TannerHollaway/Incident-Response
GitHub: TannerHollaway/Incident-Response
这是一个记录Azure云环境中真实安全事件响应案例的资料库,旨在通过展示调查过程来提升安全团队的实战分析能力。
Stars: 0 | Forks: 0
# 事件响应
暴力尝试
## 事件响应:Azure Windows 虚拟机暴力攻击 ### 事件摘要 2024年8月12日,Azure托管的Windows虚拟机(windows-vm)触发了一次潜在暴力攻击警报。该警报由Microsoft Sentinel生成,显示来自巴基斯坦拉合尔一个外部IP地址(203.135.22.130)的暴力尝试成功。  经调查确定,该警报属于误报,原因与服务账户配置错误有关。尽管最初迹象显示攻击成功,但进一步分析表明系统未发生未授权更改或可疑活动。最终报告包含调查结果和推理。  ### 调查与分析 **准备工作:** 在Microsoft Sentinel中配置了自定义检测和日志规则,确保所有暴力尝试均被捕获并发送至Log Analytics工作区进行分析。 **检测:** SIEM警报显示暴力尝试成功,随即启动调查。初始指标包括大量登录失败尝试(超过600次)以及来自预期地理区域外IP地址的一次成功登录。  **分析:** 警报的地理位置数据表明源IP来自巴基斯坦拉合尔,该位置无任何授权访问记录。相关账户为NT AUTHORITY\ANONYMOUS LOGON,此类警报通常涉及该账户。尽管警报显示"成功",但同一IP持续发起重复登录尝试,表明攻击者并未完全建立访问权限。进一步研究发现,此场景是已知问题,通常与服务账户相关,易导致暴力检测误报。 **遏制:** 立即采取措施防止进一步尝试,包括调整网络安全组(NSG)规则,将入站流量严格限制为仅允许已知可信IP地址。详细审查NSG设置,确保未来不会出现类似流量绕过防火墙的情况。在生产环境中,此操作需先经过变更管理流程,提交变更请求(RFC)。  ### 结论 该事件最终被归类为误报。但此次调查凸显了配置健壮防火墙和NSG规则对于预防此类事件的重要性。 ### 最终报告 | 字段 | 详情 | |---|---| | 日期 | 2024年8月12日 | | 时间 | 12:03 PM | | 事件 | windows-vm 暴力警报 | | 结果 | 误报 | **详情:** 警报由服务账户异常触发,错误指示暴力攻击成功。持续监测显示同一IP地址反复尝试失败,表明未发生真实入侵。通过系统日志和外部研究确认为误报。 **补救措施:** 加固NSG规则以阻止所有未授权流量,将访问权限限制在特定可信IP范围内。这些措施将有助于预防未来类似误报,并确保只有合法流量可访问Azure虚拟机。可能的恶意软件爆发
## 事件响应:可能的恶意软件爆发 ### 事件摘要 2023年3月15日下午3:14,安全团队收到警报,显示Azure托管的Windows虚拟机(windows-vm)存在潜在恶意软件活动。该警报源自Microsoft Defender for Cloud,表明虚拟机可能已被入侵。 经进一步调查确定,该警报属于误报,由用户使用EICAR文件(测试防病毒响应的标准工具)进行测试触发。与用户及其经理核实后,事件迅速得到解决。 ### 调查与分析 **初步分配:** 事件迅速分配进行调查。首先对事件进行初步概述,了解其范围和潜在影响。  **相关警报:** 调查期间注意到windows-vm涉及多次暴力攻击尝试,但未报告成功入侵。 **分析规则检查:** 下一步是检查生成警报的查询。这对于理解警报触发原因及确保未遗漏实际威胁至关重要。  **日志查询与分析:** 查询受感染实体的日志,检查是否存在恶意软件安装或执行迹象。日志确认Microsoft Defender已成功阻止恶意软件并隔离EICAR测试文件,防止了潜在危害。  ### 结论 该事件确认为误报。警报由用户进行的合法EICAR文件测试触发。与用户及其经理确认后,关闭警报。  ### 最终报告 | 字段 | 详情 | |---|---| | 日期 | 2023年3月15日 | | 时间 | 03:14 PM | | 事件 | windows-vm 可能的恶意软件爆发 | | 结果 | 误报 | **详情:** windows-vm潜在恶意软件爆发警报由Microsoft Defender响应用户使用的EICAR测试文件生成。这些文件无害,专为测试防病毒软件有效性而设计。经全面调查并与相关用户及其经理核实后,事件归类为误报并关闭警报。 **补救措施:** 无需进一步操作,因为情况已由Microsoft Defender有效处理。事件已记录,无需系统更改。可能的权限提升
## 事件响应:可能的权限提升 ### 事件摘要 2023年2月16日,安全信息与事件管理(SIEM)系统触发警报,显示Azure环境中存在潜在权限提升。警报标记了用户账户josh.madakorgmail.onmicrosoft.com的可疑活动,该账户多次访问Azure Key Vault中的关键凭据,并涉及多项高风险操作,包括密码重置和全局管理员角色分配。 经进一步调查确定,这些操作合法且由账户所有者作为正常职责执行。与账户所有者及其经理核实后,关闭警报。 ### 调查与分析 **初步分配:** 事件迅速分配进行调查。对警报进行初步概述,重点关注相关实体和事件潜在范围。   **相关警报:** 调查期间发现用户涉及多个其他安全警报,包括过度密码重置和全局管理员权限分配。这引发了网络内部横向移动的担忧。  **直接沟通:** 安全团队联系账户所有者核实活动合法性。账户所有者确认这些操作是其常规职责的一部分。其经理进一步证实了活动的合法性。 ### 结论 该事件因不准确数据归类为误报。用户采取的操作合法,经用户及其经理确认后关闭警报。  ### 最终报告 | 字段 | 详情 | |---|---| | 日期 | 2023年2月16日 | | 事件 | Azure Key Vault 可能的权限提升 | | 结果 | 误报 - 不准确数据 | **详情:** SIEM警报显示用户账户josh.madakorgmail.onmicrosoft.com可能存在权限提升。调查发现用户多次访问关键凭据并涉及多项高风险活动,包括密码重置和全局管理员角色分配。与用户直接沟通并与其经理核实后,确认这些活动合法且属于用户正常职责。警报作为误报关闭。 **补救措施:** 无需进一步操作,因为活动已获授权。事件已记录,关闭警报以防止不必要的升级。标签:AI合规, AMSI绕过, Azure安全, Microsoft Sentinel, SIEM系统, Windows虚拟机, 地理位置检测, 威胁检测, 安全警报, 安全运营, 扫描框架, 暴力破解攻击, 服务账户配置, 网络安全, 误报分析, 隐私保护