이 플레이북을 사용하여 여러 번의 로그인 실패(동일한 사용자에 대해 둘 이상의 IP 주소에서 너무 많은 인증 실패)에 의해 트리거되는 암호 스프레이 경보를 조사합니다. 다음 단계에서는 가능한 암호 스프레이 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 연습을 제공합니다.
시작하기 전에
필요한 역할:
sn_si.admin
flow_designer
sn_sec_spoke(보안 운영 스포크)를 설치했는지 확인합니다.
프로시저
플레이북이 트리거되고 실행이 시작되면 작업 1에서 활동이 고객의 IP 주소에서 시작되었는지 확인해야 합니다.
암호 스프레이 공격을 수행하는 IP 주소를 식별합니다. 예를 들어 경보의 TXID(트랜잭션 ID)를 사용하고 F5 로그에 대해 조회합니다.
작업 2에서 활동이 고객의 IP 주소에서 시작된 경우 다음 작업을 수행합니다.
작업 3에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
작업 4에서는 플로우가 종료됩니다.
작업 5에서 활동이 고객의 IP 주소에서 시작되지 않은 경우 경고 세부 정보에서 공격자의 원본 IP를 확인합니다.
작업 6에서는 OSINT(Open-Source Intelligence) 도구를 사용하여 IP 평판과 지난 7일 동안 이러한 IP의 트래픽 패턴을 확인해야 합니다.
그림 1. 가능한 암호 스프레이 플레이북
작업 7에서는 암호 스프레이 공격을 사용하여 성공적으로 로그인한 사용자 이름을 식별해야 합니다.
작업 8에서는 실패한 로그인 수와 패턴을 식별해야 합니다.
작업 9에서는 참 긍정 지표를 식별해야 합니다.
지난 60일 동안의 소스 IP에서 트래픽을 확인합니다. 과거 트래픽은 진정한 긍정을 나타낼 수 없습니다.
인증 장애가 있는 사용자 이름 패턴과 개수를 확인합니다. 개수가 높을수록 참 긍정일 확률이 높아집니다.
사용자 이름은 사전 기본(A에서 Z로 시작)처럼 보이며 admin, sysadmin, root 등과 같은 일반적인 관리자 이름을 가질 수 있습니다
동일한 경고에 john.doe, johnd, jdoe, john_doe, jdoe7 등에 대한 오류가 발생할 수 있는 것처럼 동일한 사용자 이름도 스프레이 공격에서 서로 다른 패턴을 가질 수 있으며, 이는 공격자가 일반적인 사용 사례를 기반으로 사용자 이름 패턴을 추측함을 나타냅니다.
위 단계의 F5 로그에서 사용자 에이전트 및 URI를 확인하고, IOC가 레드 콘도르 경보와 관련이 있는지 확인합니다. 일치하면 진정한 긍정적 인 이벤트입니다.
Action 10에서는 지금까지 수행된 조사를 기반으로 이것이 가능한 암호 스프레이 공격의 경우인지 여부를 확인해야 합니다.
작업 11에서 암호 스프레이 공격이 발생할 수 있는 경우 다음 작업을 수행합니다.
작업 12에서는 적절한 팀과 협력하여 필요한 계정을 잠그고 악의적인 활동을 조사해야 합니다.
그림 2. 가능한 암호 스프레이 플레이북
작업 13에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
작업 14에서 플로우가 종료됩니다.
작업 15에서는 가능한 암호 스프레이 공격의 경우가 아닌지 확인해야 합니다.
작업 16에서 가능한 암호 스프레이 공격의 경우가 아닌 경우 다음 작업을 수행합니다.
작업 17에서는 지금까지의 결과를 문서화해야 합니다.
작업 18에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
작업 19에서 플로우가 종료됩니다.
작업 20에서는 동료 및 GIR 관리자와 상의하여 지침을 받아야 합니다.
작업 21에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료하기 위해 응답 작업이 생성됩니다.