Delen via

Scenario's gedetecteerd door de Microsoft Sentinel Fusion-engine

  • Artikel

Dit document bevat de typen op scenario's gebaseerde multistage-aanvallen, gegroepeerd op bedreigingsclassificatie, die Microsoft Sentinel detecteert met behulp van de Fusion-correlatie-engine.

Aangezien Fusion meerdere signalen van verschillende producten correleert om geavanceerde aanvallen met meerdere fasen te detecteren, worden succesvolle Fusion-detecties weergegeven als Fusion-incidenten op de pagina Microsoft Sentinel-incidenten en niet als waarschuwingen en worden opgeslagen in de tabel Incidenten in Logboeken en niet in de tabel SecurityAlerts.

Als u deze door Fusion aangedreven aanvalsdetectiescenario's wilt inschakelen, moeten alle vermelde gegevensbronnen worden opgenomen in uw Log Analytics-werkruimte. Volg de instructies in Geplande analyseregels configureren voor Fusion-detecties voor scenario's met geplande analyseregels.

Notitie

Sommige van deze scenario's bevinden zich in PREVIEW. Ze zullen zo worden aangegeven.

Misbruik van rekenresources

Meerdere activiteiten voor het maken van vm's na verdachte aanmelding bij Microsoft Entra

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Impact

MITRE ATT&CK-technieken: Geldig account (T1078), Resource hijacking (T1496)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat er in één sessie een afwijkend aantal VM's is gemaakt na een verdachte aanmelding bij een Microsoft Entra-account. Dit type waarschuwing geeft aan, met een hoge mate van vertrouwen, dat het account dat in de beschrijving van het Fusion-incident is genoteerd, is aangetast en wordt gebruikt om nieuwe VM's te maken voor onbevoegde doeleinden, zoals het uitvoeren van cryptoanalysebewerkingen. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor het maken van meerdere VM's zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot meerdere activiteiten voor het maken van vm's

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot meerdere activiteiten voor het maken van vm's

  • Aanmeldingsgebeurtenis vanaf een geïnfecteerd apparaat dat leidt tot meerdere activiteiten voor het maken van vm's

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot meerdere activiteiten voor het maken van vm's

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot meerdere activiteiten voor het maken van vm's

Toegang tot referenties

(Nieuwe bedreigingsclassificatie)

Meerdere wachtwoorden opnieuw instellen door gebruiker na verdachte aanmelding

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), Brute Force (T1110)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een gebruiker meerdere wachtwoorden opnieuw instelt na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om meerdere wachtwoordherstelbewerkingen uit te voeren om toegang te krijgen tot meerdere systemen en resources. Accountmanipulatie (inclusief wachtwoordherstel) kan kwaadwillende personen helpen bij het onderhouden van toegang tot referenties en bepaalde machtigingsniveaus binnen een omgeving. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met meerdere waarschuwingen voor het opnieuw instellen van wachtwoorden zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot het opnieuw instellen van meerdere wachtwoorden

Suspicious sign-in coinciding with successful sign-in to Palo Alto VPN by IP with multiple failed Microsoft Entra sign-ins

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), Brute Force (T1110)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een verdachte aanmelding bij een Microsoft Entra-account samenviel met een geslaagde aanmelding via een Palo Alto VPN van een IP-adres waaruit meerdere mislukte Microsoft Entra-aanmeldingen in een vergelijkbare periode hebben plaatsgevonden. Hoewel er geen bewijs is van een aanval met meerdere fasen, leidt de correlatie van deze twee waarschuwingen met een lagere betrouwbaarheid tot een incident met hoge betrouwbaarheid dat schadelijke initiële toegang tot het netwerk van de organisatie voorstelt. Dit kan ook een indicatie zijn van een aanvaller die brute force-technieken probeert te gebruiken om toegang te krijgen tot een Microsoft Entra-account. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met 'IP met meerdere mislukte Microsoft Entra-aanmeldingen melden zich aan bij Palo Alto VPN'-waarschuwingen zijn:

  • Onmogelijke reis naar een atypische locatie die samenvalt met IP met meerdere mislukte Microsoft Entra-aanmeldingen, meldt zich aan bij Palo Alto VPN

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die samenvalt met IP met meerdere mislukte Microsoft Entra-aanmeldingen, meldt zich aan bij Palo Alto VPN

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat met IP met meerdere mislukte Microsoft Entra-aanmeldingen meldt zich aan bij Palo Alto VPN

  • Aanmeldingsgebeurtenis van een anoniem IP-adres met IP met meerdere mislukte Microsoft Entra-aanmeldingen meldt zich aan bij Palo Alto VPN

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die samenvallen met IP met meerdere mislukte Microsoft Entra-aanmeldingen, melden zich aan bij Palo Alto VPN

Referentie verzamelen

(Nieuwe bedreigingsclassificatie)

