Scénáře zjištěné modulem Microsoft Sentinel Fusion
Tento dokument uvádí typy útoků založených na scénářích s více fázemi seskupené podle klasifikace hrozeb, které Microsoft Sentinel detekuje pomocí modulu korelace Fusion.
Aby bylo možné tyto scénáře detekce útoků využívajících fúzi povolit, musí se všechny uvedené zdroje dat ingestovat do pracovního prostoru služby Log Analytics. V případě scénářů s naplánovanými analytickými pravidly postupujte podle pokynů v tématu Konfigurace plánovaných analytických pravidel pro detekci fusion.
Poznámka:
Některé z těchto scénářů jsou ve verzi PREVIEW. Budou tak označeny.
Zneužití výpočetních prostředků
Několik aktivit vytváření virtuálních počítačů po podezřelém přihlášení Microsoft Entra
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, dopad
Techniky MITRE ATT&CK: Platný účet (T1078), napadení prostředku (T1496)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu naznačují, že se v jedné relaci vytvořil neobvyklý počet virtuálních počítačů po podezřelém přihlášení k účtu Microsoft Entra. Tento typ výstrahy značí, že účet uvedený v popisu incidentu Fusion byl ohrožen a používán k vytvoření nových virtuálních počítačů pro neoprávněné účely, jako je spuštění kryptografických operací dolování. Permutace podezřelých upozornění na přihlášení Microsoft Entra s několika upozorněními aktivit vytváření virtuálních počítačů jsou:
Neschůdná cesta do atypického umístění vedoucího k několika aktivitám vytváření virtuálních počítačů
Událost přihlášení z neznámého umístění vedoucího k několika aktivitám vytváření virtuálních počítačů
Událost přihlášení z infikovaného zařízení vedoucího k několika aktivitám vytváření virtuálních počítačů
Událost přihlášení z anonymní IP adresy vedoucí k několika aktivitám vytváření virtuálních počítačů
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji vedoucími k několika aktivitám vytváření virtuálních počítačů
Přístup k přihlašovacím údajům
(Nová klasifikace hrozeb)
Několik resetování hesel uživatelem po podezřelém přihlášení
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, Přístup k přihlašovacím údajům
Techniky MITRE ATT&CK: Platný účet (T1078), Hrubá síla (T1110)
Zdroje datových konektorů: Microsoft Sentinel (plánované analytické pravidlo), Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že uživatel resetuje několik hesel po podezřelém přihlášení k účtu Microsoft Entra. Tento důkaz naznačuje, že účet uvedený v popisu incidentu Fusion byl ohrožen a byl použit k provedení několika resetování hesel, aby získal přístup k více systémům a prostředkům. Manipulace s účtem (včetně resetování hesla) může nežádoucím uživatelům pomoct při zachování přístupu k přihlašovacím údajům a určitým úrovním oprávnění v rámci prostředí. Permutace podezřelých upozornění na přihlášení Microsoft Entra s několika upozorněními na resetování hesel jsou:
Neschůdná cesta do atypického umístění, které vede k resetování více hesel
Událost přihlášení z neznámého umístění, které vede k resetování několika hesel
Událost přihlášení z nakaženého zařízení, které vede k resetování několika hesel
Událost přihlášení z anonymní IP adresy, která vede k resetování několika hesel
Přihlašovací událost od uživatele s nevracenými přihlašovacími údaji, což vede k resetování více hesel
Podezřelé přihlášení s úspěšným přihlášením k Palo Alto VPN podle IP adresy s několika neúspěšnými přihlášeními Microsoft Entra
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, Přístup k přihlašovacím údajům
Techniky MITRE ATT&CK: Platný účet (T1078), Hrubá síla (T1110)
Zdroje datových konektorů: Microsoft Sentinel (plánované analytické pravidlo), Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že podezřelé přihlášení k účtu Microsoft Entra se shodovalo s úspěšným přihlášením prostřednictvím palo Alto VPN z IP adresy, ze které došlo k několika neúspěšným přihlášením Microsoft Entra v podobném časovém rámci. I když není důkazem útoku s více fázemi, korelace těchto dvou upozornění s nižší věrností vede k vysoce věrnému incidentu s návrhem škodlivého počátečního přístupu k síti organizace. Alternativně to může být označení útočníka, který se pokouší použít techniky hrubou silou k získání přístupu k účtu Microsoft Entra. Permutace podezřelých upozornění na přihlášení Microsoft Entra s upozorněním "IP s několika neúspěšnými přihlášeními Microsoft Entra se úspěšně přihlásí k Palo Alto VPN" jsou:
Nebylo možné cestovat do atypického umístění, které se shoduje s IP řadou neúspěšných přihlášení Microsoft Entra úspěšně přihlásí k Palo Alto VPN
Přihlašovací událost z neznámého umístění, které se shoduje s IP adresou s několika neúspěšnými přihlášeními Microsoft Entra, se úspěšně přihlásí k Palo Alto VPN
Přihlašovací událost z infikovaného zařízení, které se shoduje s IP adresou s několika neúspěšnými přihlášeními Microsoft Entra, se úspěšně přihlásí k Palo Alto VPN
Přihlášení z anonymní IP adresy, která se shoduje s IP adresou s několika neúspěšnými přihlášeními Microsoft Entra, úspěšně se přihlásí k Palo Alto VPN
Přihlašovací událost od uživatele s nevracenými přihlašovacími údaji, která se hlásí s IP adresou s několika neúspěšnými přihlášeními Microsoft Entra, se úspěšně přihlásí k Palo Alto VPN
Sběr přihlašovacích údajů
(Nová klasifikace hrozeb)
Spuštění nástroje pro krádež škodlivých přihlašovacích údajů po podezřelém přihlášení
Taktika MITRE ATT&CK: Počáteční přístup, Přístup k přihlašovacím údajům
Techniky MITRE ATT&CK: Platný účet (T1078), výpis přihlašovacích údajů operačního systému (T1003)
Zdroje datových konektorů: Microsoft Entra ID Protection, Microsoft Defender for Endpoint
