你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel Fusion 引擎检测到的场景
本文档列出了 Microsoft Sentinel 使用 Fusion 关联引擎检测到的基于场景的多阶段攻击的类型(按威胁分类分组)。
由于 Fusion 会将来自各种产品的多个信号进行关联来检测高级多阶段攻击,因此成功的 Fusion 检测将在 Microsoft Sentinel 的“事件”页上显示为“Fusion 事件”(而不是“警报”),并存储在“日志”的“事件”表(而不是“安全警报”表)中 。
为了启用这些 Fusion 支持的攻击检测方案,必须将列出的所有数据源引入到 Log Analytics 工作区。 对于具有计划分析规则的方案,请按照为 Fusion 检测配置计划分析规则中的说明进行操作。
注意
其中一些方案目前为预览版。 它们都带有这样的标示。
计算资源滥用
进行可疑的 Microsoft Entra 登录后发生多个 VM 创建活动
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、资源劫持 (T1496)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,在单个会话中创建了异常数量的 VM。 这种类型的警报以较高的可信度表明,在 Fusion 事件说明中提到的帐户已遭入侵,并已用于创建新的 VM 来实现未经授权的目的,例如运行加密货币挖矿操作。 可疑 Microsoft Entra 登录警报和多个 VM 创建活动警报的排列方式如下:
无法前往非典型位置,进而执行多次 VM 创建活动
从不熟悉的位置发起登录事件,进而执行多次 VM 创建活动
从受感染的设备发起登录事件,进而执行多次 VM 创建活动
从匿名 IP 地址发起登录事件,进而执行多次 VM 创建活动
从凭据已泄露的用户发起登录事件,进而执行多次 VM 创建活动
凭据访问
(新的威胁分类)
用户在以可疑方式登录后重置了多个密码
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、凭据访问
MITRE ATT&CK 方法:有效帐户 (T1078)、暴力破解 (T1110)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,某个用户在以可疑方式登录到 Microsoft Entra 帐户后重置了多个密码。 此证据表明 Fusion 事件说明中提到的帐户已遭入侵,并已用于执行多次密码重置,以获取对多个系统和资源的访问权限。 帐户操控(包括密码重置)有助于攻击者保持对凭据的访问权限,以及在环境中保持特定的权限级别。 可疑 Microsoft Entra 登录警报和重置多个密码警报的排列方式如下:
无法前往非典型位置,进而重置多个密码
从不熟悉的位置发起登录事件,进而重置多个密码
从受感染的设备发起登录事件,进而重置多个密码
从匿名 IP 发起登录事件,进而重置多个密码
从凭据已泄露的用户发起登录事件,进而重置多个密码
通过一个多次无法登录到 Microsoft Entra 的 IP 以可疑方式登录时,碰巧成功登录到 Palo Alto VPN
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、凭据访问
MITRE ATT&CK 方法:有效帐户 (T1078)、暴力破解 (T1110)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人通过一个在类似时间范围内多次无法登录到 Microsoft Entra 的 IP 地址以可疑方式登录到 Microsoft Entra 帐户时,碰巧成功通过 Palo Alto VPN 登录。 尽管这不能算作多阶段攻击的证据,但将这两个低保真警报相关联会得到一个高保真事件,表明有人对组织网络进行恶意的初始访问。 或者,这可能表明攻击者尝试使用暴力破解方法来访问 Microsoft Entra 帐户。 可疑 Microsoft Entra 登录警报和“多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN”警报的排列方式如下:
无法前往非典型位置,但碰巧使用一个多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN
从不熟悉的位置发起登录事件,并碰巧使用一个多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN
从受感染设备的设备发起登录事件,并碰巧使用一个多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN
从匿名 IP 发起登录事件,并碰巧使用一个多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN
从凭据已泄露的用户发起登录事件,并碰巧使用一个多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN
凭据搜集
(新的威胁分类)
以可疑方式登录后执行恶意的凭据盗窃工具
MITRE ATT&CK 策略:初始访问、凭据访问
MITRE ATT&CK 方法:有效帐户 (T1078)、OS 凭据转储 (T1003)
数据连接器来源:Microsoft Entra ID 保护、Microsoft Defender for Endpoint