Uitvoering van schadelijke referentiediefstal na verdachte aanmelding

MITRE ATT&CK-tactieken: initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), dumping van besturingssysteemreferenties (T1003)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor Eindpunt

Beschrijving: Fusion-incidenten van dit type geven aan dat een bekend hulpprogramma voor referentiediefstal is uitgevoerd na een verdachte aanmelding van Microsoft Entra. Dit bewijs suggereert met hoge betrouwbaarheid dat het gebruikersaccount dat in de beschrijving van de waarschuwing is genoteerd, is aangetast en mogelijk een hulpprogramma zoals Mimikatz heeft gebruikt om referenties te verzamelen, zoals sleutels, wachtwoordhashes zonder opmaak en/of wachtwoordhashes van het systeem. Met de opgehaalde referenties kan een aanvaller toegang krijgen tot gevoelige gegevens, bevoegdheden escaleren en/of lateraal verplaatsen via het netwerk. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor schadelijke referentiediefstalprogramma's zijn:

  • Onmogelijke reis naar atypische locaties die leiden tot de uitvoering van het hulpprogramma voor diefstal van schadelijke referenties

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot de uitvoering van het hulpprogramma voor diefstal van schadelijke referenties

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot de uitvoering van het hulpprogramma voor diefstal van schadelijke referenties

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot het uitvoeren van het hulpprogramma voor diefstal van schadelijke referenties

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot uitvoering van het hulpprogramma voor diefstal van schadelijke referenties

Verdachte activiteit voor diefstal van referenties na verdachte aanmelding

MITRE ATT&CK-tactieken: initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), referenties uit wachtwoordarchieven (T1555), dumping van besturingssysteemreferenties (T1003)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor Eindpunt

Beschrijving: Fusieincidenten van dit type geven aan dat activiteit die is gekoppeld aan patronen van referentiediefstal, is opgetreden na een verdachte aanmelding van Microsoft Entra. Dit bewijs suggereert met hoge betrouwbaarheid dat het gebruikersaccount dat in de beschrijving van de waarschuwing is genoteerd, is aangetast en wordt gebruikt om referenties te stelen, zoals sleutels, wachtwoorden zonder opmaak, wachtwoordhashes, enzovoort. Met de gestolen referenties kan een aanvaller toegang krijgen tot gevoelige gegevens, bevoegdheden escaleren en/of lateraal verplaatsen via het netwerk. De permutaties van verdachte Aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor diefstal van referenties zijn:

  • Onmogelijke reis naar atypische locaties die leiden tot vermoedelijke diefstal van referenties

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte diefstal van referenties

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot vermoedelijke diefstal van referenties

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot vermoedelijke diefstal van referenties

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot verdachte activiteit van referentiediefstal

Crypto-mining

(Nieuwe bedreigingsclassificatie)

Crypto-mining-activiteit na verdachte aanmelding

MITRE ATT&CK-tactieken: initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), Resource hijacking (T1496)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor Cloud

Beschrijving: Fusion-incidenten van dit type geven crypto-mining-activiteiten aan die zijn gekoppeld aan een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert met hoge betrouwbaarheid dat het gebruikersaccount dat in de beschrijving van de waarschuwing is genoteerd, is gecompromitteerd en is gebruikt om resources in uw omgeving te kapen om cryptovaluta te mijnen. Dit kan uw resources van rekenkracht verhongeren en/of leiden tot aanzienlijk hogere kosten dan verwacht cloudgebruik. De permutaties van verdachte Aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor crypto-miningactiviteit zijn:

  • Onmogelijke reis naar atypische locaties die leiden tot crypto-mining-activiteit

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot crypto-mining-activiteit

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot crypto-mining-activiteit

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot crypto-mining-activiteit

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot crypto-mining-activiteit

Gegevensvernietiging

Massabestand verwijderen na verdachte aanmelding bij Microsoft Entra

MITRE ATT&CK-tactieken: Initiële toegang, Impact

MITRE ATT&CK-technieken: Geldig account (T1078), Gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal unieke bestanden zijn verwijderd na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat is genoteerd in de beschrijving van het Fusion-incident mogelijk is aangetast en is gebruikt om gegevens voor schadelijke doeleinden te vernietigen. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor het massaal verwijderen van bestanden zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot massaverwijdering van bestanden

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot het massaal verwijderen van bestanden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot massaal verwijderen van bestanden

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot massaal verwijderen van bestanden

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot het massaal verwijderen van bestanden

Massabestandsverwijdering na geslaagde aanmelding van Microsoft Entra vanaf IP geblokkeerd door een Cisco-firewallapparaat

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Impact

MITRE ATT&CK-technieken: Geldig account (T1078), Gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal unieke bestanden is verwijderd na een geslaagde aanmelding van Microsoft Entra, ondanks dat het IP-adres van de gebruiker wordt geblokkeerd door een Cisco-firewallapparaat. Dit bewijs suggereert dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om gegevens voor schadelijke doeleinden te vernietigen. Omdat het IP-adres is geblokkeerd door de firewall, is dezelfde IP-aanmelding bij Microsoft Entra-id mogelijk verdacht en kan dit duiden op inbreuk op referenties voor het gebruikersaccount.

