Suspicious Login (Cloud Provider) [RULE-1151]
Deze regel waarschuwt wanneer een aanmeldpoging wordt gedetecteerd vanaf een IP-adres dat toebehoort aan een cloudprovider. Dit is een indicatie van een mogelijke aanval, omdat bepaalde cloudservices kunnen worden gebruikt om phishingkits te hosten.
Rationale
Aanmeldpogingen met verdachte kenmerken zijn een sterke indicator van cybercriminele activiteit, vooral tijdens adversary-in-the-middle (AiTM) aanvallen. Tijdens een AiTM aanval probeert het phishingkit zich aan te melden bij uw accounts om wachtwoorden en cookies te verkrijgen.
Fix
Een geautomatiseerde fix is beschikbaar via Attic. Als u het zelf wilt oplossen:
- Navigeer naar Microsoft Entra ID: https://entra.microsoft.com
- Blokkeer tijdelijk het account
- Vernieuw alle ingelogde sessies van de gebruiker
- Onderzoek de verificatiemethoden om te zien of er een nieuwe is toegevoegd
- Onderzoek of nieuwe app-registraties zijn toegevoegd
- Onderzoek of het account andere verdachte handelingen heeft uitgevoerd sinds de inlogpoging, dat kan met het Unified Audit Log: https://security.microsoft.com/auditlogsearch
- Alvorens het account te deblokkeren: wijzig het wachtwoord van het account
Impact
Het uitvoeren van deze stappen zal helpen om de veiligheid van uw account te waarborgen door mogelijke bedreigingen te neutraliseren en verdere aanvallen te voorkomen.