次の方法で共有

Microsoft Sentinel Fusion エンジンによって検出されるシナリオ

  • [アーティクル]

このドキュメントでは、Microsoft Sentinel によって Fusion 相関エンジンを使用して検出される、シナリオベースのマルチステージ攻撃の種類を脅威の分類別に示します。

Fusion は、高度なマルチステージ攻撃を検出するためにさまざまな製品からの複数の信号を関連付けるため、成功した Fusion 検出は、Microsoft Sentinel の [インシデント] ページに Fusion インシデントとして表示され、アラートとしては表示されず、 [ログ][インシデント] テーブルに格納され、 [セキュリティ アラート] テーブルには格納されません。

これらの Fusion による攻撃の検出シナリオを有効にするには、一覧に表示されたデータ ソースが Log Analytics ワークスペースに取り込まれる必要があります。 スケジュールされた分析のルールを使用するシナリオの場合は、「Fusion 検出のスケジュールされた分析のルールを構成する」の手順に従います。

注意

これらのシナリオの一部はプレビュー段階です。 そのように明記されています。

Compute リソース プールの不正使用

疑わしい Microsoft Entra サインインの後の複数の VM 作成アクティビティ

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、影響

MITRE ATT&CK 手法: 有効なアカウント (T1078)、リソース ハイジャック (T1496)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に 1 つのセッションで異常な数の VM が作成されたことを示します。 この種類のアラートは、高い信頼度で、Fusion インシデントの説明に示されているアカウントが侵害され、暗号化マイニング操作の実行など、不正な使用を目的として新しい VM を作成するために使用されたことを示しています。 複数の VM 作成アクティビティ アラートと組み合わされた疑わしい Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動の後の、複数の VM 作成アクティビティ

  • 知らない場所からサインインされた後の、複数の VM 作成アクティビティ

  • 感染したデバイスからサインインされた後の、複数の VM 作成アクティビティ

  • 送信元のわからない IP アドレスからサインインされた後の、複数の VM 作成アクティビティ

  • 資格情報が漏洩したユーザーからサインインされた後の、複数の VM 作成アクティビティ

資格情報へのアクセス

(新しい脅威の分類)

次の不審なサインインに続いて、ユーザーによりパスワードが複数回リセットされるケース

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、資格情報アクセス

MITRE ATT&CK techniques: Valid Account (有効なアカウント) (T1078)、Brute Force (ブルート フォース攻撃) (T1110)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後にユーザーが何回もパスワードをリセットしたことを示します。 これは、複数のシステムとリソースにアクセスするために、アカウントがハッキングされ、そのパスワードが何度もリセットされたことを示唆しています。このアカウントは、Fusion インシデントの説明文に記載されます。 アカウントの操作 (パスワードのリセットを含む) は、不正利用するためのサインイン情報と特定環境でのアクセス権を維持するのに役立つ場合があります。 Microsoft Entra への不審なサインインに対する警告で、複数回のパスワード リセットに対する警告を伴うものを、次に挙げます。

  • 通常と異なる場所へのあり得ない移動と、それに続く複数回のパスワード リセット

  • なじみの薄い場所からのサインインと、それに続く複数回のパスワードリセット

  • 感染したデバイスからのサインインと、それに続く複数回のパスワード リセット

  • 匿名 IP アドレスによるサインインと、それに続く複数回のパスワード リセット

  • サインイン情報が漏洩したユーザーによるサインインと、それに続く複数回のパスワード リセット

Microsoft Entra へのサインインに複数回失敗した IP アドレスによる Palo Alto VPN へのサインインの成功と同時に行われる、不審なサインイン

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、資格情報アクセス

MITRE ATT&CK techniques: Valid Account (有効なアカウント) (T1078)、Brute Force (ブルート フォース攻撃) (T1110)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、ほぼ同じ時間に Microsoft Entra へのサインインに複数回失敗した IP アドレスの使用者が、Palo Alto VPN を利用したサインインに成功するのと同時に、Microsoft Entra アカウントへの不審なサインインがあったことを示します。 これはマルチステージ攻撃があった証拠にはなりませんが、これら 2 つの重要性の低い警告の組み合わせは重要なインシデントであるとみなされます。組織のネットワークに対し、最初の悪意のあるアクセスが行われたことを示唆しています。 もう 1 つの解釈として、これは、Microsoft Entra アカウントへのアクセスを得るために、攻撃者がブルート フォース攻撃を仕掛けたことを示していることも考えられます。 Microsoft Entra への不審なサインインに対する警告で、“Microsoft Entra へのサインインに複数回失敗した IP アドレスの使用者が Palo Alto VPN へのログインに成功したイベント” に対する警告を伴うものを、次に挙げます。

  • 通常と異なる場所へのあり得ない移動が行われるのと同時に、Microsoft Entra へのログインに複数回失敗した IP アドレスの使用者が Palo Alto VPN へのログインに成功

  • なじみの薄い場所からのサインインが行われるのと同時に、Microsoft Entra へのログインに複数回失敗した IP アドレスの使用者が Palo Alto VPN へのログインに成功

  • 感染したデバイスからのサインインが行われるのと同時に、Microsoft Entra へのログインに複数回失敗した IP アドレスの使用者が Palo Alto VPN へのログインに成功

  • 匿名 IP アドレスによるサインインが行われるのと同時に、Microsoft Entra へのログインに複数回失敗した IP アドレスの使用者が Palo Alto VPN へのログインに成功

  • サインイン情報が漏洩したユーザーによるサインインが行われるのと同時に、Microsoft Entra へのログインに複数回失敗した IP アドレスの使用者が Palo Alto VPN へのログインに成功

サインイン情報の不正取得

(新しい脅威の分類)

