告警說明:當密碼在暗網(Dark Web)上被外洩,這意味著您的帳號資訊可能已經被不法份子竊取並用於非法目的。一旦發生,可能造成財務損失或是產生進一步安全威脅。
處置建議:請儘速重新設定一組至少12碼,且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。若該帳號所使用的任何服務、裝置也使用相同密碼,或是不同帳號也使用該密碼,都請一併做修改。
處置建議:請儘速重新設定一組至少12碼,且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。若該帳號所使用的任何服務、裝置也使用相同密碼,或是不同帳號也使用該密碼,都請一併做修改。
告警說明:這是一種常見的攻擊方式,惡意人士試圖透過不斷嘗試來猜測正確的密碼。這種攻擊會逐一嘗試所有可能的密碼組合,如:彩虹表(Rainbow table),也或者使用字典檔,針對一般使用者或特權帳號進行嘗試。萬一破解成功,可能造成資料外洩或是造成其他破壞。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。並由作業系統或是網域的密碼規則設定帳號鎖定閥值,或是採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。並由作業系統或是網域的密碼規則設定帳號鎖定閥值,或是採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
告警說明:這是有別於暴力破解,且方法更為精細。攻擊者選擇一個常見的密碼,並嘗試登錄多個帳號,而不是針對單一帳號不斷嘗試不同密碼。這種方法的主要優勢在於它能夠避開帳號鎖定政策,因為它在每個帳號上只嘗試一次或幾次。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
處置建議:請設定至少12碼且具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。採用多因子驗證(MFA),即使密碼被猜中,也可以避免被破解的帳號登入系統。
異常登入
告警說明:這項檢測由微軟雲端應用安全(Microsoft Cloud App Security,簡稱 MCAS)發現。當出現兩個或多個使用者活動,且這些活動來自於地理位置相距遠的地方,由於物理上不可能出現這樣移動行為,這會被視為帳號被盜用。
處置建議:如果該事件中,Detail的successes欄位出現1次或以上就代表登入成功過,請務必重新設定一組具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。如果該帳號再度出現相同告警且被成功登入,建議停用該帳號或限制存取公司資源。
處置建議:如果該事件中,Detail的successes欄位出現1次或以上就代表登入成功過,請務必重新設定一組具有複雜度的密碼,同時避免使用常見密碼變形,如:P@ssw0rd。如果該帳號再度出現相同告警且被成功登入,建議停用該帳號或限制存取公司資源。
告警說明:當兩次登入來自地理位置相距遠的地方,其中至少有一次是基於用戶過去沒有出現過的登入行為。
處置建議:應立即審查該帳戶的近期活動,尋找任何不尋常的行為,例如:登入時間與出勤時間交叉比對。發現不尋常,需要向使用者確認是否是他自己的操作行為,若不是,就需要更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。
處置建議:應立即審查該帳戶的近期活動,尋找任何不尋常的行為,例如:登入時間與出勤時間交叉比對。發現不尋常,需要向使用者確認是否是他自己的操作行為,若不是,就需要更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。
告警說明:當登入的一個或多個屬性(IP、ASN、位置、設備、瀏覽器、IP子網)與我們最近對該帳號所見的情況不同,就會認為這是新設備的登入行為(Unfamiliar Sign-in Properties)。
處置建議:可先向使用者確認是否更換新設備或者是使用者行為,若不是,建議先更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。
處置建議:可先向使用者確認是否更換新設備或者是使用者行為,若不是,建議先更改該帳號的密碼,並清查該帳號的權限範圍並限制或停止存取公司資源。