Popis: Fúzní incidenty tohoto typu naznačují, že byl proveden známý nástroj pro krádež přihlašovacích údajů po podezřelém přihlášení Microsoft Entra. Tyto důkazy naznačují s vysokou jistotou, že uživatelský účet uvedený v popisu výstrahy byl ohrožen a mohl úspěšně použít nástroj, jako je Mimikatz , k získání přihlašovacích údajů, jako jsou klíče, hesla ve formátu prostého textu nebo hodnoty hash hesel ze systému. Získané přihlašovací údaje můžou útočníkovi umožnit přístup k citlivým datům, eskalovat oprávnění a/nebo se přesunout v síti později. Permutace podezřelých upozornění přihlašování Microsoft Entra pomocí upozornění nástroje pro krádež přihlašovacích údajů se zlými úmysly jsou:
Neschůdná cesta do atypických míst, která vedou ke zneužití škodlivého nástroje pro krádež přihlašovacích údajů
Událost přihlášení z neznámého umístění, které vede ke spuštění nástroje pro krádež přihlašovacích údajů se zlými úmysly
Událost přihlášení z napadeného zařízení, které vede ke spuštění nástroje pro krádež škodlivých přihlašovacích údajů
Událost přihlášení z anonymní IP adresy vedoucí ke spuštění nástroje pro krádež přihlašovacích údajů se zlými úmysly
Událost přihlášení od uživatele s uniklými přihlašovacími údaji, což vede ke spuštění nástroje pro krádež přihlašovacích údajů se zlými úmysly
Podezřelá aktivita krádeže přihlašovacích údajů po podezřelém přihlášení
Taktika MITRE ATT&CK: Počáteční přístup, Přístup k přihlašovacím údajům
Techniky MITRE ATT&CK: Platný účet (T1078), přihlašovací údaje z úložišť hesel (T1555), dumping přihlašovacích údajů operačního systému (T1003)
Zdroje datových konektorů: Microsoft Entra ID Protection, Microsoft Defender for Endpoint
Popis: Fúzní incidenty tohoto typu značí, že došlo k aktivitě spojené se vzory krádeže přihlašovacích údajů po podezřelém přihlášení Microsoft Entra. Tyto důkazy naznačují s vysokou jistotou, že uživatelský účet uvedený v popisu výstrahy byl napaden a používán ke krádeži přihlašovacích údajů, jako jsou klíče, hesla ve formátu prostého textu, hodnoty hash hesel atd. Odcizené přihlašovací údaje můžou útočníkovi umožnit přístup k citlivým datům, eskalovat oprávnění a/nebo se přesunout v síti později. Permutace podezřelých upozornění přihlášení Microsoft Entra s upozorněním na krádež přihlašovacích údajů jsou:
Neschůdná cesta do atypických míst, která vedou k podezřelé aktivitě krádeže přihlašovacích údajů
Událost přihlášení z neznámého umístění vedoucího k podezřelé aktivitě krádeže přihlašovacích údajů
Událost přihlášení z infikovaného zařízení, což vede k podezřelé aktivitě krádeže přihlašovacích údajů
Událost přihlášení z anonymní IP adresy vedoucí k podezřelé aktivitě krádeže přihlašovacích údajů
Přihlašovací událost od uživatele s uniklými přihlašovacími údaji, což vede k podezřelé aktivitě krádeže přihlašovacích údajů
Crypto-mining
(Nová klasifikace hrozeb)
Aktivita kryptografického dolování po podezřelém přihlášení
Taktika MITRE ATT&CK: Počáteční přístup, Přístup k přihlašovacím údajům
Techniky MITRE ATT&CK: Platný účet (T1078), napadení prostředku (T1496)
Zdroje datových konektorů: Microsoft Entra ID Protection, Microsoft Defender for Cloud
Popis: Fúzní incidenty tohoto typu označují aktivitu kryptografického dolování přidruženou k podezřelému přihlášení k účtu Microsoft Entra. Tyto důkazy naznačují vysokou jistotu, že uživatelský účet uvedený v popisu výstrahy byl ohrožen a byl použit k napadení prostředků ve vašem prostředí na kryptografickou měnu. To může způsobit hladovění vašich prostředků výpočetního výkonu nebo výrazně vyšší než očekávané faktury za využití cloudu. Permutace podezřelých upozornění přihlášení Microsoft Entra s upozorněním aktivity kryptografického dolování jsou:
Neschůdná cesta do atypických lokalit, které vedou k kryptografické činnosti
Událost přihlášení z neznámého umístění vedoucího k aktivitě kryptografického dolování
Událost přihlášení z infikovaného zařízení vedoucího k aktivitě kryptografického dolování
Událost přihlášení z anonymní IP adresy vedoucí k aktivitě kryptografického dolování
Přihlašovací událost od uživatele s uniklými přihlašovacími údaji, což vede k aktivitě kryptografického dolování
Zničení dat
Hromadné odstranění souboru po podezřelém přihlášení Microsoft Entra
Taktika MITRE ATT&CK: Počáteční přístup, dopad
Techniky MITRE ATT&CK: Platný účet (T1078), zničení dat (T1485)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že se po podezřelém přihlášení k účtu Microsoft Entra odstranil neobvyklý počet jedinečných souborů. Tento důkaz naznačuje, že účet uvedený v popisu incidentu Fusion byl ohrožen a byl použit k zničení dat pro škodlivé účely. Permutace podezřelých upozornění přihlášení Microsoft Entra s upozorněním hromadného odstranění souboru jsou:
Neschůdná cesta do atypického umístění, které vede k hromadnému odstranění souboru
Událost přihlášení z neznámého umístění, které vede k hromadnému odstranění souboru
Událost přihlášení z infikovaného zařízení, které vede k hromadnému odstranění souboru
Událost přihlášení z anonymní IP adresy vedoucí k hromadnému odstranění souboru
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji vedoucími k hromadnému odstranění souboru
Hromadné odstranění souboru po úspěšném přihlášení Společnosti Microsoft Entra z IP adresy blokované zařízením brány firewall Cisco
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, dopad
Techniky MITRE ATT&CK: Platný účet (T1078), zničení dat (T1485)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu značí, že se po úspěšném přihlášení Microsoft Entra odstranil neobvyklý počet jedinečných souborů, i když zařízení brány firewall Cisco blokuje IP adresu uživatele. Tento důkaz naznačuje, že účet uvedený v popisu incidentu Fusion byl ohrožen a byl použit k zničení dat pro škodlivé účely. Vzhledem k tomu, že brána firewall zablokovala IP adresu, je možné, že stejné protokolování IP adresy k ID Microsoft Entra je potenciálně podezřelé a může znamenat ohrožení přihlašovacích údajů pro uživatelský účet.
