Verwenden Sie das Playbook „Mögliches Passwort-Spray“.
Freigeben Version: Washingtondc
Aktualisiert 1. Februar 2024
2 Minuten Lesedauer
Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Mögliches Passwort-Spray“ verfügbar sind.
Vorbereitungen
Erforderliche Rolle:
sn_si.admin
flow_designer
Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben.
Prozedur
Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, müssen Sie in Schritt 1 überprüfen, ob die Aktivitäten von der IP-Adresse des Kunden stammen.
Identifizieren Sie die IP-Adressen, die den Passwort-Spray-Angriff ausführen. Verwenden Sie beispielsweise die TXIDs (Transaktions-IDs) aus der Warnung, und vergleichen Sie sie mit den F5-Protokollen.
Wenn die Aktivitäten in Schritt 2 von der IP-Adresse des Kunden stammen, führen Sie die folgenden Schritte aus:
In Schritt 3 müssen Sie eine Überprüfung des möglichen Passwort-Spray-Angriffs nach dem Incident initiieren.
In Schritt 4 endet der Flow.
Wenn die Aktivitäten in Schritt 5 nicht von der IP-Adresse des Kunden stammen, bestimmen Sie die Quell-IP des Angreifers anhand der Warnungsdetails.
In Schritt 6 müssen Sie die IP-Reputation mit Open Source Intelligence-Tools (OSINT) und das Datenverkehrsmuster dieser IPs in den letzten sieben Tagen validieren.
Abbildung : 1. Mögliches Passwort-Spray-Playbook
In Schritt 7 müssen Sie die Benutzernamen identifizieren, die sich erfolgreich mit dem Passwort-Spray-Angriff angemeldet haben.
In Schritt 8 müssen Sie die Anzahl der fehlgeschlagenen Anmeldungen und Muster identifizieren.
In Schritt 9 müssen Sie die Indikatoren für „wahr positiv“ identifizieren.
Überprüfen Sie den Datenverkehr von den Quell-IPs in den letzten 60 Tagen. Kein Verlaufsdatenverkehr kann ein Hinweis auf ein richtig positives Ergebnis sein.
Überprüfen Sie die Benutzernamenmuster mit Authentifizierungsfehlern und die Anzahl. Je höher die Anzahl, desto höher die Wahrscheinlichkeit, dass es sich um ein richtig positives Ergebnis handelt.
Der Benutzername sieht aus wie eine Wörterbuchbasis (von A bis Z) und enthält möglicherweise allgemeine Administratornamen wie admin, sysadmin, root usw
Derselbe Benutzername kann unterschiedliche Muster im -Spray-Angriff aufweisen, z. B. kann dieselbe Warnung Fehler für john.doe, johnd, jdoe, john_doe, jdoe7 usw. aufweisen, was darauf hinweist, dass Angreifer das Benutzernamenmuster basierend auf häufigen Anwendungsfällen erraten haben.
Beachten Sie den Benutzer-Agent und die URIs aus den F5-Protokollen im obigen Schritt, und prüfen Sie, ob die IoCs mit den Red-Condor-Warnungen zusammenhängen. Wenn sie übereinstimmen, handelt es sich um ein echtes positives Event.
In Schritt 10 müssen Sie basierend auf den bisher durchgeführten Untersuchungen überprüfen, ob es sich um einen möglichen Passwort-Spray-Angriff handelt oder nicht.
Führen Sie in Schritt 11 bei einem möglichen Passwort-Spray-Angriff die folgenden Schritte aus:
In Schritt 12 müssen Sie sich mit den entsprechenden Teams abstimmen, um alle erforderlichen Konten zu sperren und böswillige Aktivitäten zu untersuchen.
Abbildung : 2.
In Schritt 13 müssen Sie eine Überprüfung des möglichen Passwort-Spray-Angriffs nach dem Incident initiieren.
In Schritt 14 endet der Flow.
In Schritt 15 müssen Sie überprüfen, ob es sich nicht um einen möglichen Passwort-Spray-Angriff handelt.
Wenn es sich in Schritt 16 nicht um einen möglichen Passwort-Spray-Angriff handelt, führen Sie die folgenden Schritte aus:
In Schritt 17 müssen Sie die bisherigen Ergebnisse dokumentieren.
In Schritt 18 müssen Sie eine Überprüfung des möglichen Passwort-Spray-Angriffs nach dem Incident initiieren.
In Schritt 19 endet der Flow.
In Schritt 20 müssen Sie die Kollegen und den GIR-Manager um Rat fragen.
In Schritt 21 wird eine Antwortaufgabe erstellt, um die Überprüfung nach dem Incident abzuschließen, bevor die Aufgabe geschlossen wird.