Algemeen
Met deze regel worden aanmeldpogingen in Entra ID vergeleken met de data in uw MISP bron. Indien een aanmeldpoging wordt gesignaleerd vanaf een IP-adres dat bekend is in MISP, wordt alarm geslagen.
Rationale
De MISP bron dient als opslag van indicatoren die duiden op kwaadaardig gedrag. Dergelijke details worden verkregen uit onderzoek naar eerdere aanvallen op andere organisaties. Uitwisseling van die data zorgt ervoor dat nieuwe vergelijkbare aanvallen tijdig worden gedetecteerd. Door de data te vermengen met logboeken in de Microsoft tenant, is detectie actief en helpt Attic met snelle incident afhandeling.
Attic ondersteunt momenteel de volgende MISP-bronnen:
Z-CERT | IBD van VNG | FERM Rotterdam |
Gebruik van deze bronnen is alleen toegestaan voor de bedoelde doelgroep, hetgeen Attic per klant zal valideren.
Attic Fix
Voor deze detectie is een Fix beschikbaar die het account in kwestie blokkeert. Het advies is om deze Fix uit te voeren indien de aanmeldpoging succesvol was.
Die handeling zorgt ervoor dat geen verdere schade kan ontstaan, maar het is raadzaam om vervolgonderzoek uit te voeren naar wat het account heeft uitgevoerd sinds de aanmeldpoging.
Indien u over een IR Strippenkaart beschikt, schakel dan onze experts in om het vervolgonderzoek uit te voeren.
Handmatige opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Open het Entra admin portal https://entra.microsoft.com
- Onder Identity en Monitoring & Health en dan Sign-in logs
- Zoek het logboek entry op uit het Attic alarm
- Onderzoek de aanmeldpoging en alleen als vast te stellen is dat het alarm een false-positive is:
- Blokkeer het user account
- Reset het wachtwoord en trek ingelogde sessies in
- Onderzoek het account op verdacht gedrag of gewijzigde authenticatiemethodes en verdachte App Consents. Zolder kan hierbij assisteren.
- Als het account weer vrij is voor geruik, schakel het dan pas weer in.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.