Сборник плана кражи токенов

Эта статья и ее сопутствующее дерево решений предоставляют рекомендации для аналитиков безопасности и реагирующих на инциденты по выявлению и расследованию атак кражи токенов в организации. Поскольку организации повышают уровень безопасности, субъекты угроз используют более сложные методы для компрометации ресурсов. Быстрый ответ необходим для расследования, сдерживания и устранения ущерба, полученного из-за кражи токенов.

Атака хищения токенов происходит, когда злоумышленники компрометируют и воспроизводят токены, выданные пользователю, даже если этот пользователь прошел многофакторную аутентификацию. Так как требования к проверке подлинности выполнены, субъект угроз получает доступ к ресурсам организации с помощью украденного маркера.

Подробнее:

Требования

  • Доступ к идентификатору Microsoft Entra ID и журналам аудита для пользователей и субъектов-служб
  • Учетная запись с назначенной одной из следующих ролей Microsoft Entra:
    • Администратор безопасности
    • Читатель сведений о безопасности
    • Глобальный читатель
    • Оператор безопасности

Рекомендации

Хотя это не обязательно, рекомендуется:

Требования

Настройка SIEM

Средства управления безопасностью и событиями (SIEM), такие как Microsoft Sentinel, имеют централизованную видимость журнала. Настройте SIEM для приема событий риска:

  • Журналы входа и журналы аудита
  • Интеграция Microsoft Sentinel (Превью) описывает, как интегрировать Microsoft Defender для облачных приложений с Microsoft Sentinel (масштабируемым облачным SIEM и SOAR) для централизованного мониторинга оповещений и данных обнаружения.
  • Журналы входа в Office и журналы аудита
  • Настройка соответствующих оповещений

Подробнее:

Настройте правила Microsoft Sentinel (или сторонней SIEM) для обнаружения угроз и реагирования, следуя инструкциям в статье "Готовое решение по обнаружению угроз".

Подробнее:

  • Настройте оповещения Microsoft Entra ID Protection. Практическое руководство: Экспорт данных риска описывает, как за счет изменения настроек диагностики в идентификационной системе Microsoft Entra можно хранить данные в течение более длительных периодов, отправляя данные о RiskyUsers, UserRiskEvents, RiskyServicePrincipals и ServicePrincipalRiskEvents в рабочую область Log Analytics, архивируя данные в учетной записи хранения, передавая данные в концентратор событий или отправляя данные в партнерское решение.

Интеграция SIEM с приложениями Microsoft Defender для облака

Microsoft Defender для облачных приложений и Microsoft Sentinel подключены по умолчанию. Если вы не используете Microsoft Sentinel, подключите SIEM к Microsoft Defender для облачных приложений, которые поддерживают Microsoft Sentinel, ArcSight by Open Text и общий формат событий (CEF).

Подробнее:

Интеграция SIEM с API Microsoft Graph

Подключите SIEM к API безопасности Microsoft Graph.

  • Поддерживаемые варианты интеграции— написание кода для подключения приложения к получению аналитических сведений. Обзор API безопасности Microsoft Graph описывает ключевые функции и предоставляет примеры кодов.
  • Собственные интеграции и соединители , созданные партнерами Майкрософт
  • Коннекторы — для работы с API через решения SIEM, автоматизацию реакций в оркестрации безопасности (SOAR), отслеживание инцидентов и управление услугами (ITSM), создание отчетов и т. д.

Исследования

Ознакомьтесь со следующими разделами, чтобы ознакомиться с инструкциями по триггерам, контрольным спискам исследования и т. д. Используйте дерево принятия решений для кражи токенов workflow, чтобы помочь в вашем расследовании и принятии решений.

Триггеры расследования

Каждая организация имеет типичные сценарии с нетипичными сценариями. Используйте следующий контрольный список исследования, чтобы определить триггеры или необычные действия для:

  • Удостоверения
  • Журналы авторизации
  • Журналы аудита
  • Приложения Office
  • Устройства, связанные с затронутыми пользователями

Если эти действия пользователя подтверждены, нет нарушения. Если они не могут быть подтверждены как допустимые, считать, что произошло нарушение безопасности, и приступить к действиям по его устранению. Обнаружение попыток кражи токенов путем поиска и исследования типов событий на портале Microsoft Sentinel или в SIEM.

