Анализ атак с использованием распыления паролей

В этой статье приводятся рекомендации по выявлению и расследованию атак с распыления паролем в организации и принятии необходимых действий по исправлению для защиты информации и минимизации дополнительных рисков.

Эта статья состоит из следующих разделов:

• Предварительные требования: охватывает перечень конкретных требований, которые необходимо выполнить перед началом расследования. Например, нужно включить ведение журналирования, а также предусмотреть необходимые роли и разрешения, среди прочего.
• Рабочий процесс: отображает логический процесс, которому необходимо следовать, чтобы провести расследование.
• Контрольный список: содержит список задач для каждого из этапов блок-схемы. Этот контрольный список может быть полезным в условиях строгого регулирования, чтобы проверить, что вы сделали, или просто как проверку качества для себя.
• Этапы расследования: включает подробное пошаговое руководство для целей конкретного расследования.
• Восстановление: содержит подробные инструкции по восстановлению/смягчению последствий атаки с использованием спрея паролей.
• Ссылки: содержит дополнительные справочные материалы.

Требования

Перед началом исследования убедитесь, что вы выполнили настройку журналов и оповещений и других системных требований.

Для мониторинга Microsoft Entra следуйте нашим рекомендациям и инструкциям в Руководстве по Microsoft Entra SecOps.

Настройка ведения журнала AD FS

Ведение журнала событий в ADFS 2016

По умолчанию для служб федерации Microsoft Active Directory (ADFS) в Windows Server 2016 включен базовый уровень аудита. При базовом аудите администраторы могут видеть пять или меньше событий для одного запроса. Задайте для ведения журнала наивысший уровень и отправьте журналы AD FS (& security) в SIEM для сопоставления с проверкой подлинности AD и идентификатором Microsoft Entra.

Чтобы просмотреть текущий уровень аудита, используйте следующую команду PowerShell:

Get-AdfsProperties

В этой таблице перечислены доступные уровни аудита.

Чтобы повысить или понизить уровень аудита, воспользуйтесь данной командой PowerShell:

Set-AdfsProperties -AuditLevel <None | Basic | Verbose>

Настройка ведения журнала безопасности ADFS 2012 R2/2016/2019

1. Выберите "Пуск", перейдите к > администрирования программ и выберите "Локальная политика безопасности".

2. Перейдите в папку "Параметры безопасности\Локальные политики\Управление правами пользователя", а затем дважды щелкните " Создать аудит безопасности".

3. На вкладке Настройка локальной безопасности убедитесь, что учетная запись службы ADFS указана в списке. Если он отсутствует, выберите "Добавить пользователя или группу" и добавьте его в список, а затем нажмите кнопку "ОК".

4. Чтобы включить аудит, откройте командную строку с повышенными привилегиями и выполните следующую команду:

   auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
   

5. Закройте вкладку Параметры локальной безопасности.

6. Затем откройте оснастку управления ADFS, выберите "Пуск", перейдите к Программы > Служебные программы, а затем выберите ADFS Management.

7. На панели Действия выберите действие Изменить свойства службы федерации.

8. В диалоговом окне Свойства службы федерации выберите вкладку События.

9. Установите флажки Success audits (Успешные события аудита) и Failure audits (Неудачные события аудита).

10. Нажмите кнопку "ОК" , чтобы завершить и сохранить конфигурацию.

Установка Microsoft Entra Connect Health для ADFS

Агент Microsoft Entra Connect Health для ADFS позволяет получить лучший обзор вашей среды федерации. Он предоставляет несколько предварительно настроенных панелей мониторинга, таких как использование, мониторинг производительности и рискованные IP-отчеты.

Чтобы установить ADFS Connect Health, ознакомьтесь с требованиями к использованию Microsoft Entra Connect Health, а затем установите Агент работоспособности Azure ADFS Connect.