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 后,执行了某个已知的凭据盗窃工具。 此证据以较高的可信度表明,警报说明中提到的用户帐户已遭入侵,并且可能已成功使用 Mimikatz 之类的工具从系统中搜集了密钥、明文密码和/或密码哈希等凭据。 攻击者可以凭借搜集到的凭据访问敏感数据、提升特权,并/或在整个网络中横向移动。 可疑 Microsoft Entra 登录警报和恶意凭据盗窃工具警报的排列方式如下:
无法前往非典型位置,进而执行恶意的凭据盗窃工具
从不熟悉的位置发起登录事件,进而执行恶意的凭据盗窃工具
从受感染的设备发起登录事件,进而执行恶意的凭据盗窃工具
从匿名 IP 地址发起登录事件,进而执行恶意的凭据盗窃工具
从凭据已泄露的用户发起登录事件,进而执行恶意的凭据盗窃工具
以可疑方式登录后执行可疑的凭据盗窃活动
MITRE ATT&CK 策略:初始访问、凭据访问
MITRE ATT&CK 方法:有效帐户 (T1078)、密码存储中的凭据 (T1555)、OS 凭据转储 (T1003)
数据连接器来源:Microsoft Entra ID 保护、Microsoft Defender for Endpoint
说明:这种类型的 Fusion 事件表明,在发生可疑的 Microsoft Entra 登录后,发生了与凭据盗窃模式关联的活动。 此证据以较高的可信度表明,警报说明中提到的用户帐户已遭入侵,并已用于窃取密钥、明文密码、密码哈希等凭据。 攻击者可以凭借盗取到的凭据访问敏感数据、提升特权,并/或在整个网络中横向移动。 可疑 Microsoft Entra 登录警报和凭据盗窃活动警报的排列方式如下:
无法前往非典型位置,进而执行可疑的凭据盗窃活动
从不熟悉的位置发起登录事件,进而执行可疑的凭据盗窃活动
从受感染的设备发起登录事件,进而执行可疑的凭据盗窃活动
从匿名 IP 地址发起登录事件,进而执行可疑的凭据盗窃活动
从凭据已泄露的用户发起登录事件,进而执行可疑的凭据盗窃活动
加密货币挖矿
(新的威胁分类)
在以可疑方式登录后执行加密货币挖矿活动
MITRE ATT&CK 策略:初始访问、凭据访问
MITRE ATT&CK 方法:有效帐户 (T1078)、资源劫持 (T1496)
数据连接器来源:Microsoft Entra ID 保护、Microsoft Defender for Cloud
说明:这种类型的 Fusion 事件表明发生了与 Microsoft Entra 帐户的可疑登录关联的加密货币挖矿活动。 此证据以较高的可信度表明,警报说明中提到的用户帐户已遭入侵,并已用于劫持环境中的资源来挖掘加密货币。 这可能会导致算力资源枯竭,并/或导致云使用费远远超过预期。 可疑 Microsoft Entra 登录警报和加密货币挖矿活动警报的排列方式如下:
无法前往非典型位置,进而执行加密货币挖矿活动
从不熟悉的位置发起登录事件,进而执行加密货币挖矿活动
从受感染的设备发起登录事件,进而执行加密货币挖矿活动
从匿名 IP 地址发起登录事件,进而执行加密货币挖矿活动
从凭据已泄露的用户发起登录事件,进而执行加密货币挖矿活动
数据销毁
以可疑方式登录到 Microsoft Entra 后批量删除文件
MITRE ATT&CK 策略:初始访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、数据销毁 (T1485)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,某个用户在以可疑方式登录到 Microsoft Entra 帐户后删除了异常数量的唯一文件。 此证据表明,Fusion 事件说明中提到的帐户可能已遭入侵,并已用于销毁数据以实现恶意目的。 可疑 Microsoft Entra 登录警报和批量文件删除警报的排列方式如下:
无法前往非典型位置,进而执行批量文件删除
从不熟悉的位置发起登录事件,进而执行批量文件删除
从已受感染的设备发起登录事件,进而执行批量文件删除
从匿名 IP 地址发起登录事件,进而执行批量文件删除
从凭据已泄露的用户发起登录事件,进而执行批量文件删除
通过 Cisco 防火墙设备阻止的 IP 成功登录到 Microsoft Entra 后批量删除文件
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、数据销毁 (T1485)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,尽管用户的 IP 地址已被 Cisco 防火墙设备阻止,但该用户仍然通过该 IP 地址成功登录到了 Microsoft Entra,然后删除了异常数量的唯一文件。 此证据表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于销毁数据以实现恶意目的。 由于防火墙已阻止该 IP,因此,通过该 IP 成功登录到 Microsoft Entra ID 可能表示出现了可疑活动,并可能表明用户帐户的凭据已泄露。
通过一个多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN 后批量删除文件