Подробнее:

Убедитесь, что вы получаете оповещения для следующих событий, которые могут указывать на атаку кражи токенов.

Функция Защита идентификации Microsoft Entra имеет следующие триггеры:

  • Аномальный токен (обнаружение в автономном режиме) — обнаруженные нетипичные характеристики токена или токен, используемый из незнакомого местоположения. Алгоритмы, обнаруживающие это поведение, используют данные из идентификатора Microsoft Entra с свойствами Microsoft 365. Данное обнаружение указывает, воспроизводит ли злоумышленник токен.

  • Незнакомые параметры входа — вход является аномальным при сравнении с историей входов. Это событие возникает, когда свойства входа пользователя незнакомы.

  • Незнакомый вход — происходит неинтерактивный вход. Повышение контроля над незнакомыми входами, особенно при обнаружении с подозрительными устройствами. Мы рекомендуем немедленно обратить внимание на обнаружение неинтерактивных входов.

  • Попытка доступа к первичному маркеру обновления (PRT) — в Windows 10 и 11, Microsoft Defender для защиты конечных устройств обнаруживает подозрительный доступ к PRT и связанным артефактам. Обнаружение передается в оценку риска Microsoft Entra, которая управляет условным доступом к ресурсам. Это обнаружение имеет небольшой объем и происходит нечасто.

  • Обнаружения Microsoft Defender XDR — интегрируйте Microsoft Entra ID Protection и Microsoft Defender XDR, чтобы видеть обнаружения в одном портале.

    • По умолчанию включены наиболее релевантные оповещения для центра операций безопасности (SOC). Для всех обнаружений рисков IP в Microsoft Entra или чтобы отключить интеграцию, измените настройки службы оповещений XDR в Microsoft Defender.

    Снимок экрана: параметр

  • Подозрительные URL-адреса — пользователь, возможно, щелкнул ссылку на фишинговую почту. Подозрительное электронное письмо может быть атакующим в середине (AiTM) фишинговым комплектом и началом атаки.

    Снимок экрана: список подозрительных действий.

  • Другие подозрительные действия — Защитник для Office 365 оповещения расширенного поиска и таблицы оповещений показывают действия, указывающие на кражу маркеров. Проверьте журналы, чтобы определить:

    • Массовое скачивание файла пользователем
    • Необычный скачивание файла пользователем
    • Добавление многофакторной проверки подлинности или учетных данных без пароля в учетную запись
    • Правила пересылки электронной почты добавлены или изменены

Запуск исследования

Перед началом работы: выполните и включите необходимые компоненты. Кроме того, в этом сборнике схем предполагается, что клиенты Майкрософт и команды исследования могут не иметь набора лицензий Microsoft 365 E5 или Microsoft Entra ID P2, доступных или настроенных. Поэтому обратите внимание на предоставленные рекомендации по автоматизации.

Для этого расследования предполагается, что у вас есть индикация потенциального компрометирования кражи токенов в следующих местах:

  • Отчет пользователя
  • Пример журналов входа в Microsoft Entra
  • Обнаружение защиты идентификации Microsoft Entra

Контрольный список для исследования

С помощью знаний о типичных сценариях определите аномалии или необычные действия для:

  • Удостоверения
  • Журналы авторизации — неожиданное местоположение или устройство
  • Журналы аудита — только что зарегистрированные устройства, дополнительные параметры многофакторной проверки подлинности или изменения учетных данных.
  • Приложение Office — изменения с момента возникновения триггера
  • Устройства , связанные с затронутыми пользователями. Оценка оповещений с момента триггера инцидента.

Свидетельство компрометации или кражи токенов: подтверждение пользователем

После выявления потенциально скомпрометированных учетных записей пользователей проверьте подозрительные действия. Этот процесс отличается для каждой организации.

Подробнее:

Исследование пользователей и (или) устройств

Если вы считаете, что учетная запись или несколько учетных записей пользователей были скомпрометированы, различайте действия исследования между двумя контекстами: сеансами пользователей и компьютерным устройством.

