Los analistas del SOC reciben 4.484 alertas (de media) al día y no pueden ocuparse de 2/3 de ellas.
La detección de amenazas en 2023
Detener un ataque en Microsoft Azure AD

Cómo detectar un ataque en Azure AD

Cómo detectar un ‍‍ataque en Azure AD

Detener un ataque en Azure AD

Veamos cómo un analista que utiliza Vectra puede detectar y responder a los atacantes que tienen como objetivo las aplicaciones federadas de Azure AD y el backend de Azure AD.

 

Cuenta comprometida en Azure AD

 

Puedes ver que thatjohn@corp.ai está priorizado como un compromiso activo con varias detecciones diferentes de Vectra correlacionadas con la cuenta.

 

Vamos a investigatejohn@corp.ai para entender lo que puede estar pasando.

Actividad maliciosa en una cuenta Azure AD: señal de un ciberataque.

 

Puede ver que la cuenta realizó varias acciones que activaron alertas, entre ellas

  • Una autenticación sospechosa
  • Un uso poco habitual de Powershell
  • Creación de una nueva cuenta de administrador
  • Cambios en los permisos de las cuentas
  • Creación de canales de exfiltración con M365 Power Automate

 

Command & ControlMovimiento lateral, actividades de exfiltración de datos en Azure AD.

 

Inicio de sesión sospechoso en Azure AD

 

Echemos un vistazo más profundo a estas alertas haciendo clic en Expandir todo.

 

Puede ver los detalles de un inicio de sesión que podría ser el comienzo de una cuenta comprometida.

Esta alerta fue generada por un algoritmo de IA que considera más de 20 atributos diferentes del inicio de sesión para determinar si se trata de un inicio de sesión de un atacante.

Cómo profundizar en una actividad sospechosa detectada en Azure AD.

 

Para obtener más información sobre este tipo de detección Vectra , haga clic en ? para consultar la página de explicaciones de la aplicación.

Revise la página explicativa y encuentre los detalles que nos ayudarán a responder a las alertas, como las técnicas de MITRE ATT&CK , las acciones que desencadenan la detección y el impacto del comportamiento del atacante.

 

La página explicativa de Azure AD Suspicious Sign-On y su clasificación en el marco MITRE ATT&CK .

Cuando haya terminado de revisar, haga clic en x para seguir investigando el evento de registro.

 

Investigación de compromiso de cuentas en Azure AD

 

Ahora que entendemos cómo funciona esta detección, vamos a investigar y comprender: 

  • ¿Se pasó por alto el AMF?
  • ¿Cómo se registró el atacante?
  • ¿El lugar de inicio de sesión era diferente al de referencia?
  • ¿Era el dispositivo diferente del de referencia?

 

Investigación de compromiso de cuentas en Azure AD

Evasión de MFA en Azure AD

 

La investigación revela que se trató de un acceso comprometido.

 

El atacante se saltó la MFA e inició sesión de forma anómala desde Rusia con un dispositivo Windows.

 

Investiguemos más a fondo para comprender mejor a qué accedió el atacante.

 

El atacante se saltó la MFA e inició sesión de forma anómala desde Rusia con un dispositivo Windows.

 

Investiguemos los registros sin procesar para ver qué otras acciones ha realizado el atacante.

 

Haga clic en Investigación instantánea para acceder sin consultas a la actividad histórica de la cuenta en Azure AD y M365.

 

Investiga los datos históricos del atacante y comprueba lo que ha estado haciendo en tu red.

 

Podemos completar nuestra investigación observando la actividad histórica de Azure AD y M365 de john@corp.ai.

 

Centrémonos en la actividad de inicio de sesión de Azure AD para comprender si esta cuenta comprometida accedió a otros servicios SaaS.

 

Podemos completar nuestra investigación observando la actividad histórica de Azure AD y M365 de john@corp.ai.

 

Esto se parece al acceso malicioso de antes.

 

Haga clic en la fila para ver todos los servicios a los que se ha accedido.

 

Acceso malicioso detectado en Microsoft Azure AD.

 

Podemos ver que el atacante accedió a Salesforce y Box además del módulo Powershell.

 

Tenemos suficiente información para detener al atacante desactivando la cuenta y bloqueando el acceso del atacante.

Podemos ver que el atacante accedió a Salesforce y Box además del módulo Powershell.

 

¡Ataque detenido!

¿Quieres empezar a ver y detener los compromisos de Azure AD en tu entorno?

 

Detectar y prevenir ciberataques en Azure AD

Vectra no sólo detecta a los atacantes, sino que también puede ayudar a prevenirlos.

 

Analicemos este cuadro de mandos para ver la actividad normal de acceso de los usuarios relacionada con los controles de seguridad y validar si se están eludiendo los controles establecidos.

Vectra's Platform no sólo detecta a los atacantes, sino que también puede ayudar a prevenirlos.

 

Un control de seguridad que podemos revisar es quién tiene acceso a Powershell.

 

Haga clic en AzureAD PowerShell Logins para ver quién más tiene acceso a Powershell y revisar si debemos limitar su acceso.

 

Prevenir un ciberataque en Azure AD

 

Cómo prevenir un ciberataque en Azure AD

 

Puedes ver el acceso comprometido de john@corp.ai y algunos otros usuarios.

 

Ahora podemos bloquear john@corp.ai y el acceso de otros usuarios a Powershell para evitar su uso en futuros ataques.

Powershell ha sido comprometido.

 

Ataques prevenidos

Vectrason más precisas que las del SIEM.

Vectra mejoró la calidad de las detecciones de amenazas de Azure AD y M365 que recibe Blackstone en comparación con las alertas de la solución nativa y su SIEM? 

"Nuestro volumen de alertas se ha reducido en un 90% desde que el ML de Vectraevalúa más características y contexto en los modelos, lo que conduce a detecciones más precisas."

Kevin Kennedy
Vicepresidente Senior de Ciberseguridad, Blackstone
Lea el estudio de caso
Plataforma

Vectra AI Plataforma

La señal integrada de detección y respuesta ampliadas (XDR)
Detectar - Priorizar - Investigar - Responder
Público Cloud
Más información
SaaS
Más información
Identidad
Más información
Red
Más información
Punto final
Nuestros socios tecnológicos
Servicios gestionados de detección y respuesta
Más información
Explorar la plataforma