Udostępnij za pośrednictwem


Scenariusze wykryte przez aparat fusion usługi Microsoft Sentinel

Ten dokument zawiera listę typów ataków wieloestowych opartych na scenariuszach pogrupowanych według klasyfikacji zagrożeń wykrytych przez usługę Microsoft Sentinel przy użyciu aparatu korelacji Fusion.

Ponieważ fusion koreluje wiele sygnałów z różnych produktów w celu wykrywania zaawansowanych ataków wieloestanowych, pomyślne wykrywanie łączenia jest prezentowane jako zdarzenia fusion na stronie Incydenty usługi Microsoft Sentinel, a nie jako alerty, a nie w tabeli Incydenty w dziennikach, a nie w tabeli SecurityAlerts.

Aby włączyć te scenariusze wykrywania ataków opartych na połączeniu, wszystkie wymienione źródła danych muszą być pozyskiwane do obszaru roboczego usługi Log Analytics. W przypadku scenariuszy z zaplanowanymi regułami analizy postępuj zgodnie z instrukcjami w temacie Konfigurowanie zaplanowanych reguł analizy na potrzeby wykrywania łączenia.

Uwaga

Niektóre z tych scenariuszy są dostępne w wersji zapoznawczej. Będą one tak wskazane.

Nadużycie zasobów obliczeniowych

Wiele działań związanych z tworzeniem maszyn wirtualnych po podejrzanym logowaniu firmy Microsoft Entra

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, wpływ

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), przejęcie zasobów (T1496)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba maszyn wirtualnych została utworzona w jednej sesji po podejrzanym logowaniu się do konta Microsoft Entra. Ten typ alertu wskazuje, ze wysokim stopniem pewności, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i używane do tworzenia nowych maszyn wirtualnych w nieautoryzowanych celach, takich jak uruchamianie operacji wyszukiwania kryptograficznego. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem o wielu działaniach tworzenia maszyn wirtualnych są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wielu działań związanych z tworzeniem maszyn wirtualnych

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do wielu działań związanych z tworzeniem maszyn wirtualnych

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do wielu działań tworzenia maszyny wirtualnej

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do wielu działań związanych z tworzeniem maszyny wirtualnej

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do wielu działań związanych z tworzeniem maszyn wirtualnych

Dostęp poświadczeń

(Nowa klasyfikacja zagrożeń)

Resetowanie wielu haseł przez użytkownika po podejrzanym logowaniu

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, dostęp poświadczeń

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), atak siłowy (T1110)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że użytkownik resetuje wiele haseł po podejrzanym logowaniu się do konta Microsoft Entra. Te dowody sugerują, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do przeprowadzenia wielu resetowania haseł w celu uzyskania dostępu do wielu systemów i zasobów. Manipulowanie kontami (w tym resetowanie hasła) może pomóc przeciwnikom w utrzymaniu dostępu do poświadczeń i niektórych poziomów uprawnień w środowisku. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z wieloma alertami resetowania haseł to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wielu resetowania haseł

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do resetowania wielu haseł

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do resetowania wielu haseł

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do resetowania wielu haseł

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do resetowania wielu haseł

Podejrzane logowanie ukośne z pomyślnym logowaniem do sieci VPN Palo Alto przez adres IP z wieloma nieudanymi logowaniami firmy Microsoft Entra

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, dostęp poświadczeń

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), atak siłowy (T1110)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że podejrzane logowanie do konta Microsoft Entra zbiegło się z pomyślnym zalogowaniem się za pośrednictwem sieci VPN Palo Alto z adresu IP, z którego wiele nieudanych logowania microsoft Entra miało miejsce w podobnym przedziale czasu. Chociaż nie jest to dowód ataku wieloestowego, korelacja tych dwóch alertów o niższej wierności powoduje zdarzenie o wysokiej wierności sugerujące złośliwy wstępny dostęp do sieci organizacji. Alternatywnie może to być wskazanie osoby atakującej próbującej użyć technik siłowych w celu uzyskania dostępu do konta Microsoft Entra. Permutacje podejrzanych alertów logowania firmy Microsoft Entra z komunikatem "IP z wieloma nieudanymi logowaniami firmy Microsoft Entra pomyślnie logują się do aplikacji Palo Alto VPN" alerty:

  • Niemożliwa podróż do nietypowej lokalizacji zbieżnej z adresem IP z wieloma nieudanymi logowaniemi firmy Microsoft Entra pomyślnie loguje się do sieci VPN Palo Alto

  • Zdarzenie logowania z nieznanej lokalizacji zbiegające się z adresem IP z wieloma nieudanymi logowaniami firmy Microsoft Entra pomyślnie loguje się do sieci VPN Palo Alto

  • Zdarzenie logowania z zainfekowanego urządzenia zbiegającym się z adresem IP z wieloma nieudanymi logowaniem firmy Microsoft Entra pomyślnie loguje się do sieci VPN Palo Alto

  • Zdarzenie logowania z anonimowego adresu IP z użyciem adresu IP z wieloma nieudanymi logowaniami firmy Microsoft Entra pomyślnie loguje się do sieci VPN Palo Alto

  • Zdarzenie logowania od użytkownika z wyciekłymi poświadczeniami z użyciem adresu IP z wieloma nieudanymi logowaniami firmy Microsoft Entra pomyślnie loguje się do sieci VPN Palo Alto

Zbieranie poświadczeń

(Nowa klasyfikacja zagrożeń)

