Scenarier, der er registreret af Microsoft Sentinel Fusion-programmet

I dette dokument vises de typer scenariebaserede flertrinsangreb grupperet efter trusselsklassificering, som Microsoft Sentinel registrerer ved hjælp af Fusion-korrelationsprogrammet.

Da Fusion korrelerer flere signaler fra forskellige produkter for at registrere avancerede angreb i fleretage, præsenteres vellykkede Fusion-registreringer som Fusion-hændelser på siden Microsoft Sentinel Hændelser og ikke som beskeder, og de gemmes i tabellen Incidents i Logge og ikke i tabellen SecurityAlerts.

Hvis du vil aktivere disse Fusion-drevne scenarier til registrering af angreb, skal alle viste datakilder overføres til dit Log Analytics-arbejdsområde. I forbindelse med scenarier med planlagte analyseregler skal du følge vejledningen i Konfigurer planlagte analyseregler for Fusionsregistreringer.

Bemærk!

Nogle af disse scenarier findes i PRØVEVERSION. De vil blive angivet.

Misbrug af beregningsressource

Flere aktiviteter til oprettelse af vm efter mistænkelig Microsoft Entra logon

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, virkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), ressourcekapring (T1496)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at der blev oprettet et unormalt antal VM'er i en enkelt session efter et mistænkeligt logon på en Microsoft Entra konto. Denne type besked angiver med en høj grad af tillid, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og brugt til at oprette nye VM'er til uautoriserede formål, f.eks. kørsel af krypto-minehandlinger. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med advarslen om oprettelse af flere VM-aktiviteter er:

  • Umulig rejse til en atypisk placering, der fører til flere VM-oprettelsesaktiviteter

  • Logonhændelse fra en ukendt placering, der fører til flere aktiviteter for oprettelse af vm

  • Logonhændelse fra en inficeret enhed, der fører til flere aktiviteter til oprettelse af vm

  • Logonhændelse fra en anonym IP-adresse, der fører til flere aktiviteter for oprettelse af vm

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til flere aktiviteter for oprettelse af vm

Adgang til legitimationsoplysninger

(Ny trusselsklassificering)

Nulstilling af flere adgangskoder af brugeren efter mistænkelig logon

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, adgang til legitimationsoplysninger

MITRE ATT&CK-teknikker: Gyldig konto (T1078), Brute Force (T1110)

Datakilder for dataconnector: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at en bruger nulstiller flere adgangskoder efter et mistænkeligt logon på en Microsoft Entra konto. Dette tyder på, at den konto, der er nævnt i beskrivelsen af fusionshændelsen, er blevet kompromitteret og blev brugt til at udføre flere nulstilling af adgangskoder for at få adgang til flere systemer og ressourcer. Kontomanipulation (herunder nulstilling af adgangskode) kan hjælpe modstandere med at bevare adgang til legitimationsoplysninger og visse tilladelsesniveauer i et miljø. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med flere beskeder om nulstilling af adgangskoder er:

  • Umulig rejse til en atypisk placering, der fører til nulstilling af flere adgangskoder

  • Logonhændelse fra en ukendt placering, der fører til nulstilling af flere adgangskoder

  • Logonhændelse fra en inficeret enhed, der fører til nulstilling af flere adgangskoder

  • Logonhændelse fra en anonym IP-adresse, der fører til nulstilling af flere adgangskoder

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til nulstilling af flere adgangskoder

Mistænkeligt logon samtidig med vellykket logon til Palo Alto VPN af IP med flere mislykkede Microsoft Entra logons

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, adgang til legitimationsoplysninger

MITRE ATT&CK-teknikker: Gyldig konto (T1078), Brute Force (T1110)

Datakilder for dataconnector: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type indikerer, at et mistænkeligt logon til en Microsoft Entra konto faldt sammen med et vellykket logon via en Palo Alto VPN fra en IP-adresse, hvorfra flere mislykkede Microsoft Entra logon indtraf i en lignende tidsramme. Selvom det ikke er tegn på et multistage-angreb, resulterer korrelationen af disse to beskeder om lavere pålidelighed i en hændelse med høj pålidelighed, der antyder ondsindet indledende adgang til organisationens netværk. Dette kan også være en indikation af, at en hacker forsøger at bruge teknikker til brute force til at få adgang til en Microsoft Entra konto. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med "IP med flere mislykkede Microsoft Entra logon logges på Palo Alto VPN"-beskeder er:

