Привет всем! Заметил, что в последнее время происходит много атак по вектору session hijacking в Microsoft. Мне стало интересно, и я начал анализировать логи, которые фиксируются в sign-in logs, когда кто-то заходит под куки другого пользователя. Ломал голову, как можно эффективно обнаружить такие атаки в крупной компании, чтобы правило работало с минимальным количеством ложных срабатываний, но так и не смог придумать решение. Возможно, у кого-то есть идеи или полезные статьи на эту тему? Буду признателен за любую помощь!
-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Microsoft Entra sign-in log activity(реагирование на session hijacking)
- Автор темы C0ld
- Дата начала
-
- Теги
- #blueteam #ioc #threathunter
Обучение наступательной кибербезопасности в игровой форме. Начать игру!