Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Inlogpoging met uitgeschakeld account [RULE-1127]

Deze regel detecteert wanneer iemand drie of meer keer probeert in te loggen met een account dat door een administrator is uitgeschakeld. De detectie bevat details over welke diensten het doelwit waren en welke uitgeschakelde accounts zijn gebruikt bij de inlogpogingen.

Rationale

Wanneer een account wordt uitgeschakeld in Microsoft Entra ID, betekent dit doorgaans dat de gebruiker de organisatie heeft verlaten, het account buiten gebruik is gesteld, of dat het is uitgeschakeld als onderdeel van een beveiligingsmaatregel. Een inlogpoging op een uitgeschakeld account geeft aan dat iemand nog steeds over geldige credentials beschikt en deze actief probeert te gebruiken.

Dit is om meerdere redenen een belangrijk beveiligingssignaal. Als het account is uitgeschakeld als onderdeel van een offboarding-proces, kunnen herhaalde inlogpogingen erop wijzen dat een voormalig medewerker probeert opnieuw toegang te verkrijgen -- mogelijk met kwaadaardige bedoelingen. Als het account is uitgeschakeld tijdens een beveiligingsincident, suggereren inlogpogingen dat de aanvaller nog steeds over de credentials beschikt en test of de toegang volledig is ingetrokken. Deze techniek heeft betrekking op MITRE ATT&CK T1078 (Valid Accounts), waarbij aanvallers proberen legitieme credentials te gebruiken om toegang te krijgen tot systemen.

Het feit dat iemand een geldig wachtwoord kent voor een uitgeschakeld account is op zichzelf al zorgwekkend. Het kan erop wijzen dat het wachtwoord is gelekt, gedeeld, of verkregen via phishing of credential stuffing. Hoewel de inlogpoging wordt geblokkeerd omdat het account is uitgeschakeld, vormt de onderliggende blootstelling van credentials een risico -- vooral als hetzelfde wachtwoord wordt hergebruikt op andere accounts.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Identificeer de uitgeschakelde account(s) en de diensten die het doelwit waren van de inlogpogingen. Bepaal wanneer en waarom het account oorspronkelijk is uitgeschakeld.

    • Zo nee: De inlogpogingen zijn niet toe te schrijven aan legitieme activiteit (bijvoorbeeld een voormalig medewerker of geautomatiseerd systeem):

      1. Onderzoek de bron-IP-adressen en locaties van de inlogpogingen via de sign-in logs in het Entra admin center om de herkomst van de pogingen vast te stellen.
      2. Controleer of de credentials van het uitgeschakelde account mogelijk gelekt zijn. Raadpleeg breach databases en recente phishing-campagnes gericht op uw organisatie.
      3. Als het wachtwoord aantoonbaar gecompromitteerd is, zorg er dan voor dat het niet wordt hergebruikt op actieve accounts binnen de organisatie. Verzoek wachtwoordwijzigingen voor accounts met identieke of vergelijkbare credentials.
      4. Als de inlogpogingen wijzen op een gerichte aanval of de bron niet kan worden vastgesteld, neem contact op met Attic voor incident response ondersteuning voor nader onderzoek.

    • Zo ja: De inlogpogingen zijn verklaarbaar (bijvoorbeeld een geautomatiseerd proces of dienst die niet is bijgewerkt na het uitschakelen van het account):

      1. Werk het geautomatiseerde proces of de dienst bij om een geldig account te gebruiken, of verwijder de afhankelijkheid van het uitgeschakelde account.
      2. Als de pogingen afkomstig zijn van een voormalig medewerker die mogelijk niet op de hoogte is van het uitschakelen van het account: geen verdere actie nodig, maar blijf monitoren. Sluit het incident af.

Meer informatie