Ein Passwort, viele Benutzer – anders als klassische Brute-Force-Methode. SIEM-Korrelation und Ereignis-IDs.
Angreifer im Passwortsprayein gemeinsames Passwort(z. B. Yaz2026!) probiert es auf Hunderten von Konten aus. Da die Anzahl der Versuche pro Benutzer gering ist, wird keine Kontosperrung ausgelöst.
TargetUserName mit 4625Gleiche Quell-IP im 5-Minuten-Fenster → 10+ verschiedene Benutzernamen + fehlgeschlagene Authentifizierung = Alarm mit hoher Priorität. bei OxiSec password_spray Das Korrelationsmuster macht aus dieser Kette einen Vorfall.
Quell-IP blockieren, betroffene Konten auf erzwungenes Zurücksetzen des Passworts setzen, MFA aktivieren.