Verdachte landen-aanmelding op Tier0-account [RULE-1165]
Deze regel detecteert of een Tier0-account inlogt vanuit een verdacht land.
Rationale
Tier0-accounts hebben onbeperkte toegang tot uw meest kritieke systemen en kunnen elke beheerdersactie uitvoeren in uw Entra ID, Microsoft 365 en mogelijk ook in uw on-premises infrastructuur. Compromittering van een Tier0-account staat gelijk aan een volledige overname van de tenant.Verdachte landen in deze context kunnen onder andere zijn:
- Hoogriscogebieden – Regio’s met verhoogde activiteit van dreigingsactoren die zich richten op uw sector
Fix
Een geautomatiseerde oplossing is beschikbaar via Attic om deze dreiging te mitigeren.Als de gedetecteerde aanmelding niet legitiem is, raden we aan om de volgende acties te ondernemen:
- Schakel het account onmiddellijk uit
- Trek alle actieve sessies in
- Reset het wachtwoord
Impact
Na het uitvoeren van de oplossing wordt het betreffende account uitgeschakeld en worden alle actieve sessies van dat account afgemeld.