密碼破解
告警說明:當密碼在暗網(Dark Web)上被外洩,這意味著您的帳號資訊可能已經被不法份子竊取並用於非法目的。一旦發生,可能造成財務損失或是產生進一步安全威脅。
處置建議:請儘速重新設定一組至少12碼,且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。若該帳號所使用的任何服務、裝置也使用相同密碼,或是不同帳號也使用該密碼,都請一併做修改。
處置建議:請儘速重新設定一組至少12碼,且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。若該帳號所使用的任何服務、裝置也使用相同密碼,或是不同帳號也使用該密碼,都請一併做修改。
告警說明:這是一種常見的攻擊方式,惡意人士試圖透過不斷嘗試來猜測正確的密碼。這種攻擊會逐一嘗試所有可能的密碼組合,如:彩虹表(Rainbow table),也或者使用字典檔,針對一般使用者或特權帳號進行嘗試。萬一破解成功,可能造成資料外洩或是造成其他破壞。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。並由作業系統或是網域的密碼規則設定帳號鎖定閥值,或是採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。並由作業系統或是網域的密碼規則設定帳號鎖定閥值,或是採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
告警說明:這是有別於暴力破解,且方法更為精細。攻擊者選擇一個常見的密碼,並嘗試登錄多個帳號,而不是針對單一帳號不斷嘗試不同密碼。這種方法的主要優勢在於它能夠避開帳號鎖定政策,因為它在每個帳號上只嘗試一次或幾次。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
告警說明:發現帳號在短時間內有大量的登入失敗記錄後,最後卻又成功登入。這通常有兩種可能:
1.可能有駭客試圖透過不斷嘗試密碼,企圖登入帳號(暴力破解, Password Guessing)。
2.可能因為修改密碼後,使用者忘記密碼或是某一個服務忘記更新密碼,造成反覆嘗試登入,且持續出現失敗的狀況。
failedCode參考說明:
| 錯誤代碼 | 說明 |
|---|---|
| 0xC000006A | 重要帳號或服務帳號的密碼輸入錯誤。最常見的登入失敗原因,也是攻擊者最常觸發的錯誤。 |
| 0xC0000064 | 使用者帳號名稱輸入錯誤或帳號不存在。最常見的登入失敗原因,也是攻擊者最常觸發的錯誤。 |
| 0XC000006D | 重要帳號或服務帳號的使用者名稱或驗證資訊錯誤。屬於常見的暴力攻擊指標。 |
| 0xC0000072 | 使用者嘗試登入已被管理員停用的帳號。該帳號可能因安全考量或其他原因被暫時或永久停用。 |
| 0xC00002EE | 安全驗證過程在完成前被中斷或刪除,導致登入失敗。這可能是因為網路連線問題、系統資源不足,或驗證過程被異常終止。 |
處置建議:此事件可能是正常,也可能是異常。
如果是正常,需要檢視各項服務的密碼,需要搭配密碼更換週期一併變更。
如果從觸發偵測時間點,確定不是使用者行為或是既有服務的動作,建議修改密碼,請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
告警說明:從過去登入歷史紀錄比對,分析發現異常的登入失敗次數。這通常有兩種可能:
1.可能有駭客試圖透過不斷嘗試密碼,企圖登入帳號(暴力破解, Password Guessing)。
2.可能因為修改密碼後,使用者忘記密碼或是某一個服務忘記更新密碼,造成反覆嘗試登入,且持續出現失敗的狀況。
failedCode參考說明:
| 錯誤代碼 | 說明 |
|---|---|
| 0xC000006A | 重要帳號或服務帳號的密碼輸入錯誤。最常見的登入失敗原因,也是攻擊者最常觸發的錯誤。 |
| 0xC0000064 | 使用者帳號名稱輸入錯誤或帳號不存在。最常見的登入失敗原因,也是攻擊者最常觸發的錯誤。 |
| 0XC000006D | 重要帳號或服務帳號的使用者名稱或驗證資訊錯誤。屬於常見的暴力攻擊指標。 |
| 0xC0000072 | 使用者嘗試登入已被管理員停用的帳號。該帳號可能因安全考量或其他原因被暫時或永久停用。 |
| 0xC00002EE | 安全驗證過程在完成前被中斷或刪除,導致登入失敗。這可能是因為網路連線問題、系統資源不足,或驗證過程被異常終止。 |
處置建議:此事件可能是正常,也可能是異常。
如果是正常,需要檢視各項服務的密碼,需要搭配密碼更換週期一併變更。
如果從觸發偵測時間點,確定不是使用者行為或是既有服務的動作,建議修改密碼,請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
告警說明:發現帳號突然從平常不會出現的地點或設備登入,可能代表帳號被其他人盜用或不正常的登入行為。
處置建議:從觸發偵測時間點,確認該帳號擁有者是否有類似操作。如果不是使用者行為,建議修改密碼,請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
處置建議:從觸發偵測時間點,確認該帳號擁有者是否有類似操作。如果不是使用者行為,建議修改密碼,請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
告警說明:偵測到使用者的帳號資料(如:電子郵件地址或密碼)在網路上被公開,可能是因為其他網站或服務的資料外洩事件所導致。這些被公開的帳號資料容易被駭客利用。
處置建議:從外洩時間點(Breach date)之後,務必至少變更一次密碼。請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
處置建議:從外洩時間點(Breach date)之後,務必至少變更一次密碼。請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
異常登入
告警說明:這項檢測由微軟雲端應用安全(Microsoft Cloud App Security,簡稱 MCAS)發現。當出現兩個或多個使用者活動,且這些活動來自於地理位置相距遠的地方,由於物理上不可能出現這樣移動行為,這會被視為帳號被盜用。
處置建議:如果該事件中,Detail的successes欄位出現1次或以上就代表登入成功過,請務必重新設定一組具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。如果該帳號再度出現相同告警且被成功登入,建議停用該帳號或限制存取公司資源。
處置建議:如果該事件中,Detail的successes欄位出現1次或以上就代表登入成功過,請務必重新設定一組具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。如果該帳號再度出現相同告警且被成功登入,建議停用該帳號或限制存取公司資源。
告警說明:當兩次登入來自地理位置相距遠的地方,其中至少有一次是基於用戶過去沒有出現過的登入行為。
處置建議:應立即審查該帳戶的近期活動,尋找任何不尋常的行為,例如:登入時間與出勤時間交叉比對。發現不尋常,需要向使用者確認是否是他自己的操作行為,若不是,就需要更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。
處置建議:應立即審查該帳戶的近期活動,尋找任何不尋常的行為,例如:登入時間與出勤時間交叉比對。發現不尋常,需要向使用者確認是否是他自己的操作行為,若不是,就需要更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。
告警說明:當登入的一個或多個屬性(IP、ASN、位置、設備、瀏覽器、IP子網)與我們最近對該帳號所見的情況不同,就會認為這是新設備的登入行為(Unfamiliar Sign-in Properties)。
處置建議:可先向使用者確認是否更換新設備或者是使用者行為,若不是,建議先更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。
處置建議:可先向使用者確認是否更換新設備或者是使用者行為,若不是,建議先更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。