|
- Attaque par force brute contre Azure Portal
- Connexion réussie d'un client à partir d'un IP et échec à partir d'un autre IP
- Microsoft Entra ID (anciennement Azure AD) - Échecs multiples de l'authentification suivis d'un succès
|
Force brute
|
|
- Tentative de craquage de mot de passe distribué dans Azure AD
- Entra ID - Échec des connexions à un compte à partir de sources multiples
- Entra ID - Échec des connexions à un compte à partir d'une source unique
- Entra ID - Attaque par pulvérisation de mot de passe contre Azure AD
|
Tentative de force brute
|
|
Passage à la configuration IP de confiance
|
Tentatives de contournement de la règle d'accès conditionnel dans Entra ID
|
|
Extraction de crypto-monnaies
|
- Exploitation de cryptomonnaies par détournement de ressources
- Événements DNS liés aux pools miniers
|
|
Tentative de compte désactivé
|
Tentatives de connexion à des comptes désactivés
|
|
Palo Alto - balisage potentiel détecté
|
Tunnel caché HTTP/HTTPS
|
|
MFA désactivé pour un utilisateur
|
MFA désactivé
|
|
Entra ID - Nouvel utilisateur créé et ajouté au groupe des administrateurs intégrés
|
Compte d'administrateur nouvellement créé/création d'un compte d'administrateur
|
|
Entra ID - Un rôle à haut privilège a été attribué
|
Compte d'administrateur nouvellement créé/création d'un compte d'administrateur/création d'un accès redondant
|
|
Le journal des événements de sécurité est effacé
|
Désactivation des outils de sécurité M365/Tentative de désactivation du journal M365
|
|
Détection d'un DDoS sur le réseau
|
DoS sortant
|
|
- Pare-feu - Une analyse potentielle des ports locaux a été détectée
- Palo Alto - Possibilité de balayage des ports internes et externes
|
Balayage des ports
|
|
Azure - L'utilisateur s'est vu accorder des droits d'accès d'administrateur d'abonnement
|
Création d'accès redondants
|
|
- Transfert de données vers des VPC non fiables
- Anomalie de série temporelle pour la taille des données transférées sur l'internet public
|
Frapper et attraper
|
|
DNS - Nombre de NXDomaines rarement élevé
|
Domaine suspect
|
|
- Accord pour une demande rare
- Azure - Accorder le consentement à une application tierce avec des permissions suspectes
- Azure - Consentement d'une application suspecte pour l'accès hors ligne
|
Permissions d'application suspectes
|
|
- Entra ID - Utilisateur ajouté à un groupe privilégié
- Entra ID - Compte ajouté et supprimé des groupes privilégiés
- Entra ID - Compte d'utilisateur ajouté au groupe local ou global du domaine intégré
|
Opération suspecte d'Entra ID
|
|
Octroi suspect d'autorisations à un compte
|
Opération Entra ID suspecte/création d'un compte administrateur/compte administrateur nouvellement créé
|
|
Invocation powershell suspecte
|
Exécution à distance suspecte
|
|
Activité suspecte de téléchargement en masse
|
Activité de partage suspecte
|
|
Emplacement anormal de l'ouverture de session par compte d'utilisateur et application d'authentification
|
Connexion suspecte
|
|
Agent utilisateur malformé
|
HTTP suspect
|
|
DNS - proxies tor
|
Activité de Tor
|