Massabestandsverwijdering na geslaagde aanmelding bij Palo Alto VPN by IP met meerdere mislukte Microsoft Entra-aanmeldingen

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: eerste toegang, referentietoegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), Brute Force (T1110), Gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal unieke bestanden zijn verwijderd door een gebruiker die zich heeft aangemeld via een Palo Alto VPN van een IP-adres waaruit meerdere mislukte Microsoft Entra-aanmeldingen hebben plaatsgevonden in een vergelijkbare periode. Dit bewijs suggereert dat het gebruikersaccount dat in het Fusion-incident is genoteerd, mogelijk is gecompromitteerd met behulp van brute force-technieken en is gebruikt om gegevens voor schadelijke doeleinden te vernietigen.

Verdachte e-mailverwijderingsactiviteit na verdachte aanmelding bij Microsoft Entra

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Impact

MITRE ATT&CK-technieken: Geldig account (T1078), Gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal e-mailberichten is verwijderd in één sessie na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat is genoteerd in de beschrijving van het Fusion-incident mogelijk is aangetast en is gebruikt om gegevens te vernietigen voor schadelijke doeleinden, zoals het beschadigen van de organisatie of het verbergen van spamgerelateerde e-mailactiviteiten. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor verdachte e-mailverwijderingsactiviteit zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot verdachte activiteiten voor het verwijderen van e-mail

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte activiteit voor het verwijderen van e-mail

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte activiteit voor het verwijderen van e-mail

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte activiteit voor het verwijderen van e-mail

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties, wat leidt tot verdachte activiteit voor het verwijderen van e-mail

Gegevensoverdracht

Activiteiten voor het doorsturen van e-mail na nieuwe activiteiten voor beheerdersaccounts die onlangs niet zijn gezien

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: gegevensexfiltratie en schadelijke beheeractiviteiten. Omwille van de duidelijkheid, wordt deze in beide secties weergegeven.

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Verzameling, Exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), E-mailverzameling (T1114), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusieincidenten van dit type geven aan dat er een nieuw Exchange-beheerdersaccount is gemaakt, of dat een bestaand Exchange-beheerdersaccount de afgelopen twee weken een beheeractie heeft ondernomen en dat het account vervolgens enkele acties voor het doorsturen van e-mail heeft uitgevoerd, wat ongebruikelijk is voor een beheerdersaccount. Dit bewijs suggereert dat het gebruikersaccount dat in de beschrijving van het Fusion-incident is genoteerd, is aangetast of gemanipuleerd en dat het is gebruikt om gegevens uit het netwerk van uw organisatie te exfiltreren.

Massabestand downloaden na verdachte aanmelding bij Microsoft Entra

MITRE ATT&CK-tactieken: Initiële toegang, Exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal bestanden is gedownload door een gebruiker na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie biedt een hoge betrouwbaarheid dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om gegevens uit het netwerk van uw organisatie te exfiltreren. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de waarschuwing voor het massaal downloaden van bestanden zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot het downloaden van massabestanden

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot het massaal downloaden van bestanden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot het downloaden van massabestanden

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot het downloaden van massabestanden

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot het massaal downloaden van bestanden

Massabestand downloaden na geslaagde microsoft Entra-aanmelding vanaf IP geblokkeerd door een Cisco-firewallapparaat

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal bestanden is gedownload door een gebruiker na een geslaagde aanmelding van Microsoft Entra, ondanks dat het IP-adres van de gebruiker wordt geblokkeerd door een Cisco-firewallapparaat. Dit kan een poging zijn van een aanvaller om gegevens uit het netwerk van de organisatie te exfiltreren nadat een gebruikersaccount in gevaar is gebracht. Omdat het IP-adres is geblokkeerd door de firewall, is dezelfde IP-aanmelding bij Microsoft Entra-id mogelijk verdacht en kan dit duiden op inbreuk op referenties voor het gebruikersaccount.

Mass file download coinciding with SharePoint file operation from previously unseen IP

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Exfiltratie

MITRE ATT&CK-technieken: Exfiltratie via webservice (T1567), limieten voor gegevensoverdracht (T1030)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal bestanden is gedownload door een gebruiker die is verbonden vanaf een eerder ongelezen IP-adres. Hoewel er geen bewijs is van een aanval met meerdere fasen, leidt de correlatie van deze twee waarschuwingen met een lagere betrouwbaarheid tot een incident met hoge betrouwbaarheid dat een poging van een aanvaller aangeeft om gegevens uit het netwerk van de organisatie te exfiltreren vanuit een mogelijk gecompromitteerd gebruikersaccount. In stabiele omgevingen zijn dergelijke verbindingen door eerder niet-gebruikte IP-adressen mogelijk niet gemachtigd, met name als deze zijn gekoppeld aan pieken in volumes die kunnen worden gekoppeld aan grootschalige documentexfiltratie.

