SOC Daily Report : 03/25(Tue)

SharePointFileOperation via devices with previously unseen user agents

This alert indicates that a file operation (upload, download, modification, etc.) in SharePoint was performed from a device using a previously unseen user agent (i.e., a browser or application that has not been recorded before).

Meaning
SharePointFileOperation: Any file activity within SharePoint (such as downloading, uploading, deleting, or modifying files).

Devices with previously unseen user agents: The action was performed from a browser, application, or script that has not been previously observed

 

Suspicious granting of permissions to an account

This alert indicates that a suspicious permission change has been detected for a specific account.
Meaning
Suspicious granting: The permission assignment was done in an unusual or unauthorized manner.
Permissions to an account: A user has been granted new access rights, potentially including administrative privileges.

Successful logon from IP and failure from a different IP

This alert indicates that a single user account attempted to log in from two different IP addresses—one attempt was successful while the other failed.
Meaning
Successful logon from IP: A login attempt from one IP address was successful.
Failure from a different IP: Another login attempt from a different IP failed.

Brute force attack against Azure Portal

This alert indicates that multiple failed login attempts were detected against an account in the Azure Portal, suggesting a brute-force attack.
Meaning
Brute force attack: An attacker systematically tries multiple passwords to gain unauthorized access.
Azure Portal: The central management interface for Azure services—if compromised, it could lead to a full cloud takeover.

(Preview) TI map Domain entity to DnsEvent

This alert indicates that Threat Intelligence (TI) mapped a domain entity to a DNS event. Threat Intelligence involves tracking and analyzing security data about specific domains, IP addresses, or malicious activities.

Meaning
TI map Domain entity: Threat Intelligence has identified a specific domain (e.g., a malicious website or server) and associated it with security events.

to DnsEvent: A DNS request or response event that links the malicious domain with DNS traffic.