Algemeen
Met deze regel wordt activiteit in Azure vergeleken met de data in uw MISP bron. Indien activiteit wordt gesignaleerd vanaf een IP-adres dat bekend is in MISP, wordt alarm geslagen.
Rationale
De MISP bron dient als opslag van indicatoren die duiden op kwaadaardig gedrag. Dergelijke details worden verkregen uit onderzoek naar eerdere aanvallen op andere organisaties. Uitwisseling van die data zorgt ervoor dat nieuwe vergelijkbare aanvallen tijdig worden gedetecteerd. Door de data te vermengen met logboeken in de Microsoft tenant, is detectie actief en helpt Attic met snelle incident afhandeling.
Attic ondersteunt momenteel de volgende MISP-bronnen:
Z-CERT | IBD van VNG | FERM Rotterdam |
Gebruik van deze bronnen is alleen toegestaan voor de bedoelde doelgroep, hetgeen Attic per klant zal valideren.
Handmatige opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Open het Entra admin portal https://entra.microsoft.com
- Onder Identity en Monitoring & Health en dan Sign-in logs
- Zoek uit hoe het account is aangemeld
- Onderzoek de aanmeldpoging en alleen als vast te stellen is dat het alarm geen false-positive is:
- Blokkeer het user account
- Reset het wachtwoord en trek ingelogde sessies in
- Onderzoek het account op verdacht gedrag of gewijzigde authenticatiemethodes en verdachte App Consents. Controleer ook de mailbox op eventuele forwarding rules. Zolder kan hierbij assisteren.
- Als het account weer vrij is voor gebruik, schakel het dan pas weer in.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.