疑わしいサインインの後の悪意のある資格情報盗難ツールの実行

MITRE ATT&CK の戦術: 初期アクセス、資格情報アクセス

MITRE ATT&CK 手法: 有効なアカウント (T1078)、OS 資格情報ダンプ (T1003)

データ コネクタのソース: Microsoft Entra ID Protection、Microsoft Defender for Endpoint

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に既知の資格情報盗難ツールが実行されたことを示します。 これは、キー、プレーンテキスト形式のパスワード、パスワードのハッシュなどをシステムから不正取得する Mimikatz などのツールを使用するために、ユーザー アカウントがハッキングされ、利用されたことを、ほぼ間違いなく示しています。このアカウントは、警告の説明文に記載されます。 収集した資格情報を使用して、攻撃者は機密データにアクセスしたり、特権を昇格させたり、ネットワークを横方向に移動したりする可能性があります。 悪意のある資格情報盗難ツール アラートと組み合わされた、不審な Microsoft Entra サインイン アラートの順列は次のとおりです。

  • 特殊な場所へのあり得ない移動が、悪意のある資格情報盗難ツールの実行につながる

  • 未知の場所からのサインイン イベントが、悪意のある資格情報盗難ツールの実行につながる

  • 感染したデバイスからのサインイン イベントが、悪意のある資格情報盗難ツールの実行につながる

  • 匿名 IP アドレスからのサインイン イベントが、悪意のある資格情報盗難ツールの実行につながる

  • 資格情報が漏洩したユーザーからのサインイン イベントが、悪意のある資格情報盗難ツールの実行につながる

疑わしいサインインの後の資格情報盗難アクティビティの疑い

MITRE ATT&CK の戦術: 初期アクセス、資格情報アクセス

MITRE ATT&CK 手法: 有効なアカウント (T1078)、パスワード ストアからの資格情報 (T1555)、OS 資格情報ダンプ (T1003)

データ コネクタのソース: Microsoft Entra ID Protection、Microsoft Defender for Endpoint

説明: この種類の Fusion インシデントは、Microsoft Entra への不審なサインインの後に、資格情報盗難のパターンに関連付けられたアクティビティが発生したことを示します。 これは、キー、プレーンテキスト形式のパスワード、パスワードのハッシュなどを盗むために、ユーザー アカウントがハッキングされ、利用されたことを、ほぼ間違いなく示しています。このアカウントは、警告の説明文に記載されます。 盗んだ資格情報を使用して、攻撃者は機密データにアクセスしたり、特権を昇格させたり、ネットワークを横方向に移動したりする可能性があります。 資格情報盗難アクティビティ アラートと組み合わされた、不審な Microsoft Entra サインイン アラートの順列は次のとおりです。

  • 特殊な場所へのあり得ない移動の後、資格情報盗難アクティビティが疑われる

  • 未知の場所からのサインイン イベントの後、資格情報盗難アクティビティが疑われる

  • 感染したデバイスからのサインイン イベントの後、資格情報盗難アクティビティが疑われる

  • 匿名 IP アドレスからのサインイン イベントの後、資格情報盗難アクティビティが疑われる

  • 資格情報が漏洩したユーザーからのサインイン イベントの後、資格情報盗難アクティビティが疑われる

暗号通貨マイニング

(新しい脅威の分類)

疑わしいサインインの後の暗号化マイニング アクティビティ

MITRE ATT&CK の戦術: 初期アクセス、資格情報アクセス

MITRE ATT&CK 手法: 有効なアカウント (T1078)、リソース ハイジャック (T1496)

データ コネクタのソース: Microsoft Entra ID Protection、Microsoft Defender for Cloud

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの疑わしいサインインに関連付けられた暗号化マイニング アクティビティを示します。 これは、当該環境のリソースを乗っ取って暗号通貨のマイニングに使用するために、ユーザー アカウントがハッキングされ、利用されたことを、ほぼ間違いなく示しています。このアカウントは、警告の説明文に記載されます。 これにより、コンピューティング能力が損なわれたり、クラウドの使用料が予測よりも大幅に高くなるおそれがあります。 暗号化マイニング アクティビティ アラートと組み合わされた、疑わしい Microsoft Entra サインイン アラートの順列は次のとおりです。

  • 特殊な場所へのあり得ない移動が、暗号化マイニング アクティビティにつながる

  • 未知の場所からのサインイン イベントが、暗号化マイニング アクティビティにつながる

  • 感染したデバイスからのサインイン イベントが、暗号化マイニング アクティビティにつながる

  • 匿名 IP アドレスからのサインイン イベントが、暗号化マイニング アクティビティにつながる

  • 資格情報が漏洩したユーザーからのサインイン イベントが、暗号化マイニング アクティビティにつながる

データの破壊

疑わしい Microsoft Entra サインインの後の大量のファイル削除

MITRE ATT&CK の戦術: 初期アクセス、影響

MITRE ATT&CK 手法: 有効なアカウント (T1078)、データ破棄 (T1485)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、異常な数の固有なファイルが削除されたことを示します。 これは、悪意ある目的でデータを破壊するために、アカウントがハッキングれ、利用されたことを示唆しています。このアカウントは、Fusion インシデントの説明文に記載されます。 大量のファイル削除アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、大量のファイルの削除

  • 知らない場所からサインインされた後の、大量のファイルの削除された

  • 感染したデバイスからサインインされた後の、大量のファイルの削除

  • 送信元のわからない IP アドレスからサインインされた後の、大量のファイルの削除

  • 資格情報が漏洩したユーザーからサインインされた後の、大量のファイルの削除

Cisco ファイアウォール アプライアンスにブロックされている IP アドレスによる Microsoft Entra へのサインインと、それに続くファイルの大規模な削除