Hromadné odstranění souboru po úspěšném přihlášení k Palo Alto VPN podle IP adresy s několika neúspěšnými přihlášeními Microsoft Entra
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, Přístup k přihlašovacím údajům, Dopad
Techniky MITRE ATT&CK: Platný účet (T1078), hrubá síla (T1110), zničení dat (T1485)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu značí, že uživatel, který se úspěšně přihlásil přes palo Alto VPN z IP adresy, ze které došlo k několika neúspěšným přihlášením Microsoft Entra v podobném časovém rámci, byl odstraněn neobvyklý počet jedinečných souborů. Tento důkaz naznačuje, že uživatelský účet uvedený v incidentu Fusion mohl být ohrožen pomocí technik hrubou silou a byl použit k zničení dat pro škodlivé účely.
Podezřelá aktivita odstranění e-mailu po podezřelém přihlášení Microsoft Entra
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, dopad
Techniky MITRE ATT&CK: Platný účet (T1078), zničení dat (T1485)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že se v jedné relaci odstranil neobvyklý počet e-mailů po podezřelém přihlášení k účtu Microsoft Entra. Tento důkaz naznačuje, že účet uvedený v popisu incidentu fúzní analýzy mohl být ohrožen a byl použit ke zničení dat pro škodlivé účely, jako je poškození organizace nebo skrytí e-mailové aktivity související se spamem. Permutace podezřelých upozornění na přihlášení Microsoft Entra s upozorněním na podezřelou aktivitu odstranění e-mailu jsou:
Nemožné cestování do atypického místa, které vede k podezřelé aktivitě odstranění e-mailu
Událost přihlášení z neznámého umístění vedoucí k podezřelé aktivitě odstranění e-mailu
Událost přihlášení z napadeného zařízení vedoucí k podezřelé aktivitě odstranění e-mailu
Událost přihlášení z anonymní IP adresy vedoucí k podezřelé aktivitě odstranění e-mailu
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji, což vede k podezřelé aktivitě odstranění e-mailu
Exfiltrace dat
Aktivity přeposílání pošty po nové aktivitě účtu správce se nedávno nezoznaly
Tento scénář patří do dvou klasifikací hrozeb v tomto seznamu: exfiltrace dat a škodlivá aktivita správy. Z důvodu přehlednosti se zobrazí v obou částech.
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, kolekce, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), kolekce e-mailů (T1114), exfiltrace přes webovou službu (T1567)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu značí, že byl vytvořen nový účet správce Exchange nebo že stávající účet správce Exchange provedl nějakou akci správy za poslední dva týdny a že účet pak provedl některé akce pro přeposílání pošty, které jsou neobvyklé pro účet správce. Tento důkaz naznačuje, že uživatelský účet uvedený v popisu incidentu Fusion byl ohrožen nebo manipulován a že byl použit k exfiltraci dat ze sítě vaší organizace.
Hromadné stažení souboru po podezřelém přihlášení Microsoft Entra
Taktika MITRE ATT&CK: Počáteční přístup, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že uživatel po podezřelém přihlášení k účtu Microsoft Entra stáhl neobvyklý počet souborů. Tato indikace poskytuje vysokou jistotu, že byl ohrožen účet uvedený v popisu incidentu fusion a byl použit k exfiltraci dat ze sítě vaší organizace. Permutace podezřelých upozornění přihlášení Microsoft Entra s upozorněním hromadného stahování souborů jsou:
Nemožné cestování do atypického umístění, které vede ke stažení hromadného souboru
Událost přihlášení z neznámého umístění, které vede ke stažení hromadného souboru
Událost přihlášení z infikovaného zařízení, které vede ke stažení hromadného souboru
Událost přihlášení z anonymní IP adresy vedoucí ke stažení hromadného souboru
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji, které vedou ke stažení hromadného souboru
Hromadné stahování souborů po úspěšném přihlášení Microsoft Entra z IP blokované zařízením brány firewall Cisco
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), exfiltrace přes webovou službu (T1567)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu značí, že uživatel stáhl neobvyklý počet souborů po úspěšném přihlášení Microsoft Entra, i když zařízení brány firewall Cisco blokuje IP adresu uživatele. Může to být pokus útočníka o exfiltraci dat ze sítě organizace po ohrožení uživatelského účtu. Vzhledem k tomu, že brána firewall zablokovala IP adresu, je možné, že stejné protokolování IP adresy k ID Microsoft Entra je potenciálně podezřelé a může znamenat ohrožení přihlašovacích údajů pro uživatelský účet.
Hromadné stahování souborů s využitím operace se sharepointovým souborem z dříve nezobrazené IP adresy
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Exfiltrace
Techniky MITRE ATT&CK: Exfiltrace přes webovou službu (T1567), omezení velikosti přenosu dat (T1030)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu znamenají, že neobvyklý počet souborů stáhl uživatel připojený z dříve neznámé IP adresy. I když není důkazem útoku s více fázemi, korelace těchto dvou upozornění s nižší věrností vede k incidentu s vysokou věrností, který naznačuje pokus útočníka o exfiltraci dat ze sítě organizace z potenciálně ohroženého uživatelského účtu. Ve stabilních prostředích může být taková připojení podle dříve nezoznaných IP adres neautorizovaná, zejména pokud jsou spojena se špičkami objemu, které by mohly být spojené s exfiltrací velkých dokumentů.
