Un'anomalia di autenticazione è un pattern di accesso che si discosta da ciò che normalmente fa un utente, un account di servizio o un'organizzazione. Tra gli esempi rientrano viaggi impossibili tra località, accessi da dispositivi non familiari, login in orari insoliti, ripetuti fallimenti MFA oppure accessi tramite una VPN, un intervallo di IP o un'applicazione diversi dal previsto.
Questo è importante perché l'abuso di credenziali spesso emerge per primo nei log di autenticazione, prima che il furto di dati o l'attività ransomware diventino evidenti. Gli aggressori possono usare password rubate, token di sessione o tentativi di forza bruta per raggiungere email, VPN, dashboard cloud o portali amministrativi. I difensori cercano anomalie per individuare il takeover degli account, l'escalation dei privilegi e l'intrusione iniziale. In pratica, le anomalie di autenticazione vengono correlate con il comportamento di base, la fiducia del dispositivo, la geolocalizzazione, il punteggio di rischio e la telemetria della directory, quindi investigate insieme all'attività dei file, all'accesso ai backup e alle modifiche amministrative per confermare se il login è legittimo o malevolo.