Massabestand delen na verdachte aanmelding bij Microsoft Entra

MITRE ATT&CK-tactieken: Initiële toegang, Exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een aantal bestanden boven een bepaalde drempelwaarde is gedeeld met anderen na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge betrouwbaarheid dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en wordt gebruikt om gegevens uit het netwerk van uw organisatie te exfiltreren door bestanden zoals documenten, spreadsheets, enzovoort, met onbevoegde gebruikers voor schadelijke doeleinden te delen. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de waarschuwing voor het massa delen van bestanden zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot massabestand delen

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot massaal delen van bestanden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot massaal delen van bestanden

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot massaal delen van bestanden

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot massaal delen van bestanden

Meerdere Activiteiten voor het delen van Power BI-rapporten na verdachte aanmelding bij Microsoft Entra

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal Power BI-rapporten in één sessie zijn gedeeld na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge betrouwbaarheid dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om gegevens uit het netwerk van uw organisatie te exfiltreren door Power BI-rapporten te delen met onbevoegde gebruikers voor schadelijke doeleinden. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met de meerdere activiteiten voor het delen van Power BI-rapporten zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot meerdere activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot meerdere activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een geïnfecteerd apparaat dat leidt tot meerdere Activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot meerdere activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot meerdere activiteiten voor het delen van Power BI-rapporten

Exfiltratie van Office 365-postvakken na een verdachte aanmelding bij Microsoft Entra

MITRE ATT&CK-tactieken: Initiële toegang, Exfiltratie, Verzameling

MITRE ATT&CK-technieken: Geldig account (T1078), E-mailverzameling (T1114), Geautomatiseerde exfiltratie (T1020)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat er een verdachte regel voor het doorsturen van postvak IN is ingesteld op het Postvak IN van een gebruiker na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge betrouwbaarheid dat het account van de gebruiker (vermeld in de beschrijving van het Fusion-incident) is aangetast en dat het is gebruikt om gegevens uit het netwerk van uw organisatie te exfiltreren door een regel voor het doorsturen van postvakken in te schakelen zonder de echte kennis van de gebruiker. De permutaties van verdachte microsoft Entra-aanmeldingswaarschuwingen met de waarschuwing voor exfiltratie van Office 365-postvakken zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot exfiltratie van Office 365-postvakken

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot exfiltratie van Office 365-postvakken

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot exfiltratie van Office 365-postvakken

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot exfiltratie van Office 365-postvakken

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot exfiltratie van Office 365-postvakken

SharePoint-bestandsbewerking van eerder niet-gebruikte IP na detectie van malware

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK tactiek: Exfiltratie, Defense Evasion

MITRE ATT&CK-technieken: Limieten voor gegevensoverdrachtgrootte (T1030)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusion-incidenten van dit type geven aan dat een aanvaller heeft geprobeerd grote hoeveelheden gegevens te exfiltreren door via SharePoint te downloaden of te delen via malware. In stabiele omgevingen zijn dergelijke verbindingen door eerder niet-gebruikte IP-adressen mogelijk niet gemachtigd, met name als deze zijn gekoppeld aan pieken in volumes die kunnen worden gekoppeld aan grootschalige documentexfiltratie.

Suspicious Inbox manipulatie rules set following suspicious Microsoft Entra sign-in (Verdachte regels voor postvak IN-manipulatie na verdachte aanmelding bij Microsoft Entra)

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: gegevensexfiltratie en zijwaartse verplaatsing. Omwille van de duidelijkheid, wordt deze in beide secties weergegeven.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactiek: Eerste toegang, laterale beweging, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Internal Spear Phishing (T1534), Geautomatiseerde exfiltratie (T1020)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat afwijkende regels voor Postvak IN zijn ingesteld op het Postvak IN van een gebruiker na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs biedt een indicatie van hoge betrouwbaarheid dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om de regels voor postvak IN van de gebruiker te manipuleren voor schadelijke doeleinden, mogelijk om gegevens uit het netwerk van de organisatie te exfiltreren. De aanvaller kan ook proberen phishing-e-mails te genereren vanuit de organisatie (het omzeilen van mechanismen voor phishingdetectie die zijn gericht op e-mail van externe bronnen) om lateraal te worden verplaatst door toegang te krijgen tot extra gebruikers- en/of bevoegde accounts. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de waarschuwing voor verdachte regels voor manipulatie van Postvak IN zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot verdachte regel voor manipulatie van Postvak IN