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、凭据访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、暴力破解 (T1110)、数据销毁 (T1485)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,某个用户使用一个在类似时间范围内多次无法登录到 Microsoft Entra 的 IP 地址,通过 Palo Alto VPN 成功登录后删除了异常数量的唯一文件。 此证据表明,可能有人通过暴力破解方法入侵了 Fusion 事件说明中提到的用户帐户,并将其用于销毁数据以实现恶意目的。
以可疑方式登录到 Microsoft Entra 后执行可疑的电子邮件删除活动
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、数据销毁 (T1485)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,在单个会话中删除了异常数量的电子邮件。 此证据表明,Fusion 事件说明中提到的帐户可能已遭入侵,并已用于销毁数据以实现恶意目的,例如,给组织造成损害,或者隐藏与垃圾邮件相关的电子邮件活动。 可疑 Microsoft Entra 登录警报和可疑电子邮件删除活动警报的排列方式如下:
无法前往非典型位置,进而执行可疑的电子邮件删除活动
从不熟悉的位置发起登录事件,进而执行可疑的电子邮件删除活动
从已受感染的设备发起登录事件,进而执行可疑的电子邮件删除活动
从匿名 IP 地址发起登录事件,进而执行可疑的电子邮件删除活动
从凭据已泄露的用户发起登录事件,进而执行可疑的电子邮件删除活动
数据外泄
在执行最近未曾出现过的新管理帐户活动后执行邮件转发活动
此方案属于此列表中的两种威胁分类:“数据外泄”和“恶意管理活动” 。 为清晰起见,它在两个部分中显示。
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、收集、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、电子邮件收集 (T1114)、通过 Web 服务外泄 (T1567)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,已创建新的 Exchange 管理员帐户,或者现有的 Exchange 管理员帐户在过去两周内首次执行了某种管理操作,然后该帐户执行了一些对于管理员帐户而言不常见的邮件转发操作。 此证据表明,Fusion 事件说明中提到的用户帐户已遭入侵或受到操控,并已用于从组织网络中外泄数据。
以可疑方式登录到 Microsoft Entra 后批量下载文件
MITRE ATT&CK 策略:初始访问、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,某个用户在以可疑方式登录到 Microsoft Entra 帐户后下载了异常数量的文件。 这以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于从组织网络中外泄数据。 可疑 Microsoft Entra 登录警报和批量文件下载警报的排列方式如下:
无法前往非典型位置,进而执行批量文件下载
从不熟悉的位置发起登录事件,进而执行批量文件下载
从已受感染的设备发起登录事件,进而执行批量文件下载
从匿名 IP 发起登录事件,进而执行批量文件下载
从凭据已泄露的用户发起登录事件,进而执行批量文件下载
通过 Cisco 防火墙设备阻止的 IP 成功登录到 Microsoft Entra 后批量下载文件
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、通过 Web 服务外泄 (T1567)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,尽管用户的 IP 地址已被 Cisco 防火墙设备阻止,但该用户仍然通过该 IP 地址成功登录到了 Microsoft Entra,然后下载了异常数量的文件。 这可能表示攻击者在入侵用户帐户后试图从组织网络中外泄数据。 由于防火墙已阻止该 IP,因此,通过该 IP 成功登录到 Microsoft Entra ID 可能表示出现了可疑活动,并可能表明用户帐户的凭据已泄露。
通过未见过的 IP 批量下载文件并碰巧执行了 SharePoint 文件操作
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:外泄
MITRE ATT&CK 方法:通过 Web 服务外泄 (T1567)、数据传输大小限制 (T1030)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,某个通过以往未曾见过的 IP 地址建立连接的用户下载了异常数量的文件。 尽管这不是多阶段攻击的证据,但将这两个低保真警报相关联可以得到一个高保真度事件,表明攻击者试图通过一个可能已遭入侵的用户帐户从组织网络中外泄数据。 在稳定的环境中,通过以前未曾见过的 IP 建立这种连接可能是未经授权的操作,尤其是与下载量高峰关联时,这可能与大规模的文档外泄有关。
以可疑方式登录到 Microsoft Entra 后批量共享文件