Hromadné sdílení souborů po podezřelém přihlášení Microsoft Entra
Taktika MITRE ATT&CK: Počáteční přístup, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), exfiltrace přes webovou službu (T1567)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že počet souborů nad určitou prahovou hodnotou byl sdílen jiným uživatelům, kteří sledují podezřelé přihlášení k účtu Microsoft Entra. Tato indikace poskytuje vysokou jistotu, že účet uvedený v popisu incidentu Fusion byl ohrožen a používán k exfiltraci dat ze sítě vaší organizace sdílením souborů, jako jsou dokumenty, tabulky atd., s neoprávněnými uživateli pro škodlivé účely. Permutace podezřelých upozornění přihlášení Microsoft Entra s upozorněním hromadného sdílení souborů jsou:
Nemožné cestování do atypického umístění, které vede ke sdílení hromadných souborů
Událost přihlášení z neznámého umístění, které vede k hromadnému sdílení souborů
Událost přihlášení z nakaženého zařízení, které vede k hromadnému sdílení souborů
Událost přihlášení z anonymní IP adresy vedoucí ke sdílení hromadných souborů
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji, což vede k hromadnému sdílení souborů
Několik aktivit sdílení sestav Power BI po podezřelém přihlášení Microsoft Entra
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), exfiltrace přes webovou službu (T1567)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že se v jedné relaci sdílel neobvyklý počet sestav Power BI po podezřelém přihlášení k účtu Microsoft Entra. Tato indikace poskytuje vysokou jistotu, že účet uvedený v popisu incidentu Fusion byl ohrožen a byl použit k exfiltraci dat ze sítě vaší organizace sdílením sestav Power BI s neoprávněnými uživateli pro škodlivé účely. Permutace podezřelých upozornění přihlášení Microsoft Entra s několika aktivitami sdílení sestav Power BI jsou:
Nemožné cestování do neobvyklého místa vedoucího k několika aktivitám sdílení sestav Power BI
Událost přihlášení z neznámého umístění vedoucího k několika aktivitám sdílení sestav Power BI
Událost přihlášení z infikovaného zařízení vedoucího k několika aktivitám sdílení sestav Power BI
Událost přihlášení z anonymní IP adresy vedoucí k několika aktivitám sdílení sestav Power BI
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji vedoucími k několika aktivitám sdílení sestav Power BI
Exfiltrace poštovní schránky Office 365 po podezřelém přihlášení Microsoft Entra
Taktika MITRE ATT&CK: Počáteční přístup, exfiltrace, kolekce
Techniky MITRE ATT&CK: Platný účet (T1078), kolekce e-mailů (T1114), automatizovaná exfiltrace (T1020)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu označují, že v doručené poště uživatele bylo nastaveno podezřelé pravidlo předávání doručené pošty po podezřelém přihlášení k účtu Microsoft Entra. Tato indikace poskytuje vysokou jistotu, že došlo k ohrožení účtu uživatele (uvedený v popisu incidentu fusion) a že se použilo k exfiltraci dat ze sítě vaší organizace povolením pravidla předávání poštovní schránky bez skutečných znalostí uživatele. Permutace podezřelých upozornění přihlášení Microsoft Entra pomocí upozornění exfiltrace poštovní schránky Office 365 jsou:
Nemožné cestování do atypického místa, které vede k exfiltraci poštovní schránky Office 365
Událost přihlášení z neznámého umístění vedoucího k exfiltraci poštovní schránky Office 365
Událost přihlášení z napadeného zařízení, které vede k exfiltraci poštovní schránky Office 365
Událost přihlášení z anonymní IP adresy vedoucí k exfiltraci poštovní schránky Office 365
Přihlašovací událost od uživatele s uniklými přihlašovacími údaji, které vedou k exfiltraci poštovní schránky Office 365
Operace souboru SharePointu z dříve nezoznané IP adresy po detekci malwaru
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Exfiltrace, obranná úniky
Techniky MITRE ATT&CK: Omezení velikosti přenosu dat (T1030)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu značí, že se útočník pokusil exfiltrovat velké objemy dat stažením nebo sdílením přes SharePoint prostřednictvím malwaru. Ve stabilních prostředích může být taková připojení podle dříve nezoznaných IP adres neautorizovaná, zejména pokud jsou spojena se špičkami objemu, které by mohly být spojené s exfiltrací velkých dokumentů.
Pravidla manipulace s podezřelou doručenou poštou nastavená podle podezřelých přihlášení Microsoft Entra
Tento scénář patří do dvou klasifikací hrozeb v tomto seznamu: exfiltrace dat a laterální přesun. Z důvodu přehlednosti se zobrazí v obou částech.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, laterální pohyb, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), interní spear phishing (T1534), automatizovaná exfiltrace (T1020)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu označují, že neobvyklá pravidla doručené pošty byla nastavena ve složce doručené pošty uživatele po podezřelém přihlášení k účtu Microsoft Entra. Tento důkaz ukazuje vysokou spolehlivost, že účet uvedený v popisu incidentu Fusion byl ohrožen a byl použit k manipulaci s pravidly doručené pošty uživatele pro škodlivé účely, pravděpodobně k exfiltraci dat ze sítě organizace. Případně by se útočník mohl pokusit generovat phishingové e-maily z organizace (obcházení mechanismů detekce phishing cílených na e-maily z externích zdrojů) pro účely pozdějšího přesunu získáním přístupu k dalším uživatelským nebo privilegovaným účtům. Permutace podezřelých upozornění přihlášení Microsoft Entra s upozorněními na pravidla manipulace s podezřelou doručenou poštou jsou:
Nemožné cestování do atypického místa, které vede k podezřelému pravidlu manipulace s doručenou poštou
Událost přihlášení z neznámého umístění, které vede k podezřelému pravidlu manipulace s doručenou poštou
Událost přihlášení z napadeného zařízení, které vede k podezřelému pravidlu manipulace s doručenou poštou
Přihlašovací událost z anonymní IP adresy vedoucí k podezřelému pravidlu manipulace s doručenou poštou
Přihlašovací událost od uživatele s uniklými přihlašovacími údaji, což vede k podezřelému pravidlu manipulace s doručenou poštou
Podezřelé sdílení sestav Power BI po podezřelém přihlášení Microsoft Entra
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), exfiltrace přes webovou službu (T1567)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že došlo k podezřelé aktivitě sdílení sestav Power BI po podezřelém přihlášení k účtu Microsoft Entra. Aktivita sdílení byla identifikována jako podezřelá, protože sestava Power BI obsahovala citlivé informace identifikované pomocí zpracování přirozeného jazyka a protože byla sdílena s externí e-mailovou adresou, publikovanou na webu nebo doručena jako snímek na externě předplacenou e-mailovou adresu. Tato výstraha indikuje s vysokou jistotou, že došlo k ohrožení zabezpečení účtu, který jste si poznamenali v popisu incidentu fusion, a použili jste ho k exfiltraci citlivých dat z vaší organizace sdílením sestav Power BI s neoprávněnými uživateli pro škodlivé účely. Permutace podezřelých upozornění přihlášení Microsoft Entra s podezřelým sdílením sestav Power BI jsou:
Nemožné cestování do neobvyklého místa, které vede k podezřelému sdílení sestav Power BI
Událost přihlášení z neznámého umístění vedoucího k podezřelému sdílení sestav Power BI
Událost přihlášení z napadeného zařízení, což vede k podezřelému sdílení sestav Power BI
Přihlášení z anonymní IP adresy vedoucí k podezřelému sdílení sestav Power BI
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji, což vede k podezřelému sdílení sestav Power BI
Odepření služby
Několik aktivit odstranění virtuálních počítačů po podezřelém přihlášení Microsoft Entra
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, dopad
Techniky MITRE ATT&CK: Platný účet (T1078), odepření koncového bodu služby (T1499)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že se v jedné relaci odstranil neobvyklý počet virtuálních počítačů po podezřelém přihlášení k účtu Microsoft Entra. Tato indikace poskytuje vysokou jistotu, že účet uvedený v popisu incidentu fusion byl ohrožen a byl použit k pokusu o narušení nebo zničení cloudového prostředí organizace. Permutace podezřelých upozornění na přihlášení Microsoft Entra s více aktivitami odstranění virtuálního počítače jsou:
Neschůdná cesta do atypického umístění vedoucího k několika aktivitám odstranění virtuálních počítačů
Událost přihlášení z neznámého umístění vedoucího k několika aktivitám odstranění virtuálního počítače
Událost přihlášení z nakaženého zařízení vedoucího k několika aktivitám odstranění virtuálního počítače
Událost přihlášení z anonymní IP adresy vedoucí k několika aktivitám odstranění virtuálního počítače
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji vedoucími k několika aktivitám odstranění virtuálního počítače
Laterální pohyb
Zosobnění Office 365 po podezřelém přihlášení Microsoft Entra
Taktika MITRE ATT&CK: Počáteční přístup, laterální pohyb
Techniky MITRE ATT&CK: Platný účet (T1078), interní spear phishing (T1534)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že došlo k neobvyklému počtu akcí zosobnění po podezřelém přihlášení z účtu Microsoft Entra. V některém softwaru existují možnosti, jak uživatelům umožnit zosobnit jiné uživatele. Například e-mailové služby umožňují uživatelům autorizovat ostatní uživatele k posílání e-mailů jejich jménem. Tato výstraha značí větší jistotu, že došlo k ohrožení zabezpečení účtu, který je uveden v popisu incidentu fusion, a byl použit k provádění aktivit zosobnění pro škodlivé účely, jako je odesílání e-mailů phishing pro distribuci malwaru nebo laterální pohyb. Permutace podezřelých upozornění na přihlášení Microsoft Entra pomocí upozornění zosobnění Office 365 jsou:
Nemožné cestování do atypického místa vedoucího k zosobnění Office 365
Událost přihlášení z neznámého umístění vedoucího k zosobnění Office 365
Přihlášení z nakaženého zařízení vedoucího k zosobnění Office 365
Přihlášení z anonymní IP adresy vedoucí k zosobnění Office 365
Přihlašovací událost od uživatele s uniklými přihlašovacími údaji, které vedou k zosobnění Office 365
Pravidla manipulace s podezřelou doručenou poštou nastavená podle podezřelých přihlášení Microsoft Entra
Tento scénář patří do dvou klasifikací hrozeb v tomto seznamu: laterální přesun a exfiltrace dat. Z důvodu přehlednosti se zobrazí v obou částech.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, laterální pohyb, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), interní spear phishing (T1534), automatizovaná exfiltrace (T1020)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu označují, že neobvyklá pravidla doručené pošty byla nastavena ve složce doručené pošty uživatele po podezřelém přihlášení k účtu Microsoft Entra. Tento důkaz ukazuje vysokou spolehlivost, že účet uvedený v popisu incidentu Fusion byl ohrožen a byl použit k manipulaci s pravidly doručené pošty uživatele pro škodlivé účely, pravděpodobně k exfiltraci dat ze sítě organizace. Případně by se útočník mohl pokusit generovat phishingové e-maily z organizace (obcházení mechanismů detekce phishing cílených na e-maily z externích zdrojů) pro účely pozdějšího přesunu získáním přístupu k dalším uživatelským nebo privilegovaným účtům. Permutace podezřelých upozornění přihlášení Microsoft Entra s upozorněními na pravidla manipulace s podezřelou doručenou poštou jsou:
Nemožné cestování do atypického místa, které vede k podezřelému pravidlu manipulace s doručenou poštou
Událost přihlášení z neznámého umístění, které vede k podezřelému pravidlu manipulace s doručenou poštou
Událost přihlášení z napadeného zařízení, které vede k podezřelému pravidlu manipulace s doručenou poštou
Přihlašovací událost z anonymní IP adresy vedoucí k podezřelému pravidlu manipulace s doručenou poštou
Přihlašovací událost od uživatele s uniklými přihlašovacími údaji, což vede k podezřelému pravidlu manipulace s doručenou poštou
Škodlivá aktivita správy
Podezřelá aktivita správy cloudových aplikací po podezřelém přihlášení Microsoft Entra
Taktika MITRE ATT&CK: Počáteční přístup, trvalost, únik obrany, laterální pohyb, kolekce, exfiltrace a dopad
Techniky MITRE ATT&CK: N/A
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že se v jedné relaci provedl neobvyklý počet aktivit správy po podezřelém přihlášení Microsoft Entra ze stejného účtu. Tento důkaz naznačuje, že účet uvedený v popisu incidentu Fusion mohl být ohrožen a byl použit k provedení libovolného počtu neoprávněných akcí správy se zlými úmysly. To také značí, že došlo k ohrožení zabezpečení účtu s oprávněními správce. Permutace podezřelých upozornění na přihlášení Microsoft Entra s upozorněním na podezřelou aktivitu správy cloudových aplikací jsou:
Neschůdná cesta do atypického umístění vedoucího k podezřelé aktivitě správy cloudových aplikací
Událost přihlášení z neznámého umístění vedoucího k podezřelé aktivitě správy cloudových aplikací
Událost přihlášení z infikovaného zařízení vedoucí k podezřelé aktivitě správy cloudových aplikací
Událost přihlášení z anonymní IP adresy vedoucí k podezřelé aktivitě správy cloudové aplikace
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji vedoucími k podezřelé aktivitě správy cloudových aplikací
Aktivity přeposílání pošty po nové aktivitě účtu správce se nedávno nezoznaly
Tento scénář patří do dvou klasifikací hrozeb v tomto seznamu: škodlivá aktivita správy a exfiltrace dat. Z důvodu přehlednosti se zobrazí v obou částech.