Wykonywanie narzędzia do kradzieży złośliwych poświadczeń po podejrzanym logowaniu

TAKTYKA MITRE ATT&CK: dostęp początkowy, dostęp poświadczeń

TECHNIKI MITRE ATT&CK: prawidłowe konto (T1078), dumping poświadczeń systemu operacyjnego (T1003)

Źródła łączników danych: Ochrona tożsamości Microsoft Entra, Ochrona punktu końcowego w usłudze Microsoft Defender

Opis: Zdarzenia łączenia tego typu wskazują, że znane narzędzie kradzieży poświadczeń zostało wykonane po podejrzanym logowaniu firmy Microsoft Entra. Te dowody sugerują z dużym zaufaniem, że konto użytkownika zanotowane w opisie alertu zostało naruszone i mogło pomyślnie użyć narzędzia takiego jak Mimikatz do zbierania poświadczeń, takich jak klucze, hasła w postaci zwykłego tekstu i/lub skróty haseł z systemu. Zebrane poświadczenia mogą umożliwić osobie atakującej dostęp do poufnych danych, eskalację uprawnień i/lub przeniesienie ich w sieci. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem narzędzia do kradzieży poświadczeń są następujące:

  • Niemożliwa podróż do nietypowych lokalizacji prowadzących do złośliwego wykonania narzędzia kradzieży poświadczeń

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do złośliwego wykonania narzędzia kradzieży poświadczeń

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do złośliwego wykonania narzędzia kradzieży poświadczeń

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do złośliwego wykonania narzędzia kradzieży poświadczeń

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzącymi do złośliwego wykonywania narzędzia kradzieży poświadczeń

Podejrzane działanie kradzieży poświadczeń po podejrzanym logowaniu

TAKTYKA MITRE ATT&CK: dostęp początkowy, dostęp poświadczeń

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), poświadczenia z magazynów haseł (T1555), dumping poświadczeń systemu operacyjnego (T1003)

Źródła łączników danych: Ochrona tożsamości Microsoft Entra, Ochrona punktu końcowego w usłudze Microsoft Defender

Opis: Zdarzenia łączenia tego typu wskazują, że działanie skojarzone z wzorcami kradzieży poświadczeń wystąpiło po podejrzanym logowaniu firmy Microsoft Entra. Te dowody sugerują z dużym zaufaniem, że konto użytkownika zanotowane w opisie alertu zostało naruszone i zostało użyte do kradzieży poświadczeń, takich jak klucze, hasła w postaci zwykłego tekstu, skróty haseł itd. Skradzione poświadczenia mogą zezwalać atakującemu na dostęp do poufnych danych, eskalować uprawnienia i/lub przenosić je później przez sieć. Permutacje podejrzanych alertów logowania firmy Microsoft Entra z alertem aktywności kradzieży poświadczeń to:

  • Niemożliwa podróż do nietypowych lokalizacji prowadzących do podejrzanej aktywności kradzieży poświadczeń

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do podejrzanego działania kradzieży poświadczeń

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do podejrzanego działania kradzieży poświadczeń

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanego działania kradzieży poświadczeń

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanego działania kradzieży poświadczeń

Crypto-mining

(Nowa klasyfikacja zagrożeń)

Działanie crypto-mining po podejrzanym logowaniu

TAKTYKA MITRE ATT&CK: dostęp początkowy, dostęp poświadczeń

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), przejęcie zasobów (T1496)

Źródła łączników danych: Ochrona tożsamości Microsoft Entra, Microsoft Defender dla Chmury

Opis: Zdarzenia łączenia tego typu wskazują na działanie crypto-mining skojarzone z podejrzanym logowaniem do konta Microsoft Entra. Te dowody sugerują z dużym zaufaniem, że konto użytkownika zanotowane w opisie alertu zostało naruszone i zostało użyte do przejęcia zasobów w środowisku w celu mine crypto-currency. Może to spowodować zagłodzenie zasobów mocy obliczeniowej i/lub znacznie wyższych niż oczekiwano rachunków za użycie chmury. Permutacje podejrzanych alertów logowania firmy Microsoft Entra z alertem działania crypto-mining są następujące:

  • Niemożliwa podróż do nietypowych lokalizacji prowadzących do działalności kryptograficznej

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do działalności kryptograficznej

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do działania crypto-mining

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do działania crypto-mining

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzących do działalności kryptograficznej

Niszczenie danych

Masowe usuwanie plików po podejrzanym logowaniu firmy Microsoft Entra

TAKTYKA MITRE ATT&CK: dostęp początkowy, wpływ

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), niszczenie danych (T1485)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba unikatowych plików została usunięta po podejrzanym logowaniu do konta Microsoft Entra. Te dowody sugerują, że konto zanotowane w opisie zdarzenia fusion mogło zostać naruszone i zostało użyte do zniszczenia danych w złośliwych celach. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem masowego usuwania plików są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do masowego usunięcia pliku

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do masowego usuwania plików

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do masowego usuwania plików

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do masowego usuwania plików

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzących do masowego usunięcia pliku

Masowe usuwanie plików po pomyślnym zalogowaniu się firmy Microsoft z adresu IP zablokowanego przez urządzenie zapory Cisco

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, wpływ

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), niszczenie danych (T1485)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba unikatowych plików została usunięta po pomyślnym logowaniu firmy Microsoft Entra, mimo że adres IP użytkownika jest blokowany przez urządzenie zapory Cisco. Te dowody sugerują, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało wykorzystane do zniszczenia danych w złośliwych celach. Ponieważ adres IP został zablokowany przez zaporę, ten sam adres IP logowania się pomyślnie do identyfikatora Microsoft Entra jest potencjalnie podejrzany i może wskazywać naruszenie poświadczeń dla konta użytkownika.