MITRE ATT&CK 策略:初始访问、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、通过 Web 服务外泄 (T1567)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,与其他人共享了数量超过特定阈值的文件。 这以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于通过与未经授权的用户共享文档、电子表格等文件,出于恶意目的从组织网络中外泄数据。 可疑 Microsoft Entra 登录警报和批量文件共享警报的排列方式如下:
无法前往非典型位置,进而执行批量文件共享
从不熟悉的位置发起登录事件,进而执行批量文件共享
从已受感染的设备发起登录事件,进而执行批量文件共享
从匿名 IP 地址发起登录事件,进而执行批量文件共享
从凭据已泄露的用户发起登录事件,进而执行批量文件共享
以可疑方式登录到 Microsoft Entra 后执行多个 Power BI 报表共享活动
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、通过 Web 服务外泄 (T1567)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,在单个会话中共享了异常数量的 Power BI 报表。 这以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于通过与未经授权的用户共享 Power BI 报表,出于恶意目的从组织网络中外泄数据。 可疑 Microsoft Entra 登录警报和多个 Power BI 报表共享活动的排列方式如下:
无法前往非典型位置,进而执行多个 Power BI 报表共享活动
从不熟悉的位置发起登录事件,进而执行多个 Power BI 报表共享活动
从已受感染的设备发起登录事件,进而执行多个 Power BI 报表共享活动
从匿名 IP 地址发起登录事件,进而执行多个 Power BI 报表共享活动
从凭据已泄露的用户发起登录事件,进而执行多个 Power BI 报表共享活动
以可疑方式登录到 Microsoft Entra 后执行 Office 365 邮箱外泄
MITRE ATT&CK 策略:初始访问、外泄、收集
MITRE ATT&CK 方法:有效帐户 (T1078)、电子邮件收集 (T1114)、自动外泄 (T1020)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,对用户的收件箱设置了可疑的收件箱转发规则。 这以较高的可信度表明,Fusion 事件说明中提到的用户帐户已遭入侵,并已用于在真实用户不知情的情况下,通过启用邮箱转发规则从组织网络中外泄数据。 可疑 Microsoft Entra 登录警报和 Office 365 邮箱外泄警报的排列方式如下:
无法前往非典型位置,进而执行 Office 365 邮箱外泄
从不熟悉的位置发起登录事件,进而执行 Office 365 邮箱外泄
从已受感染的设备发起登录事件,进而执行 Office 365 邮箱外泄
从匿名 IP 地址发起登录事件,进而执行 Office 365 邮箱外泄
从凭据已泄露的用户发起登录事件,进而执行 Office 365 邮箱外泄
检测到恶意软件后发现有人通过以前未曾见过的 IP 执行 SharePoint 文件操作
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:外泄、防御规避
MITRE ATT&CK 方法:数据传输大小限制 (T1030)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,攻击者试图使用恶意软件通过 SharePoint 下载或共享大量数据,以此外泄数据。 在稳定的环境中,通过以前未曾见过的 IP 建立这种连接可能是未经授权的操作,尤其是与下载量高峰关联时,这可能与大规模的文档外泄有关。
以可疑方式登录到 Microsoft Entra 后设置可疑收件箱操作规则
此方案属于此列表中的两种威胁分类:“数据外泄”和“横向移动” 。 为清晰起见,它在两个部分中显示。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、横向移动、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、内部鱼叉式网络钓鱼 (T1534)、自动外泄 (T1020)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,对用户的收件箱设置了异常的收件箱规则。 此证据以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于操控用户的电子邮件收件箱规则以实现恶意目的,攻击者可能是想要从组织网络中外泄数据。 或者,可能是攻击者试图从组织内部生成网络钓鱼电子邮件(绕过针对来自外部源的电子邮件实施的网络钓鱼检测机制),以便能够通过获取对其他用户和/或特权帐户的访问权限来进行横向移动。 可疑 Microsoft Entra 登录警报和可疑收件箱操作规则警报的排列方式如下:
无法前往非典型位置,进而设置可疑收件箱操作规则
从不熟悉的位置发起登录事件,进而设置可疑收件箱操作规则
从已受感染的设备发起登录事件,进而设置可疑收件箱操作规则
从匿名 IP 地址发起登录事件,进而设置可疑收件箱操作规则
从凭据已泄露的用户发起登录事件,进而设置可疑收件箱操作规则
以可疑方式登录到 Microsoft Entra 后执行可疑的 Power BI 报表共享