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, kolekce, exfiltrace
Techniky MITRE ATT&CK: Platný účet (T1078), kolekce e-mailů (T1114), exfiltrace přes webovou službu (T1567)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu značí, že byl vytvořen nový účet správce Exchange nebo že stávající účet správce Exchange provedl nějakou akci správy za poslední dva týdny a že účet pak provedl některé akce pro přeposílání pošty, které jsou neobvyklé pro účet správce. Tento důkaz naznačuje, že uživatelský účet uvedený v popisu incidentu Fusion byl ohrožen nebo manipulován a že byl použit k exfiltraci dat ze sítě vaší organizace.
Škodlivé spuštění s legitimním procesem
PowerShell vytvořil podezřelé síťové připojení následované neobvyklým provozem označeným bránou firewall Palo Alto Networks.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Provádění
Techniky MITRE ATT&CK: Interpret příkazů a skriptování (T1059)
Zdroje datových konektorů: Microsoft Defender for Endpoint (dříve Microsoft Defender Advanced Threat Protection nebo MDATP), Microsoft Sentinel (plánované analytické pravidlo)
Popis: Fúzní incidenty tohoto typu značí, že požadavek na odchozí připojení byl proveden příkazem PowerShellu a za tímto účelem byla zjištěna neobvyklá příchozí aktivita bránou firewall Palo Alto Networks. Tento důkaz naznačuje, že útočník pravděpodobně získal přístup k vaší síti a snaží se provést škodlivé akce. Připojení pokusy powershellu, které tento vzor sledují, můžou značit aktivitu malwaru a kontroly, žádosti o stažení dalšího malwaru nebo útočníka, který navazuje vzdálený interaktivní přístup. Stejně jako u všech útoků "žijících mimo zemi" může být tato aktivita legitimním použitím PowerShellu. Spuštění příkazu PowerShellu následované podezřelou příchozí aktivitou brány firewall ale zvyšuje jistotu, že se PowerShell používá škodlivým způsobem, a měl by se dále prošetřit. V protokolech Palo Alto se Microsoft Sentinel zaměřuje na protokoly hrozeb a provoz se považuje za podezřelý, pokud jsou hrozby povolené (podezřelá data, soubory, záplavy, pakety, kontroly, spyware, adresy URL, viry, ohrožení zabezpečení, viry, viry, zástupné požáry). Další podrobnosti o upozornění najdete také v protokolu palo Alto Threat Log odpovídající typu hrozby nebo obsahu uvedené v popisu incidentu fusion.
Podezřelé vzdálené spuštění rozhraní WMI následované neobvyklým provozem označeným bránou firewall Palo Alto Networks
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Spouštění, Zjišťování
Techniky MITRE ATT&CK: Windows Management Instrumentation (T1047)
Zdroje datových konektorů: Microsoft Defender for Endpoint (dříve MDATP), Microsoft Sentinel (plánované analytické pravidlo)
Popis: Fúzní incidenty tohoto typu naznačují, že příkazy rozhraní WMI (Windows Management Interface) byly vzdáleně spuštěny v systému a následně byly zjištěny podezřelou příchozí aktivitou bránou firewall Palo Alto Networks. Tyto důkazy naznačují, že útočník mohl získat přístup k vaší síti a pokouší se přesunout později, eskalovat oprávnění a/nebo spouštět škodlivé datové části. Stejně jako u všech útoků "žijících mimo zemi" by tato aktivita mohla být legitimním použitím rozhraní WMI. Vzdálené spuštění příkazu rozhraní WMI následované podezřelou příchozí aktivitou brány firewall ale zvyšuje jistotu, že se rozhraní WMI používá škodlivým způsobem a mělo by se dále prošetřit. V protokolech Palo Alto se Microsoft Sentinel zaměřuje na protokoly hrozeb a provoz se považuje za podezřelý, pokud jsou hrozby povolené (podezřelá data, soubory, záplavy, pakety, kontroly, spyware, adresy URL, viry, ohrožení zabezpečení, viry, viry, zástupné požáry). Další podrobnosti o upozornění najdete také v protokolu palo Alto Threat Log odpovídající typu hrozby nebo obsahu uvedené v popisu incidentu fusion.
Podezřelý příkazový řádek PowerShellu po podezřelém přihlášení
Taktika MITRE ATT&CK: Počáteční přístup, spuštění
Techniky MITRE ATT&CK: Platný účet (T1078), interpret příkazů a skriptování (T1059)
Zdroje datových konektorů: Microsoft Entra ID Protection, Microsoft Defender for Endpoint (dříve MDATP)
Popis: Fúzní incidenty tohoto typu značí, že uživatel spustil potenciálně škodlivé příkazy PowerShellu za podezřelým přihlášením k účtu Microsoft Entra. Tyto důkazy naznačují s vysokou jistotou, že účet uvedený v popisu výstrahy byl ohrožen a byly provedeny další škodlivé akce. Útočníci často používají PowerShell ke spouštění škodlivých datových částí v paměti bez opuštění artefaktů na disku, aby se zabránilo detekci mechanismy zabezpečení založené na disku, jako jsou antivirové skenery. Permutace podezřelých upozornění přihlášení Microsoft Entra pomocí podezřelého upozornění příkazu PowerShellu jsou:
Nemožné cestování do atypických umístění vedoucí k podezřelému příkazovému řádku PowerShellu
Událost přihlášení z neznámého umístění vedoucího k podezřelému příkazovému řádku PowerShellu
Událost přihlášení z nakaženého zařízení vedoucí k podezřelému příkazovému řádku PowerShellu
Událost přihlášení z anonymní IP adresy vedoucí k podezřelému příkazovému řádku PowerShellu
Přihlašovací událost od uživatele s nevracenými přihlašovacími údaji vedoucími k podezřelému příkazovému řádku PowerShellu
Malware C2 nebo stažení
Model signálu zjištěný aplikací Fortinet po několika neúspěšných přihlášeních uživatelů ke službě
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, příkaz a řízení
Techniky MITRE ATT&CK: Platný účet (T1078), nestandardní port (T1571), T1065 (vyřazeno)
Zdroje datových konektorů: Microsoft Sentinel (pravidlo plánované analýzy), Microsoft Defender for Cloud Apps
Popis: Fúzní incidenty tohoto typu označují komunikační vzory z interní IP adresy na externí, které jsou konzistentní s signály, po několika neúspěšných přihlášení uživatele ke službě ze související interní entity. Kombinací těchto dvou událostí může být indikace infekce malwaru nebo ohroženého hostitele provádějícího exfiltraci dat.