Suspicious Power BI report sharing following suspicious Microsoft Entra sign-in (Verdacht Power BI-rapport delen na verdachte aanmelding bij Microsoft Entra)

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat er een verdachte activiteit voor het delen van Power BI-rapporten is opgetreden na een verdachte aanmelding bij een Microsoft Entra-account. De activiteit voor delen is geïdentificeerd als verdacht omdat het Power BI-rapport gevoelige informatie bevat die is geïdentificeerd met natuurlijke taalverwerking en omdat deze is gedeeld met een extern e-mailadres, gepubliceerd op internet of als een momentopname is bezorgd op een extern geabonneerd e-mailadres. Deze waarschuwing geeft met hoge betrouwbaarheid aan dat het account dat is genoteerd in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om gevoelige gegevens van uw organisatie te exfiltreren door Power BI-rapporten te delen met onbevoegde gebruikers voor schadelijke doeleinden. De permutaties van verdachte microsoft Entra-aanmeldingswaarschuwingen met het verdachte Delen van Power BI-rapporten zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot verdacht delen van Power BI-rapporten

Denial of Service

Meerdere VM-verwijderingsactiviteiten na verdachte aanmelding bij Microsoft Entra

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Impact

MITRE ATT&CK-technieken: Geldig account (T1078), Endpoint Denial of Service (T1499)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal VM's in één sessie zijn verwijderd na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge betrouwbaarheid dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om de cloudomgeving van de organisatie te verstoren of te vernietigen. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor meerdere VM-verwijderingsactiviteiten zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot meerdere vm-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot meerdere vm-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot meerdere vm-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot meerdere vm-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot meerdere vm-verwijderingsactiviteiten

Zijwaartse beweging

Office 365-imitatie na verdachte Aanmelding bij Microsoft Entra

MITRE ATT&CK-tactiek: eerste toegang, laterale beweging

MITRE ATT&CK-technieken: Geldig account (T1078), Internal Spear Phishing (T1534)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat er een afwijkend aantal imitatieacties is opgetreden na een verdachte aanmelding van een Microsoft Entra-account. In sommige software zijn er opties waarmee gebruikers andere gebruikers kunnen imiteren. Met e-mailservices kunnen gebruikers bijvoorbeeld andere gebruikers machtigen om namens hen e-mail te verzenden. Deze waarschuwing geeft met een hogere betrouwbaarheid aan dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt voor het uitvoeren van imitatieactiviteiten voor schadelijke doeleinden, zoals het verzenden van phishing-e-mailberichten voor malwaredistributie of laterale verplaatsing. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de Office 365-imitatiewaarschuwing zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot Office 365-imitatie

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot Office 365-imitatie

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot Office 365-imitatie

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot Office 365-imitatie

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot Office 365-imitatie

Suspicious Inbox manipulatie rules set following suspicious Microsoft Entra sign-in (Verdachte regels voor postvak IN-manipulatie na verdachte aanmelding bij Microsoft Entra)

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: laterale verplaatsing en gegevensexfiltratie. Omwille van de duidelijkheid, wordt deze in beide secties weergegeven.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactiek: Eerste toegang, laterale beweging, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Internal Spear Phishing (T1534), Geautomatiseerde exfiltratie (T1020)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat afwijkende regels voor Postvak IN zijn ingesteld op het Postvak IN van een gebruiker na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs biedt een indicatie van hoge betrouwbaarheid dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om de regels voor postvak IN van de gebruiker te manipuleren voor schadelijke doeleinden, mogelijk om gegevens uit het netwerk van de organisatie te exfiltreren. De aanvaller kan ook proberen phishing-e-mails te genereren vanuit de organisatie (het omzeilen van mechanismen voor phishingdetectie die zijn gericht op e-mail van externe bronnen) om lateraal te worden verplaatst door toegang te krijgen tot extra gebruikers- en/of bevoegde accounts. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de waarschuwing voor verdachte regels voor manipulatie van Postvak IN zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte regel voor manipulatie van Postvak IN

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot verdachte regel voor manipulatie van Postvak IN

Schadelijke beheeractiviteit

Suspicious cloud app administrative activity following suspicious Microsoft Entra sign-in (Verdachte cloud-app-beheeractiviteit na verdachte aanmelding bij Microsoft Entra)

MITRE ATT&CK-tactieken: eerste toegang, persistentie, verdedigingsontduiking, laterale beweging, verzameling, exfiltratie en impact

MITRE ATT&CK-technieken: N/B

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een afwijkend aantal beheeractiviteiten zijn uitgevoerd in één sessie na een verdachte Aanmelding van Microsoft Entra vanuit hetzelfde account. Dit bewijs suggereert dat het account dat is genoteerd in de beschrijving van het Fusion-incident mogelijk is aangetast en is gebruikt om een willekeurig aantal niet-geautoriseerde administratieve acties met kwaadwillende bedoelingen te maken. Dit geeft ook aan dat een account met beheerdersbevoegdheden mogelijk is aangetast. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de waarschuwing voor verdachte beheeractiviteiten voor cloud-apps zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot verdachte beheeractiviteiten voor cloud-apps