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、影響

MITRE ATT&CK 手法: 有効なアカウント (T1078)、データ破棄 (T1485)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの正常なサインインの後に、Cisco ファイアウォール アプライアンスにブロックされている IP アドレスによって、その組織にしかないファイルが異常に多く削除されたことを示します。 これは、悪意ある目的でデータを破壊するために、アカウントがハッキングされ、利用されたことを示しています。このアカウントは、Fusion インシデントの説明文に記載されます。 ファイアウォールにブロックされている IP のが Microsoft Entra への正常なログインには不審な点があり、ユーザー アカウントのサインイン情報が漏洩した可能性を示しています。

Microsoft Entra へのサインインに複数回失敗した IP アドレスによる Palo Alto VPN へのサインインと、それに続くファイルの大規模な削除

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Initial Access (最初のアクセス)、Credential Access (サインイン情報へのアクセス)、Impact (影響)

MITRE ATT&CK techniques: Valid Account (有効なアカウント) (T1078)、Brute Force (ブルート フォース攻撃) (T1110)、Data Destruction (データ破壊) (T1485)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この種類の Fusion インシデントは、ほぼ同じ時間に Microsoft Entra へのサインインに複数回失敗した IP アドレスによって Palo Alto VPN へのサインインに成功したユーザーが、その組織にしかないファイルを異常に多く削除したことを示します。 これは、ユーザー アカウントがブルート フォース攻撃によってハッキングされ、悪意ある目的によるデータ破壊に使用されたことを示しています。ハッキングされたアカウントは、Fusion インシデントに記載されます。

疑わしい Microsoft Entra サインインの後の疑わしい電子メール削除アクティビティ

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、影響

MITRE ATT&CK 手法: 有効なアカウント (T1078)、データ破棄 (T1485)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に 1 つのセッションで異常な数の電子メールが削除されたことを示します。 これは、組織に害を与えたり、スパムに関連するメールを隠したりする悪意ある目的でデータを破壊するために、アカウントがハッキングされ、利用されたことを示しています。このアカウントは、Fusion インシデントの説明文に記載されます。 不審な電子メール削除アクティビティ アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動の後の、疑わしい電子メール削除アクティビティ

  • 知らない場所からサインインされた後の、疑わしい電子メール削除アクティビティ

  • 感染したデバイスからサインインされた後の、疑わしい電子メール削除アクティビティ

  • 送信元のわからない IP アドレスからサインインされた後の、疑わしい電子メール削除アクティビティ

  • 資格情報が漏洩したユーザーからサインインされた後の、疑わしい電子メール削除アクティビティ

データ窃盗

管理者アカウントの新しい活動が見られなくなった後のメール転送活動

このケースは、データ流出悪意のある管理者活動の 2 種類の脅威に分類されます。 わかりやすくするために、両方のセクションに記載されています。

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Initial Access (最初のアクセス)、Collection (収集)、Exfiltration (流出)

MITRE ATT&CK techniques: Valid Account (有効なアカウント) (T1078)、Email Collection (メール収集) (T1114)、Exfiltration Over Web Service (Web サービスを通じた流出) (T1567)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この Fusion インシデントは、新規作成された Exchange 管理者アカウントまたは既存の Exchange 管理者アカウントが、過去 2 週間ではじめて管理者としての操作を行い、その後メール転送操作を行ったことを示しています。管理者アカウントでは通常メールの転送は行いません。 これは、ユーザー アカウントがハッキングまたは操作され、組織のネットワークからデータを盗難するのに使用されたことを示しています。ハッキングされたアカウントは、Fusion インシデントの説明文に記載されます。

Microsoft Entra への不審なサインインの後の大量のファイル ダウンロード

MITRE ATT&CK の戦術: 初期アクセス、流出

MITRE ATT&CK 手法: 有効なアカウント (T1078)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、ユーザーによって異常な数のファイルがダウンロードされたことを示します。 この情報は、Fusion インシデントの説明に記載されたアカウントが侵害され、組織のネットワークからデータを流出させるために使用されたことを示しています。 大量のファイル ダウンロード アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、大量のファイルのダウンロード

  • 知らない場所からサインインされた後の、大量のファイルのダウンロード

  • 感染したデバイスからサインインされた後の、大量のファイルのダウンロード

  • 送信元のわからない IP からサインインされた後の、大量のファイルのダウンロード

  • 資格情報が漏洩したユーザーからサインインされた後の、大量のファイルのダウンロード

Cisco ファイアウォール アプライアンスにブロックされている IP アドレスによる Microsoft Entra へのサインインと、それに続く大量のファイル ダウンロード

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、流出

MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの正常なサインインの後に、Cisco ファイアウォール アプライアンスにブロックされている IP アドレスによって異常に多くのファイルがユーザーによりダウンロードされたことを示します。 攻撃者が、ユーザー アカウントをハッキングした後で、組織のネットワークからデータを盗難しようとした可能性があります。 ファイアウォールにブロックされている IP のが Microsoft Entra への正常なログインには不審な点があり、ユーザー アカウントのサインイン情報が漏洩した可能性を示しています。

これまで見られなかった IP アドレスによる SharePoint ファイルの操作と同時に発生する、ファイルの大規模なダウンロード

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Exfiltration (流出)

