Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Bedrohungsjagd und KQL

Netzwerkverbindungsfehler nach IP analysieren: Das zu kopierende KQL-Modell

5 min de lecture Akuity SOC · Delphisoft Deutschland

Brute-Force- und Passwort-Spraying-Angriffe zielen auf Ihre Entra-ID-Konten ab. Erfahren Sie, wie Sie sie mithilfe der KQL-DeviceLogonEvents-Tabelle verfolgen.

In 80 % der Fälle beginnt ein erfolgreicher Cyberangriff mit der Kompromittierung einer Identität. Bevor Angreifer Malware installieren oder Finanzdaten herausfiltern, versuchen sie, sich gültigen Zugriff auf das Netzwerk zu verschaffen. Ihre bevorzugten Methoden sindBrutale Gewalt(Testen Sie Millionen von Passwörtern für ein einzelnes Konto) oder diePasswort-Sprühen(Testen Sie ein paar sehr gängige Passwörter bei allen Mitarbeitern eines Unternehmens).

Um diese stillen Einbruchsversuche zu erkennen, bevor sie erfolgreich sind, müssen SOC-Teams den Verbindungsverlauf analysieren. Im Microsoft 365 Defender-Ökosystem bedeutet dies eine Abfrage der TabelleDeviceLogonEventsüber KQL (Kusto Query Language).

Grundlegendes zur DeviceLogonEvents-Tabelle

Der TischDeviceLogonEventslistet alle Authentifizierungs- und Anmeldeereignisse auf, die auf vom Mandanten (Mandanten) verwalteten Geräten auftreten. Es zeigt an, wer von welcher IP-Adresse zu welchem ​​Zeitpunkt eine Verbindung hergestellt hat und vor allem, ob die Verbindung erfolgreich war oder nicht.

Wenn ein Hacker einen Brute-Force-Angriff von einem externen Server aus startet (häufig über ein anonymisiertes Netzwerk oder ein Botnetz), erzeugt er innerhalb weniger Minuten Dutzende oder sogar Hunderte von Verbindungsfehlern.

Wie formuliere ich die KQL-Abfrage?

Das Ziel des SOC-Analysten besteht darin, externe IP-Adressen zu isolieren, die ein ungewöhnliches Volumen an fehlgeschlagenen Anmeldungen erzeugen (ActionTypeLogonFailed) auf mehreren Konten oder wiederholt auf einem einzelnen Schlüsselkonto.

Hier ist das grundlegende KQL-Abfragemuster zur Identifizierung dieses Verhaltens:

DeviceLogonEvents
| where Timestamp > ago(24h)
| where ActionType == "LogonFailed"
// Exclure les IP locales internes si nécessaire
| where RemoteIPType == "Public" 
| summarize FailedCount = count(), TargetedAccounts = make_set(AccountName) by RemoteIP, DeviceName
| where FailedCount > 10 // Seuil d'alerte pour identifier les attaques automatisées
| sort by FailedCount desc

Erläuterung der Anfrage:

  1. Zeitfilter (Timestamp):Wir beschränken die Analyse auf die letzten 24 Stunden, um eine optimale Leistung zu gewährleisten und eine Blockierung der API zu vermeiden (Rate Limiting).
  2. Fehlerfilterung (LogonFailed):Wir speichern nur die vom System abgelehnten Authentifizierungsversuche.
  3. Aggregation (summarize):Dies ist der wichtigste Befehl. Wir gruppieren die Ergebnisse nach Remote-IP-Adresse (RemoteIP) und maschinell. Wir zählen die Anzahl der Ausfälle (count()) und wir erstellen eine einzigartige Liste gezielter Konten (make_set).
  4. Kritischer Schwellenwert (where FailedCount > 10):Wir filtern das Hintergrundgeräusch (der Benutzer, der sein Passwort zwei- oder dreimal vergessen hat), um die Angriffsmaschinen zu isolieren.

Automatisierung der Jagd mit Akuity SOC

Das manuelle Schreiben dieser Anfrage im Microsoft Defender-Portal nimmt Zeit in Anspruch, insbesondere wenn Sie sie anpassen und für jeden Ihrer 50 MSSP-Clients erneut ausführen müssen.

Mit der PlattformAkuity SOC, diese Komplexität ist abstrakt. Das Threat Hunting KQL-Terminal bietet eine native Vorlage (Template) mit dem Titel„Verbindungen fehlgeschlagen“. Ein Klick lädt automatisch die optimierte KQL-Logik, um fehlgeschlagene Netzwerkverbindungen nach IP und Konto aufzulisten, und wendet sie auf den ausgewählten Mandanten an.

Kontextuelle Bereicherung und Sanierung

Sobald das dynamische Raster von Akuity SOC die Liste der bösartigen IPs zurückgibt, die mehr als zehn Verbindungsfehler ausgelöst haben, endet die Arbeit des Analysten hier nicht.

  • Bewerten Sie die Bedrohung:Der Analyst kann die verdächtige IP an die in die Schnittstelle integrierte AlienVault OTX-Bewertungs-Engine übermitteln. Wenn die Radialanzeige einen kritischen Wert anzeigt und die „Analyst Ratings“ (IA Gemini) bestätigen, dass die IP zu einem bekanntermaßen bösartigen Proxy-Netzwerk gehört, besteht kein Zweifel mehr.
  • Gegenangriff:Über die Verwaltungskonsole kann der Analyst diesen Indicator of Compromise (IOC) in Microsoft Defender einspeisen, um präventiv jede zukünftige Kommunikation mit dieser IP für einen Zeitraum von 90 Tagen zu blockieren.

Vereinfachen Sie Ihre Netzwerkuntersuchungen.> Nutzen Sie unsere gebrauchsfertigen KQL-Vorlagen mit unseremKQL Multi-Tenant Threat Hunting-Konsoleund stoppen Sie Brute-Force-Angriffe, bevor Ihre Identität gefährdet wird.

Page Solution Associée

Zentralisiertes KQL für die Bedrohungssuche für MSSP

Verfolgen Sie schwache Signale im großen Maßstab über unsere KQL Multi-Tenant-Konsole. Asynchrone Ausführung, Vorlagen und Schutz durch Ratenbegrenzung.

Découvrir la solution complète

Articles du même cluster

Warum Threat Hunting KQL für einen MSSP zeitaufwändig ist (und wie man es automatisiert)

Eine proaktive Untersuchung ist wichtig, aber in großem Umfang komplex. Erfahren Sie, wie Sie Threat Hunting KQL über mehrere Microsoft Defender-Mandanten hinweg automatisieren.

Lire →

So sichern Sie Ihre globalen KQL-Ausführungen mit Rate Limiting

Die Advanced Hunting API von Microsoft ist leistungsstark, unterliegt jedoch Kontingenten. Finden Sie heraus, wie Akuity SOC Rate Limiting Ihre MSSP-Mandanten schützt.

Lire →

Der praktische Leitfaden von DeviceProcessEvents: Aufdecken von dateiloser Malware

Angreifer nutzen PowerShell und CMD, um Antivirenprogramme zu umgehen. Erfahren Sie, wie Sie diese Fileless-Malware mit der KQL-DeviceProcessEvents-Tabelle aufspüren.

Lire →

Isolieren Sie verdächtige Kommunikation: KQL für die Ports 4444 und 8080

Hacker nutzen nicht standardmäßige Netzwerkports, um Daten auszuschleusen. Erfahren Sie, wie Sie sie mit der DeviceNetworkEvents-Tabelle in KQL blockieren.

Lire →