Algemeen

Met deze rule controleert Attic succesvolle aanmeldpogingen op de tenant op verdachte User Agents.

Rationale

Uit onderzoek blijkte dat AiTM aanvallers met specifieke, relatief ongebruikelijke, user agents inloggen op de Microsoft omgeving. Detecties van deze user agents zou derhalve moeten worden opzocht op misbruik.

Attic Fix

Voor deze detectie is een Fix beschikbaar die het account in kwestie blokkeert. Die handeling zorgt ervoor dat geen verdere schade kan ontstaan, maar het is raadzaam om vervolgonderzoek uit te voeren naar wat het account heeft uitgevoerd sinds de aanmeldpoging.

Indien u over een IR Strippenkaart beschikt, schakel dan onze experts in om het vervolgonderzoek uit te voeren.

Handmatige opvolging

Voer deze stappen uit om deze detecie adequaat op te volgen:

1. Open het Entra admin portal https://entra.microsoft.com
2. Onder Identity en Monitoring & Health en dan Sign-in logs
3. Zoek het logboek entry op uit het Attic alarm
4. Onderzoek de aanmeldpoging en alleen als vast te stellen is dat het alarm een false-positive is:
   1. Blokkeer het user account
   2. Reset het wachtwoord en trek ingelogde sessies in
   3. Onderzoek het account op verdacht gedrag of gewijzigde authenticatiemethodes en verdachte App Consents. Zolder kan hierbij assisteren.
   4. Als het account weer vrij is voor geruik, schakel het dan pas weer in.

Meer informatie

1. https://techcommunity.microsoft.com/blog/microsoftmechanicsblog/token-theft-protection-with-microsoft-entra-intune-defender-xdr--windows/4265675