Verdachte login (User Agent patroon) [RULE-1156]
Deze regel detecteert aanmeldpogingen met kenmerken die overeenkomen met aitm aanvallen.
Rationale
Aanmeldpogingen met verdachte kenmerken zijn een sterke indicator van cybercriminele activiteit, vooral tijdens adversary-in-the-middle (AiTM) aanvallen. Tijdens een AiTM aanval probeert het phishingkit zich aan te melden bij uw accounts om wachtwoorden en cookies te verkrijgen.
Fix
Een geautomatiseerde oplossing is beschikbaar via Attic.
Handmatige stappen:
- Navigeer naar Microsoft Entra ID: https://entra.microsoft.com
- Blokkeer tijdelijk het account
- Vernieuw alle ingelogde sessies van de gebruiker
- Onderzoek de verificatiemethoden om te zien of er een nieuwe is toegevoegd.
- Onderzoek of nieuwe app-registraties zijn toegevoegd.
- Onderzoek of het account andere verdachte handelingen heeft uitgevoerd sinds de inlogpoging, dat kan met het Unified Audit Log: https://security.microsoft.com/auditlogsearch
- Alvorens het account te deblokkeren: wijzig het wachtwoord van het account.
Impact
Het uitvoeren van deze stappen zal helpen bij het identificeren en blokkeren van verdachte inlogpogingen, waardoor de kans op een succesvolle cyberaanval wordt verminderd.