  • 當您整理記錄時,透過 SIEM 警示顯示出一個峰值。
  • ADFS 失敗登入的記錄大小大於一般記錄大小,這可以是SIEM工具中的警示。
  • 342/411 事件識別碼數量增加 – 使用者名稱或密碼不正確。 或 516 用於外部網路封鎖。
  • 達到驗證失敗請求的閾值 – Microsoft Entra ID 或 SIEM 工具警示中的風險 IP/342 和 411 錯誤(若要檢視此資訊,應開啟進階記錄。)

Microsoft Entra Health Connect 入口網站中具風險的IP

在一小時內達到不良密碼的自定義閾值和一天中的錯誤密碼計數和外部網路鎖定時,就會發生有風險的IP警示。

具風險 IP 報告數據的螢幕快照範例。

失敗嘗試的詳細數據可在索引 標籤IP位址外部網路鎖定中取得。

IP 位址數據表的螢幕快照範例。

在 Azure Identity Protection 中偵測密碼噴灑

Azure Identity Protection 是一項Microsoft Entra ID P2 功能,具有密碼噴洒偵測風險警示和搜尋功能,可提供更多資訊或自動補救。

密碼噴洒攻擊的螢幕快照範例。

低和緩慢的攻擊指標

當帳戶鎖定或錯誤密碼的閾值未達時,即為低速攻擊指標。 您可以透過下列方式偵測這些指標:

  • GAL 順序失敗
  • 重複屬性失敗(UA、目標 AppID、IP 區塊/位置)
  • 自動噴灑器通常在兩次噴灑之間保持更固定的時間間隔。

調查與緩和措施

注意

您可以在持續進行的攻擊期間同時執行調查和緩解。

  1. 如果尚未開啟,請在ADFS中啟用進階記錄。

  2. 判斷攻擊開始的日期和時間。

  3. 從防火牆、ADFS、SIEM 或Microsoft Entra ID 判斷攻擊者 IP 位址(可能是多個來源和多個 IP 位址)。

  4. 一旦密碼噴灑確認,您可能必須通知當地機構(員警、第三方等)。

  5. 定序並監視ADFS的下列事件識別碼:

    ADFS 2012 R2

    • 稽核事件 403 – 發出請求的使用者代理
    • 稽核事件 411 – 驗證要求失敗
    • 稽核事件 516 – 外部網路鎖定
    • Audit Event 342 – 驗證要求失敗
    • 稽核事件 412 - 成功登入

  6. 若要收集 Audit Event 411 - 失敗的驗證要求, 請使用下列 腳本

    PARAM ($PastDays = 1, $PastHours)
#************************************************
#ADFSBadCredsSearch.ps1
#Version 1.0
#Date: 6-20-2016
#Author: Tim Springston [MSFT]
#Description: This script will parse the ADFS server's (not proxy) security ADFS
#for events which indicate an incorrectly entered username or password. The script can specify a
#past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
#review of UPN, IP address of submitter, and timestamp.
#************************************************
cls
if ($PastHours -gt 0)
{$PastPeriod = (Get-Date).AddHours(-($PastHours))}
else
{$PastPeriod = (Get-Date).AddDays(-($PastDays))}
$Outputfile = $Pwd.path + "\BadCredAttempts.csv"
$CS = get-wmiobject -class win32_computersystem
$Hostname = $CS.Name + '.' + $CS.Domain
$Instances = @{}
$OSVersion = gwmi win32_operatingsystem
[int]$BN = $OSVersion.Buildnumber
if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
else {$ADFSLogName = "AD FS/Admin"}
$Users = @()
$IPAddresses = @()
$Times = @()
$AllInstances = @()
Write-Host "Searching event log for bad credential events..."
if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
$Instance = New-Object PSObject
$UPN = $_.Properties[2].Value
$UPN = $UPN.Split("-")[0]
$IPAddress = $_.Properties[4].Value
$Users += $UPN
$IPAddresses += $IPAddress
$Times += $_.TimeCreated
add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
$AllInstances += $Instance
$Instance = $null
}
}
$AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
Write-Host "Data collection finished. The output file can be found at >$outputfile`."
$AllInstances = $null