Контрольный список для исследования пользователей

Изучите журналы с поведением пользователя. Если наблюдается подозрительная активность пользователей:

  • В Защите идентификации Microsoft Entra или в аналогичной функции предупреждения указывают на кражу токенов.
  • Дополнительные учетные данные или устройства, добавленные пользователю
    • Запишите список идентификаторов для отзыва
  • Затронутые пользователи получают подозрительные сообщения электронной почты
  • Исследование фишинга предоставляет рекомендации по выявлению и расследованию фишинговых атак в организации.
  • Затронутые привилегированные учетные записи
    • Проверка изменений привилегированных учетных записей, внесенных после компрометации
  • Создание правил папки "Входящие"
    • Запись правил подозрительных почтовых ящиков
    • Скомпрометированные пользователи
    • Ip-адреса документов и учетные записи пользователя
    • Определение других потенциально скомпрометированных учетных записей
    • Определение дополнительных аутентификаций из предполагаемого IP-адреса или строки агента пользователя

Фишинг или вредоносные сообщения электронной почты

Если есть признаки фишинга или другого вредоносного сообщения электронной почты, статья Исследуйте вредоносные сообщения, доставленные в Microsoft 365 описывает, как находить и исследовать подозрительные электронные письма.

Проверка подлинности IP-адреса злоумышленника или строки агента пользователя

Следующие запросы относятся к таблицам в Sentinel. Найдите признаки устойчивости: регистрация многофакторной аутентификации, регистрация устройств, правила пересылки или правила папки "Входящие".

Сведения о правилах в руководстве по операциям безопасности Microsoft Entra.

AADUserRiskEvents
| where RiskEventType contains "unfamiliar" or RiskEventType contains "anomalous"
| where IpAddress == "x"

Кроме того, используйте журналы входа, чтобы получить пользователей с тем же IP-адресом.

SigninLogs
| where IPAddress == "x"

Для привилегированных пользователей подтвердите изменения в окне времени.

AuditLogs
| where TimeGenerated between (datetime(2023-03-01) .. datetime(2023-03-15))
| where InitiatedBy has "x"

Изменения метода проверки подлинности для привилегированной учетной записи

Используйте следующий запрос, чтобы найти любые изменения в сведениях о безопасности пользователей, которым назначены привилегированные роли администратора.

Query
  let queryperiod = 14d;
  let queryfrequency = 2h;
  let security_info_actions = dynamic(["User registered security info", "User changed default security info", "User deleted security info", "Admin updated security info", "User reviewed security info", "Admin deleted security info", "Admin registered security info"]);
  let VIPUsers = (
      IdentityInfo
      | where TimeGenerated > ago(queryperiod)
      | mv-expand AssignedRoles
      | where AssignedRoles matches regex 'Admin'
      | summarize by tolower(AccountUPN));
  Audit logs
  | where TimeGenerated > ago(queryfrequency)
  | where Category =~ "UserManagement"
  | where ActivityDisplayName in (security_info_actions)
  | extend Initiator = tostring(InitiatedBy.user.userPrincipalName)
  | extend IP = tostring(InitiatedBy.user.ipAddress)
  | extend Target = 
tolower(tostring(TargetResources[0].userPrincipalName))
  | where Target in (VIPUsers)

Сомнительные идентичности и аномалии

Используйте Log Analytics или Sentinel (журнал берется из Microsoft Entra ID) для обнаружения подозрительных удостоверений и аномалий.

SigninLogs
    | where UserId == "x"
    | extend deviceId_ = tostring(DeviceDetail.deviceId)
    | extend displayName_ = tostring(DeviceDetail.displayName)
    | extend city_ = tostring(LocationDetails.city)
    | extend countryOrRegion_ = tostring(LocationDetails.countryOrRegion)
    | summarize min(TimeGenerated), max(TimeGenerated) by IPAddress, ResultDescription, deviceId_, displayName_, city_, countryOrRegion_, AppDisplayName

Примечание.

Не все оповещения, создаваемые действиями Microsoft Entra, имеют соответствующую запись в SigninLogs, как показано при обнаружении аномальных маркеров. Мы рекомендуем увидеть другие таблицы, такие как OfficeActivity и AuditLogs.

