隐藏在普通用户登录背后的攻击:基于租户视角的安全分析
2025-03-31
安全团队发现一起看似普通的用户登录事件,实际上隐藏着一起针对24个用户的攻击。攻击者使用微软Azure CLI,在墨西哥数据中心尝试登录多个账户,每次尝试不超过两次以避免触发暴力破解检测,并使用IP地址范围2001:0470:c8e0::/48规避基于IOC的检测。通过分析整个租户的登录活动,而非单个用户,安全团队成功识别出这起攻击。这强调了从租户层面分析日志的重要性,可以发现隐藏在普通用户行为背后的恶意活动。