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte beheeractiviteiten in de cloud-app

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte beheeractiviteiten in de cloud-app

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot verdachte beheeractiviteiten in de cloud-app

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot verdachte beheeractiviteiten in de cloud-app

Activiteiten voor het doorsturen van e-mail na nieuwe activiteiten voor beheerdersaccounts die onlangs niet zijn gezien

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: schadelijke beheeractiviteiten en gegevensexfiltratie. Omwille van de duidelijkheid, wordt deze in beide secties weergegeven.

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Verzameling, Exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), E-mailverzameling (T1114), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusieincidenten van dit type geven aan dat er een nieuw Exchange-beheerdersaccount is gemaakt, of dat een bestaand Exchange-beheerdersaccount de afgelopen twee weken een beheeractie heeft ondernomen en dat het account vervolgens enkele acties voor het doorsturen van e-mail heeft uitgevoerd, wat ongebruikelijk is voor een beheerdersaccount. Dit bewijs suggereert dat het gebruikersaccount dat in de beschrijving van het Fusion-incident is genoteerd, is aangetast of gemanipuleerd en dat het is gebruikt om gegevens uit het netwerk van uw organisatie te exfiltreren.

Schadelijke uitvoering met legitiem proces

PowerShell heeft een verdachte netwerkverbinding gemaakt, gevolgd door afwijkend verkeer dat is gemarkeerd door De Firewall van Palo Alto Networks.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Uitvoering

MITRE ATT&CK-technieken: Command and Scripting Interpreter (T1059)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen Microsoft Defender Advanced Threat Protection of MDATP), Microsoft Sentinel (regel voor geplande analyse)

Beschrijving: Fusion-incidenten van dit type geven aan dat er een uitgaande verbindingsaanvraag is gedaan via een PowerShell-opdracht. Hierna is afwijkende binnenkomende activiteit gedetecteerd door de Palo Alto Networks Firewall. Dit bewijs suggereert dat een aanvaller waarschijnlijk toegang heeft gekregen tot uw netwerk en schadelijke acties probeert uit te voeren. Verbinding maken ionpogingen van PowerShell die dit patroon volgen, kunnen een indicatie zijn van malware-opdrachten en controleactiviteiten, aanvragen voor het downloaden van extra malware of een aanvaller die externe interactieve toegang tot stand brengen. Net als bij alle aanvallen op het land, kan deze activiteit een legitiem gebruik van PowerShell zijn. De uitvoering van de PowerShell-opdracht, gevolgd door verdachte inkomende firewallactiviteit, verhoogt echter het vertrouwen dat PowerShell op een schadelijke manier wordt gebruikt en moet verder worden onderzocht. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en verkeer wordt beschouwd als verdacht wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, wildfire-virussen, wildfires). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Verdachte externe WMI-uitvoering gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Uitvoering, Detectie

MITRE ATT&CK-technieken: Windows Management Instrumentation (T1047)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (regel voor geplande analyse)

Beschrijving: Fusion-incidenten van dit type geven aan dat WMI-opdrachten (Windows Management Interface) extern zijn uitgevoerd op een systeem en dat vervolgens verdachte binnenkomende activiteit is gedetecteerd door de Palo Alto Networks Firewall. Dit bewijs suggereert dat een aanvaller mogelijk toegang heeft gekregen tot uw netwerk en probeert zich lateraal te verplaatsen, bevoegdheden te escaleren en/of schadelijke nettoladingen uit te voeren. Net als bij alle "leven van het land" aanvallen, kan deze activiteit een legitiem gebruik van WMI zijn. De uitvoering van de externe WMI-opdracht, gevolgd door verdachte inkomende firewallactiviteit, verhoogt echter het vertrouwen dat WMI op schadelijke wijze wordt gebruikt en moet verder worden onderzocht. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en verkeer wordt beschouwd als verdacht wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, wildfire-virussen, wildfires). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Verdachte PowerShell-opdrachtregel na verdachte aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, Uitvoering

MITRE ATT&CK-technieken: Geldig account (T1078), Command and Scripting Interpreter (T1059)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor Eindpunt (voorheen MDATP)

Beschrijving: Fusion-incidenten van dit type geven aan dat een gebruiker mogelijk schadelijke PowerShell-opdrachten heeft uitgevoerd na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert met hoge betrouwbaarheid dat het account dat in de beschrijving van de waarschuwing is genoteerd, is aangetast en dat er verdere schadelijke acties zijn ondernomen. Aanvallers gebruiken vaak PowerShell om schadelijke nettoladingen in het geheugen uit te voeren zonder artefacten op de schijf te verlaten, om detectie door op schijven gebaseerde beveiligingsmechanismen zoals virusscanners te voorkomen. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de verdachte PowerShell-opdrachtwaarschuwing zijn:

  • Onmogelijke reis naar atypische locaties die leiden tot verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis vanaf een geïnfecteerd apparaat dat leidt tot verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot verdachte PowerShell-opdrachtregel

Malware C2 of downloaden

Beacon-patroon gedetecteerd door Fortinet na meerdere mislukte aanmeldingen van gebruikers bij een service

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: eerste toegang, opdracht en beheer

MITRE ATT&CK-technieken: Geldig account (T1078), niet-standaardpoort (T1571), T1065 (buiten gebruik gesteld)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Defender voor Cloud-apps

Beschrijving: Fusieincidenten van dit type geven communicatiepatronen aan, van een intern IP-adres naar een extern adres, die consistent zijn met beaconing, waarbij meerdere mislukte aanmeldingen van gebruikers worden gevolgd bij een service van een gerelateerde interne entiteit. De combinatie van deze twee gebeurtenissen kan een indicatie zijn van malware-infectie of van een geïnfecteerde host die gegevensexfiltratie uitvoert.

Beacon-patroon gedetecteerd door Fortinet na verdachte aanmelding bij Microsoft Entra

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: eerste toegang, opdracht en beheer

MITRE ATT&CK-technieken: Geldig account (T1078), niet-standaardpoort (T1571), T1065 (buiten gebruik gesteld)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Entra ID Protection

Beschrijving: Fusieincidenten van dit type geven communicatiepatronen aan, van een intern IP-adres naar een extern adres, die consistent zijn met beaconing, na het volgen van een aanmelding van een gebruiker van verdachte aard voor Microsoft Entra-id. De combinatie van deze twee gebeurtenissen kan een indicatie zijn van malware-infectie of van een geïnfecteerde host die gegevensexfiltratie uitvoert. De permutaties van het beaconpatroon gedetecteerd door Fortinet-waarschuwingen met verdachte Aanmeldingswaarschuwingen van Microsoft Entra zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot een beaconpatroon gedetecteerd door Fortinet

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot een beaconpatroon dat door Fortinet is gedetecteerd

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot een beaconpatroon gedetecteerd door Fortinet

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot een beaconpatroon dat door Fortinet is gedetecteerd

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot een beacon-patroon gedetecteerd door Fortinet

Netwerkaanvraag voor TOR-anonimiseringsservice gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Command and Control

MITRE ATT&CK-technieken: Versleuteld kanaal (T1573), Proxy (T1090)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (regel voor geplande analyse)

Beschrijving: Fusion-incidenten van dit type geven aan dat er een uitgaande verbindingsaanvraag is ingediend bij de TOR-anonimiseringsservice en dat er afwijkende inkomende activiteit is gedetecteerd door de Palo Alto Networks Firewall. Dit bewijs suggereert dat een aanvaller waarschijnlijk toegang heeft gekregen tot uw netwerk en probeert zijn of haar acties en intentie te verbergen. Verbinding maken van het TOR-netwerk volgens dit patroon kan een indicatie zijn van malware-opdracht en controleactiviteit, aanvragen voor het downloaden van extra malware of een aanvaller die externe interactieve toegang tot stand brengen. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en verkeer wordt beschouwd als verdacht wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, wildfire-virussen, wildfires). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Uitgaande verbinding met IP met een geschiedenis van niet-geautoriseerde toegangspogingen gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Command and Control

MITRE ATT&CK-technieken: Niet van toepassing

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (regel voor geplande analyse)

Beschrijving: Fusion-incidenten van dit type geven aan dat er een uitgaande verbinding met een IP-adres met een geschiedenis van onbevoegde toegangspogingen tot stand is gebracht. Hierna is afwijkende activiteit gedetecteerd door de Palo Alto Networks Firewall. Dit bewijs suggereert dat een aanvaller waarschijnlijk toegang heeft gekregen tot uw netwerk. Verbinding maken ion pogingen om dit patroon te volgen, kan een indicatie zijn van malware-opdracht en controleactiviteit, aanvragen voor het downloaden van extra malware of een aanvaller die externe interactieve toegang tot stand brengen. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en verkeer wordt beschouwd als verdacht wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, wildfire-virussen, wildfires). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Persistentie

(Nieuwe bedreigingsclassificatie)

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Persistentie, Initiële toegang