MITRE ATT&CK techniques: Exfiltration Over Web Service (Web サービスを通じた流出) (T1567)、Data Transfer Size Limits (データ転送サイズ上限) (T1030)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この Fusion インシデントは、これまで見られなかった IP アドレスによりネットワークに接続したユーザーにより、異常に多くのファイルがダウンロードされたことを示しています。 これはマルチステージ攻撃があった証拠にはなりませんが、これら 2 つの重要性の低い警告の組み合わせは重要なインシデントであるとみなされます。攻撃者が、他者から乗っ取った可能性のあるアカウントを利用して、組織のネットワークからデータを盗難しようとしたことを示唆しています。 安定した環境を構築する場合、これまで見られなかった IP アドレスによるこのような接続は、特に大規模なドキュメントの流出に関連し得る通信量の急増との関連が疑われるときは、認可を受けられないようにします。

Microsoft Entra への不審なサインインの後の大量のファイル共有

MITRE ATT&CK の戦術: 初期アクセス、流出

MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、特定のしきい値を超える数のファイルが他者と共有されたことを示します。 この情報は、Fusion インシデントの説明に記載されたアカウントが侵害され、ドキュメント、スプレッドシートなどのファイルを悪意のある目的で無許可のユーザーと共有して組織のネットワークからデータを流出させるために使用されたことを示しています。 大量のファイル共有アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、大量のファイル共有

  • 知らない場所からサインインされた後の、大量のファイル共有

  • 感染したデバイスからサインインされた後の、大量のファイル共有

  • 送信元のわからない IP アドレスからサインインされた後の、大量のファイル共有

  • 資格情報が漏洩したユーザーからサインインされた後の、大量のファイル共有

Microsoft Entra への不審なサインインの後の複数の Power BI レポート共有アクティビティ

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、流出

MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、1 つのセッションで異常な数の Power BI レポートが共有されたことを示します。 この情報は、Fusion インシデントの説明に記載されたアカウントが侵害され、Power BI レポートを悪意のある目的で無許可のユーザーと共有して組織のネットワークからデータを流出させるために使用されたことを示しています。 複数の Power BI レポート共有アクティビティと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動の後の、複数の Power BI レポート共有アクティビティ

  • 知らない場所からサインインされた後の、複数の Power BI レポート共有アクティビティ

  • 感染したデバイスからサインインされた後の、複数の Power BI レポート共有アクティビティ

  • 送信元のわからない IP アドレスからサインインされた後の、複数の Power BI レポート共有アクティビティ

  • 資格情報が漏洩したユーザーからサインインされた後の、複数の Power BI レポート共有アクティビティ

Microsoft Entra への不審なサインインの後の Office 365 メールボックスからの情報の流出

MITRE ATT&CK の戦術: 初期アクセス、流出、コレクション

MITRE ATT&CK 手法: 有効なアカウント (T1078)、電子メール コレクション (T1114)、自動流出 (T1020)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、ユーザーの受信トレイで疑わしい受信トレイの転送ルールが設定されたことを示します。 この情報は、(Fusion インシデントの説明に記載された) ユーザーのアカウントが侵害されたこと、および実際のユーザーが知らないうちにメールボックス転送ルールを有効にして組織のネットワークからデータを流出させるために使用されたことを示しています。 Office 365 メールボックスからの情報の流出アラートが組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、Office 365 メールボックスからの情報の流出

  • 知らない場所からサインインされた後の、Office 365 メールボックスからの情報の流出

  • 感染したデバイスからサインインされた後の、Office 365 メールボックスからの情報の流出

  • 送信元のわからない IP アドレスからサインインされた後の、Office 365 メールボックスからの情報の流出

  • 資格情報が漏洩したユーザーからサインインされた後の、Office 365 メールボックスからの情報の流出

マルウェアの検出と、それに続く、これまで見られなかった IP アドレスによる SharePoint ファイルの操作

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Exfiltration (流出), Defense Evasion (防衛機構の回避)

MITRE ATT&CK techniques: Data Transfer Size Limits (データ転送サイズ上限) (T1030)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この Fusion インシデントは、マルウェアを利用した SharePoint でのダウンロードまたは共有により、攻撃者が大量のデータを盗難しようとしたことを示しています。 安定した環境を構築する場合、これまで見られなかった IP アドレスによるこのような接続は、特に大規模なドキュメントの流出に関連し得る通信量の急増との関連が疑われるときは、認可を受けられないようにします。

Microsoft Entra への不審なサインインの不審な受信トレイ操作ルールの設定

このシナリオは、このリストで 2 つの脅威の分類 (データ流出侵入拡大) に含まれています。 わかりやすくするために、両方のセクションに記載されています。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、横移動、流出

MITRE ATT&CK 手法: 有効なアカウント (T1078)、内部スピア フィッシング (T1534)、自動流出 (T1020)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、ユーザーの受信トレイで異常な受信トレイ ルールが設定されたことを示します。 これは、組織のネットワークからデータを盗難するなどの悪意ある目的でユーザーのメールの受信ルールを操作するために、アカウントがハッキングされ、利用されたことを、ほぼ間違いなく示しています。このアカウントは、Fusion インシデントの説明文に記載されます。 または、攻撃者は、その他のユーザーや特権のあるアカウントへのアクセスを取得し、(外部ソースからのメールを対象とするフィッシング検出メカニズムを迂回して) 組織内から侵入拡大目的でフィッシング メールを生成しようとしたと考えられます。 不審な受信トレイ操作ルール アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、疑わしい受信トレイ操作ルール

  • 知らない場所からサインインされた後の、疑わしい受信トレイ操作ルール

  • 感染したデバイスからサインインされた後の、疑わしい受信トレイ操作ルール

  • 送信元のわからない IP アドレスからサインインされた後の、疑わしい受信トレイ操作ルール

  • 資格情報が漏洩したユーザーからサインインされた後の、疑わしい受信トレイ操作ルール

Microsoft Entra アカウントへの不審なサインインの後の不審な Power BI レポート共有

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、流出

MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、Power BI レポートの不審な共有アクティビティが発生したことを示します。 Power BI レポートには自然言語処理を使用して識別された機密情報が含まれていたため、および外部の電子メール アドレスで共有された、Web に公開された、または外部で登録されている電子メール アドレスにスナップショットとして配信されたため、共有アクティビティは疑わしいものとして識別されました。 このアラートは、Fusion インシデントの説明に記載されたアカウントが侵害され、Power BI レポートを悪意のある目的で無許可のユーザーと共有して組織から機密データを流出させるために使用されたことを示しています。 不審な Power BI レポート共有と組み合わされた疑わしい Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動の後の、疑わしい Power BI レポート共有