Настройка оповещений о рискованных IP-адресах с помощью книги отчетов ADFS Risky IP

После настройки Microsoft Entra Connect Health для ADFS необходимо отслеживать и настраивать оповещения с помощью книги отчетов ADFS Risky IP и Azure Monitor. Преимущества использования этого отчета:

• Обнаружение IP-адресов, которые превышают пороговое значение неудачных попыток входа с использованием пароля.
• Поддерживает неудачные попытки входа из-за неверного пароля или из-за блокировки экстрасети.
• Поддерживает включение оповещений с помощью оповещений Azure.
• Настраиваемые параметры порогового значения, соответствующие политике безопасности организации.
• Настраиваемые запросы и развернутые визуализации для дальнейшего анализа.
• Расширенная функциональность из предыдущего отчета о рискованных IP-адресах, которая устарела с 24 января 2022 г.

Настройка оповещений средств SIEM в Microsoft Sentinel

Чтобы настроить оповещения инструмента SIEM, просмотрите руководство по готовым оповещениям.

Интеграция SIEM с приложениями Microsoft Defender для облака

Подключите средство управления сведениями и событиями безопасности (SIEM) к Microsoft Defender для облачных приложений, которые в настоящее время поддерживают Micro Focus ArcSight и универсальный общий формат событий (CEF).

Для получения дополнительной информации см. Общая интеграция SIEM.

Интеграция SIEM с Graph API

Вы можете подключить SIEM к Microsoft Graph Security API, воспользовавшись одним из следующих вариантов:

• Непосредственное использование поддерживаемых опций интеграции – обратитесь к списку поддерживаемых опций интеграции, например напишите код для прямого подключения вашего приложения, чтобы получить подробные сведения. Используйте примеры для начала работы.
• Используйте встроенные интеграции и соединители, созданные партнерами Microsoft – обратитесь к партнерским решениям Microsoft Graph Security API, чтобы использовать эти интеграции.
• Используйте соединители, созданные корпорацией Майкрософт . Ознакомьтесь со списком соединителей, которые можно использовать для подключения к API с помощью различных решений для управления инцидентами безопасности и событиями (SIEM), реагирования на безопасность и оркестрации (SOAR), отслеживания инцидентов и управления службами (ITSM), отчетов и т. д.

Дополнительные сведения см. в статье об интеграции решений безопасности с помощью API безопасности Microsoft Graph.

Использование Splunk

Вы также можете использовать платформу Spunk для настройки предупреждений.

• Посмотрите это видео учебное пособие по созданию оповещений Splunk.
• Для получения дополнительной информации см. руководство по оповещению Splunk.

Рабочий процесс

В следующей блок-схеме показан рабочий процесс исследования спрея паролей.

Кроме того, вы можете сделать следующее:

• Скачайте рабочие процессы сборника схем со способами реагирования на распыление пароля и другие инциденты в виде PDF-файла.
• Скачайте рабочие процессы сборника схем со способами реагирования на распыление пароля и другие инциденты в виде файла Visio.

Контрольный список

Триггеры расследования

• Получен триггер из SIEM, журналов брандмауэра или идентификатора Microsoft Entra
• функция Защита идентификации Microsoft Entra спрей паролей или рискованные IP-адреса
• Большое количество неудачных попыток входа (событие с кодом 411)
• Всплеск в Microsoft Entra Connect Health для ADFS
• Другой инцидент безопасности (например, фишинг)
• Необъяснимая активность – вход из незнакомого места или пользователь получает неожиданные запросы MFA.

Исследование

• О чем говорится в оповещении?
• Можно ли подтвердить, что эта атака является распылением паролей?
• Определите график атаки.
• Определите один или несколько IP-адресов атаки.
• Отфильтруйте успешные входы в систему за этот период времени и по этому IP-адресу, включая ввод правильного пароля, но неудачную многофакторную аутентификацию.
• Проверьте отчеты MFA
• Имеется ли в учетной записи что-нибудь нестандартное, например новое устройство, новая ОС, новый IP-адрес? Используйте Defender для облачных приложений или Azure Information Protection, чтобы обнаруживать подозрительные действия.
• Обратитесь к местным властям/третьим лицам за помощью.
• Если вы подозреваете, что безопасность нарушена, проверьте не были ли украдены данные.
• Проверьте связанную учетную запись на предмет подозрительного поведения и сопоставьте ее с другими возможными учетными записями и службами, а также с другими вредоносными IP-адресами.
• Проверьте учетные записи всех, кто работает в одном офисе или делегированном доступе — гигиена паролей (убедитесь, что они не используют тот же пароль, что и скомпрометированная учетная запись).
• Откройте справку ADFS.

