Utiliser le playbook de pulvérisation de mot de passe possible

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Utilisez ce playbook pour examiner les alertes de pulvérisation de mots de passe déclenchées par plusieurs échecs de connexion (trop d’échecs d’authentification à partir de plusieurs adresses IP pour le même utilisateur). Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Pulvérisation de mot de passe possible.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé Security Operations Spoke (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez vérifier si les activités proviennent de l’adresse IP du client.
      Identifiez les adresses IP effectuant l’attaque par pulvérisation de mot de passe. Par exemple, utilisez les TXID (ID de transaction) de l’alerte et recherchez-les par rapport aux journaux F5.
    2. Dans l’action 2, si les activités proviennent de l’adresse IP du client, effectuez les actions suivantes :
      1. Dans l’action 3, vous devez lancer un examen post-incident de l’attaque possible par pulvérisation de mot de passe.
      2. Dans l’action 4, le flux s’arrête.
    3. Dans l’action 5, si les activités ne proviennent pas de l’adresse IP du client, déterminez l’adresse IP source de l’attaquant à partir des détails de l’alerte.
    4. Dans l’action 6, vous devez valider la réputation de l’adresse IP à l’aide d’outils d’intelligence open source (OSINT) et le modèle de trafic de ces adresses IP au cours des sept derniers jours.
      Figure 1. Playbook de pulvérisation de mot de passe possible
      Tâches de réponse pour valider la réputation IP à l’aide des outils OSINT.
    5. Dans l’action 7, vous devez identifier les noms d’utilisateur qui se sont connectés avec succès à l’aide de l’attaque par pulvérisation de mot de passe.
    6. Dans l’action 8, vous devez identifier le nombre d’échecs de connexion et de schémas.
    7. Dans l’action 9, vous devez identifier les indicateurs de vrai positif.
      • Vérifiez le trafic à partir des adresses IP sources au cours des 60 derniers jours. Aucun trafic historique ne peut être une indication d’un vrai positif.
      • Vérifiez les schémas de nom d’utilisateur ayant des échecs d’authentification et leur nombre. Plus le nombre est élevé, plus la probabilité qu’il s’agisse d’un vrai positif est élevée.
      • Le nom d’utilisateur ressemble à une base de dictionnaire (de A à Z) et peut avoir des noms d’administrateur communs comme administrateur, sysadmin, root, etc
      • Le même nom d’utilisateur peut avoir des modèles différents dans l’attaque par pulvérisation, comme la même alerte peut avoir des défaillances pour john.doe, johnd, jdoe, john_doe, jdoe7, etc., indiquant que les attaquants devinent le modèle de nom d’utilisateur en fonction des cas d’utilisation courants.
      • Remarquez l’agent utilisateur et les URI des journaux F5 dans l’étape ci-dessus, et voyez si les IOC sont liés aux alertes Red Condor. S’ils correspondent, alors c’est un véritable événement positif.
    8. Dans l’action 10, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier s’il s’agit d’un cas d’attaque possible par pulvérisation de mot de passe ou non.
    9. Dans l’action 11, s’il s’agit d’une attaque possible par pulvérisation de mot de passe, effectuez les actions suivantes :
      1. Dans l’action 12, vous devez vous coordonner avec les équipes appropriées pour verrouiller tous les comptes nécessaires et enquêter sur les activités malveillantes.
        Figure 2. Playbook de pulvérisation de mot de passe possible
        Tâches de réponse pour verrouiller tous les comptes nécessaires et enquêter sur les activités malveillantes.
      2. Dans l’action 13, vous devez lancer un examen post-incident de l’attaque possible par pulvérisation de mot de passe.
      3. Dans l’action 14, le flux s’arrête.
    10. Dans l’action 15, vous devez vérifier s’il ne s’agit pas d’un cas d’attaque possible par pulvérisation de mot de passe.
    11. Dans l’action 16, s’il ne s’agit pas d’un cas d’attaque possible par pulvérisation de mot de passe, effectuez les actions suivantes :
      1. Dans l’action 17, vous devez documenter les résultats obtenus jusqu’à présent.
      2. Dans l’action 18, vous devez lancer un examen post-incident de l’attaque possible par pulvérisation de mot de passe.
      3. Dans l’action 19, le flux s’arrête.
    12. Dans l’action 20, vous devez consulter les pairs et le gestionnaire GIR pour obtenir des conseils.
    13. Dans l’action 21, une tâche de réponse est créée pour terminer la revue post-incident avant de fermer la tâche.