  • 知らない場所からサインインされた後の、疑わしい Power BI レポート共有

  • 感染したデバイスからサインインされた後の、疑わしい Power BI レポート共有

  • 送信元のわからない IP アドレスからサインインされた後の、疑わしい Power BI レポート共有

  • 資格情報が漏洩したユーザーからサインインされた後の、疑わしい Power BI レポート共有

サービス拒否

Microsoft Entra への不審なサインインの後の複数の VM 削除アクティビティ

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、影響

MITRE ATT&CK の手法: 有効なアカウント (T1078)、エンドポイントサービス拒否 (T1499)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、1 つのセッションで異常な数の VM が削除されたことを示します。 この情報は、Fusion インシデントの説明に記載されたアカウントが侵害され、組織のクラウド環境を中断または破壊しようとするために使用されたことを示しています。 複数の VM 削除アクティビティ アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 通常と異なる場所へのあり得ない移動と、それに続く複数の VM の削除操作

  • なじみの薄い場所からのサインインと、それに続く複数の VM の削除操作

  • 感染したデバイスからのサインインと、それに続く複数の VM の削除操作

  • 匿名 IP アドレスによるサインインと、それに続く複数の VM の削除操作

  • サインイン情報が漏洩したユーザーによるサインインと、それに続く複数の VM の削除操作

侵入拡大

Microsoft Entra への不審なサインインの後の Office 365 偽装

MITRE ATT&CK 戦術: 初期アクセス、横移動

MITRE ATT&CK の手法: 有効なアカウント (T1078)、内部スピア フィッシング (T1534)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、異常な数の偽装アクションが発生したことを示します。 一部のソフトウェアでは、ユーザーが他のユーザーを偽装できるオプションがあります。 たとえば、メール サービスを使用すると、ユーザーは自分に代わって他のユーザーがメールを送信することを承認できます。 このアラートは、Fusion インシデントの説明に記載されているアカウントが侵害され、マルウェア配布や侵入拡大のためにフィッシング メールを送信するなど、悪意のある目的で偽装アクティビティを実行するために使用されたことを、高い信頼度で示しています。 Office 365 での偽装アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、Office 365 メールボックスの偽装

  • 知らない場所からサインインされた後の、Office 365 での偽装

  • 感染したデバイスからサインインされた後の、Office 365 での偽装

  • 送信元のわからない IP アドレスからサインインされた後の、Office 365 での偽装

  • 資格情報が漏洩したユーザーからサインインされた後の、Office 365 での偽装

Microsoft Entra への不審なサインインの不審な受信トレイ操作ルールの設定

このシナリオは、このリストで 2 つの脅威の分類 (侵入拡大データ流出) に含まれています。 わかりやすくするために、両方のセクションに記載されています。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、横移動、流出

MITRE ATT&CK 手法: 有効なアカウント (T1078)、内部スピア フィッシング (T1534)、自動流出 (T1020)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、ユーザーの受信トレイで異常な受信トレイ ルールが設定されたことを示します。 これは、組織のネットワークからデータを盗難するなどの悪意ある目的でユーザーのメールの受信ルールを操作するために、アカウントがハッキングされ、利用されたことを、ほぼ間違いなく示しています。このアカウントは、Fusion インシデントの説明文に記載されます。 または、攻撃者は、その他のユーザーや特権のあるアカウントへのアクセスを取得し、(外部ソースからのメールを対象とするフィッシング検出メカニズムを迂回して) 組織内から侵入拡大目的でフィッシング メールを生成しようとしたと考えられます。 不審な受信トレイ操作ルール アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、疑わしい受信トレイ操作ルール

  • 知らない場所からサインインされた後の、疑わしい受信トレイ操作ルール

  • 感染したデバイスからサインインされた後の、疑わしい受信トレイ操作ルール

  • 送信元のわからない IP アドレスからサインインされた後の、疑わしい受信トレイ操作ルール

  • 資格情報が漏洩したユーザーからサインインされた後の、疑わしい受信トレイ操作ルール

悪意のある管理アクティビティ

Microsoft Entra への不審なサインインの後のクラウド アプリでの不審な管理行為

MITRE ATT&CK の戦術: 初期アクセス、永続性、防御回避、横移動、コレクション、流出、影響

MITRE ATT&CK の手法: N/A

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、同じアカウントによる Microsoft Entra アカウントへの不審なサインインの後に、1 つのセッションで異常な数の管理行為が実行されたことを示します。 これは、悪意ある意図で認可を受けずに管理者としての操作を繰り返し実行するために、アカウントがハッキングされ、利用されたことを示唆しています。このアカウントは、Fusion インシデントの説明文に記載されます。 これは、管理特権を持つアカウントが侵害された可能性があることも示しています。 クラウド アプリでの不審な管理行為アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、クラウド アプリでの疑わしい管理行為