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、通过 Web 服务外泄 (T1567)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,执行了可疑的 Power BI 报告共享活动。 该共享活动之所以标识为可疑,是因为 Power BI 报表包含使用自然语言处理标识的敏感信息,并且该报表是使用外部电子邮件地址共享的、已发布到 Web,或者以快照形式传递到了外部订阅的电子邮件地址。 这条警报以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于通过与未经授权的用户共享 Power BI 报表,出于恶意目的从组织中外泄敏感数据。 可疑 Microsoft Entra 登录警报和可疑 Power BI 报表共享的排列方式如下:
无法前往非典型位置,进而执行可疑的 Power BI 报表共享
从不熟悉的位置发起登录事件,进而执行可疑的 Power BI 报表共享
从已受感染的设备发起登录事件,进而执行可疑的 Power BI 报表共享
从匿名 IP 地址发起登录事件,进而执行可疑的 Power BI 报表共享
从凭据已泄露的用户发起登录事件,进而执行可疑的 Power BI 报表共享
拒绝服务
进行可疑的 Microsoft Entra 登录后发生多个 VM 删除活动
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、终结点拒绝服务 (T1499)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,在单个会话中删除了异常数量的 VM。 这以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于试图干扰或破坏组织的云环境。 可疑 Microsoft Entra 登录警报和多个 VM 删除活动警报的排列方式如下:
无法前往非典型位置,进而执行多次 VM 删除活动
从不熟悉的位置发起登录事件,进而执行多次 VM 删除活动
从已受感染的设备发起登录事件,进而执行多次 VM 删除活动
从匿名 IP 地址发起登录事件,进而执行多次 VM 删除活动
从凭据已泄露的用户发起登录事件,进而执行多次 VM 删除活动
横向移动
以可疑方式登录到 Microsoft Entra 后执行 Office 365 模拟
MITRE ATT&CK 策略:初始访问、横向移动
MITRE ATT&CK 方法:有效帐户 (T1078)、内部鱼叉式网络钓鱼 (T1534)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,某个用户在以可疑方式登录到 Microsoft Entra 帐户后执行了异常数量的模拟操作。 在某些软件中,有些选项可让用户模拟其他用户。 例如,电子邮件服务允许用户授权其他用户代表他们发送电子邮件。 此警报以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于执行模拟活动来实现恶意目的,例如,发送网络钓鱼电子邮件来分发恶意软件,或实现横向移动。 可疑 Microsoft Entra 登录警报和 Office 365 模拟警报的排列方式如下:
无法前往非典型位置,进而执行 Office 365 模拟
从不熟悉的位置发起登录事件,进而执行 Office 365 模拟
从已受感染的设备发起登录事件,进而执行 Office 365 模拟
从匿名 IP 地址发起登录事件,进而执行 Office 365 模拟
从凭据已泄露的用户发起登录事件,进而执行 Office 365 模拟
以可疑方式登录到 Microsoft Entra 后设置可疑收件箱操作规则
此方案属于此列表中的两种威胁分类:“横向移动”和“数据外泄” 。 为清晰起见,它在两个部分中显示。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、横向移动、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、内部鱼叉式网络钓鱼 (T1534)、自动外泄 (T1020)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式登录到 Microsoft Entra 帐户后,对用户的收件箱设置了异常的收件箱规则。 此证据以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于操控用户的电子邮件收件箱规则以实现恶意目的,攻击者可能是想要从组织网络中外泄数据。 或者,可能是攻击者试图从组织内部生成网络钓鱼电子邮件(绕过针对来自外部源的电子邮件实施的网络钓鱼检测机制),以便能够通过获取对其他用户和/或特权帐户的访问权限来进行横向移动。 可疑 Microsoft Entra 登录警报和可疑收件箱操作规则警报的排列方式如下:
无法前往非典型位置,进而设置可疑收件箱操作规则
从不熟悉的位置发起登录事件,进而设置可疑收件箱操作规则
从已受感染的设备发起登录事件,进而设置可疑收件箱操作规则
从匿名 IP 地址发起登录事件,进而设置可疑收件箱操作规则
从凭据已泄露的用户发起登录事件,进而设置可疑收件箱操作规则
恶意管理活动
以可疑方式登录到 Microsoft Entra 后执行可疑的云应用管理活动
MITRE ATT&CK 策略:初始访问、持久保留、防御规避、横向移动、收集、外泄和造成影响
MITRE ATT&CK 方法:不适用
