Verdachte login (lege user agent) [RULE-1155]
Deze regel detecteert aanmeldpogingen zonder user agent, een kenmerk dat vaak overeenkomt met cybercrimineel gedrag.
Rationale
Aanmeldpogingen zonder user agent zijn een sterke indicator van adversary-in-the-middle (AiTM) aanvallen. Tijdens een AiTM aanval probeert het phishingkit zich aan te melden bij uw accounts om wachtwoorden en cookies te verkrijgen.
Fix
Een geautomatiseerde oplossing is beschikbaar via Attic.
Handmatige stappen:
- Navigeer naar Microsoft Entra ID: https://entra.microsoft.com
- Blokkeer tijdelijk het account
- Vernieuw alle ingelogde sessies van de gebruiker
- Onderzoek de verificatiemethoden om te zien of er een nieuwe is toegevoegd
- Onderzoek of nieuwe app-registraties zijn toegevoegd
- Onderzoek of het account andere verdachte handelingen heeft uitgevoerd sinds de inlogpoging, dat kan met het Unified Audit Log: https://security.microsoft.com/auditlogsearch
- Alvorens het account te deblokkeren: wijzig het wachtwoord van het account
Impact
Het blokkeren van het account en het vernieuwen van alle ingelogde sessies voorkomt verdere ongeautoriseerde toegang. Het onderzoeken van verificatiemethoden, app-registraties en verdachte handelingen helpt bij het identificeren van mogelijke beveiligingsrisico's.