Model signálu zjištěný aplikací Fortinet po podezřelém přihlášení Microsoft Entra
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, příkaz a řízení
Techniky MITRE ATT&CK: Platný účet (T1078), nestandardní port (T1571), T1065 (vyřazeno)
Zdroje datových konektorů: Microsoft Sentinel (plánované analytické pravidlo), Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu označují komunikační vzory z interní IP adresy na externí, které jsou konzistentní s signály, po přihlášení uživatele podezřelé povahy k Microsoft Entra ID. Kombinací těchto dvou událostí může být indikace infekce malwaru nebo ohroženého hostitele provádějícího exfiltraci dat. Permutace vzoru signálu zjištěného výstrahami Fortinetu s podezřelými upozorněními přihlášení Microsoft Entra jsou:
Neschůdná cesta do atypického místa, které vede k vzoru signálu zjištěného Fortinetem
Událost přihlášení z neznámého umístění, které vede k vzoru signálu zjištěného fortinetem
Událost přihlášení z infikovaného zařízení vedoucího k vzoru signálu zjištěného fortinetem
Přihlašovací událost z anonymní IP adresy vedoucí k vzoru signálu zjištěného fortinetem
Přihlašovací událost od uživatele s nevrácenými přihlašovacími údaji, což vede k vzoru signálu zjištěného fortinetem
Požadavek na síť na anonymizační službu TOR následovaný neobvyklým provozem označeným bránou firewall Palo Alto Networks.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Příkaz a řízení
Techniky MITRE ATT&CK: Šifrovaný kanál (T1573), Proxy (T1090)
Zdroje datových konektorů: Microsoft Defender for Endpoint (dříve MDATP), Microsoft Sentinel (plánované analytické pravidlo)
Popis: Fúzní incidenty tohoto typu značí, že byla provedena žádost o odchozí připojení do anonymizační služby TOR a za tímto účelem byla zjištěna neobvyklá příchozí aktivita bránou firewall Palo Alto Networks. Tyto důkazy naznačují, že útočník pravděpodobně získal přístup k vaší síti a snaží se skrýt své akce a záměr. Připojení iony do sítě TOR, které sledují tento model, můžou být indikací aktivity malwaru a kontrolních aktivit, žádostí o stažení dalšího malwaru nebo útočníka, který navazuje vzdálený interaktivní přístup. V protokolech Palo Alto se Microsoft Sentinel zaměřuje na protokoly hrozeb a provoz se považuje za podezřelý, pokud jsou hrozby povolené (podezřelá data, soubory, záplavy, pakety, kontroly, spyware, adresy URL, viry, ohrožení zabezpečení, viry, viry, zástupné požáry). Další podrobnosti o upozornění najdete také v protokolu palo Alto Threat Log odpovídající typu hrozby nebo obsahu uvedené v popisu incidentu fusion.
Odchozí připojení k IP adrese s historií pokusů o neoprávněný přístup následovaný neobvyklým provozem označeným bránou firewall Palo Alto Networks
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Příkaz a řízení
Techniky MITRE ATT&CK: Nepoužitelné
Zdroje datových konektorů: Microsoft Defender for Endpoint (dříve MDATP), Microsoft Sentinel (plánované analytické pravidlo)
Popis: Fúzní incidenty tohoto typu značí, že bylo vytvořeno odchozí připojení k IP adrese s historií pokusů o neoprávněný přístup a po zjištění neobvyklé aktivity brána firewall Palo Alto Networks. Tento důkaz naznačuje, že útočník pravděpodobně získal přístup k vaší síti. Připojení pokusy o provedení tohoto vzoru můžou být indikací aktivity malwaru a kontroly, žádostí o stažení dalšího malwaru nebo útočníka, který navazuje vzdálený interaktivní přístup. V protokolech Palo Alto se Microsoft Sentinel zaměřuje na protokoly hrozeb a provoz se považuje za podezřelý, pokud jsou hrozby povolené (podezřelá data, soubory, záplavy, pakety, kontroly, spyware, adresy URL, viry, ohrožení zabezpečení, viry, viry, zástupné požáry). Další podrobnosti o upozornění najdete také v protokolu palo Alto Threat Log odpovídající typu hrozby nebo obsahu uvedené v popisu incidentu fusion.
