Python User-Agent gedetecteerd [RULE-1163]
Deze regel detecteert inlogactiviteit op Entra ID waarbij een Python User-Agent wordt gebruikt, zoals "python-requests" of "roadtools". Dit kan duiden op het gebruik van hacking tools zoals ROADtools, waarmee aanvallers systematisch informatie uit uw Entra ID-omgeving verzamelen.
Rationale
Een normale gebruiker of applicatie logt in via een browser of mobiele app met standaard user agents zoals "Mozilla/5.0" of "Microsoft Teams". Wanneer een login gebeurt met een Python user agent zoals "python-requests" of "roadtools", duidt dit vrijwel altijd op geautomatiseerde tooling die niet bedoeld is voor normale bedrijfsprocessen.
Aanvallers die toegang hebben gekregen tot credentials (bijvoorbeeld via phishing, password spraying of credential stuffing) gebruiken tools zoals ROADtools om de omgeving te verkennen zonder verdere detectie. De tool kan binnen minuten een volledig overzicht geven van alle beheerdersaccounts, role assignments, application permissions, external users, en andere security-relevante configuraties. Deze informatie wordt gebruikt om de volgende aanvalsstappen te plannen: privilege escalation, lateral movement, of het identificeren van hoogwaardige targets.
Het detecteren van Python user agents is een vroege indicator van een actieve aanvaller die al toegang heeft tot een account. De aanvaller bevindt zich in de reconnaissance fase (MITRE ATT&CK: Discovery) en probeert te begrijpen hoe uw omgeving in elkaar zit voordat verdere schade wordt aangericht. Dit is het moment om in te grijpen voordat de aanval escaleert naar data exfiltration of het compromitteren van privileged accounts.