Masowe usuwanie plików po pomyślnym zalogowaniu się do sieci VPN Palo Alto VPN by IP z wieloma nieudanymi logowaniami firmy Microsoft Entra

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, dostęp poświadczeń, wpływ

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), atak siłowy (T1110), niszczenie danych (T1485)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba unikatowych plików została usunięta przez użytkownika, który pomyślnie zalogował się za pośrednictwem sieci VPN Palo Alto z adresu IP, z którego wiele nie powiodło się logowania firmy Microsoft Entra miało miejsce w podobnym przedziale czasu. Te dowody sugerują, że konto użytkownika zanotowane w incydencie Fusion mogło zostać naruszone przy użyciu technik siłowych i zostało użyte do zniszczenia danych w złośliwych celach.

Podejrzane działania usuwania wiadomości e-mail po podejrzanym logowaniu w usłudze Microsoft Entra

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, wpływ

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), niszczenie danych (T1485)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba wiadomości e-mail została usunięta w jednej sesji po podejrzanym logowaniu do konta Microsoft Entra. Te dowody sugerują, że konto zanotowane w opisie zdarzenia fusion mogło zostać naruszone i zostało wykorzystane do zniszczenia danych w celach złośliwych, takich jak uszkodzenie organizacji lub ukrycie działań związanych z wiadomościami e-mail związanych z spamem. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem o podejrzanym działaniu usuwania wiadomości e-mail są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanego działania usuwania wiadomości e-mail

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanego działania usuwania wiadomości e-mail

Eksfiltracja danych

Działania przekazujące pocztę po nowym działaniu konta administratora, które nie były ostatnio widoczne

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: eksfiltracji danych i złośliwych działań administracyjnych. Ze względu na jasność pojawia się on w obu sekcjach.

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, kolekcja, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), kolekcja wiadomości e-mail (T1114), eksfiltracja za pośrednictwem usługi internetowej (T1567)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują, że zostało utworzone nowe konto administratora programu Exchange lub istniejące konto administratora programu Exchange po raz pierwszy wykonało jakieś działania administracyjne w ciągu ostatnich dwóch tygodni i że konto wykonało kilka akcji przesyłania dalej poczty, które są nietypowe dla konta administratora. Te dowody sugerują, że konto użytkownika zanotowane w opisie zdarzenia fusion zostało naruszone lub manipulowane oraz że zostało użyte do eksfiltrowania danych z sieci organizacji.

Pobieranie masowego pliku po podejrzanym logowaniu firmy Microsoft Entra

TAKTYKA MITRE ATT&CK: dostęp początkowy, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba plików została pobrana przez użytkownika po podejrzanym logowaniu się do konta Microsoft Entra. To wskazanie zapewnia wysoką pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do eksfiltrowania danych z sieci organizacji. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem pobierania plików masowych są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do masowego pobierania plików

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do masowego pobierania plików

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do masowego pobierania plików

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do masowego pobierania plików

  • Zdarzenie logowania od użytkownika z wyciekiem poświadczeń prowadzących do masowego pobierania plików

Pobieranie masowego pliku po pomyślnym logowaniu firmy Microsoft Entra z adresu IP zablokowanego przez urządzenie zapory Cisco

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi internetowej (T1567)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba plików została pobrana przez użytkownika po pomyślnym logowaniu firmy Microsoft Entra, mimo że adres IP użytkownika jest blokowany przez urządzenie zapory Cisco. Może to być próba eksfiltracji danych z sieci organizacji przez osobę atakującą po pogorszeniu konta użytkownika. Ponieważ adres IP został zablokowany przez zaporę, ten sam adres IP logowania się pomyślnie do identyfikatora Microsoft Entra jest potencjalnie podejrzany i może wskazywać naruszenie poświadczeń dla konta użytkownika.

Pobieranie masowego pliku z użyciem operacji pliku programu SharePoint z wcześniej niezaświetnionego adresu IP

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: Eksfiltracja

TECHNIKI MITRE ATT&CK: eksfiltracja za pośrednictwem usługi internetowej (T1567), limity rozmiaru transferu danych (T1030)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba plików została pobrana przez użytkownika połączonego z wcześniej niezaznaczonym adresem IP. Chociaż nie jest to dowód ataku wieloestowego, korelacja tych dwóch alertów o niższej wierności powoduje zdarzenie o wysokiej wierności sugerujące próbę eksfiltrowania danych z sieci organizacji z prawdopodobnie naruszonego konta użytkownika. W stabilnych środowiskach takie połączenia przez wcześniej niezauprawnione adresy IP mogą być nieautoryzowane, zwłaszcza jeśli są skojarzone ze wzrostami liczby woluminów, które mogą być skojarzone z eksfiltracją dokumentów na dużą skalę.