  • 知らない場所からサインインされた後の、クラウド アプリでの疑わしい管理行為

  • 感染したデバイスからサインインされた後の、クラウド アプリでの疑わしい管理行為

  • 送信元のわからない IP アドレスからサインインされた後の、クラウド アプリでの疑わしい管理行為

  • 資格情報が漏洩したユーザーからサインインされた後の、クラウド アプリでの疑わしい管理行為

管理者アカウントの新しい活動が見られなくなった後のメール転送活動

このケースは、悪意のある管理者活動データ流出の 2 種類の脅威に分類されます。 わかりやすくするために、両方のセクションに記載されています。

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Initial Access (最初のアクセス)、Collection (収集)、Exfiltration (流出)

MITRE ATT&CK techniques: Valid Account (有効なアカウント) (T1078)、Email Collection (メール収集) (T1114)、Exfiltration Over Web Service (Web サービスを通じた流出) (T1567)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この Fusion インシデントは、新規作成された Exchange 管理者アカウントまたは既存の Exchange 管理者アカウントが、過去 2 週間ではじめて管理者としての操作を行い、その後メール転送操作を行ったことを示しています。管理者アカウントでは通常メールの転送は行いません。 これは、ユーザー アカウントがハッキングまたは操作され、組織のネットワークからデータを盗難するのに使用されたことを示しています。ハッキングされたアカウントは、Fusion インシデントの説明文に記載されます。

正当なプロセスによる悪意のある実行

PowerShell で疑わしいネットワーク接続が行われた後に、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィックが続きます。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 実行

MITRE ATT&CK の手法: コマンドおよびスクリプト インタープリター (T1059)

データ コネクタのソース: Microsoft Defender for Endpoint (旧称 Microsoft Defender Advanced Threat Protection または MDATP)、Microsoft Sentinel (スケジュールされた分析のルール)

説明: この種類の Fusion インシデントは、PowerShell コマンドを使用して送信接続要求が行われ、その後、Palo Alto Networks ファイアウォールによって異常な受信アクティビティが検出されたことを示しています。 これは、恐らく攻撃者が既にネットワークへのアクセスを獲得しており、悪意ある行為を実行しようとしていることを示唆しています。 このパターンに従う PowerShell による接続の試行は、マルウェアのコマンド アンド コントロール アクティビティ、追加のマルウェアのダウンロード要求、またはリモートの対話型アクセスを確立する攻撃者を示している可能性があります。 すべての "現地調達型" 攻撃と同様、このアクティビティは PowerShell を正当に使用している可能性があります。 ただし、PowerShell コマンドの実行後に疑わしい受信ファイアウォール アクティビティが続く場合、より高い信頼度で PowerShell が悪意のある方法で使用されていることを示しており、さらに詳しく調査する必要があります。 Palo Alto ログでは、Microsoft Sentinel は脅威ログに焦点を当てており、脅威 (疑わしいデータ、ファイル、フラッド、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、wildfire ウイルス、wildfire) が許可されている場合、トラフィックは疑わしいと見なされます。 アラートのその他の詳細について、Fusion インシデントの説明に記載されている脅威/コンテンツ タイプに対応する Palo Alto 脅威ログも参照してください。

疑わしいリモート WMI 実行後の、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 実行、検出

MITRE ATT&CK の手法: Windows Management Instrumentation (T1047)

データ コネクター のソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析のルール)

説明: この種類の Fusion インシデントは、Windows Management Interface (WMI) コマンドがシステムでリモート実行され、その後、疑わしい受信アクティビティが Palo Alto Networks ファイアウォールによって検出されたことを示しています。 これは、攻撃者が既にネットワークへのアクセスを獲得している可能性があり、水平移動、高度な権限の獲得、悪意あるペイロードの実行を試みていることを示唆しています。 すべての "現地調達型" 攻撃と同様、このアクティビティは WMI を正当に使用している可能性があります。 ただし、リモート WMI コマンドの実行後に疑わしい受信ファイアウォール アクティビティが続く場合、より高い信頼度で WMI が悪意のある方法で使用されていることを示しており、さらに詳しく調査する必要があります。 Palo Alto ログでは、Microsoft Sentinel は脅威ログに焦点を当てており、脅威 (疑わしいデータ、ファイル、フラッド、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、wildfire ウイルス、wildfire) が許可されている場合、トラフィックは疑わしいと見なされます。 アラートのその他の詳細について、Fusion インシデントの説明に記載されている脅威/コンテンツ タイプに対応する Palo Alto 脅威ログも参照してください。

疑わしいサインインの後の疑わしい PowerShell コマンド ライン

MITRE ATT&CK の戦術: 初期アクセス、実行

MITRE ATT&CK 手法: 有効なアカウント (T1078)、コマンドおよびスクリプト インタープリター (T1059)

データ コネクタのソース: Microsoft Entra ID Protection、Microsoft Defender for Endpoint (旧称 MDATP)

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、ユーザーが悪意のある可能性のある PowerShell コマンドを実行したことを示します。 これは、アカウントがハッキングされ、悪意ある行為がその他にも行われたことを、ほぼ間違いなく示しています。このアカウントは、警告の説明文に記載されます。 攻撃者はしばしば PowerShell を使用して、ディスク上に生成物を残さないよう、悪意あるペイロードをメモリ内で実行します。これは、ウイルス スキャナーなどのディスクに基づくセキュリティ機構によって検出されることを避けるためです。 不審な PowerShell コマンド アラートと組み合わされた、不審な Microsoft Entra サインイン アラートの順列は次のとおりです。

  • 特殊な場所へのあり得ない移動が、疑わしい PowerShell コマンド ラインにつながる

  • 未知の場所からのサインイン イベントが、疑わしい PowerShell コマンド ラインにつながる

  • 感染したデバイスからのサインイン イベントが、疑わしい PowerShell コマンド ラインにつながる

  • 匿名 IP アドレスからのサインイン イベントが、疑わしい PowerShell コマンド ラインにつながる

  • 資格情報が漏洩したユーザーからのサインイン イベントが、疑わしい PowerShell コマンド ラインにつながる

マルウェア C2 またはダウンロード

サービスへのユーザー サインインが複数回失敗するイベントに続いて、Fortinet によりビーコン送信パターンを検出

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Initial Access (最初のアクセス), Command and Control (命令と制御)

