Suspicious Login (Threat Intelligence) [RULE-1154]
Deze regel waarschuwt wanneer een aanmeldpoging wordt gedetecteerd van een bron die bekend is in de Attic threat intelligence database.
Rationale
Aanmeldpogingen met verdachte kenmerken zijn een sterke indicator van cybercriminele activiteit, vooral tijdens adversary-in-the-middle (AiTM) aanvallen. Deze geautomatiseerde tools volgen vaak specifieke patronen die verschillen van legitiem gebruikersgedrag.
Fix
Een geautomatiseerde oplossing is beschikbaar via Attic.
Manuele stappen:
- Navigeer naar Microsoft Entra ID: https://entra.microsoft.com
- Blokkeer tijdelijk het account
- Vernieuw alle ingelogde sessies van de gebruiker
- Onderzoek de verificatiemethoden om te zien of er een nieuwe is toegevoegd
- Onderzoek of nieuwe app-registraties zijn toegevoegd
- Onderzoek of het account andere verdachte handelingen heeft uitgevoerd sinds de inlogpoging, dat kan met het Unified Audit Log: https://security.microsoft.com/auditlogsearch
- Alvorens het account te deblokkeren: wijzig het wachtwoord van het account
Impact
Het uitvoeren van deze stappen vermindert het risico op ongeautoriseerde toegang en mogelijke schade aan uw systemen en gegevens.