Mkjones10/azure-ad-incident-response-report

# Entra ID 凭据泄露事件响应 ## 概述 本项目记录了一起模拟的企业安全事件，涉及网络钓鱼（语音钓鱼）攻击导致 Microsoft Entra ID 环境中的凭据泄露。 本次调查展示了完整的事件响应工作流，包括身份日志分析、SIEM 关联分析、遏制、修复以及符合零信任原则的安全控制改进。 ## 事件摘要 - **攻击类型：** 语音钓鱼+ 凭据泄露 - **受影响系统：** Microsoft Entra ID (Azure AD) - **影响：** 企业账号被未经授权访问 - **严重程度：** 高 - **状态：** 已遏制并修复 ## 关键发现 - 由于缺乏强制 MFA 注册，导致使用单因素凭据成功进行了身份验证 - 攻击者执行的未经授权操作： - 通过自助服务重置密码 - 创建恶意安全组 (`THIS IS PHISHED`) - 尝试通过组所有权进行权限提升 - 源自 Microsoft Azure IP 地址的多次登录尝试 - 在调查期间分析了超过 350 个安全警报 ## 检测与分析 ### 身份日志 (Microsoft Entra ID) - 识别出异常的登录活动 - 确认在未进行 MFA 质询的情况下成功登录 - 检测到密码重置及凭据泄露后的活动 ### SIEM 分析 (Wazuh) - 关联了 350 多个端点和安全警报 - 识别出身份验证事件和权限提升指标 - 观察到在攻击时间窗口内与云基础设施的活跃连接 ## MITRE ATT&CK 映射 - **T1566.004** – 网络钓鱼（语音钓鱼） - **T1078** – 有效账号 - **T1098** – 账号操纵 - **T1069** – 权限组发现 - **T1078.004** – 云账号 ## 根本原因 主要的控制失效原因是 MFA 注册不完整。尽管已配置条件访问策略以要求进行 MFA，但由于该用户未注册身份验证方法，导致强制执行失败。 ## 修复措施 ### 立即遏制 - 撤销了所有活动会话 - 重置了受损账号的凭据 - 移除了恶意组和访问权限更改 - 封锁了攻击者的 IP 地址 ### 安全改进 实施了零信任条件访问策略： - 强制执行 MFA 注册和身份验证 - 要求使用合规设备 - 限制仅从受信任的位置进行访问 - 阻止了传统身份验证协议 - 启用了基于风险的访问控制 ### 额外加固 - 强化了密码和锁定策略 - 验证了 SIEM 监控覆盖范围 - 审查了身份和访问配置 ## 影响评估 - 阻止了进一步的未经授权访问 - 降低了横向移动和权限提升的风险 - 强化了整个环境的身份安全态势 - 提升了检测与响应能力 ## 经验教训 - MFA 策略必须包含强制性的用户注册要求 - 社会工程学攻击仍然是高风险的切入点 - 身份遥测数据必须整合到 SIEM 解决方案中 - 条件访问策略需要持续验证和调整 ## 使用的技术 - Microsoft Entra ID (Azure AD) - Wazuh SIEM - Windows 端点安全日志 - 条件访问策略 ## 仓库内容 - `incident-report.pdf` — 包含详细分析、日志和修复步骤的完整事件报告 ## 免责声明 本项目中的所有数据均为教育目的而模拟。未暴露任何真实的用户或组织数据。

标签：Azure AD, Cloudflare, GitHub Advanced Security, IAM, MFA, MITRE ATT&CK, SIEM 分析, Wazuh, 事故处置, 企业安全, 多因素认证, 安全加固, 安全运营, 微软 Entra ID, 扫描框架, 攻击模拟, 条件访问策略, 特权提升, 网络安全, 网络资产管理, 自动化部署, 语音钓鱼, 身份与访问管理, 身份安全, 隐私保护, 零信任架构, 驱动签名利用