MITRE ATT&CK techniques: Valid Account (有効なアカウント) (T1078), Non-Standard Port (非標準ポート) (T1571), T1065 (廃止)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Defender for Cloud Apps

説明: この Fusion インシデントは、組織の関連エンティティを使用したサービスへのユーザー サインインが複数回失敗するイベントが発生したのに続いて、組織内部の IP アドレスから外部のアドレスへの通信に、ビーコン送信を示すパターンが検出されたことを示しています。 これら 2 つのイベントの組み合わせは、マルウェアに感染した可能性、または侵入を受けてされてデータ流出を引き起こしているホストが存在する可能性を示しています。

Microsoft Entra への不審なサインインの後の Fortinet によるビーコン送信パターンの検出

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Initial Access (最初のアクセス), Command and Control (命令と制御)

MITRE ATT&CK techniques: Valid Account (有効なアカウント) (T1078), Non-Standard Port (非標準ポート) (T1571), T1065 (廃止)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Entra ID Protection

説明: この Fusion インシデントは、Microsoft Entra ID への不審なユーザー サインインに続いて、組織内部の IP アドレスから外部のアドレスへの通信に、ビーコン送信を示すパターンが検出されたことを示しています。 これら 2 つのイベントの組み合わせは、マルウェアに感染した可能性、または侵入を受けてされてデータ流出を引き起こしているホストが存在する可能性を示しています。 Fortinet で検出するビーコン送信パターンの警告で、Microsoft Entra への不審なサインインに対する警告を伴うものを、次に挙げます。

  • 通常と異なる場所へのあり得ない移動と、それに続く Fortinet のビーコン送信パターン検出

  • なじみの薄い場所からのサインインと、それに続く Fortinet のビーコン送信パターン検出

  • 感染したデバイスからのサインインと、それに続く Fortinet のビーコン送信パターン検出

  • 匿名 IP アドレスによるサインインと、それに続く Fortinet のビーコン送信パターン検出

  • サインイン情報が漏洩したユーザーによるサインインと、それに続く Fortinet のビーコン送信パターン検出

TOR 匿名化サービスに対するネットワーク要求の後に、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィックが続きます。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: コマンドとコントロール

MITRE ATT&CK の手法: 暗号化チャネル (T1573)、プロキシ (T1090)

データ コネクター のソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析のルール)

説明: この種類の Fusion インシデントは、TOR 匿名化サービスへの送信接続要求が行われ、その後、Palo Alto Networks ファイアウォールによって異常な受信アクティビティが検出されたことを示しています。 これは、恐らく攻撃者が既にネットワークへのアクセスを獲得しており、自分の行為または意図を隠そうとしていることを示唆しています。 このパターンに従う TOR ネットワークへの接続は、マルウェアのコマンド アンド コントロール アクティビティ、追加のマルウェアのダウンロード要求、またはリモートの対話型アクセスを確立する攻撃者を示している可能性があります。 Palo Alto ログでは、Microsoft Sentinel は脅威ログに焦点を当てており、脅威 (疑わしいデータ、ファイル、フラッド、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、wildfire ウイルス、wildfire) が許可されている場合、トラフィックは疑わしいと見なされます。 アラートのその他の詳細について、Fusion インシデントの説明に記載されている脅威/コンテンツ タイプに対応する Palo Alto 脅威ログも参照してください。

承認されていないアクセス試行の履歴がある IP への送信接続の後に、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィックが続く

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: コマンドとコントロール

MITRE ATT&CK の手法: 適用できません

データ コネクター のソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析のルール)

説明: この種類の Fusion インシデントは、未許可のアクセス試行履歴がある IP アドレスへの送信接続が確立され、その後、Palo Alto Networks ファイアウォールによって異常なアクティビティが検出されたことを示しています。 これは、恐らく攻撃者が既にネットワークへのアクセスを獲得したことを示唆しています。 このパターンに従う接続の試行は、マルウェアのコマンド アンド コントロール アクティビティ、追加のマルウェアのダウンロード要求、またはリモートの対話型アクセスを確立する攻撃者を示している可能性があります。 Palo Alto ログでは、Microsoft Sentinel は脅威ログに焦点を当てており、脅威 (疑わしいデータ、ファイル、フラッド、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、wildfire ウイルス、wildfire) が許可されている場合、トラフィックは疑わしいと見なされます。 アラートのその他の詳細について、Fusion インシデントの説明に記載されている脅威/コンテンツ タイプに対応する Palo Alto 脅威ログも参照してください。

永続化

(新しい脅威の分類)

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK tactics: Persistence (持続性), Initial Access (最初のアクセス)

MITRE ATT&CK techniques: Create Account (アカウント作成) (T1136), Valid Account (有効なアカウント) (T1078)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、関連する Microsoft Entra アカウントへの不審なサインインの後に、これまでそのようなことを全く、あるいはめったにしたことのないユーザーが、アプリケーションに同意を与えたことを示します。 これは、悪意ある目的でアプリケーションにアクセスする、またはこれを操作するために、アカウントがハッキングされ、利用されたことを示唆しています。このアカウントは、Fusion インシデントの説明文に記載されます。 一般に、アプリケーションへの同意、サービス プリンシパルの追加、OAuth2PermissionGrant の追加は稀なイベントです。 攻撃者は、この方法で構成の変更を行って、当該システムにおける足場を確立あるいは維持している場合があります。 Microsoft Entra への不審なサインインに対する警告で、通常見られないアプリケーションへの同意に対する警告を伴うものを、次に挙げます。

