Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook Possible Password Spray.
Avant de commencer
Rôle requis :
sn_si.admin
flow_designer
Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).
Procédure
Lorsque le playbook est déclenché et commence à s’exécuter, à l’étape 1, vous devez vérifier si les activités proviennent de l’adresse IP du client.
Identifiez les adresses IP effectuant l’attaque par pulvérisation de mot de passe. Par exemple, utilisez les TXID (ID de transaction) de l’alerte et comparez-les aux journaux F5.
À l’étape 2, si les activités proviennent de l’adresse IP du client, effectuez les étapes suivantes :
À l’étape 3, vous devez lancer un examen post-incident de l’attaque possible par pulvérisation de mot de passe.
À l’étape 4, le flux se termine.
À l’étape 5, si les activités ne proviennent pas de l’adresse IP du client, déterminez l’adresse IP source de l’attaquant à partir des détails de l’alerte.
À l’étape 6, vous devez valider la réputation de l’adresse IP à l’aide d’outils OSINT, ainsi que le modèle de trafic provenant de ces adresses IP au cours des sept derniers jours.
Figure 1. Playbook de pulvérisation de mot de passe possible
À l’étape 7, vous devez identifier les noms d’utilisateur qui se sont connectés avec succès à l’aide de l’attaque Password Spray.
À l’étape 8, vous devez identifier le nombre d’échecs de connexion et de modèles.
À l’étape 9, vous devez identifier les indicateurs d’un vrai positif.
Vérifiez le trafic provenant des adresses IP sources au cours des 60 derniers jours. Aucun trafic historique ne peut être une indication d’un vrai positif.
Vérifiez les modèles de nom d’utilisateur ayant des échecs d’authentification et leur nombre. Plus le nombre est élevé, plus la probabilité qu’il s’agisse d’un vrai positif est élevée.
Le nom d’utilisateur ressemble à une base de dictionnaire (de A à Z) et peut avoir des noms d’administrateur courants tels que admin, sysadmin, root, etc
Le même nom d’utilisateur peut avoir des modèles différents dans l’attaque par pulvérisation, comme la même alerte peut avoir des échecs pour john.doe, johnd, jdoe, john_doe, jdoe7, etc., indiquant que les attaquants devinent le modèle de nom d’utilisateur en fonction de cas d’utilisation courants.
À l’étape ci-dessus, notez l’agent utilisateur et les URI des journaux F5 et vérifiez si les IOC sont liés aux alertes Red Condor. S’ils correspondent, alors c’est un véritable événement positif.
À l’étape 10, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier s’il s’agit d’un cas d’attaque possible par pulvérisation de mot de passe ou non.
À l’étape 11, s’il s’agit d’une attaque possible par pulvérisation de mot de passe, effectuez les étapes suivantes :
À l’étape 12, vous devez vous coordonner avec les équipes appropriées pour verrouiller tous les comptes nécessaires et enquêter sur les activités malveillantes.
Figure 2.
À l’étape 13, vous devez lancer un examen post-incident de l’attaque possible par pulvérisation de mot de passe.
À l’étape 14, le flux se termine.
À l’étape 15, vous devez vérifier s’il ne s’agit pas d’un cas d’attaque possible par pulvérisation de mot de passe.
À l’étape 16, s’il ne s’agit pas d’une attaque par pulvérisation de mot de passe possible, effectuez les étapes suivantes :
À l’étape 17, vous devez documenter les résultats obtenus jusqu’à présent.
À l’étape 18, vous devez lancer un examen post-incident de l’attaque possible par pulvérisation de mot de passe.
À l’étape 19, le flux se termine.
À l’étape 20, vous devez consulter les pairs et le gestionnaire GIR pour obtenir des conseils.
À l’Étape 21, une tâche de réponse est créée pour terminer la revue post-incident avant de fermer la tâche.