Masowe udostępnianie plików po podejrzanym logowaniu firmy Microsoft Entra

TAKTYKA MITRE ATT&CK: dostęp początkowy, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi internetowej (T1567)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że wiele plików powyżej określonego progu zostało udostępnionych innym osobom po podejrzanym logowaniu się do konta Microsoft Entra. To wskazanie zapewnia wysoką pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i użyte do eksfiltrowania danych z sieci organizacji przez udostępnianie plików, takich jak dokumenty, arkusze kalkulacyjne itp., z nieautoryzowanymi użytkownikami w złośliwych celach. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem masowego udostępniania plików są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do masowego udostępniania plików

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do masowego udostępniania plików

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do masowego udostępniania plików

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do masowego udostępniania plików

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzącymi do masowego udostępniania plików

Wiele działań związanych z udostępnianiem raportów usługi Power BI po podejrzanym logowaniu w usłudze Microsoft Entra

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi internetowej (T1567)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba raportów usługi Power BI została udostępniona w jednej sesji po podejrzanym logowaniu się do konta Microsoft Entra. To wskazanie zapewnia wysoką pewność, że konto zanotowane w opisie zdarzenia łączenia zostało naruszone i zostało użyte do eksfiltrowania danych z sieci organizacji przez udostępnianie raportów usługi Power BI nieautoryzowanym użytkownikom w złośliwych celach. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z wieloma działaniami udostępniania raportów usługi Power BI są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do wielu działań udostępniania raportów usługi Power BI

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do wielu działań udostępniania raportów usługi Power BI

Eksfiltracja skrzynki pocztowej usługi Office 365 po podejrzanym logowaniu firmy Microsoft Entra

TAKTYKA MITRE ATT&CK: dostęp początkowy, eksfiltracja, kolekcja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), kolekcja poczty e-mail (T1114), automatyczna eksfiltracja (T1020)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że na skrzynce odbiorczej ustawiono podejrzaną regułę przekazywania skrzynki odbiorczej po podejrzanym logowaniu się do konta Microsoft Entra. To wskazanie zapewnia wysoką pewność, że konto użytkownika (zanotowane w opisie zdarzenia fusion) zostało naruszone i że zostało użyte do eksfiltrowania danych z sieci organizacji przez włączenie reguły przekazywania skrzynki pocztowej bez wiedzy rzeczywistego użytkownika. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem eksfiltracji skrzynki pocztowej usługi Office 365 są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do eksfiltracji skrzynki pocztowej usługi Office 365

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do eksfiltracji skrzynki pocztowej usługi Office 365

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do eksfiltracji skrzynki pocztowej usługi Office 365

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do eksfiltracji skrzynki pocztowej usługi Office 365

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do eksfiltracji skrzynki pocztowej usługi Office 365

Operacja pliku programu SharePoint z wcześniejszego niezaużytego adresu IP po wykryciu złośliwego oprogramowania

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: Eksfiltracja, Uchylanie się od obrony

TECHNIKI MITRE ATT&CK: Limity rozmiaru transferu danych (T1030)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują, że osoba atakująca próbowała eksfiltrować duże ilości danych przez pobranie lub udostępnienie za pośrednictwem programu SharePoint za pośrednictwem złośliwego oprogramowania. W stabilnych środowiskach takie połączenia przez wcześniej niezauprawnione adresy IP mogą być nieautoryzowane, zwłaszcza jeśli są skojarzone ze wzrostami liczby woluminów, które mogą być skojarzone z eksfiltracją dokumentów na dużą skalę.

Podejrzane reguły manipulowania skrzynką odbiorczą ustawione po podejrzanym logowaniu w usłudze Microsoft Entra

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: eksfiltracji danych i przenoszenia bocznego. Ze względu na jasność pojawia się on w obu sekcjach.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: wstępny dostęp, ruch boczny, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), wewnętrzne wyłudzanie informacji (T1534), automatyczna eksfiltracja (T1020)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowe reguły skrzynki odbiorczej zostały ustawione w skrzynce odbiorczej użytkownika po podejrzanym logowaniu do konta Microsoft Entra. Te dowody wskazują na wysoką pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do manipulowania regułami skrzynki odbiorczej poczty e-mail użytkownika w złośliwych celach, ewentualnie do eksfiltracji danych z sieci organizacji. Alternatywnie osoba atakująca może próbować wygenerować wiadomości e-mail wyłudzające informacje z organizacji (pomijając mechanizmy wykrywania wyłudzania informacji ukierunkowane na wiadomości e-mail ze źródeł zewnętrznych) w celu późniejszego przejścia przez uzyskanie dostępu do dodatkowych kont użytkowników i/lub uprzywilejowanych. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem o podejrzanych regułach manipulowania skrzynką odbiorczą to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanej reguły manipulowania skrzynką odbiorczą

Podejrzane udostępnianie raportów usługi Power BI po podejrzanym logowaniu firmy Microsoft

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), eksfiltracja za pośrednictwem usługi internetowej (T1567)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że wystąpiło podejrzane działanie udostępniania raportów usługi Power BI po podejrzanym logowaniu się do konta Microsoft Entra. Działanie udostępniania zostało zidentyfikowane jako podejrzane, ponieważ raport usługi Power BI zawierał poufne informacje zidentyfikowane przy użyciu przetwarzania języka naturalnego, a ponieważ został udostępniony zewnętrznemu adresowi e-mail, opublikowanemu w Internecie lub dostarczonemu jako migawka do zewnętrznie subskrybowanego adresu e-mail. Ten alert wskazuje z dużym zaufaniem, że konto zanotowane w opisie zdarzenia łączenia zostało naruszone i zostało użyte do eksfiltrowania poufnych danych z organizacji przez udostępnianie raportów usługi Power BI nieautoryzowanym użytkownikom w celach złośliwych. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z podejrzanymi udostępnianiem raportów usługi Power BI są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanego udostępniania raportów usługi Power BI

