We willen password-spray-aanvallen op Microsoft 365 zien

Password spray is een ander beeld dan brute force. Niet duizend pogingen op een account, maar een paar pogingen op duizend accounts vanaf wisselende IP's. De gewone account-lockout vangt het niet, je moet het op tenant-niveau zien.

Probeer dit eerst zelf

1. 1Activeer Smart Lockout in Entra (staat default aan op 10 pogingen per source per 60 seconden). Verhoog niet, dat werkt averechts. Smart Lockout is de eerste rem.
2. 2Zet in Entra ID Protection de policy 'User risk' op High en koppel aan een Conditional-Access-policy die wachtwoord-reset eist. Identity Protection ziet de sprays vaak voordat een gewoon log dat doet.
3. 3Bouw in Sentinel een query op SigninLogs waar ResultType 50053 of 50126 of 50057 vaker dan 20 keer in 10 minuten vanuit verschillende UserPrincipalName komt vanaf eenzelfde IP. Dat is het klassieke spray-patroon.
4. 4Disable legacy authentication compleet. Sprays gaan vaak via legacy-protocollen (IMAP, POP, SMTP-AUTH) omdat die geen MFA hebben. Conditional Access, Block Legacy Authentication, voor alle accounts.
5. 5Geo-block of MFA-eis bij sign-ins uit landen waar jullie niet werken. Een spray vanuit een random datacenter in Azie wordt dan al automatisch tegengehouden voor hij het wachtwoord kan raken.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.