Как InTrust може да помогне за намаляване на процента на неуспешни опити за авторизация чрез RDP

Всеки, който се е опитвал да стартира виртуална машина в облака, е добре наясно, че стандартен RDP порт, ако бъде оставен отворен, почти веднага ще бъде атакуван от вълни от груби опити за парола от различни IP адреси по целия свят.

В тази статия ще покажа как да InTrust Можете да конфигурирате автоматичен отговор на груба сила на паролата, като добавите ново правило към защитната стена. InTrust е CLM платформа за събиране, анализиране и съхраняване на неструктурирани данни, които вече имат стотици предварително дефинирани реакции на различни видове атаки.

В Quest InTrust можете да конфигурирате действия за отговор, когато се задейства правило. От агента за събиране на регистрационни файлове InTrust получава съобщение за неуспешен опит за оторизация на работна станция или сървър. За да конфигурирате добавянето на нови IP адреси към защитната стена, трябва да копирате съществуващо персонализирано правило за откриване на множество неуспешни авторизации и да отворите копие от него за редактиране:

Събитията в регистрационните файлове на Windows използват нещо, наречено InsertionString. Вижте съвпаденията за код на събитие 4625 (това е неуспешно влизане в системата) и ще видите, че полетата, които ни интересуват, се съхраняват в InsertionString14 (Име на работна станция) и InsertionString20 (Адрес на мрежата на източника).При атака от интернет полето Име на работната станция най-вероятно ще бъде празно, така че това място е важно да замени стойността от изходния мрежов адрес.

Ето как изглежда текстът на събитие 4625:

An account failed to log on.
Subject:
	Security ID:		S-1-5-21-1135140816-2109348461-2107143693-500
	Account Name:		ALebovsky
	Account Domain:		LOGISTICS
	Logon ID:		0x2a88a
Logon Type:			2
Account For Which Logon Failed:
	Security ID:		S-1-0-0
	Account Name:		Paul
	Account Domain:		LOGISTICS
Failure Information:
	Failure Reason:		Account locked out.
	Status:			0xc0000234
	Sub Status:		0x0
Process Information:
	Caller Process ID:	0x3f8
	Caller Process Name:	C:WindowsSystem32svchost.exe
Network Information:
	Workstation Name:	DCC1
	Source Network Address:	::1
	Source Port:		0
Detailed Authentication Information:
	Logon Process:		seclogo
	Authentication Package:	Negotiate
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
	- Transited services indicate which intermediate services have participated in this logon request.
	- Package name indicates which sub-protocol was used among the NTLM protocols.
	- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Освен това ще добавим стойността на мрежовия адрес на източника към текста на събитието.

След това трябва да добавите скрипт, който ще блокира IP адреса в защитната стена на Windows. По-долу е даден пример, който може да се използва за това.

Скрипт за настройка на защитна стена

param(
         [Parameter(Mandatory = $true)]
         [ValidateNotNullOrEmpty()]   
         [string]
         $SourceAddress
)

$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'

function Get-BlockedIps {
    (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}

$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object

if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
    Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
    New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}

Сега можете да промените името и описанието на правилото, за да избегнете объркване по-късно.

Сега трябва да добавите този скрипт като отговор на правилото, да активирате правилото и да се уверите, че съответното правило е активирано в политиката за наблюдение в реално време. Агентът трябва да бъде активиран да изпълнява скрипт за отговор и трябва да има посочения правилен параметър.

След приключване на настройките броят на неуспешните авторизации намаля с 80%. печалба? Какъв страхотен!

Понякога отново се появява малко увеличение, но това се дължи на появата на нови източници на атака. След това всичко отново започва да запада.

В течение на една седмица работа към правилото на защитната стена бяха добавени 66 IP адреса.

По-долу е дадена таблица с 10 често срещани потребителски имена, използвани за опити за авторизация.

Потребителско име

Брой

В проценти

администратор

1220235

40.78

администратор

672109

22.46

потребител

219870

7.35

contoso

126088

4.21

contoso.com

73048

2.44

администратор

55319

1.85

сървър

39403

1.32

sgazlabdc01.contoso.com

32177

1.08

administrateur

32377

1.08

sgazlabdc01

31259

1.04

Кажете ни в коментарите как реагирате на заплахи за информационната сигурност. Каква система използвате и колко е удобна?

Ако се интересувате да видите InTrust в действие, оставете заявка във формата за обратна връзка на нашия уебсайт или ми пишете на лично съобщение.

Прочетете другите ни статии за информационна сигурност:

Откриваме ransomware атака, получаваме достъп до домейн контролера и се опитваме да устоим на тези атаки

Какво може да бъде полезно от регистрационните файлове на работна станция, базирана на Windows OS (популярна статия)

Проследяване на жизнения цикъл на потребителя без клещи и тиксо

И кой го направи? Ние автоматизираме одита на информационната сигурност

Как да намалите разходите за притежание на SIEM система и защо имате нужда от Central Log Management (CLM)

Източник: www.habr.com