Устранение проблем

Ознакомьтесь с разделом "Ссылки", чтобы узнать, как включить следующие функции:

• Заблокируйте IP-адрес злоумышленника (следить за изменениями другого IP-адреса)
• Изменен пароль пользователя из-за подозрения на утечку.
• Включите блокировку экстрасети ADFS
• Отключите устаревшую аутентификацию
• Включена функция Azure Identity Protection (политики входа и рисков для пользователей)
• Включена функция MFA (если не была включена до этого)
• Включена защита паролем
• Разверните Microsoft Entra Connect Health для ADFS (если еще не развернуто)

Восстановление

• Помечать плохой IP-адрес в Microsoft Defender для облачных приложений, SIEM, ADFS и Microsoft Entra ID.
• Проверьте наличие других форм сохраняемости почтовых ящиков, таких как правила пересылки или другие делегирования.
• MFA как первичная аутентификация
• Настройте интеграцию SIEM с облаком
• Настройка оповещений — защита идентификации, отслеживание работоспособности ADFS, SIEM и Defender for Cloud Apps
• Уроки, полученные (включая ключевых заинтересованных лиц, третьих сторон, информационных групп)
• Обзор/улучшения состояния безопасности
• Запланируйте запуск регулярных симуляторов атак

Вы также можете скачать контрольные списки по распылению пароля и другим инцидентам из сборника схем реагирования в виде файла Excel.

Шаги для исследования

Ответ на инцидент с распылением пароля

Давайте поймем несколько методов атаки с применением паролей, прежде чем продолжить расследование.

Компрометация паролей: злоумышленник угадал пароль пользователя, но не смог получить доступ к учетной записи из-за других элементов управления, таких как многофакторная проверка подлинности (MFA).

Компрометация учетной записи: злоумышленник угадал пароль пользователя и получил доступ к учетной записи.

Обнаружение среды

Определите тип аутентификации

Первым шагом необходимо проверить, какой тип аутентификации используется для арендатора/проверенного домена, который вы исследуете.

Чтобы получить состояние проверки подлинности для определенного доменного имени, используйте команду Get-MgDomain PowerShell. Приведем пример:

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -DomainId "contoso.com"

Проверка подлинности является федеративной или управляемой?

Если проверка подлинности федеративна, успешные входы хранятся в идентификаторе Microsoft Entra. Неудачные попытки входа находятся в их поставщике идентификации (IDP). Дополнительные сведения см. в статье об устранении неполадок AD FS и ведении журнала событий.

Если тип проверки подлинности управляется только в облаке, синхронизация хэша паролей (PHS) или сквозная проверка подлинности (PTA) — то успешные и неудачные входы хранятся в журналах входа Microsoft Entra.

Включена ли служба Microsoft Entra Connect Health для ADFS?

• Отчет RiskyIP предоставляет подозрительные IP-адреса и дату и время. Уведомления должны быть включены.
• Также необходимо ознакомиться с расследованием федеративных входов в систему из руководства по фишингу

Включено ли расширенное ведение журнала в ADFS?

• Этот параметр является обязательным требованием для ADFS Connect Health, но его можно включить независимо
• Узнайте, как включить ADFS Health Connect)
• Также необходимо ознакомиться с расследованием федеративных входов в систему из руководства по фишингу

Журналы хранятся в SIEM?