OfficeActivity
    | where UserId == "x"
    | summarize min(TimeGenerated), max(TimeGenerated) by ClientIP, OfficeWorkload

Активность в таблицах CloudAppEvents в Microsoft Defender XDR

Использование этого метода зависит от настройки ведения журнала.

M365D AH
CloudAppEvents
| where AccountId == "x"
| summarize min(Timestamp), max(Timestamp) by IPAddress, CountryCode, City, Application

CloudAppEvents описывает расширенную схему охоты, включающую информацию о действиях в различных облачных приложениях и службах, охватываемых Microsoft Defender для облачных приложений.

Вредоносные действия в AuditLogs, AzureActivity, AzureDevOpsAuditing и CloudAppEvents

Подтвердите, к чему злоумышленник получил доступ: документы удостоверения личности, код, репозитории и т. д. Просмотрите элементы на наличие конфиденциальной информации или жестко закодированных учетных данных, как показано в следующем примере SharePoint.

OfficeActivity
    | where OfficeWorkload contains "SharePoint" (or other)
    | where ClientIP == "bad IP"
    | project TimeGenerated, Operation, OfficeObjectId

Контрольный список для исследования устройств

Изучите журналы, которые записывают поведение устройства. Если обнаружена подозрительная активность устройства:

  • Портал Microsoft Defender:
    • Устройство имеет оповещения о краже токенов. Поиск идентификатора устройства: присоединение AlertInfo к AlertId| Где DeviceId — x
    • Попытки получить доступ к основному токену обновления (PRT)
    • Пользователь установил подозрительные приложения, расширения или недавно просматривал подозрительные веб-сайты. Поиск оповещений Microsoft Defender для конечных точек о подозрительных процессах или файлах. Оповещения могут включать подозрительные: процесс внедрения, связанный с известной новой угрозой, название процесса, поведение процесса, запуск службы или активность запланированной задачи. Для возможных C2 связей используйте "Возможная командно-контрольная активность".
    • Расследование оповещений Microsoft Defender для конечной точки описывает, как анализировать оповещения, влияющие на вашу сеть, понимать их значение и способы их устранения.
  • Расширенная охота:
    • На устройстве имеются исходящие сетевые подключения, осуществляемые подозрительными процессами. Ищите необычную исходящую активность в течение окна срабатывания.
    • Локальные учетные записи выполнили подозрительное действие

Подробнее:

Изоляция устройства от сети

Удерживайте устройство. Выполнение действий реагирования на устройстве в Microsoft Defender для конечного узла описывает, как быстро реагировать на обнаруженные атаки путем изолирования устройств или сбора исследовательского пакета.

Данные, к которым получил доступ злоумышленник

Потеря данных — это уничтожение или утечка данных. Узнайте, к чему имел доступ злоумышленник, и оцените чувствительность данных. Изучите SharePoint, OneNote, Azure DevOps. Вращение учетных данных.

Процедура потери данных

Используйте рекомендации плана аварийного восстановления для доступа злоумышленников к корпоративным данным. Используйте приведенные ниже рекомендации, чтобы предотвратить потерю данных и улучшить или создать план аварийного восстановления.

Другие затронутые пользователи или устройства: вся среда

Запрашивать индикаторы компрометации для всей среды. Например, более затронутые устройства. Выполняйте итерации, чтобы гарантировать обнаружение затронутых пользователей и устройств.

Состояние сдерживания

После того как вы идентифицируете пользователя, устройство, приложение(-я) или удостоверения рабочей нагрузки как вредоносные или скомпрометированные, следует предпринять действия для изоляции злоумышленника. Если это скомпрометировано, вы не можете немедленно свернуть учетные данные приложения, а также удалить его.

Иногда важно собирать сведения о злоумышленниках, чем немедленно реагировать на атаку. Рекомендуется рассмотреть порядок приведенных ниже рекомендаций. В этом примере, сдерживание или устранение рисков определяется приоритетом по сравнению с сбором информации.

Внимание

Определите безопасность и бизнес-эффекты отключения учетных записей пользователей или устройств. Если это слишком здорово, рассмотрите возможность перехода на этап восстановления.

Список задач по сдерживанию

  1. Измените пароль для учетных записей, подозреваемых в нарушении или если был обнаружен пароль учетной записи.