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,有人在以可疑方式从同一个帐户登录到 Microsoft Entra 帐户后,在一个会话中执行了异常数量的管理活动。 此证据表明,Fusion 事件说明中提到的帐户可能已遭入侵,并已用于恶意执行任意数量的未经授权的管理操作。 这也表明拥有管理特权的帐户可能已遭入侵。 可疑 Microsoft Entra 登录警报和可疑云应用管理活动警报的排列方式如下:
无法前往非典型位置,进而执行可疑的云应用管理活动
从不熟悉的位置发起登录事件,进而执行可疑的云应用管理活动
从已受感染的设备发起登录事件,进而执行可疑的云应用管理活动
从匿名 IP 地址发起登录事件,进而执行可疑的云应用管理活动
从凭据已泄露的用户发起登录事件,进而执行可疑的云应用管理活动
在执行最近未曾出现过的新管理帐户活动后执行邮件转发活动
此方案属于此列表中的两种威胁分类:“恶意管理活动”和“数据外泄” 。 为清晰起见,它在两个部分中显示。
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、收集、外泄
MITRE ATT&CK 方法:有效帐户 (T1078)、电子邮件收集 (T1114)、通过 Web 服务外泄 (T1567)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,已创建新的 Exchange 管理员帐户,或者现有的 Exchange 管理员帐户在过去两周内首次执行了某种管理操作,然后该帐户执行了一些对于管理员帐户而言不常见的邮件转发操作。 此证据表明,Fusion 事件说明中提到的用户帐户已遭入侵或受到操控,并已用于从组织网络中外泄数据。
使用合法进程执行恶意活动
PowerShell 建立可疑的网络连接,然后 Palo Alto Networks 防火墙标记了异常流量。
此方案目前为预览版。
MITRE ATT&CK 策略:执行
MITRE ATT&CK 方法:命令和脚本解释器 (T1059)
数据连接器源:Microsoft Defender for Endpoint(以前称为 Microsoft Defender 高级威胁防护,简称 MDATP)、Microsoft Sentinel(计划分析规则)
说明:这种类型的 Fusion 事件表明,有人通过 PowerShell 命令发出了出站连接请求,然后,Palo Alto Networks 防火墙检测到了异常入站活动。 此证据表明攻击者可能获取了对你网络的访问权限,并试图执行恶意操作。 PowerShell 做出遵循此模式的连接尝试可能表明存在恶意软件命令和控制活动、请求下载其他恶意软件,或者攻击者正在建立远程交互式访问。 与所有“离地”攻击一样,此活动有可能合法使用了 PowerShell。 但是,如果在执行 PowerShell 命令之后接着执行可疑的入站防火墙活动,则可以更确信 PowerShell 被恶意使用,应该进一步展开调查。 在 Palo Alto 日志中,Microsoft Sentinel 注重威胁日志,当威胁被允许时,会将流量视为可疑(可疑的数据、文件、flood、数据包、扫描、间谍软件、URL、病毒、漏洞、wildfire 病毒、wildfire)。 另请参考对应于 Fusion 事件说明中列出的威胁/内容类型的 Palo Alto 威胁日志,以了解更多警报详细信息。
远程执行可疑的 WMI 命令后 Palo Alto Networks 防火墙标记了异常流量
此方案目前为预览版。
MITRE ATT&CK 策略:执行、发现
MITRE ATT&CK 方法:Windows Management Instrumentation (T1047)
数据连接器源:Microsoft Defender for Endpoint(以前称为 MDATP)、Microsoft Sentinel(计划分析规则)
说明:这种类型的 Fusion 事件表明,在系统上远程执行了 Windows 管理接口 (WMI) 命令,然后 Palo Alto Networks 防火墙检测到了可疑的入站活动。 此证据表明攻击者可能已获取对你网络的访问权限,并且正在尝试横向移动、提升特权和/或执行恶意有效负载。 与所有“离地”攻击一样,此活动有可能合法使用了 WMI。 但是,如果在远程执行 WMI 命令之后接着执行可疑的入站防火墙活动,则可以更确信 WMI 被恶意使用,应该进一步展开调查。 在 Palo Alto 日志中,Microsoft Sentinel 注重威胁日志,当威胁被允许时,会将流量视为可疑(可疑的数据、文件、flood、数据包、扫描、间谍软件、URL、病毒、漏洞、wildfire 病毒、wildfire)。 另请参考对应于 Fusion 事件说明中列出的威胁/内容类型的 Palo Alto 威胁日志,以了解更多警报详细信息。
以可疑方式登录后执行可疑的 PowerShell 命令行
MITRE ATT&CK 策略:初始访问、执行
MITRE ATT&CK 方法:有效帐户 (T1078)、命令和脚本解释器 (T1059)
数据连接器来源:Microsoft Entra ID 保护、Microsoft Defender for Endpoint(以前称为 MDATP)