Чтобы проверить, храните ли вы и сопоставляете журналы в системе управления сведениями и событиями безопасности (SIEM) или в любой другой системе:

• Log Analytics— предварительно созданные запросы
• Предварительно созданные запросы Microsoft Sentinel
• Splunk — предварительно созданные запросы
• Журналы брандмауэра
• UAL, если > 30 дней

Общие сведения о Microsoft Entra ID и отчетах о многофакторной аутентификации (MFA)

Важно понимать журналы, которые вы видите, чтобы определить компромисс. Представляем краткие руководства по пониманию входов в Microsoft Entra и отчетов по многофакторной аутентификации (МФА):

• Отчетность MFA
• Понимание процесса входа

Триггеры инцидентов

Триггер инцидента представляет собой событие или серия событий, которые вызывают срабатывание предопределенного предупреждения. Примером является число неудачных попыток пароля выше заданного порогового значения. Ниже приведены дополнительные примеры триггеров, которые могут быть оповещены в атаках с распыления паролем и где отображаются эти оповещения. Триггеры инцидента включают следующее:

• Пользователи

• IP-адрес

• Строки пользовательского агента

• Дата/время

• Аномалии

• Неправильные попытки ввода пароля

  

Необычные пики активности являются ключевыми индикаторами через Microsoft Entra Health Connect (при условии, что этот компонент установлен). Другие индикаторы:

• Уведомления через SIEM выявляют всплеск при сопоставлении журналов.
• Размер журнала больше обычного для неудачных входов в ADFS, что может быть оповещением в средстве SIEM.
• Увеличено количество идентификаторов событий 342/411: неверное имя пользователя или пароль. Или 516 для блокировки экстрасети.
• Достигнут порог неудачных попыток аутентификации — рискованный IP-адрес в идентификаторе Microsoft Entra ID или оповещении инструмента SIEM, а также ошибки 342 и 411 (для просмотра этой информации необходимо, чтобы было включено расширенное ведение журнала).

Рискованные IP-адреса на портале Microsoft Entra Health Connect

Оповещения о рискованных IP-адресах возникают при достижении настраиваемого порога для неправильных паролей в час и количество неправильных паролей в день и блокировках экстрасети.

Подробная информация о неудачных попытках доступна на вкладках IP-адрес и блокировки экстрасети.

Обнаружение случая распыления паролей в Azure Identity Protection

Защита идентификации Azure — это функция Microsoft Entra ID P2, включающая оповещение о рисках, связанных с обнаружением атак разного рода на пароли, и инструмент поиска, который предоставляет дополнительную информацию или автоматически выполняет исправление.

Низкие и медленные показатели атаки

Медленные и слабые признаки атаки проявляются, когда пороговые значения для блокировки учетной записи или неправильных паролей не достигаются. Вы можете обнаружить данные индикаторы через:

• Сбои в порядке GAL
• Сбои с повторяющимися атрибутами (UA, целевой AppID, IP-блок/местоположение)
• Время - автоматические спреи, как правило, имеют более регулярный интервал времени между попытками.

Расследование и смягчение последствий

1. Включите расширенное ведение журнала в ADFS, если оно еще не включено.

2. Определите дату и время начала атаки.

3. Определите IP-адрес злоумышленника (может быть от нескольких источников и включать несколько IP-адресов) из брандмауэра, ADFS, SIEM или Microsoft Entra ID.

4. После подтверждения атаки методом подбора паролей вам, возможно, придется сообщить в местные органы, такие как полиция.

5. Подбирайте и отслеживайте следующие идентификаторы событий для ADFS:

   ADFS 2012 R2

   • Событие аудита 403 – пользовательский агент составляет запрос
   • Событие аудита 411 – неудачные запросы аутентификации
   • Событие аудита 516 – блокировка экстрасети
   • Событие аудита 342 – неудачные запросы аутентификации
   • Событие аудита 412 — успешный вход

6. Чтобы собрать Событие аудита 411 – неудачные запросы аутентификации, воспользуйтесь следующим сценарием:

   PARAM ($PastDays = 1, $PastHours)
   #************************************************
   #ADFSBadCredsSearch.ps1
   #Version 1.0
   #Date: 6-20-2016
   #Author: Tim Springston [MSFT]
   #Description: This script will parse the ADFS server's (not proxy) security ADFS
   #for events which indicate an incorrectly entered username or password. The script can specify a
   #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for
   #review of UPN, IP address of submitter, and timestamp.
   #************************************************
   cls
   if ($PastHours -gt 0)
   {$PastPeriod = (Get-Date).AddHours(-($PastHours))}
   else
   {$PastPeriod = (Get-Date).AddDays(-($PastDays))}
   $Outputfile = $Pwd.path + "\BadCredAttempts.csv"
   $CS = get-wmiobject -class win32_computersystem
   $Hostname = $CS.Name + '.' + $CS.Domain
   $Instances = @{}
   $OSVersion = gwmi win32_operatingsystem
   [int]$BN = $OSVersion.Buildnumber
   if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"}
   else {$ADFSLogName = "AD FS/Admin"}
   $Users = @()
   $IPAddresses = @()
   $Times = @()
   $AllInstances = @()
   Write-Host "Searching event log for bad credential events..."
   if ($BN -ge 9200) {Get-Winevent -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} | % {
   $Instance = New-Object PSObject
   $UPN = $_.Properties[2].Value
   $UPN = $UPN.Split("-")[0]
   $IPAddress = $_.Properties[4].Value
   $Users += $UPN
   $IPAddresses += $IPAddress
   $Times += $_.TimeCreated
   add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN
   add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress
   add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString()
   $AllInstances += $Instance
   $Instance = $null
   }
   }
   $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation
   Write-Host "Data collection finished. The output file can be found at >$outputfile`."
   $AllInstances = $null
   

ADFS 2016/2019

Наряду с указанными выше идентификаторами событий сопоставьте Событие аудита 1203 - новая ошибка проверки учетных данных.

1. Сопоставьте все успешные входы за это время в ADFS (если они являются федеративными). Быстрый вход и выход из системы (в один и тот же момент времени) может быть индикатором того, что пароль был успешно угадан и используется злоумышленником.
2. Собрать все успешные или прерванные события Microsoft Entra в течение этого периода времени для федеративных и управляемых сценариев.

Мониторинг и сортировка идентификаторов событий из идентификатора Microsoft Entra

Узнайте, как узнать значение журналов ошибок.

Соответствующие идентификаторы событий из Microsoft Entra ID:

• 50057 - Учетная запись пользователя отключена
• 50055 - Срок действия пароля истек
• 50072 — пользователю предложено предоставить многофакторную аутентификацию
• 50074 - требуется наличие MFA
• 50079 - пользователю необходимо зарегистрировать сведения о безопасности
• 53003 - Пользователь заблокирован условным доступом
• 53004 — не удается настроить MFA из-за подозрительного действия
• 530032 - Заблокировано условным доступом в политике безопасности
• Статус входа Успех, Ошибка, Прерывание

Собрать идентификаторы событий из плейбука Microsoft Sentinel

Вы можете получить все идентификаторы событий из сборника схем Microsoft Sentinel, который доступен на сайте GitHub.

Изолирование и подтверждение атаки

Изолируйте события успешного и прерванного входа ADFS и Microsoft Entra. Это интересующие вас учетные записи.

Заблокируйте IP-адрес ADFS 2012R2 и выше для федеративной проверки подлинности. Приведем пример:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Сбор журналов ADFS

Соберите несколько идентификаторов событий в течение определенного периода времени. Приведем пример:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Сбор журналов ADFS в Microsoft Entra ID

Отчеты о входе в Microsoft Entra включают записи о действиях входа ADFS при использовании Microsoft Entra Connect Health. Отфильтруйте журналы входов по типу эмитента токена «Федеративный».

Ниже приведен пример команды PowerShell для получения журналов входа для определенного IP-адреса:

Get-AzureADIRSignInDetail -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -IpAddress 131.107.128.76

Помимо этого, найдите на портале Azure временные рамки, IP-адрес и успешный или прерванный вход, как показано на этих изображениях.

После этого вы можете загрузить эти данные в виде файла .csv для анализа. Для получения дополнительных сведений см. отчеты о действиях входа в Центре администрирования Microsoft Entra.