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanego udostępniania raportów usługi Power BI

Denial of service (odmowa usługi)

Wiele działań usuwania maszyn wirtualnych po podejrzanym logowaniu firmy Microsoft Entra

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, wpływ

TECHNIKI MITRE ATT&CK: prawidłowe konto (T1078), odmowa usługi punktu końcowego (T1499)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba maszyn wirtualnych została usunięta w jednej sesji po podejrzanym logowaniu do konta Microsoft Entra. To wskazanie zapewnia wysoką pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do próby zakłócenia lub zniszczenia środowiska chmury organizacji. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem o wielu działaniach usuwania maszyn wirtualnych są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wielu działań usuwania maszyn wirtualnych

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do wielu działań usuwania maszyn wirtualnych

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do wielu działań usuwania maszyn wirtualnych

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do wielu działań usuwania maszyn wirtualnych

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do wielu działań usuwania maszyn wirtualnych

Ruch boczny

Personifikacja usługi Office 365 po podejrzanym logowaniu firmy Microsoft Entra

TAKTYKA MITRE ATT&CK: wstępny dostęp, ruch boczny

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), wewnętrzne wyłudzanie informacji (T1534)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że wystąpiła nietypowa liczba akcji personifikacji po podejrzanym logowaniu z konta Microsoft Entra. W niektórych programach istnieją opcje umożliwiające użytkownikom personifikację innych użytkowników. Na przykład usługi poczty e-mail umożliwiają użytkownikom autoryzowanie innych użytkowników do wysyłania wiadomości e-mail w ich imieniu. Ten alert wskazuje z większą pewnością, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do prowadzenia działań personifikacji w celach złośliwych, takich jak wysyłanie wiadomości e-mail wyłudzających informacje na potrzeby dystrybucji złośliwego oprogramowania lub przenoszenia bocznego. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem personifikacji usługi Office 365 są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do personifikacji usługi Office 365

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do personifikacji usługi Office 365

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do personifikacji usługi Office 365

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do personifikacji usługi Office 365

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do personifikacji usługi Office 365

Podejrzane reguły manipulowania skrzynką odbiorczą ustawione po podejrzanym logowaniu w usłudze Microsoft Entra

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: przenoszenia bocznego i eksfiltracji danych. Ze względu na jasność pojawia się on w obu sekcjach.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: wstępny dostęp, ruch boczny, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), wewnętrzne wyłudzanie informacji (T1534), automatyczna eksfiltracja (T1020)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowe reguły skrzynki odbiorczej zostały ustawione w skrzynce odbiorczej użytkownika po podejrzanym logowaniu do konta Microsoft Entra. Te dowody wskazują na wysoką pewność, że konto zanotowane w opisie zdarzenia fusion zostało naruszone i zostało użyte do manipulowania regułami skrzynki odbiorczej poczty e-mail użytkownika w złośliwych celach, ewentualnie do eksfiltracji danych z sieci organizacji. Alternatywnie osoba atakująca może próbować wygenerować wiadomości e-mail wyłudzające informacje z organizacji (pomijając mechanizmy wykrywania wyłudzania informacji ukierunkowane na wiadomości e-mail ze źródeł zewnętrznych) w celu późniejszego przejścia przez uzyskanie dostępu do dodatkowych kont użytkowników i/lub uprzywilejowanych. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem o podejrzanych regułach manipulowania skrzynką odbiorczą to:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanej reguły manipulowania skrzynką odbiorczą

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanej reguły manipulowania skrzynką odbiorczą

Złośliwe działania administracyjne

Podejrzane działania administracyjne aplikacji w chmurze po podejrzanym logowaniu firmy Microsoft

TAKTYKA MITRE ATT&CK: wstępny dostęp, trwałość, uchylanie się od obrony, ruch poprzeczny, kolekcja, eksfiltracja i wpływ

TECHNIKI MITRE ATT&CK: N/A

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowa liczba działań administracyjnych została wykonana w jednej sesji po podejrzanym logowaniu firmy Microsoft Entra z tego samego konta. Te dowody sugerują, że konto zanotowane w opisie zdarzenia fusion mogło zostać naruszone i zostało użyte do dokonania dowolnej liczby nieautoryzowanych działań administracyjnych ze złośliwym zamiarem. Oznacza to również, że naruszenie zabezpieczeń konta z uprawnieniami administracyjnymi mogło zostać naruszone. Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z alertem o podejrzanych działaniach administracyjnych aplikacji w chmurze są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanych działań administracyjnych aplikacji w chmurze

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do podejrzanych działań administracyjnych aplikacji w chmurze

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do podejrzanych działań administracyjnych aplikacji w chmurze

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanych działań administracyjnych aplikacji w chmurze

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanych działań administracyjnych aplikacji w chmurze

Działania przekazujące pocztę po nowym działaniu konta administratora, które nie były ostatnio widoczne

Ten scenariusz należy do dwóch klasyfikacji zagrożeń na tej liście: złośliwych działań administracyjnych i eksfiltracji danych. Ze względu na jasność pojawia się on w obu sekcjach.