  • 通常と異なる場所へのあり得ない移動と、それに続く、通常見られないアプリケーションへの同意

  • なじみの薄い場所からのサインインと、それに続く、通常見られないアプリケーションへの同意

  • 感染したデバイスからのサインインと、それに続く、通常見られないアプリケーションへの同意

  • 匿名 IP アドレスによるサインインと、それに続く、通常見られないアプリケーションへの同意

  • サインイン情報が漏洩したユーザーによるサインインと、それに続く、通常見られないアプリケーションへの同意

ランサムウェア

Microsoft Entra への不審なサインインの後のランサムウェア実行

MITRE ATT&CK の戦術: 初期アクセス、影響

MITRE ATT&CK 手法: 有効なアカウント (T1078)、影響のために暗号化されたデータ (T1486)

データ コネクタのソース: Microsoft Dender for Cloud アプリ、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、ランサムウェア攻撃を示す異常なユーザー ビヘイビアーが検出されたことを示します。 この情報は、Fusion インシデントの説明に示されているアカウントが侵害され、データ所有者を脅迫する、またはデータ所有者によるデータへのアクセスを拒否する目的でデータを暗号化するために使用されたことを示しています。 ランサムウェア実行アラートと組み合わされた不審な Microsoft Entra サインイン アラートは次のとおりです。

  • 特殊な場所へのあり得ない移動後の、クラウド アプリ内のランサムウェア

  • 知らない場所からサインインされた後の、クラウド アプリ内のランサムウェア

  • 感染したデバイスからサインインされた後の、クラウド アプリ内のランサムウェア

  • 送信元のわからない IP アドレスからサインインされた後の、クラウド アプリ内のランサムウェア

  • 資格情報が漏洩したユーザーからサインインされた後の、クラウド アプリ内のランサムウェア

リモートの悪用

疑わしい攻撃フレームワーク使用後の、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、実行、横移動、特権エスカレーション

MITRE ATT&CK 手法: 公開アプリケーションの悪用 (T1190)、クライアント実行の悪用 (T1203)、リモート サービスの悪用 (T1210)、特権エスカレーションの悪用 (T1068)

データ コネクター のソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析のルール)

説明: この種類の Fusion インシデントは、Metasploit などの攻撃フレームワークの使用に似た、プロトコルの非標準の使用が検出され、その後、疑わしい受信アクティビティが Palo Alto Networks ファイアウォールによって検出されたことを示しています。 これは、攻撃者がネットワーク リソースへのアクセスを取得するためにサービスを悪用したこと、または攻撃者が既にアクセスを取得していて、利用可能なシステム/サービスをさらに悪用して侵入拡大や特権エスカレーションを行おうとしていることを示す最初の兆候の場合があります。 Palo Alto ログでは、Microsoft Sentinel は脅威ログに焦点を当てており、脅威 (疑わしいデータ、ファイル、フラッド、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、wildfire ウイルス、wildfire) が許可されている場合、トラフィックは疑わしいと見なされます。 アラートのその他の詳細について、Fusion インシデントの説明に記載されている脅威/コンテンツ タイプに対応する Palo Alto 脅威ログも参照してください。

リソースの乗っ取り

(新しい脅威の分類)

Microsoft Entra への不審なサインインと、それに続く、これまで見られなかった呼び出し元によるリソースまたはリソースグループの不審なデプロイ

このケースでは、スケジュールされた分析のルールに基づいて出される警告を利用します。

現在、このシナリオはプレビュー段階です。

MITRE ATT&CK の戦術: 初期アクセス、影響

MITRE ATT&CK 手法: 有効なアカウント (T1078)、リソース ハイジャック (T1496)

データ コネクター のソース: Microsoft Sentinel (スケジュールされた分析のルール)、Microsoft Entra ID Protection

説明: この種類の Fusion インシデントは、しばらく使用されていなかったプロパティを使用して Microsoft Entra アカウントへの不審なサインインが行われた後に、ユーザーが Azure リソースまたはリソースグループをデプロイするという、通常見られない行為があったことを示します。 これは、攻撃者がユーザー アカウントをハッキングし、その後、悪意のある目的でリソースまたはリソース グループをデプロイしようとした可能性を示しています。

Microsoft Entra への不審なサインインに対する警告で、これまで見られなかった呼び出し元によるリソースまたはリソース グループの不審なデプロイに対する警告を伴うものを、次に挙げます。

  • 通常と異なる場所へのあり得ない移動と、それに続く、これまで見られなかった呼び出し元によるリソースまたはリソース グループの不審なデプロイ

  • なじみの薄い場所からのサインインと、それに続く、これまで見られなかった呼び出し元によるリソースまたはリソース グループの不審なデプロイ

  • 感染したデバイスからのサインインと、それに続く、これまで見られなかった呼び出し元によるリソースまたはリソース グループの不審なデプロイ

  • 匿名 IP アドレスによるサインインと、それに続く、これまで見られなかった呼び出し元によるリソースまたはリソース グループの不審なデプロイ

  • サインイン情報が漏洩したユーザーによるサインインと、それに続く、これまで見られなかった呼び出し元によるリソースまたはリソース グループの不審なデプロイ

次のステップ

高度なマルチステージ攻撃の検出に関する詳細を学習したので、自分のデータや潜在的な脅威を視覚化する方法を学習することができる以下のクイックスタートにも関心を持たれるかもしれません。Microsoft Sentinel の使用を開始する

作成されたインシデントを調査する準備ができたら、次のチュートリアルをご覧ください。Microsoft Sentinel を使用してインシデントを調査する