Расстановка приоритетов в результатах

Важно иметь возможность реагировать на наиболее критичную угрозу. Эта угроза может указать, что злоумышленник успешно получил доступ к учетной записи и поэтому может получить доступ к данным и выфильтровать их; Злоумышленник имеет пароль, но может не иметь доступа к учетной записи. Например, у них есть пароль, но они не могут пройти проверку многофакторной аутентификации (MFA). Кроме того, злоумышленник не мог правильно угадать пароли, но продолжать пытаться. Во время анализа необходимо расставить приоритеты в следующих результатах:

• Успешный вход по известному IP-адресу злоумышленника
• Прерванный вход по известному IP-адресу злоумышленника
• Неудачный вход с известного IP-адреса злоумышленника
• Успешные входы с других неизвестных IP-адресов

Проверка устаревшей аутентификации

В большинстве атак используется устаревшая процедура проверки подлинности. Существует множество способов определения протокола атаки.

1. В Microsoft Entra ID перейдите к Входы и задайте фильтр по Клиентскому приложению.

2. Выберите все перечисленные устаревшие протоколы аутентификации.

   

3. Или если у вас есть рабочая область Azure, вы можете использовать предварительно созданную книгу проверки подлинности, расположенную в Центре администрирования Microsoft Entra в разделе "Мониторинг и книги".

   

Блокировка Microsoft Entra ID для управляемого сценария (PHS, включая промежуточное размещение)

1. Перейдите к новым именованным местоположениям.

   Пример снимка экрана нового именованного местоположения.

2. Создайте политику условного доступа, чтобы нацелить на все приложения и заблокировать только для этого именованного местоположения.

Использовал ли пользователь эту операционную систему, IP-адрес, интернет-провайдера, устройство или браузер раньше?

Если они этого не сделали, и это действие необычно, отметьте пользователя и исследуйте все его действия.

Помечен ли IP-адрес как "рискованный"?

Убедитесь, что вы записываете успешные пароли, но также зафиксируйте неудачные попытки многофакторной аутентификации (MFA), так как это действие указывает, что злоумышленник получает пароль, но не проходит многофакторную аутентификацию.

Не учитывайте любую учетную запись, которая выглядит как обычная попытка входа, например, прошедшие проверку MFA, с обычным местоположением и IP-адресом.

Отчетность MFA

Важно также проверить журналы MFA, чтобы определить, угадал ли злоумышленник пароль, но не проходит запрос MFA. В журналах многофакторной проверки подлинности Microsoft Entra отображаются сведения о проверке подлинности для событий, когда пользователю предлагается многофакторная проверка подлинности. Проверьте и убедитесь, что в Microsoft Entra ID нет большого объема подозрительных журналов MFA. Дополнительные сведения см. в разделе о том, как использовать отчет о входах для просмотра событий многофакторной аутентификации Microsoft Entra.

Дополнительные проверки

В Защитнике облачных приложений исследуйте действия и доступ к файлам скомпрометированной учетной записью. Дополнительные сведения см. в разделе:

• Изучение компрометации с помощью приложений Defender для облака
• Изучение аномалий с помощью приложений Defender для облака

Проверьте, имеет ли пользователь доступ к дополнительным ресурсам, таким как виртуальные машины, разрешения учетной записи домена, хранилище, среди прочего. Если произошла утечка данных, вы должны уведомить больше организаций, таких как полиция.

Немедленные корректирующие действия

1. Измените пароль любой учетной записи, в отношении которой вы подозреваете взлом, или если пароль учетной записи был обнаружен. Также следует заблокировать пользователя. Убедитесь, что вы следуете инструкциям по отмене экстренного доступа.
2. Помечайте любую скомпрометированную учетную запись как скомпрометированную в Службе защиты идентификаторов Microsoft Entra ID.
3. Заблокируйте IP-адрес злоумышленника. Будьте осторожны при выполнении этого действия, так как злоумышленники могут использовать законные виртуальные сети и могут создавать больше рисков, так как они также изменяют IP-адреса. Если вы используете аутентификацию в облаке, заблокируйте IP-адрес в Defender для облачных приложений или в Microsoft Entra ID. В случае объединения необходимо заблокировать IP-адрес на уровне брандмауэра перед службой ADFS.
4. Блокировать устаревшую проверку подлинности , если она используется (однако это действие может повлиять на бизнес).
5. Включите MFA , если это еще не сделано.
6. Включите защиту личных данных, чтобы избежать риска для пользователя и входа в систему
7. Проверьте скомпрометированные данные (сообщения электронной почты, SharePoint, OneDrive, приложения). Узнайте, как использовать фильтр действий в приложениях Defender для облака.
8. Соблюдайте гигиену паролей. Дополнительные сведения см. в разделе "Защита паролей Microsoft Entra".