说明:这种类型的 Fusion 事件表明,用户在以可疑方式登录到 Microsoft Entra 帐户后执行了潜在恶意的 PowerShell 命令。 此证据以较高的可信度表明,警报说明中提到的帐户已遭入侵,并且执行了其他恶意操作。 攻击者经常使用 PowerShell 在内存中执行恶意有效负载而不会在磁盘上留下任何项目,以规避基于磁盘的安全机制(例如病毒扫描程序)的检测。 可疑 Microsoft Entra 登录警报和可疑 PowerShell 命令警报的排列方式如下:
无法前往非典型位置,进而执行可疑的 PowerShell 命令行
从不熟悉的位置发起登录事件,进而执行可疑的 PowerShell 命令行
从已受感染的设备发起登录事件,进而执行可疑的 PowerShell 命令行
从匿名 IP 地址发起登录事件,进而执行可疑的 PowerShell 命令行
从凭据已泄露的用户发起登录事件,进而执行可疑的 PowerShell 命令行
恶意软件 C2 或下载
在用户登录某个服务多次失败后,Fortinet 检测到信标模式
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、命令和控制
MITRE ATT&CK 方法:有效帐户 (T1078)、非标准端口 (T1571)、T1065(已停用)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Defender for Cloud Apps
说明:这种类型的 Fusion 事件表明,用户通过某个相关内部实体登录某个服务多次失败后,发生了与信标模式一致的从内部 IP 地址到外部 IP 地址的通信模式。 这两个事件相结合可能表明受到恶意软件的感染,或者遭到入侵的主机正在进行数据外泄。
发生可疑的 Microsoft Entra 登录后 Fortinet 检测到信标模式
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、命令和控制
MITRE ATT&CK 方法:有效帐户 (T1078)、非标准端口 (T1571)、T1065(已停用)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,用户以可疑方式登录到 Microsoft Entra ID 后,发生了与信标模式一致的从内部 IP 地址到外部 IP 地址的通信模式。 这两个事件相结合可能表明受到恶意软件的感染,或者遭到入侵的主机正在进行数据外泄。 Fortinet 检测到信标模式警报和可疑 Microsoft Entra 登录警报的排列方式如下:
无法前往非典型位置,导致 Fortinet 检测到信标模式
从不熟悉的位置发起登录事件,导致 Fortinet 检测到信标模式
从受感染的设备发起登录事件,导致 Fortinet 检测到信标模式
从匿名 IP 地址发起登录事件,导致 Fortinet 检测到信标模式
从凭据已泄露的用户发起登录事件,导致 Fortinet 检测到信标模式
向 TOR 匿名化服务发出网络请求,然后 Palo Alto Networks 防火墙标记了异常流量。
此方案目前为预览版。
MITRE ATT&CK 策略:命令和控制
MITRE ATT&CK 方法:加密通道 (T1573)、代理 (T1090)
数据连接器源:Microsoft Defender for Endpoint(以前称为 MDATP)、Microsoft Sentinel(计划分析规则)
说明:这种类型的 Fusion 事件表明,有人向 TOR 匿名化服务发出了出站连接请求,然后,Palo Alto Networks 防火墙检测到了异常入站活动。 此证据表明攻击者可能获取了对你网络的访问权限,并试图掩盖其行动和意图。 遵循此模式连接到 TOR 网络可能表明存在恶意软件命令和控制活动、请求下载其他恶意软件,或者攻击者正在建立远程交互式访问。 在 Palo Alto 日志中,Microsoft Sentinel 注重威胁日志,当威胁被允许时,会将流量视为可疑(可疑的数据、文件、flood、数据包、扫描、间谍软件、URL、病毒、漏洞、wildfire 病毒、wildfire)。 另请参考对应于 Fusion 事件说明中列出的威胁/内容类型的 Palo Alto 威胁日志,以了解更多警报详细信息。
与曾经有人试图未经授权访问的 IP 建立了出站连接,然后 Palo Alto Networks 防火墙标记了异常流量
此方案目前为预览版。
MITRE ATT&CK 策略:命令和控制
MITRE ATT&CK 方法:不适用
数据连接器源:Microsoft Defender for Endpoint(以前称为 MDATP)、Microsoft Sentinel(计划分析规则)
说明:这种类型的 Fusion 事件表明,与曾经有人试图未经授权访问的 IP 地址建立了出站连接,然后,Palo Alto Networks 防火墙检测到了异常活动。 此证据表明攻击者可能获取了对你的网络的访问权限。 遵循此模式的连接企图可能表明存在恶意软件命令和控制活动、请求下载其他恶意软件,或者攻击者正在建立远程交互式访问。 在 Palo Alto 日志中,Microsoft Sentinel 注重威胁日志,当威胁被允许时,会将流量视为可疑(可疑的数据、文件、flood、数据包、扫描、间谍软件、URL、病毒、漏洞、wildfire 病毒、wildfire)。 另请参考对应于 Fusion 事件说明中列出的威胁/内容类型的 Palo Alto 威胁日志,以了解更多警报详细信息。
持久性
(新的威胁分类)
发生可疑的登录后授予了罕见的应用程序同意
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:持久性、初始访问