  • Impossible rejse til en atypisk placering, der falder sammen med IP med flere mislykkedes Microsoft Entra logins med succes logger ind på Palo Alto VPN

  • Logonhændelse fra en ukendt placering, der falder sammen med IP med flere mislykkede Microsoft Entra logon logges korrekt på Palo Alto VPN

  • Logonhændelse fra en inficeret enhed, der falder sammen med IP med flere mislykkedes Microsoft Entra logon logges korrekt på Palo Alto VPN

  • Logonhændelse fra en anonym IP, der falder sammen med IP med flere mislykkedes Microsoft Entra logon logges korrekt på Palo Alto VPN

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der falder sammen med IP med flere mislykkede Microsoft Entra logge på Palo Alto VPN

Høst af legitimationsoplysninger

(Ny trusselsklassificering)

Værktøjskørsel af værktøj til tyveri af skadelige legitimationsoplysninger efter mistænkelig logon

MITRE ATT&CK taktik: Indledende adgang, adgang til legitimationsoplysninger

MITRE ATT&CK-teknikker: Gyldig konto (T1078), dumping af operativsystemlegitimationsoplysninger (T1003)

Datakilder til dataconnector: Microsoft Entra ID Protection, Microsoft Defender for Endpoint

Beskrivelse: Fusionshændelser af denne type angiver, at et kendt værktøj til tyveri af legitimationsoplysninger blev udført efter en mistænkelig Microsoft Entra logon. Dette tyder med stor tillid på, at den brugerkonto, der er angivet i beskrivelsen af beskeden, er blevet kompromitteret og kan have brugt et værktøj som Mimikatz til at hente legitimationsoplysninger som f.eks. nøgler, adgangskoder i almindelig tekst og/eller adgangskodehashes fra systemet. De høstede legitimationsoplysninger kan gøre det muligt for en hacker at få adgang til følsomme data, eskalere rettigheder og/eller flytte sidevis på tværs af netværket. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om værktøjstyveri af skadelige legitimationsoplysninger er:

  • Umulig rejse til atypiske steder, der fører til ondsindede legitimationsoplysninger tyveri værktøj udførelse

  • Logonhændelse fra en ukendt placering, der fører til ondsindet udførelse af værktøj til tyveri af legitimationsoplysninger

  • Logonhændelse fra en inficeret enhed, der fører til værktøjsudførelse af ondsindede legitimationsoplysninger

  • Logonhændelse fra en anonym IP-adresse, der fører til værktøjsudførelse af ondsindede legitimationsoplysninger

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til udførelse af værktøj til tyveri af skadelige legitimationsoplysninger

Mistanke om tyveri af legitimationsoplysninger efter mistænkelig logon

MITRE ATT&CK taktik: Indledende adgang, adgang til legitimationsoplysninger

MITRE ATT&CK-teknikker: Gyldig konto (T1078), legitimationsoplysninger fra adgangskodelagre (T1555), dumping af legitimationsoplysninger til operativsystemet (T1003)

Datakilder til dataconnector: Microsoft Entra ID Protection, Microsoft Defender for Endpoint

Beskrivelse: Fusionshændelser af denne type angiver, at der opstod aktivitet, der er knyttet til mønstre for tyveri af legitimationsoplysninger, efter en mistænkelig Microsoft Entra logon. Dette tyder med stor tillid på, at den brugerkonto, der er angivet i beskrivelsen af beskeden, er blevet kompromitteret og brugt til at stjæle legitimationsoplysninger som f.eks. nøgler, adgangskoder i almindelig tekst, adgangskodehash osv. De stjålne legitimationsoplysninger kan give en person med ondsindede hensigter adgang til følsomme data, eskalere rettigheder og/eller flytte side om side på tværs af netværket. Permutationerne af mistænkelige Microsoft Entra logonbeskeder med beskeden om tyveri af legitimationsoplysninger er:

  • Umulig rejse til atypiske steder, der fører til mistanke om tyveri af legitimationsoplysninger aktivitet

  • Logonhændelse fra en ukendt placering, der fører til mistanke om tyveri af legitimationsoplysninger

  • Logonhændelse fra en inficeret enhed, der fører til mistanke om tyveri af legitimationsoplysninger

  • Logonhændelse fra en anonym IP-adresse, der fører til mistanke om tyveri af legitimationsoplysninger

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistanke om tyveri af legitimationsoplysninger

Krypto-minedrift

(Ny trusselsklassificering)