Uchování
(Nová klasifikace hrozeb)
Výjimečný souhlas aplikace po podezřelém přihlášení
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Trvalost, Počáteční přístup
Techniky MITRE ATT&CK: Vytvoření účtu (T1136), platný účet (T1078)
Zdroje datových konektorů: Microsoft Sentinel (plánované analytické pravidlo), Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že aplikace udělila souhlas uživateli, který to nikdy nebo zřídka neudělal, a to po souvisejícím podezřelém přihlášení k účtu Microsoft Entra. Tento důkaz naznačuje, že účet uvedený v popisu incidentu Fusion byl ohrožen a používán k přístupu k aplikaci nebo manipulaci s nimi pro škodlivé účely. Souhlas s aplikací, přidání instančního objektu a přidání OAuth2PermissionGrant by obvykle měly být vzácné události. Útočníci můžou tento typ změny konfigurace použít k navázání nebo údržbě jejich zápatí v systémech. Permutace podezřelých upozornění přihlašování Microsoft Entra se vzácným upozorněním na souhlas aplikace jsou:
Neschůdná cesta do atypického místa, které vede ke vzácnému souhlasu s aplikací
Událost přihlášení z neznámého umístění, které vede ke vzácnému souhlasu aplikace
Událost přihlášení z nakaženého zařízení, které vede ke vzácnému souhlasu aplikace
Událost přihlášení z anonymní IP adresy, která vede ke vzácnému souhlasu aplikace
Událost přihlášení od uživatele s nevracenými přihlašovacími údaji, což vede ke vzácnému souhlasu aplikace
ransomare,
Spuštění ransomwaru po podezřelém přihlášení Microsoft Entra
Taktika MITRE ATT&CK: Počáteční přístup, dopad
Techniky MITRE ATT&CK: Platný účet (T1078), Data Encrypted for Impact (T1486)
Zdroje datových konektorů: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu naznačují, že neobvyklé chování uživatele indikující útok ransomwaru bylo zjištěno po podezřelém přihlášení k účtu Microsoft Entra. Tato indikace poskytuje vysokou jistotu, že došlo k ohrožení zabezpečení účtu, který je uveden v popisu incidentu fusion, a byl použit k šifrování dat pro účely vydírání vlastníka dat nebo zamítnutí přístupu vlastníka dat ke svým datům. Permutace podezřelých upozornění na přihlášení Microsoft Entra s upozorněním na spuštění ransomwaru jsou:
Nemožné cestování do atypického umístění, které vede k ransomwaru v cloudové aplikaci
Událost přihlášení z neznámého umístění, které vede k ransomwaru v cloudové aplikaci
Událost přihlášení z nakaženého zařízení, které vede k ransomwaru v cloudové aplikaci
Přihlášení z anonymní IP adresy vedoucí k ransomwaru v cloudové aplikaci
Přihlašovací událost od uživatele s uniklými přihlašovacími údaji, což vede k ransomwaru v cloudové aplikaci
Vzdálené využívání
Podezření na použití architektury útoku následované neobvyklým provozem označeným bránou firewall Palo Alto Networks
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, spuštění, laterální pohyb, eskalace oprávnění
Techniky MITRE ATT&CK: Zneužití veřejně přístupné aplikace (T1190), zneužití pro spouštění klientů (T1203), využívání vzdálených služeb (T1210), zneužití pro eskalaci oprávnění (T1068)
Zdroje datových konektorů: Microsoft Defender for Endpoint (dříve MDATP), Microsoft Sentinel (plánované analytické pravidlo)
Popis: Fúzní incidenty tohoto typu naznačují, že se zjistilo nestandardní použití protokolů, které se podobají použití rozhraní útoku, jako je Metasploit, a po zjištění podezřelé příchozí aktivity byla zjištěna bránou firewall Palo Alto Networks. Může se jednat o počáteční indikaci, že útočník zneužil službu k získání přístupu k síťovým prostředkům nebo k tomu, že útočník už získal přístup a pokouší se dále zneužít dostupné systémy nebo služby k pozdějšímu přesunu nebo eskalaci oprávnění. V protokolech Palo Alto se Microsoft Sentinel zaměřuje na protokoly hrozeb a provoz se považuje za podezřelý, pokud jsou hrozby povolené (podezřelá data, soubory, záplavy, pakety, kontroly, spyware, adresy URL, viry, ohrožení zabezpečení, viry, viry, zástupné požáry). Další podrobnosti o upozornění najdete také v protokolu palo Alto Threat Log odpovídající typu hrozby nebo obsahu uvedené v popisu incidentu fusion.
Napadení prostředků
(Nová klasifikace hrozeb)
Podezřelé nasazení prostředku nebo skupiny prostředků dříve nezoznaným volajícím po podezřelém přihlášení Microsoft Entra
Tento scénář využívá výstrahy vytvořené podle plánovaných analytických pravidel.
Tento scénář je aktuálně ve verzi PREVIEW.
Taktika MITRE ATT&CK: Počáteční přístup, dopad
Techniky MITRE ATT&CK: Platný účet (T1078), napadení prostředku (T1496)
Zdroje datových konektorů: Microsoft Sentinel (plánované analytické pravidlo), Microsoft Entra ID Protection
Popis: Fúzní incidenty tohoto typu značí, že uživatel nasadil prostředek Nebo skupinu prostředků Azure – vzácnou aktivitu – po podezřelém přihlášení s vlastnostmi, které se v poslední době nezobrazují, k účtu Microsoft Entra. Může to být pokus útočníka o nasazení prostředků nebo skupin prostředků pro škodlivé účely po ohrožení uživatelského účtu, který jste si poznamenali v popisu incidentu Fusion.
Permutace podezřelých upozornění přihlášení Microsoft Entra s podezřelým prostředkem nebo nasazením skupiny prostředků dříve nezoznaným upozorněním volajícího jsou:
Neuskutečnitelná cesta do atypického umístění vedoucího k podezřelému nasazení prostředku nebo skupiny prostředků dříve nezoznaným volajícím
Událost přihlášení z neznámého umístění vedoucího k podezřelému nasazení prostředku nebo skupiny prostředků dříve nezoznaným volajícím
Událost přihlášení z infikovaného zařízení vedoucího k podezřelému nasazení prostředku nebo skupiny prostředků dříve nezoznaným volajícím
Událost přihlášení z anonymní IP adresy vedoucí k podezřelému prostředku nebo nasazení skupiny prostředků dříve nezoznaným volajícím
Přihlašovací událost od uživatele s nevrácenými přihlašovacími údaji, které vedou k podezřelému nasazení prostředku nebo skupiny prostředků dříve nezoznaným volajícím
Další kroky
Teď jste se dozvěděli více o pokročilé detekci útoků s více fázemi, může vás zajímat následující rychlý start, kde se dozvíte, jak získat přehled o datech a potenciálních hrozbách: Začínáme s Microsoft Sentinelem.
Pokud jste připraveni prošetřit incidenty vytvořené za vás, projděte si následující kurz: Zkoumání incidentů pomocí Služby Microsoft Sentinel.