Password spray'de saldırgan tek bir yaygın şifreyi (ör. Yaz2026!) yüzlerce hesapta dener. Kullanıcı başına deneme düşük olduğu için hesap kilitleme tetiklenmez.
Belirtiler
- Aynı kaynak IP'den farklı
TargetUserNameile 4625 - Kısa sürede onlarca başarısız oturum, başarılı oturum yok
- Genelde VPN veya OWA üzerinden
SIEM kuralı mantığı
5 dakika penceresinde aynı kaynak IP → 10+ farklı kullanıcı adı + başarısız auth = yüksek öncelik alarmı. OxiSec'te password_spray korelasyon pattern'i bu zinciri incident'a çevirir.
Müdahale
Kaynak IP'yi engelleyin, etkilenen hesapları zorunlu şifre sıfırlamaya alın, MFA'yı etkinleştirin.