Kryptografi-mineaktivitet efter mistænkelig logon

MITRE ATT&CK taktik: Indledende adgang, adgang til legitimationsoplysninger

MITRE ATT&CK-teknikker: Gyldig konto (T1078), ressourcekapring (T1496)

Datakilder til dataconnector: Microsoft Entra ID Protection, Microsoft Defender til Cloud

Beskrivelse: Fusionshændelser af denne type angiver krypto-mineaktivitet, der er knyttet til et mistænkeligt logon til en Microsoft Entra konto. Dette tyder med stor tillid på, at den brugerkonto, der er angivet i beskrivelsen af beskeden, er blevet kompromitteret og blev brugt til at kapre ressourcer i dit miljø for at mine kryptovaluta. Dette kan sulte dine ressourcer til beregningskraft og/eller resultere i væsentligt højere forbrugsregninger i skyen end forventet. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om aktivitet i krypto-minedrift er:

  • Umulig rejse til atypiske steder, der fører til krypto-mineaktivitet

  • Logonhændelse fra en ukendt placering, der fører til krypto-mineaktivitet

  • Logonhændelse fra en inficeret enhed, der fører til crypto-mining-aktivitet

  • Logonhændelse fra en anonym IP-adresse, der fører til krypto-mineaktivitet

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til crypto-mining-aktivitet

Datadestruktion

Massesletning af fil efter mistænkelig Microsoft Entra logon

MITRE ATT&CK taktik: Indledende adgang, virkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), datadestruktion (T1485)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at et unormalt antal entydige filer blev slettet efter et mistænkeligt logon på en Microsoft Entra konto. Dette tyder på, at den konto, der er nævnt i beskrivelsen af fusionshændelsen, kan være blevet kompromitteret og blev brugt til at destruere data til skadelige formål. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om massesletning af filer er:

  • Umulig rejse til en atypisk placering, der fører til masse filsletning

  • Logonhændelse fra en ukendt placering, der fører til massesletning af filer

  • Logonhændelse fra en inficeret enhed, der fører til massesletning af filer

  • Logonhændelse fra en anonym IP-adresse, der fører til massesletning af filer

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til massesletning af filer

Massesletning af filer efter vellykket Microsoft Entra logon fra IP blokeret af en Cisco firewall-apparat

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, virkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), datadestruktion (T1485)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type indikerer, at et unormalt antal entydige filer blev slettet efter et vellykket Microsoft Entra logon, på trods af at brugerens IP-adresse blokeres af en Cisco firewall-apparat. Dette tyder på, at den konto, der er nævnt i beskrivelsen af fusionshændelsen, er blevet kompromitteret og blev brugt til at destruere data til skadelige formål. Da IP-adressen blev blokeret af firewallen, er den samme IP-log på Microsoft Entra ID potentielt mistænkelig og kan indikere, at legitimationsoplysningerne er kompromitteret for brugerkontoen.

Massesletning af filer efter vellykket logon til Palo Alto VPN efter IP med flere mislykkede Microsoft Entra logons

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, adgang til legitimationsoplysninger, indvirkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), brute force (T1110), datadestruktion (T1485)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type indikerer, at et unormalt antal entydige filer blev slettet af en bruger, der logget på via en Palo Alto VPN fra en IP-adresse, hvorfra flere mislykkede Microsoft Entra logon fandt sted inden for en lignende tidsramme. Dette tyder på, at den brugerkonto, der blev registreret i Fusion-hændelsen, kan være blevet kompromitteret ved hjælp af brute force-teknikker og blev brugt til at ødelægge data til skadelige formål.

Mistænkelig aktivitet for sletning af mail efter mistænkelig Microsoft Entra logon

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, virkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), datadestruktion (T1485)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type indikerer, at et unormalt antal mails blev slettet i en enkelt session efter et mistænkeligt logon på en Microsoft Entra konto. Dette tyder på, at den konto, der er nævnt i beskrivelsen af Fusion-hændelsen, kan være blevet kompromitteret og blev brugt til at ødelægge data til skadelige formål, f.eks. at skade organisationen eller skjule spamrelaterede mailaktiviteter. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med den mistænkelige aktivitetsbesked om sletning af mail er:

  • Umulig rejse til en atypisk placering, der fører til mistænkelig e-mail sletning aktivitet

  • Logonhændelse fra en ukendt placering, der fører til mistænkelig sletning af mails

  • Logonhændelse fra en inficeret enhed, der fører til mistænkelig aktivitet til sletning af mail

  • Logonhændelse fra en anonym IP-adresse, der fører til mistænkelig sletning af mail

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistænkelig aktivitet til sletning af mails

Dataudfyldning

Aktiviteter til videresendelse af mail efter den nye administratorkontoaktivitet blev ikke set for nylig

Dette scenarie tilhører to trusselsklassificeringer på denne liste: dataudfiltrering og ondsindet administrativ aktivitet. Af hensyn til klarheden fremgår det af begge afsnit.