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, kolekcja, eksfiltracja

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), kolekcja wiadomości e-mail (T1114), eksfiltracja za pośrednictwem usługi internetowej (T1567)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują, że zostało utworzone nowe konto administratora programu Exchange lub istniejące konto administratora programu Exchange po raz pierwszy wykonało jakieś działania administracyjne w ciągu ostatnich dwóch tygodni i że konto wykonało kilka akcji przesyłania dalej poczty, które są nietypowe dla konta administratora. Te dowody sugerują, że konto użytkownika zanotowane w opisie zdarzenia fusion zostało naruszone lub manipulowane oraz że zostało użyte do eksfiltrowania danych z sieci organizacji.

Złośliwe wykonanie z legalnym procesem

Program PowerShell nawiązał podejrzane połączenie sieciowe, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: Wykonywanie

TECHNIKI MITRE ATT&CK: Interpreter poleceń i skryptów (T1059)

Źródła łączników danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej Zaawansowana ochrona przed zagrożeniami w usłudze Microsoft Defender lub MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że żądanie połączenia wychodzącego zostało wykonane za pomocą polecenia programu PowerShell, a następnie wykryto nietypowe działanie ruchu przychodzącego przez zaporę Palo Alto Networks Firewall. Te dowody sugerują, że osoba atakująca prawdopodobnie uzyskała dostęp do sieci i próbuje wykonać złośliwe działania. Połączenie prób programu PowerShell, które są zgodne z tym wzorcem, mogą wskazywać na działanie poleceń i kontroli złośliwego oprogramowania, żądania pobrania dodatkowego złośliwego oprogramowania lub atakujący ustanowienie dostępu zdalnego interakcyjnego. Podobnie jak w przypadku wszystkich ataków "żyjących poza ziemią", ta działalność może być uzasadnionym wykorzystaniem programu PowerShell. Jednak wykonanie polecenia programu PowerShell, po którym następuje podejrzane działanie zapory dla ruchu przychodzącego, zwiększa pewność, że program PowerShell jest używany w złośliwy sposób i powinien zostać dokładniej zbadany. W dziennikach palo Alto usługa Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uważany za podejrzany, gdy zagrożenia są dozwolone (podejrzane dane, pliki, powodzie, pakiety, skanowania, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy, pożary, pożary). Zapoznaj się również z dziennikem Palo Alto Threat Log odpowiadającym typowi zagrożenia/zawartości wymienionemu w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Podejrzane zdalne wykonywanie usługi WMI, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: wykonywanie, odnajdywanie

TECHNIKI MITRE ATT&CK: Instrumentacja zarządzania Windows (T1047)

Źródła łączników danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że polecenia interfejsu zarządzania Windows (WMI) zostały zdalnie wykonane w systemie, a następnie wykryto podejrzaną aktywność przychodzącą przez zaporę Palo Alto Networks Firewall. Te dowody sugerują, że osoba atakująca mogła uzyskać dostęp do sieci i próbuje przenieść się później, eskalować uprawnienia i/lub wykonywać złośliwe ładunki. Podobnie jak w przypadku wszystkich ataków "żyjących poza ziemią", ta działalność może być uzasadnionym wykorzystaniem WMI. Jednak zdalne wykonywanie polecenia usługi WMI, po którym następuje podejrzane działanie zapory przychodzącej, zwiększa pewność, że usługa WMI jest używana w złośliwy sposób i powinna zostać dokładniej zbadana. W dziennikach palo Alto usługa Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uważany za podejrzany, gdy zagrożenia są dozwolone (podejrzane dane, pliki, powodzie, pakiety, skanowania, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy, pożary, pożary). Zapoznaj się również z dziennikem Palo Alto Threat Log odpowiadającym typowi zagrożenia/zawartości wymienionemu w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Podejrzany wiersz polecenia programu PowerShell po podejrzanym logowaniu

TAKTYKA MITRE ATT&CK: dostęp początkowy, wykonywanie

Techniki MITRE ATT&CK: Prawidłowe konto (T1078), interpreter poleceń i skryptów (T1059)

Źródła łączników danych: Ochrona tożsamości Microsoft Entra, Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP)

Opis: Zdarzenia łączenia tego typu wskazują, że użytkownik wykonał potencjalnie złośliwe polecenia programu PowerShell po podejrzanym logowaniu się do konta Microsoft Entra. Te dowody sugerują z dużym zaufaniem, że konto zanotowane w opisie alertu zostało naruszone i podjęto dalsze złośliwe działania. Osoby atakujące często używają programu PowerShell do wykonywania złośliwych ładunków w pamięci bez opuszczania artefaktów na dysku, aby uniknąć wykrywania przez oparte na dyskach mechanizmy zabezpieczeń, takie jak skanery wirusów. Permutacje podejrzanych alertów logowania usługi Microsoft Entra z podejrzanym alertem polecenia programu PowerShell są następujące:

  • Niemożliwa podróż do nietypowych lokalizacji prowadzących do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanego wiersza polecenia programu PowerShell

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanego wiersza polecenia programu PowerShell

Złośliwe oprogramowanie C2 lub pobieranie

Wzorzec sygnału nawigacyjnego wykryty przez program Fortinet po wielu nieudanych logowaniu użytkownika do usługi

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: wstępny dostęp, polecenie i kontrola

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), port inny niż standardowy (T1571), T1065 (wycofany)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Microsoft Defender dla Chmury Apps

Opis: Zdarzenia łączenia tego typu wskazują wzorce komunikacji z wewnętrznego adresu IP na zewnętrzny, które są zgodne z sygnałem nawigacyjnym, po wielu nieudanych logowaniu użytkownika do usługi z powiązanej jednostki wewnętrznej. Połączenie tych dwóch zdarzeń może wskazywać na infekcję złośliwego oprogramowania lub naruszonego hosta wykonującego eksfiltrację danych.

