Algemeen
Met diverse regels detecteert Attic aanmeldpogingen in het Aanmeldingslogboek met kenmerken die overeenkomen met bekende cybercrimineel gedrag.
- RULE-1151 - IP-adres is van een cloudprovider
- RULE-1154 - Overeenkomst met dreigingsinformatie in the Threa Intelligence database van Attic
- RULE-1155 - Lege user agent
- RULE-1156 - Patronen zoals user agents
Rationale
Aanmeldpogingen met verdachte kenmerken zijn een sterke indicator van cybercriminele activiteit, vooral tijdens adversary-in-the-middle (AiTM) aanvallen.
Tijdens een AiTM aanval probeert het phishingkit zich aan te melden bij uw accounts om wachtwoorden en cookies te verkrijgen. Deze geautomatiseerde tools volgen vaak specifieke patronen die verschillen van legitiem gebruikersgedrag, zoals snelle opeenvolgende pogingen, ongewone timingpatronen of specifieke verzoekkenmerken die vaak worden geassocieerd met pogingen tot het oogsten van inloggegevens en session hijacking.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
- Navigeer naar Microsoft Entra ID: https://entra.microsoft.com
- Blokkeer tijdelijk het account
- Vernieuw alle ingelogde sessies van de gebruiker
- Onderzoek de verificatiemethoden om te zien of er een nieuwe is toegevoegd.
- Onderzoek of nieuwe app-registraties zijn toegevoegd.
- Onderzoek of het account andere verdachte handelingen heeft uitgevoerd sinds de inlogpoging, dat kan met het Unified Audit Log: https://security.microsoft.com/auditlogsearch
- Alvorens het account te deblokkeren: wijzig het wachtwoord van het account.
Heeft u hulp nodig bij deze stappen, dan kan het Attic IR team het voor u uitvoeren. Daarvoor heeft u een IR Strippenkaart nodig.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.