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, samling, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), mailsamling (T1114), eksfiltration via webtjeneste (T1567)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type angiver, at der enten er oprettet en ny Exchange-administratorkonto, eller at en eksisterende Exchange-administratorkonto har foretaget nogle administrative handlinger for første gang i de sidste to uger, og at kontoen derefter udførte nogle handlinger til videresendelse af mail, hvilket er usædvanligt for en administratorkonto. Dette tyder på, at den brugerkonto, der er angivet i beskrivelsen af fusionshændelsen, er blevet kompromitteret eller manipuleret, og at den blev brugt til at exfiltrere data fra organisationens netværk.

Masse fildownload efter mistænkelig Microsoft Entra logon

MITRE ATT&CK taktik: Indledende adgang, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at et unormalt antal filer blev downloadet af en bruger efter et mistænkeligt logon på en Microsoft Entra konto. Denne indikation giver høj tillid til, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og blev brugt til at eksfiltrere data fra organisationens netværk. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om massefildownload er:

  • Umulig rejse til en atypisk placering, der fører til masse fil download

  • Logonhændelse fra en ukendt placering, der fører til massefildownload

  • Logonhændelse fra en inficeret enhed, der fører til massefildownload

  • Logonhændelse fra en anonym IP-adresse, der fører til massedownload af filer

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til massefildownload

Massefildownload efter vellykket Microsoft Entra logon fra IP blokeret af en Cisco firewall-apparat

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), eksfiltration via webtjeneste (T1567)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type indikerer, at et unormalt antal filer blev downloadet af en bruger efter et vellykket Microsoft Entra logon, på trods af at brugerens IP-adresse blev blokeret af en Cisco firewall-apparat. Dette kan muligvis være et forsøg fra en hacker på at exfiltrate data fra organisationens netværk efter at have kompromitteret en brugerkonto. Da IP-adressen blev blokeret af firewallen, er den samme IP-log på Microsoft Entra ID potentielt mistænkelig og kan indikere, at legitimationsoplysningerne er kompromitteret for brugerkontoen.

Massefildownload, der er samtidig med SharePoint-filhandlingen fra tidligere uset IP-adresse

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Eksfiltration

MITRE ATT&CK-teknikker: Eksfiltration via webtjeneste (T1567), størrelsesgrænser for dataoverførsel (T1030)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type angiver, at et unormalt antal filer blev downloadet af en bruger, der er forbundet fra en tidligere uset IP-adresse. Selvom det ikke er tegn på et multistage-angreb, resulterer korrelationen af disse to beskeder med lavere pålidelighed i en hændelse med høj pålidelighed, der tyder på, at en hacker forsøger at exfiltrere data fra organisationens netværk fra en muligvis kompromitteret brugerkonto. I stabile miljøer kan sådanne forbindelser fra tidligere usete IP-adresser være uautoriseret, især hvis de er forbundet med stigninger i mængden, der kan være forbundet med eksfiltration af dokumenter i stor skala.

Massefildeling efter mistænkelig Microsoft Entra logon

MITRE ATT&CK taktik: Indledende adgang, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), eksfiltration via webtjeneste (T1567)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type indikerer, at et antal filer over en bestemt tærskel blev delt med andre efter et mistænkeligt logon på en Microsoft Entra konto. Denne indikation giver høj tillid til, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og brugt til at eksfiltrere data fra organisationens netværk ved at dele filer som dokumenter, regneark osv., med uautoriserede brugere til skadelige formål. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om massefildeling er:

  • Umulig rejse til en atypisk placering, der fører til massefildeling

  • Logonhændelse fra en ukendt placering, der fører til massefildeling

  • Logonhændelse fra en inficeret enhed, der fører til massefildeling

  • Logonhændelse fra en anonym IP-adresse, der fører til massefildeling

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til massefildeling

Flere aktiviteter til deling af Power BI-rapporter efter mistænkelig Microsoft Entra logon