MITRE ATT&CK-technieken: Account maken (T1136), geldig account (T1078)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een toepassing toestemming heeft verleend door een gebruiker die dit nooit of zelden heeft gedaan, na een gerelateerde verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat is genoteerd in de beschrijving van het Fusion-incident mogelijk is aangetast en wordt gebruikt voor toegang tot of manipulatie van de toepassing voor schadelijke doeleinden. Toestemming voor de toepassing, service-principal toevoegen en OAuth2PermissionGrant toevoegen moeten doorgaans zeldzame gebeurtenissen zijn. Aanvallers kunnen dit type configuratiewijziging gebruiken om hun voet aan de grond te houden op systemen. De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de zeldzame waarschuwing voor toepassingstoestemming zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot zeldzame toepassingstoestemming

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot zeldzame toepassingstoestemming

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot zeldzame toepassingstoestemming

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot zeldzame toepassingstoestemming

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties, wat leidt tot zeldzame toepassingstoestemming

Ransomware

Uitvoering van ransomware na verdachte aanmelding bij Microsoft Entra

MITRE ATT&CK-tactieken: Initiële toegang, Impact

MITRE ATT&CK-technieken: Geldig account (T1078), Data Encrypted for Impact (T1486)

Gegevensconnectorbronnen: Microsoft Defender voor Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat afwijkend gebruikersgedrag dat aangeeft dat er een ransomware-aanval is gedetecteerd na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge betrouwbaarheid dat het account dat in de beschrijving van het Fusion-incident is vermeld, is aangetast en is gebruikt om gegevens te versleutelen voor het afpersen van de gegevenseigenaar of het weigeren van de toegang van de gegevenseigenaar tot hun gegevens. De permutaties van verdachte aanmeldingswaarschuwingen van Microsoft Entra met de waarschuwing voor de uitvoering van ransomware zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot ransomware in de cloud-app

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot ransomware in de cloud-app

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot ransomware in de cloud-app

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot ransomware in de cloud-app

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot ransomware in de cloud-app

Externe exploitatie

Verdacht gebruik van aanvalsframework gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: eerste toegang, uitvoering, laterale verplaatsing, escalatie van bevoegdheden

MITRE ATT&CK-technieken: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escala (T1068)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (regel voor geplande analyse)

Beschrijving: Fusion-incidenten van dit type geven aan dat niet-standaardgebruik van protocollen, vergelijkbaar met het gebruik van aanvalsframeworks zoals Metasploit, zijn gedetecteerd en dat er verdachte inkomende activiteiten zijn gedetecteerd door de Palo Alto Networks Firewall. Dit kan een eerste indicatie zijn dat een aanvaller een service heeft misbruikt om toegang te krijgen tot uw netwerkresources of dat een aanvaller al toegang heeft verkregen en probeert beschikbare systemen/services lateraal te benutten en/of bevoegdheden te escaleren. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en verkeer wordt beschouwd als verdacht wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, wildfire-virussen, wildfires). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Resourcekaaping

(Nieuwe bedreigingsclassificatie)

Suspicious resource/resource group deployment by a previously unseen caller following suspicious Microsoft Entra sign-in

In dit scenario worden waarschuwingen gebruikt die worden geproduceerd door geplande analyseregels.

Dit scenario bevindt zich momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, Impact

MITRE ATT&CK-technieken: Geldig account (T1078), Resource hijacking (T1496)

Gegevensconnectorbronnen: Microsoft Sentinel (regel voor geplande analyse), Microsoft Entra ID Protection

Beschrijving: Fusion-incidenten van dit type geven aan dat een gebruiker een Azure-resource of -resourcegroep heeft geïmplementeerd , een zeldzame activiteit- na een verdachte aanmelding, met eigenschappen die niet onlangs zijn gezien, naar een Microsoft Entra-account. Dit kan een poging zijn van een aanvaller om resources of resourcegroepen te implementeren voor schadelijke doeleinden nadat het gebruikersaccount in de beschrijving van het Fusion-incident in gevaar is gebracht.

De permutaties van verdachte Microsoft Entra-aanmeldingswaarschuwingen met de verdachte resource-/resourcegroepimplementatie door een eerder niet-gebruikte aanroeperwaarschuwing zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot verdachte resource-/resourcegroepimplementatie door een eerder ongelezen beller

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte resource-/resourcegroepimplementatie door een eerder niet-gebruikte beller

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte resource-/resourcegroepimplementatie door een eerder niet-gebruikte beller

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot verdachte resource-/resourcegroepimplementatie door een eerder niet-gebruikte beller

  • Aanmeldingsgebeurtenis van de gebruiker met gelekte referenties die leiden tot verdachte resource-/resourcegroepimplementatie door een eerder niet-gebruikte aanroeper

Volgende stappen

Nu u meer hebt geleerd over geavanceerde detectie van aanvallen met meerdere fasen, bent u mogelijk geïnteresseerd in de volgende quickstart om te leren hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen: Aan de slag met Microsoft Sentinel.

Als u klaar bent om de incidenten te onderzoeken die voor u zijn gemaakt, raadpleegt u de volgende zelfstudie: Incidenten onderzoeken met Microsoft Sentinel.