mit ihrer lateralen Bewegung auf das Azure-AD der Opfer abzielen. Dazu werden entweder abgegriffene Administratorkennwörter oder gefälschte SAML-Token verwendet. Glücklicherweise seid ihr hier dank Splunk (und dem ausgefuchstenRyan Lait)gut aufgestellt!