|
- Brute-Force-Angriff gegen Azure Portal
- Erfolgreiche Anmeldung eines Kunden von einer IP und Misserfolg von einer anderen IIP
- Microsoft Entra ID (ehemals Azure AD) - Mehrere fehlgeschlagene Authentifizierungen gefolgt von einem Erfolg
|
Brachiale Gewalt
|
|
- Versuch des verteilten Passwortknackens in Azure AD
- Entra ID - Fehlgeschlagene Anmeldungen bei einem Konto aus mehreren Quellen
- Entra ID - Fehlgeschlagene Anmeldungen bei einem Konto aus einer einzigen Quelle
- Entra ID - Passwort-Spray-Angriff gegen Azure AD
|
Brute-Force-Versuch
|
|
Wechsel zur vertrauenswürdigen IP-Konfiguration
|
Versuche, die Zugriffskontrollregel in Entra ID zu umgehen
|
|
Kryptowährung Mining
|
- Krypto-Mining durch Ressourcen-Hijacking
- DNS-Ereignisse im Zusammenhang mit Mining-Pools
|
|
Deaktivierter Konto-Versuch
|
Versuche, sich bei deaktivierten Konten anzumelden
|
|
Palo Alto - Potenzielles Beaconing entdeckt
|
Versteckter HTTP/HTTPS-Tunnel
|
|
MFA für einen Benutzer deaktiviert
|
MFA deaktiviert
|
|
Entra ID - Ein neuer Benutzer wurde erstellt und zur Gruppe der integrierten Administratoren hinzugefügt
|
Neu erstelltes Admin-Konto/Admin-Konto erstellen
|
|
Entra ID - Rolle mit hohen Rechten wurde zugewiesen
|
Neu erstelltes Administratorkonto/Administratorkonto erstellen/redundanter Zugang erstellen
|
|
Sicherheitsereignisprotokoll geleert
|
M365 Deaktivierung von Sicherheitstools/M365 Log Deaktivierungsversuch
|
|
Netzwerk-DDoS entdeckt
|
Ausgehender DoS
|
|
- Firewall - Potenzieller lokaler Port-Scan entdeckt
- Palo Alto - Möglicherweise internes externes Port-Scanning
|
Hafen-Scan
|
|
Azure - Benutzer wurde Abonnement-Administrator-Zugriffsrechte gewährt
|
Redundante Zugangsgestaltung
|
|
- Datenübertragung zu nicht vertrauenswürdigen VPCs
- Zeitreihenanomalie für die ins öffentliche Internet übertragene Datenmenge
|
Schlagen und greifen
|
|
DNS - Seltene hohe Anzahl von NXDomains
|
Verdächtige Domäne
|
|
- Seltene Anwendungsgenehmigung
- Azure - Erteilung der Zustimmung zu Drittanbieteranwendungen mit verdächtigen Berechtigungen
- Azure - Verdächtige Anwendungsgenehmigung für Offline-Zugriff
|
Verdächtige Anwendungsberechtigungen
|
|
- Entra ID - Benutzer, der zu einer privilegierten Gruppe hinzugefügt wurde
- Entra ID - Hinzufügen und Entfernen von Konten aus privilegierten Gruppen
- Entra ID - Benutzerkonto, das der integrierten lokalen oder globalen Gruppe der Domäne hinzugefügt wurde
|
Verdächtiger Entra ID-Vorgang
|
|
Verdächtige Gewährung von Berechtigungen für ein Konto
|
Verdächtige Entra ID-Operation/Admin-Kontoerstellung/neu erstelltes Administratorkonto
|
|
Verdächtiger Powershell-Aufruf
|
Verdächtige Fernausführung
|
|
Verdächtige Massendownload-Aktivität
|
Verdächtige Sharing-Aktivitäten
|
|
Anomaler Anmeldeort nach Benutzerkonto und authentifizierender Anwendung
|
Verdächtige Anmeldung
|
|
Missgestalteter Benutzer-Agent
|
Verdächtiges HTTP
|
|
DNS - Tor-Proxys
|
Tor-Aktivität
|