Восстановление

Защита паролем

Реализуйте защиту паролей на идентификаторе Microsoft Entra и локальной среде, включив настраиваемые списки паролей, запрещенных. Эта конфигурация запрещает пользователям устанавливать слабые пароли или пароли, связанные с вашей организацией:

Для получения дополнительной информации см. раздел как защититься от атак с использованием паролей.

Маркировка IP-адреса

Пометьте IP-адреса в приложениях Defender для облака для получения оповещений, связанных с будущим использованием:

Пометка IP-адресов

В Defender для облачных приложений присвойте IP-адресам метку для области IP-адресов и настройте оповещение для этого диапазона IP-адресов для последующего использования и ускоренного реагирования.

Настройка предупреждений для определенного IP-адреса

Настройка оповещений

В зависимости от потребностей вашей организации вы можете настроить оповещения.

Настройте оповещения в своем инструменте SIEM и посмотрите, как уменьшить пропуски в журналах. Интегрируйте ADFS, Microsoft Entra ID, Office 365 и Defender для облачных приложений в систему логирования.

Настройте порог и предупреждения на портале ADFS Health Connect и Risky IP.

Узнайте, как настроить оповещения на портале Identity Protection.

Настройте политики риска входа в систему с помощью условного доступа или защиты личных данных

• Настройте риск входа
• Настройка пользовательского риска
• Настройка оповещений политики в приложениях Defender для облака

Рекомендуемая защита

• Обучение конечных пользователей, ключевых заинтересованных сторон, фронтовых операционных команд, технических команд, команд кибербезопасности и связистов.
• Изучите контроль безопасности и внесите необходимые изменения, чтобы улучшить или усилить контроль безопасности в вашей организации
• Предложите провести оценку конфигурации Microsoft Entra
• Выполняйте регулярные упражнения на симуляторе атаки

Ссылки

Предварительные требования

• Оповещения Microsoft Sentinel
• Интеграция SIEM с приложениями Defender для облака
• Интеграция SIEM с Graph API
• Руководство по оповещению Splunk
• Установка ADFS Health Connect
• Общие сведения о журналах входа в Microsoft Entra
• Общие сведения об отчетности MFA

Устранение проблем

• Устранение проблем с распылением паролей
• Включение функции защиты паролем
• Блокировать устаревшую аутентификацию
• Блокировка IP-адреса в ADFS
• Контроль доступа (включая блокировку IP-адресов) ADFS v3
• Защита паролем ADFS
• Включите блокировку экстрасети ADFS
• MFA как первичная аутентификация
• Включить защиту идентификации
• Справочник по действиям аудита Microsoft Entra
• Схема журналов аудита Microsoft Entra
• Схема журналов входа Microsoft Entra
• Graph API журнала аудита Microsoft Entra
• Оповещения о рискованном IP-адресе

Восстановление

• Интеграция инструментов SIEM
• Создание оповещений для Defender for Cloud Apps
• Создание оповещений о рискованных IP-адресах и ADFS Health Connect
• Оповещения о защите личных данных
• Симулятор атаки

Дополнительные сборники схем реагирования на инциденты

Ознакомьтесь с рекомендациями по выявлению и изучению этих дополнительных типов атак:

• Фишинг
• Согласие на доступ для приложения

Ресурсы по реагированию на инциденты

• Обзор продуктов и ресурсов безопасности Майкрософт для новых сотрудников и опытных аналитиков
• Планирование для центра информационной безопасности (SOC)
• Инцидентная реакция Microsoft Defender XDR
• Microsoft Defender для облака (Azure)
• Реагирование на инциденты Microsoft Sentinel
• Руководство группы реагирования на инциденты Майкрософт предоставляет рекомендации для групп безопасности и лидеров
• Руководства по реагированию на инциденты Майкрософт помогают командам безопасности анализировать подозрительные действия