ADFS 2016/2019

除了上述事件 ID,彙整 審核事件 1203 – 憑證驗證錯誤

  1. 在 ADFS(如果為同盟)上彙整這段時間的所有成功登入。 快速登入和註銷(在同一秒)可能是攻擊者成功猜測並嘗試密碼的指標。
  2. 針對同盟和受管理案例,針對此期間,將任何Microsoft Entra 成功或中斷的事件進行定序。

監視和彙整事件 ID,從 Microsoft Entra ID 中取得

瞭解如何尋找 錯誤記錄的意義。

下列來自 Microsoft Entra ID 的事件識別符相關:

  • 50057 - 用戶帳戶已停用
  • 50055 - 密碼已過期
  • 50072 - 使用者被提示提供多因素驗證
  • 50074 - 需要 MFA
  • 50079 - 用戶必須註冊安全性資訊
  • 53003 - 被條件式存取封鎖的使用者
  • 53004 - 由於可疑活動而無法設定 MFA
  • 530032 - 安全策略上的條件式存取封鎖
  • 登入狀態成功、失敗、中斷

從 Microsoft Sentinel 劇本匯整事件 ID

您可以從 GitHub 上提供的 Microsoft Sentinel 劇本範例中取得所有事件識別碼。

隔離並確認攻擊

隔離 ADFS 並Microsoft Entra 成功且中斷的登入事件。 這些是您感興趣的帳戶。

封鎖IP位址ADFS 2012R2和更新版本以進行同盟驗證。 以下是範例:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

收集ADFS記錄

在時間範圍內收集多個事件標識碼。 以下是範例:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

在 Microsoft Entra ID 中定序 ADFS 記錄

當您使用 Microsoft Entra Connect Health 時,Microsoft Entra 登入報告包含 ADFS 登入活動。 依令牌簽發者類型 「同盟」篩選登入記錄。

以下是擷取特定IP位址登入記錄的範例 PowerShell 命令:

Get-AzureADIRSignInDetail -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -IpAddress 131.107.128.76

此外,請搜尋 Azure 入口網站 以取得時間範圍、IP 位址和成功且中斷的登入,如這些影像所示。

如何選取時間範圍範圍的螢幕快照。

顯示如何在特定IP位址上搜尋登入的螢幕快照。

根據狀態搜尋登入。

然後,您可以將此數據下載為 .csv 檔案進行分析。 如需詳細資訊,請參閱 Microsoft Entra 系統管理中心的登入活動報告。

排定結果的優先順序

能夠回應最嚴重的威脅是很重要的。 此威脅可能表示攻擊者已成功取得帳戶的存取權,因此可以存取/外泄數據;攻擊者具有密碼,但可能無法存取帳戶。 例如,他們具有密碼,但未通過 MFA 挑戰。 此外,攻擊者無法正確猜測密碼,但會繼續嘗試。 在分析期間,排定這些結果的優先順序:

  • 已知攻擊者IP位址成功登入
  • 已知攻擊者IP位址中斷登入
  • 已知攻擊者IP位址的登入失敗
  • 未知的其他 IP 位址成功登入

檢查舊版驗證

大部分的攻擊都會使用舊版驗證。 有許多方式可以判斷攻擊的通訊協定。

  1. 在 Microsoft Entra ID 中,導覽至 登入 並篩選用戶端應用程式。

  2. 選取所有列出的舊版驗證通訊協定。

    顯示舊版通訊協定清單的螢幕快照。

  3. 或者,如果您有 Azure 工作區,您可以使用位於 Microsoft Entra 系統管理中心 [監視和活頁簿] 下的預建舊版驗證活頁簿。

    顯示舊版驗證活頁簿的螢幕快照。

封鎖管理方案的 IP 位址 Microsoft Entra ID(PHS 包括預備)

  1. 導航至 新增具名位置

    新具名位置的螢幕快照範例。

  2. 建立 CA 原則,以鎖定所有應用程式,並僅封鎖此具名位置。

使用者之前是否已使用此作業系統、IP、ISP、裝置或瀏覽器?