Wzorzec sygnału nawigacyjnego wykryty przez aplikację Fortinet po podejrzanym logowaniu firmy Microsoft Entra

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: wstępny dostęp, polecenie i kontrola

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), port inny niż standardowy (T1571), T1065 (wycofany)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują wzorce komunikacji z wewnętrznego adresu IP na zewnętrzny, które są zgodne z sygnałem nawigacyjnym, po logowaniu użytkownika podejrzanego charakteru do identyfikatora Entra firmy Microsoft. Połączenie tych dwóch zdarzeń może wskazywać na infekcję złośliwego oprogramowania lub naruszonego hosta wykonującego eksfiltrację danych. Permutacje wzorca sygnału nawigacyjnego wykryte przez alerty fortinet z podejrzanymi alertami logowania firmy Microsoft Entra są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do wzorca sygnału nawigacyjnego wykrytego przez Fortinet

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do wzorca sygnału nawigacyjnego wykrytego przez fortinet

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do wzorca sygnału nawigacyjnego wykrytego przez aplikację Fortinet

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do wzorca sygnału nawigacyjnego wykrytego przez fortinet

  • Zdarzenie logowania użytkownika z wyciekiem poświadczeń prowadzących do wzorca sygnału nawigacyjnego wykrytego przez fortinet

Żądanie sieciowe do usługi anonimizacji TOR, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: Command and Control

TECHNIKI MITRE ATT&CK: Szyfrowany kanał (T1573), serwer proxy (T1090)

Źródła łączników danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że do usługi anonimizacji TOR zostało wykonane żądanie połączenia wychodzącego, a następnie wykryto nietypową aktywność ruchu przychodzącego przez zaporę Palo Alto Networks Firewall. Te dowody sugerują, że osoba atakująca prawdopodobnie uzyskała dostęp do sieci i próbuje ukryć swoje działania i zamiary. Połączenie do sieci TOR zgodnie z tym wzorcem może być wskazaniem działania poleceń i kontroli złośliwego oprogramowania, żądań pobrania dodatkowego złośliwego oprogramowania lub osoby atakującej, która ustanawia zdalny dostęp interaktywny. W dziennikach palo Alto usługa Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uważany za podejrzany, gdy zagrożenia są dozwolone (podejrzane dane, pliki, powodzie, pakiety, skanowania, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy, pożary, pożary). Zapoznaj się również z dziennikem Palo Alto Threat Log odpowiadającym typowi zagrożenia/zawartości wymienionemu w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Połączenie wychodzące z adresem IP z historią nieautoryzowanych prób dostępu, a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: Command and Control

TECHNIKI MITRE ATT&CK: Nie dotyczy

Źródła łączników danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Zdarzenia łączenia tego typu wskazują, że połączenie wychodzące z adresem IP z historią nieautoryzowanych prób dostępu zostało ustanowione, a następnie wykryto nietypową aktywność zapory Palo Alto Networks. Te dowody sugerują, że osoba atakująca prawdopodobnie uzyskała dostęp do sieci. Połączenie próby przestrzegania tego wzorca mogą wskazywać na działanie poleceń i kontroli złośliwego oprogramowania, żądania pobrania dodatkowego złośliwego oprogramowania lub osoba atakująca ustanawiająca zdalny dostęp interakcyjny. W dziennikach palo Alto usługa Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uważany za podejrzany, gdy zagrożenia są dozwolone (podejrzane dane, pliki, powodzie, pakiety, skanowania, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy, pożary, pożary). Zapoznaj się również z dziennikem Palo Alto Threat Log odpowiadającym typowi zagrożenia/zawartości wymienionemu w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Trwałość

(Nowa klasyfikacja zagrożeń)

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: Trwałość, Dostęp początkowy

TECHNIKI MITRE ATT&CK: Tworzenie konta (T1136), prawidłowe konto (T1078)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że aplikacja otrzymała zgodę przez użytkownika, który nigdy tego nie zrobił lub rzadko, po powiązanym podejrzanym logowaniu się do konta Microsoft Entra. Te dowody sugerują, że konto zanotowane w opisie zdarzenia fusion mogło zostać naruszone i użyte do uzyskania dostępu do aplikacji lub manipulowania nią w złośliwych celach. Zgoda na aplikację, dodawanie jednostki usługi i dodawanie elementu OAuth2PermissionGrant powinno być zwykle rzadkimi zdarzeniami. Osoby atakujące mogą użyć tego typu zmiany konfiguracji, aby ustanowić lub utrzymać przyczółek w systemach. Permutacje podejrzanych alertów logowania firmy Microsoft Entra z rzadkim alertem zgody aplikacji są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do rzadkiej zgody aplikacji

  • Zdarzenie logowania z nieznanej lokalizacji prowadzące do rzadkiej zgody aplikacji

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzące do rzadkiej zgody aplikacji

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do rzadkiej zgody aplikacji

  • Zdarzenie logowania użytkownika z ujawnionymi poświadczeniami, co prowadzi do rzadkiej zgody aplikacji

