Attaque Cachée à Vue: L'analyse de sécurité au niveau du locataire démasque l'activité malveillante
Une équipe de sécurité a découvert une connexion d'utilisateur apparemment ordinaire qui masquait une attaque sophistiquée ciblant 24 utilisateurs. L'attaquant a utilisé l'interface de ligne de commande Microsoft Azure, tentant des connexions depuis un centre de données mexicain avec au maximum deux tentatives par utilisateur pour éviter la détection de force brute. Il a également utilisé des adresses IP de la plage 2001:0470:c8e0::/48 pour éviter les détections basées sur les IOC. En analysant l'activité de connexion au niveau du locataire, plutôt que de se concentrer sur les utilisateurs individuels, l'équipe a identifié avec succès l'attaque. Cela souligne l'importance de l'analyse des journaux à l'échelle du locataire pour découvrir les activités malveillantes cachées dans les comportements d'utilisateurs apparemment normaux.