如果他們尚未這麼做且此活動不尋常,請為使用者加上旗標並調查其所有活動。

IP 是否標示為「具風險」?

請確定您記錄成功密碼但 MFA 回應失敗,因為此活動指出攻擊者正在取得密碼,但未通過 MFA。

請排除任何看起來正常的登入帳戶,例如,已通過 MFA、位置和 IP 都屬正常的。

MFA 報告

請務必檢查 MFA 記錄,以判斷攻擊者是否猜到密碼,但 MFA 提示失敗。 當系統提示用戶進行多重要素驗證時,Microsoft Entra 多重要素驗證記錄會顯示事件的驗證詳細數據。 檢查並確保 Microsoft Entra ID 中沒有大型可疑的多因素驗證 (MFA) 日誌。 如需詳細資訊,請參閱 如何使用登入報告來檢閱Microsoft Entra 多重要素驗證事件

額外檢查

在 適用於雲端的 Defender Apps 中,調查遭入侵帳戶的活動和檔案存取。 如需詳細資訊,請參閱

檢查使用者是否可以存取更多資源,例如虛擬機(VM)、網域帳戶許可權、記憶體等。 如果有數據外洩,您應該通知更多機構,例如警方。

立即補救動作

  1. 更改您懷疑已被入侵或其密碼已被發現的任何帳戶的密碼。 此外,請封鎖使用者。 請確定您遵循撤銷緊急存取的指導方針
  2. 將任何遭入侵的帳戶標示為Microsoft Entra ID Identity Protection 中的「入侵」。
  3. 封鎖攻擊者的IP位址。 在執行此動作時請小心,因為攻擊者可以使用合法的 VPN,而且在變更 IP 位址時可能會產生更多風險。 如果您使用雲端驗證,請封鎖 適用於雲端的 Defender Apps 或 Microsoft Entra 識別碼中的 IP 位址。 如果同盟,您必須封鎖ADFS服務前方防火牆層級的IP位址。
  4. 如果正在使用舊版驗證,請封鎖舊版驗證 (不過,此動作可能會影響業務)。
  5. 如果尚未完成,請啟用 MFA
  6. 啟用身分識別保護以管理用戶風險和登入風險
  7. 檢查遭入侵的數據(電子郵件、SharePoint、OneDrive、應用程式)。 請參閱如何在 適用於雲端的 Defender Apps 中使用活動篩選。
  8. 維護密碼衛生。 如需詳細資訊,請參閱 Microsoft Entra 密碼保護

復原

密碼保護

啟用自定義禁用密碼清單,在 Microsoft Entra ID 和內部部署上實作密碼保護。 此設定可防止使用者設定與貴組織相關聯的弱式密碼或密碼:

如何啟用密碼保護的螢幕快照。

如需詳細資訊,請參閱 如何防禦密碼噴灑攻擊

標記IP位址

在雲端應用程式防禦者中將 IP 位址標記,以接收未來使用的警報:

如何標記IP位址的螢幕快照範例。

標記IP位址

在雲端應用程式防護中,將 IP 位址標記到指定的 IP 範圍,並為此 IP 範圍設定警示,以便日後參考和加速回應。

設定IP位址警示的螢幕快照範例。

設定特定IP位址的警示

設定警示

視組織需求而定,您可以設定警示。

在您的 SIEM 工具中設定警示,並查看如何改善日誌記錄中的差距。 整合 ADFS、Microsoft Entra ID、Office 365 和雲端應用程式防護記錄。

在ADFS Health Connect和 Risky IP 入口網站中設定臨界值和警示。

如何設定臨界值設定的範例。

設定通知的螢幕快照範例。

請參閱如何在 Identity Protection 入口網站中設定警示。

使用條件式存取或身分識別保護設定登入風險原則

  • 教育終端使用者、重要項目關係人、前線作業、技術小組、網路安全與通訊小組
  • 檢閱安全性控制,並進行必要的變更,以改善或強化組織內的安全性控制
  • 建議 Microsoft Entra 配置評估
  • 執行一般 攻擊模擬器 練習

參考資料

必要條件

緩解措施

復原

額外的事件回應劇本

檢查識別和調查這些額外攻擊類型的指引:

事件回應資源