가능한 암호 스프레이 플레이북 사용
이 플레이북을 사용하여 여러 번의 로그인 실패(동일한 사용자에 대해 둘 이상의 IP 주소에서 너무 많은 인증 실패)로 인해 트리거되는 암호 스프레이 경보를 조사합니다. 다음 단계에서는 가능한 암호 스프레이 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
스포크(sn_sec_spoke)를 설치 보안 운영 했는지 확인하십시오.
프로시저
-
플레이북이 트리거되고 실행을 시작할 때 작업 1에서 활동이 고객의 IP 주소에서 시작되었는지 확인해야 합니다.
암호 스프레이 공격을 수행하는 IP 주소를 식별합니다. 예를 들어 경보의 TXID(트랜잭션 ID)를 사용하고 F5 로그와 대조하여 조회합니다.
-
작업 2에서 활동이 고객의 IP 주소에서 시작된 경우 다음 작업을 수행합니다.
- 작업 3에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
- 작업 4에서는 플로우가 종료됩니다.
- 작업 5에서는 활동이 고객의 IP 주소에서 시작되지 않은 경우 경보 세부 정보에서 공격자의 소스 IP를 확인합니다.
- 작업 6에서는 OSINT(오픈 소스 인텔리전스) 도구를 사용하여 IP 평판과 지난 7일 동안 이러한 IP의 트래픽 패턴을 확인해야 합니다.
- 작업 7에서는 암호 스프레이 공격을 사용하여 성공적으로 로그인한 사용자 이름을 식별해야 합니다.
- 작업 8에서는 실패한 로그인 및 패턴의 수를 식별해야 합니다.
-
작업 9에서는 진양성 지표를 식별해야 합니다.
- 지난 60일 동안 소스 IP의 트래픽을 확인합니다. 과거 교통량은 진정한 양성을 나타낼 수 없습니다.
- 인증 실패가 있는 사용자 이름 패턴과 개수를 확인합니다. 개수가 높을수록 진양성일 확률이 높아집니다.
- 사용자 이름은 딕셔너리 베이스(A-Z)처럼 보이며 admin, sysadmin, root 등과 같은 일반적인 관리자 이름을 가질 수 있습니다.
- 동일한 경보에 john.doe, johnd, jdoe, john_doe, jdoe7 등에 대한 실패가 발생할 수 있는 것처럼 동일한 사용자 이름이라도 스프레이 공격에서 다른 패턴을 가질 수 있으며, 이는 공격자가 일반적인 사용 사례를 기반으로 사용자 이름 패턴을 추측한다는 것을 나타냅니다.
- 위 단계에서 F5 로그의 사용자 에이전트 및 URI를 확인하고 IOC가 빨간색 Condor 경보와 관련이 있는지 확인합니다. 일치하면 진정한 양성 이벤트입니다.
- 작업 10에서는 지금까지 수행한 조사를 기반으로 이것이 가능한 암호 스프레이 공격의 경우인지 여부를 확인해야 합니다.
-
작업 11에서 이것이 가능한 암호 스프레이 공격의 경우 다음 작업을 수행하십시오.
- 작업 12에서는 적절한 팀과 협력하여 필요한 계정을 잠그고 악의적인 활동을 조사해야 합니다.
- 작업 13에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
- 작업 14에서는 플로우가 종료됩니다.
- 작업 15에서는 이것이 가능한 암호 스프레이 공격의 경우가 아닌지 확인해야 합니다.
-
작업 16에서 이것이 가능한 암호 스프레이 공격의 경우가 아닌 경우 다음 작업을 수행합니다.
- 작업 17에서는 지금까지의 결과를 문서화해야 합니다.
- 작업 18에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
- 작업 19에서는 플로우가 종료됩니다.
- 작업 20에서는 동료 및 GIR 관리자와 상의하여 지침을 받아야 합니다.
- 작업 21에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료하기 위해 응답 작업이 생성됩니다.