Algemeen
Dit alarm gaat af wanneer het account dat dient voor noodsituaties, gebruikt wordt.
Rationale
Het emergency account heeft de hoogste privileges maar geen tweefactorauthenticatie. Dat is bewust, om een manier te hebben om de omgeving te openen wanneer de tweede factor methode op grote schaal faalt. Wanneer er echter geen aanleiding is, zou het account niet gebruikt moeten worden. En dat maakt dat elk ongepland gebruik van het account verdacht is: mogelijk is het wachtwoord in verkeerde handen gevallen.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Ga bij collega's die toegang hebben tot de inloggegevens van het emergency account gepland was.
-
Zo nee: beschouw het emergency account als gecompromitteerd:
- Reset het wachtwoord van het emergency account
- Trek alle ingelogde sessies in van het emergency account (revoke sessions)
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?). Dit wordt zeker geadviseerd aangezien de uitvoerende gebruiker een ander persoon is dan de eigenaar van de mailbox.
- Zo ja: sluit het Attic incident af als in orde
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.