  2. Заблокируйте пользователя. Отзыв доступа пользователей в Microsoft Entra ID описывает, как отозвать весь доступ для пользователя в сценариях, включающих скомпрометированные учетные записи, увольнение сотрудников и другие внутренние угрозы.

  3. В Защита идентификации Microsoft Entra или аналогичной функции пометьте соответствующие учетные записи как скомпрометированные.

  4. Блокировать IP-адрес злоумышленника.

    Совет

    Злоумышленники могут использовать законные виртуальные частные сети (VPN), которые могут создавать больше рисков при изменении IP-адресов. Если вы используете облачную аутентификацию, заблокируйте IP-адрес в Defender для облачных приложений или Microsoft Entra ID. При федеративной настройке блокируйте IP-адрес на уровне файрвола перед службами федерации Active Directory (ADFS).

  5. Включите многофакторную идентификацию. Включение многофакторной проверки подлинности Microsoft Entra описывает, как запрашивать у пользователей дополнительные формы идентификации во время события входа.

  6. Включите Защиту Microsoft Entra ID для пользователя и для управления риском входа. Политики рисков: Защита идентификации Microsoft Entra описывает политики риска в условном доступе Microsoft Entra, которые могут автоматизировать реагирование на риски и позволяют пользователям самостоятельно устранять обнаруженные риски.

  7. Определите скомпрометированные данные: сообщения электронной почты, SharePoint, OneDrive, приложения. Фильтр Действий Microsoft Defender для облачных приложений может сканировать действия и обновлять новые действия.

  8. Соблюдайте гигиену паролей. В техническом документе "Руководство по паролям" приведены рекомендации по управлению паролями для конечных пользователей и администраторов удостоверений.

  9. Выполните итерацию, пока не обнаружите затронутые учетные записи и устройства, и атака остановлена.

Восстановление

Используйте следующие разделы для рекомендаций после расследования и локализации.

Список задач исправления

После завершения расследования и сдерживания устраните ущерб:

  • Отключение затронутых учетных записей пользователей и устройств
    • Отзыв текущих токенов
    • Сброс паролей
  • Отключение добавленных учетных данных и (или) устройств
    • Исправление инфицированных устройств
  • Отключение подозрительных правил электронной почты
  • Откат изменений, сделанных скомпрометированными привилегированными учетными записями

Удаление добавленных учетных данных и устройств

Прежде чем повторно включить затронутые учетные записи, используйте следующие рекомендации. Удаление учетных данных, добавленных с помощью API Graph методов проверки подлинности Microsoft Entra.

Чтобы удалить метод проверки подлинности электронной почты пользователя, выполните следующий вызов Graph:

DELETE /users/{id | userPrincipalName}/authentication/emailMethods/{id}

Или удалите добавленный метод аутентификации с помощью аутентификатора:

DELETE /users/{id | userPrincipalName}/authentication/microsoftAuthenticatorMethods/{microsoftAuthenticatorAuthenticationMethodId}

Подробнее:

Удаление устройств, зарегистрированных указанными учетными записями пользователей. Используйте следующие вызовы API Graph:

DELETE /devices/{id}

DELETE /devices(deviceId='{deviceId}')

Данные, к которым получил доступ злоумышленник, содержат больше учетных данных

Если вы включили Microsoft Purview, проверьте среду. Используйте определение сущности "Все учетные данные" с скомпрометированных учетных записей. Обновите идентифицированные учетные данные, как описано в следующем разделе об их обновлении.

Подробнее:

Истечение срока действия и замена скомпрометированных секретов

Ротация секретов, связанных с указанным пользователем или учетными данными устройства.

Защита идентификаций в вашей среде

В следующих статьях содержатся дополнительные сведения о защите личностей.

Первопричина кражи токенов

Иногда не удается обнаружить первопричину. Мы рекомендуем выполнить исследование, чтобы получить подробные сведения, которые могут показать первопричину. После восстановления можно выполнить дополнительные следственные действия, чтобы помочь определить первопричину.

Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365 , описывает, как найти и исследовать подозрительные сообщения электронной почты.

Следующие шаги

* Решающее дерево кражи токенов

  • Last updated on