Oprogramowanie wymuszające okup

Wykonywanie oprogramowania wymuszającego okup po podejrzanym logowaniu firmy Microsoft Entra

TAKTYKA MITRE ATT&CK: dostęp początkowy, wpływ

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), Data Encrypted for Impact (T1486)

Źródła łączników danych: Microsoft Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że nietypowe zachowanie użytkownika wskazujące na wykrycie ataku wymuszającego okup po podejrzanym logowaniu się do konta Microsoft Entra. To wskazanie zapewnia wysoką pewność, że konto zanotowane w opisie zdarzenia łączenia zostało naruszone i zostało użyte do szyfrowania danych do celów wyłudzenia właściciela danych lub odmowy właścicielowi danych dostępu do danych. Permutacje podejrzanych alertów logowania firmy Microsoft Entra z alertem wykonywania oprogramowania wymuszającego okup są następujące:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do oprogramowania wymuszającego okup w aplikacji w chmurze

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzącymi do oprogramowania wymuszającego okup w aplikacji w chmurze

Zdalne wykorzystywanie

Podejrzenie użycia struktury ataków, a następnie nietypowego ruchu oflagowanego przez zaporę Palo Alto Networks

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: wstępny dostęp, wykonywanie, ruch boczny, eskalacja uprawnień

TECHNIKI MITRE ATT&CK: Wykorzystanie aplikacji publicznej (T1190), wykorzystanie wykonywania klienta (T1203), wykorzystanie usług zdalnych (T1210), wykorzystanie eskalacji uprawnień (T1068)

Źródła łączników danych: Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej MDATP), Microsoft Sentinel (reguła zaplanowanej analizy)

Opis: Incydenty łączenia tego typu wskazują, że nietypowe zastosowania protokołów, przypominające użycie struktur ataków, takich jak Metasploit, zostały wykryte i po tym wykryto podejrzane działania przychodzące przez zaporę Palo Alto Networks. Może to być wstępne wskazanie, że osoba atakująca wykorzystała usługę w celu uzyskania dostępu do zasobów sieciowych lub że osoba atakująca uzyskała już dostęp i próbuje jeszcze bardziej wykorzystać dostępne systemy/usługi, aby przenieść się później i/lub eskalować uprawnienia. W dziennikach palo Alto usługa Microsoft Sentinel koncentruje się na dziennikach zagrożeń, a ruch jest uważany za podejrzany, gdy zagrożenia są dozwolone (podejrzane dane, pliki, powodzie, pakiety, skanowania, programy szpiegujące, adresy URL, wirusy, luki w zabezpieczeniach, wirusy, pożary, pożary). Zapoznaj się również z dziennikem Palo Alto Threat Log odpowiadającym typowi zagrożenia/zawartości wymienionemu w opisie zdarzenia fusion, aby uzyskać dodatkowe szczegóły alertu.

Przejęcie zasobów

(Nowa klasyfikacja zagrożeń)

Podejrzane wdrożenie zasobu/grupy zasobów przez wcześniej niezajętego wywołującego po podejrzanym logowaniu firmy Microsoft Entra

Ten scenariusz korzysta z alertów generowanych przez zaplanowane reguły analizy.

Ten scenariusz jest obecnie dostępny w wersji zapoznawczej.

TAKTYKA MITRE ATT&CK: dostęp początkowy, wpływ

TECHNIKI MITRE ATT&CK: Prawidłowe konto (T1078), przejęcie zasobów (T1496)

Źródła łączników danych: Microsoft Sentinel (reguła zaplanowanej analizy), Ochrona tożsamości Microsoft Entra

Opis: Zdarzenia łączenia tego typu wskazują, że użytkownik wdrożył zasób lub grupę zasobów platformy Azure — rzadkie działanie — po podejrzanym logowaniu z właściwościami, które nie były ostatnio widoczne, na koncie Microsoft Entra. Może to być próba wdrożenia zasobów lub grup zasobów przez osobę atakującą do złośliwych celów po pogorszeniu konta użytkownika zanotowane w opisie zdarzenia fusion.

Permutacje podejrzanych alertów logowania w usłudze Microsoft Entra z podejrzanym wdrożeniem zasobu/grupy zasobów przez wcześniej niezaznakowany alert wywołujący:

  • Niemożliwa podróż do nietypowej lokalizacji prowadzącej do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niezaświetlony obiekt wywołujący

  • Zdarzenie logowania z nieznanej lokalizacji prowadzącej do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej nieznanego wywołującego

  • Zdarzenie logowania z zainfekowanego urządzenia prowadzącego do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niezaświetnionego obiektu wywołującego

  • Zdarzenie logowania z anonimowego adresu IP prowadzącego do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niezaświetnionego obiektu wywołującego

  • Zdarzenie logowania od użytkownika z ujawnionymi poświadczeniami prowadzącymi do podejrzanego wdrożenia zasobu/grupy zasobów przez wcześniej niezaznaczonego wywołującego

Następne kroki

Teraz już wiesz więcej na temat zaawansowanego wykrywania ataków wieloestanowych, możesz zainteresować się następującym przewodnikiem Szybki start, aby dowiedzieć się, jak uzyskać wgląd w dane i potencjalne zagrożenia: Rozpoczynanie pracy z usługą Microsoft Sentinel.

Jeśli wszystko będzie gotowe do zbadania utworzonych zdarzeń, zobacz następujący samouczek: Badanie zdarzeń za pomocą usługi Microsoft Sentinel.