Тема: Microsoft Entra sign-in log activity(реагирование на session hijacking)
Показать сообщение отдельно

  #2  
Старый 15.10.2024, 12:32
twikki
Новичок
Регистрация: 08.10.2024
Сообщений: 0
С нами: 842528

Репутация: 0
По умолчанию
Привет! Session hijacking в Microsoft – это больной вопрос, особенно когда речь идет о больших объемах логов в крупных компаниях. Понимаю твою задачу: хочется создать правила, которые сразу дают точное попадание, но не шумят ложными срабатываниями, особенно когда вся сессия может казаться легитимной.

Вот несколько идей, как можно подойти к этой задаче:

1. Анализ геолокации и IP-адресов:
Если пользователь вдруг резко перемещается по миру, это сразу вызывает подозрения. Например, если он заходит из Лондона, а через 10 минут – из Нью-Йорка, скорее всего, это признак атаки. В больших компаниях подобные сценарии особенно полезны.

Что сделать:
  • Настроить мониторинг аномалий на основе геолокации.
  • Сравнивать время между сессиями и разницу в геолокации.
  • Исключить VPN-подключения, которые могут замаскировать реальную геолокацию.
2. Уровень привилегий сессии:
Сессии с высокими привилегиями должны быть под особым вниманием. Если видишь, что сессия администратора или другого привилегированного пользователя используется для выполнения необычных действий, это повод для тревоги.

Что сделать:
  • Отслеживать действия, которые выполняются в рамках сессии (например, массовые изменения данных или доступ к конфиденциальным разделам).
  • Настроить отдельные алерты для привилегированных сессий.
3. Анализ User-Agent:
Если сессия пользователя начинается на Chrome с macOS, а затем переключается на Firefox с Windows в течение короткого времени, это явный индикатор того, что кто-то мог захватить сессию.

Что сделать:
  • Внедрить отслеживание всех изменений User-Agent для каждой сессии.
  • Сравнивать их с типичными для этого пользователя паттернами.
4. Анализ cookie-based аутентификации:
Если куки действительны слишком долго или используются из разных мест, это тоже может быть тревожным сигналом. В Microsoft ты можешь внедрить алерты на основе анализа cookie-атрибутов.

Что сделать:
  • Анализировать время жизни cookies и выявлять слишком длинные сессии.
  • Настроить автологин сессий после определенных временных интервалов или после изменения IP-адреса.
5. Интеграция с SIEM и ML-алгоритмы:
Для минимизации ложных срабатываний можно интегрировать данные из sign-in logs с системой безопасности, которая использует machine learning для выявления аномалий. Такие системы учатся на паттернах поведения пользователей и помогают отличить легитимное поведение от подозрительного.

Что сделать:
  • Настроить интеграцию с SIEM (например, Splunk, QRadar или Azure Sentinel) для корреляции данных из различных источников.
  • Использовать ML-алгоритмы для обнаружения аномалий на основе поведения пользователя.
6. Дополнительная двухфакторная аутентификация (2FA):
Хотя это не поможет в обнаружении hijacking в логи, это один из лучших способов предотвращения атак на этапе захвата сессии. Если видишь подозрительную активность, можно требовать дополнительного подтверждения.

ChatGPT
 
Ответить с цитированием