MITRE ATT&CK 方法:创建帐户 (T1136)、有效帐户 (T1078)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,某个用户在以可疑方式登录到 Microsoft Entra 帐户后授予了应用程序同意,但该用户过去从未或者极少授予这种同意。 此证据表明,Fusion 事件说明中提到的帐户可能已遭入侵,并已用于访问或操控该应用程序以实现恶意目的。 同意应用程序、添加服务主体和添加 OAuth2PermissionGrant 通常是罕见的事件。 攻击者可以使用此类配置更改在系统上建立或保留其据点。 可疑 Microsoft Entra 登录警报和罕见的应用程序同意警报的排列方式如下:
无法前往非典型位置,进而授予罕见的应用程序同意
从不熟悉的位置发起登录事件,进而授予罕见的应用程序同意
从受感染的设备发起登录事件,进而授予罕见的应用程序同意
从匿名 IP 发起登录事件,进而授予罕见的应用程序同意
从凭据已泄露的用户发起登录事件,进而授予罕见的应用程序同意
勒索软件
以可疑方式登录到 Microsoft Entra 后执行勒索软件
MITRE ATT&CK 策略:初始访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、加密数据以造成影响 (T1486)
数据连接器来源:Microsoft Defender for Cloud Apps、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,已检测到有人在可疑方式登录到 Microsoft Entra 帐户后做出了异常的用户行为,该行为表示勒索软件攻击。 这以较高的可信度表明,Fusion 事件说明中提到的帐户已遭入侵,并已用于加密数据,以勒索数据所有者或者拒绝数据所有者访问其数据。 可疑 Microsoft Entra 登录警报和勒索软件执行警报的排列方式如下:
无法前往非典型位置,进而在云应用中执行勒索软件
从不熟悉的位置发起登录事件,进而在云应用中执行勒索软件
从已受感染的设备发起登录事件,进而在云应用中执行勒索软件
从匿名 IP 地址发起登录事件,进而在云应用中执行勒索软件
从凭据已泄露的用户发起登录事件,进而在云应用中执行勒索软件
远程恶意利用
以可疑方式使用攻击框架,然后 Palo Alto Networks 防火墙标记了异常流量
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、执行、横向移动、特权提升
MITRE ATT&CK 方法:恶意利用面向公众的应用程序 (T1190)、恶意利用客户端执行 (T1203)、恶意利用远程服务 (T1210)、恶意利用特权提升 (T1068)
数据连接器源:Microsoft Defender for Endpoint(以前称为 MDATP)、Microsoft Sentinel(计划分析规则)
说明:这种类型的 Fusion 事件表明,已检测到有人以非常规方式使用协议,它类似于使用 Metasploit 之类的攻击框架;然后,Palo Alto Networks 防火墙检测到了可疑的入站活动。 这可能初步表明攻击者已恶意利用某个服务来获取对你网络资源的访问权限,或者攻击者已获取访问权限,并试图进一步恶意利用可用的系统/服务来横向移动和/或提升特权。 在 Palo Alto 日志中,Microsoft Sentinel 注重威胁日志,当威胁被允许时,会将流量视为可疑(可疑的数据、文件、flood、数据包、扫描、间谍软件、URL、病毒、漏洞、wildfire 病毒、wildfire)。 另请参考对应于 Fusion 事件说明中列出的威胁/内容类型的 Palo Alto 威胁日志,以了解更多警报详细信息。
资源劫持
(新的威胁分类)
以前未曾见过的调用方以可疑方式登录到 Microsoft Entra 后执行可疑的资源/资源组部署
此方案利用计划分析规则生成的警报。
此方案目前为预览版。
MITRE ATT&CK 策略:初始访问、造成影响
MITRE ATT&CK 方法:有效帐户 (T1078)、资源劫持 (T1496)
数据连接器源:Microsoft Sentinel(计划分析规则)、Microsoft Entra ID 保护
说明:这种类型的 Fusion 事件表明,某个用户使用最近未见过的属性以可疑方式登录到 Microsoft Entra 帐户后,部署了一个 Azure 资源或资源组 - 这是一个罕见的活动。 这可能表明,攻击者在入侵 Fusion 事件说明中提到的用户帐户后,试图出于恶意目的部署资源或资源组。
可疑 Microsoft Entra 登录警报和以前未曾见过的调用方执行可疑资源/资源组部署警报的排列方式如下:
无法前往非典型位置,导致以前未曾见过的调用方执行可疑资源/资源组部署
从不熟悉的位置发起登录事件,导致以前未曾见过的调用方执行可疑资源/资源组部署
从受感染的设备发起登录事件,导致以前未曾见过的调用方执行可疑资源/资源组部署
从匿名 IP 发起登录事件,导致以前未曾见过的调用方执行可疑资源/资源组部署
从凭据已泄露的用户发起登录事件,导致以前未曾见过的调用方执行可疑资源/资源组部署
后续步骤
现在你已详细了解高级多阶段攻击检测,接下来你可能有兴趣查看名为 Microsoft Sentinel 入门的快速入门,其中介绍了如何洞察数据和潜在威胁。
如果你已准备好调查系统为你创建的事件,请参阅教程:使用 Microsoft Sentinel 调查事件。