Algemeen
Met een aantal rules controleert Attic succesvolle aanmeldpogingen op de tenant tegen lijsten met IP-adressen.
Rationale
Uit onderzoek blijkte dat AiTM aanvallers een buitgemaakte user account doorgaans inloggen vanaf servers waar die lastig herlijdbaar zijn tot hun identiteit. Clouddiensten als AWS, Azure en CloudFlare zijn daarvoor geschikt. Tegelijkertijd zal het zeer ongebruikelijk zijn dat uw collega om legitieme redenen vanaf een IP-adres van deze clouddiensten probeert in te loggen.
Tot slot verzamelt de AiTM detectie dienst van Attic (didsomeoneclone.me) zelf intelligence over IP-adressen waarvandaan aanvallen worden uitgevoerd. Detectie van aanmeldpogingen vanaf dit soort IP-adressen is daarom zeer raadzaam!
In Attic zijn de volgende Rules actief:
- RULE-1143 - Detecties vanaf CloudFlare IP-reeks
- RULE-1144 - Detecties vanaf IP dat match met DSCM intelligence
- RULE-1145 - Detecties vanaf Azure IP-reeks
- RULE-1146 - Detecties vanaf AWS IP-reeks
Attic Fix
Voor deze detectie is een Fix beschikbaar die het account in kwestie blokkeert. Die handeling zorgt ervoor dat geen verdere schade kan ontstaan, maar het is raadzaam om vervolgonderzoek uit te voeren naar wat het account heeft uitgevoerd sinds de aanmeldpoging.
Indien u over een IR Strippenkaart beschikt, schakel dan onze experts in om het vervolgonderzoek uit te voeren.
Handmatige opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Open het Entra admin portal https://entra.microsoft.com
- Onder Identity en Monitoring & Health en dan Sign-in logs
- Zoek het logboek entry op uit het Attic alarm
- Onderzoek de aanmeldpoging en alleen als vast te stellen is dat het alarm een false-positive is:
- Blokkeer het user account
- Reset het wachtwoord en trek ingelogde sessies in
- Onderzoek het account op verdacht gedrag of gewijzigde authenticatiemethodes en verdachte App Consents. Zolder kan hierbij assisteren.
- Als het account weer vrij is voor geruik, schakel het dan pas weer in.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.