Verwenden Sie das Playbook „Mögliches Passwort-Spray“.

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Passwort-Spray-Warnungen zu untersuchen, die durch mehrere fehlgeschlagene Anmeldungen ausgelöst wurden (zu viele Authentifizierungsfehler von mehr als einer IP-Adresse für denselben Anwender). Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Mögliches Passwort-Spray“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Security Operations Spoke (sn_sec_spoke) installiert ist.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, müssen Sie in Aktion 1 überprüfen, ob die Aktivitäten von der IP-Adresse des Kunden stammen.
      Identifizieren Sie die IP-Adressen, die den Passwort-Spray-Angriff ausführen. Verwenden Sie beispielsweise die TXIDs (Transaktions-IDs) aus der Warnung, und suchen Sie sie in den F5-Protokollen.
    2. Wenn in Aktion 2 die Aktivitäten von der IP-Adresse des Kunden stammen, führen Sie die folgenden Aktionen aus:
      1. In Aktion 3 müssen Sie eine Überprüfung des möglichen Passwort-Spray-Angriffs nach einem Incident initiieren.
      2. In Aktion 4 endet der Flow.
    3. Wenn die Aktivitäten in Aktion 5 nicht von der IP-Adresse des Kunden stammen, bestimmen Sie die Quell-IP des Angreifers anhand der Warnungsdetails.
    4. In Aktion 6 müssen Sie die IP-Reputation mit Open-Source Intelligence-Tools (OSINT) und das Datenverkehrsmuster von diesen IPs in den letzten sieben Tagen validieren.
      Abbildung : 1. Mögliches Passwort-Spray-Playbook
      Antwortaufgaben zum Validieren der IP-Reputation mit den OSINT-Tools.
    5. In Aktion 7 müssen Sie die Anwendernamen identifizieren, die sich erfolgreich mit dem Passwort-Spray-Angriff angemeldet haben.
    6. In Aktion 8 müssen Sie die Anzahl der fehlgeschlagenen Anmeldungen und Muster identifizieren.
    7. In Aktion 9 müssen Sie die Indikatoren für wirklich positive Ergebnisse identifizieren.
      • Überprüfen Sie den Datenverkehr von den Quell-IPs in den letzten 60 Tagen. Kein Verlaufsdatenverkehr kann ein Hinweis auf ein wirklich positives Ergebnis sein.
      • Überprüfen Sie die Anwendernamensmuster mit Authentifizierungsfehlern und die Anzahl. Je höher die Anzahl, desto höher die Wahrscheinlichkeit, dass es sich um ein richtig positives Ergebnis handelt.
      • Der Anwendername sieht aus wie ein Wörterbuch (von A bis Z) und enthält möglicherweise allgemeine Administratornamen wie „admin“, „sysadmin“, „root“ usw
      • Derselbe Anwendername kann imSpray-Angriff unterschiedliche Muster aufweisen, z. B. kann dieselbe Warnung Fehler für john.doe, johnd, jdoe, john_doe, jdoe7 usw. aufweisen, was darauf hinweist, dass Angreifer das Anwendernamensmuster basierend auf gängigen Anwendungsfällen erraten.
      • Beachten Sie den Anwenderagent und die URIs aus den F5-Protokollen im obigen Schritt, und prüfen Sie, ob die IoCs mit den Red Kondor-Warnungen zusammenhängen. Wenn sie übereinstimmen, handelt es sich um ein richtig positives Ereignis.
    8. In Aktion 10 müssen Sie basierend auf den bisher durchgeführten Untersuchungen überprüfen, ob es sich um einen möglichen Passwort-Spray-Angriff handelt oder nicht.
    9. Führen Sie in Aktion 11 im Fall eines möglichen Passwort-Spray-Angriffs die folgenden Aktionen aus:
      1. In Aktion 12 müssen Sie sich mit den entsprechenden Teams abstimmen, um alle erforderlichen Konten zu sperren und böswillige Aktivitäten zu untersuchen.
        Abbildung : 2. Mögliches Passwort-Spray-Playbook
        Antwortaufgaben, um alle erforderlichen Konten zu sperren und schädliche Aktivitäten zu untersuchen.
      2. In Aktion 13 müssen Sie eine Überprüfung des möglichen Passwort-Spray-Angriffs nach einem Incident initiieren.
      3. In Aktion 14 endet der Flow.
    10. In Aktion 15 müssen Sie überprüfen, ob dies kein Fall eines möglichen Passwort-Spray-Angriffs ist.
    11. Wenn es sich in Aktion 16 nicht um einen möglichen Passwort-Spray-Angriff handelt, führen Sie die folgenden Aktionen aus:
      1. In Aktion 17 müssen Sie die bisherigen Ergebnisse dokumentieren.
      2. In Aktion 18 müssen Sie eine Überprüfung des möglichen Passwort-Spray-Angriffs nach einem Incident initiieren.
      3. In Aktion 19 endet der Flow.
    12. In Aktion 20 müssen Sie die Kollegen und den GIR-Manager um Rat fragen.
    13. In Aktion 21 wird eine Antwortaufgabe erstellt, um die Überprüfung nach dem Incident abzuschließen, bevor die Aufgabe geschlossen wird.