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), eksfiltration via webtjeneste (T1567)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at et unormalt antal Power BI-rapporter blev delt i en enkelt session efter et mistænkeligt logon på en Microsoft Entra konto. Denne indikation giver høj sikkerhed for, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og blev brugt til at exfiltrere data fra organisationens netværk ved at dele Power BI-rapporter med uautoriserede brugere med ondsindede formål. Permutationerne af mistænkelige Microsoft Entra logonbeskeder med de mange aktiviteter til deling af Power BI-rapporter er:

  • Umulig rejse til en atypisk placering, der fører til flere power BI-rapportdelingsaktiviteter

  • Logonhændelse fra en ukendt placering, der fører til flere power BI-rapportdelingsaktiviteter

  • Logonhændelse fra en inficeret enhed, der fører til flere power BI-rapportdelingsaktiviteter

  • Logonhændelse fra en anonym IP-adresse, der fører til flere power BI-rapportdelingsaktiviteter

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til flere power BI-rapportdelingsaktiviteter

Office 365 postkasseudfiltrering efter et mistænkeligt Microsoft Entra logon

MITRE ATT&CK taktik: Indledende adgang, eksfiltration, samling

MITRE ATT&CK-teknikker: Gyldig konto (T1078), mailsamling (T1114), automatisk exfiltration (T1020)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at der blev angivet en mistænkelig regel for videresendelse af indbakker på en brugers indbakke efter et mistænkeligt logon på en Microsoft Entra konto. Denne indikation giver stor tillid til, at brugerens konto (angivet i beskrivelsen af Fusion-hændelse) er blevet kompromitteret, og at den blev brugt til at exfiltrate data fra organisationens netværk ved at aktivere en regel for videresendelse af postkasse uden den sande brugers viden. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med Office 365 postpostkasseadvarsel er:

  • Umulig rejse til en atypisk placering, der fører til Office 365 postkasse exfiltration

  • Logonhændelse fra en ukendt placering, der fører til Office 365 eksfiltration af postkasse

  • Logonhændelse fra en inficeret enhed, der fører til Office 365 postkasseudfiltrering

  • Logonhændelse fra en anonym IP-adresse, der fører til Office 365 exfiltration af postkasse

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til Office 365 postkasseudfyldning

SharePoint-filhandling fra tidligere usete IP-adresser efter registrering af malware

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Eksfiltration, forsvarsunddragelse

MITRE ATT&CK-teknikker: Størrelsesgrænser for dataoverførsel (T1030)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type indikerer, at en hacker forsøgte at exfiltrate store mængder data ved at downloade eller dele via SharePoint via brug af malware. I stabile miljøer kan sådanne forbindelser fra tidligere usete IP-adresser være uautoriseret, især hvis de er forbundet med stigninger i mængden, der kan være forbundet med eksfiltration af dokumenter i stor skala.

Regler for mistænkelig indbakkemanipulation, der er angivet efter mistænkelig Microsoft Entra logon

Dette scenarie tilhører to trusselsklassificeringer på denne liste: dataudfiltrering og tværgående bevægelse. Af hensyn til klarheden fremgår det af begge afsnit.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, tværgående bevægelse, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), intern spyd phishing (T1534), automatiseret exfiltration (T1020)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at der blev angivet unormale indbakkeregler for en brugers indbakke efter et mistænkeligt logon på en Microsoft Entra konto. Dette bevis giver en indikation af, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og blev brugt til at manipulere brugerens indbakkeregler til skadelige formål og muligvis til at exfiltrere data fra organisationens netværk. Alternativt kan hackeren forsøge at generere phishing-mails fra organisationen (omgå mekanismer til phishing-registrering, der er målrettet til mail fra eksterne kilder) med det formål at flytte side om side ved at få adgang til yderligere bruger- og/eller privilegerede konti. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om regler for manipulation af mistænkelig indbakke er:

  • Umulig rejse til en atypisk placering, der fører til mistænkelig indbakke manipulation regel

  • Logonhændelse fra en ukendt placering, der fører til mistænkelig regel for manipulation af indbakker

  • Logonhændelse fra en inficeret enhed, der fører til mistænkelig regel for manipulation af indbakke

  • Logonhændelse fra en anonym IP-adresse, der fører til mistænkelig regel for manipulation af indbakke

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistænkelig regel for manipulation af indbakke

Mistænkelig deling af Power BI-rapport efter mistænkelig Microsoft Entra logon

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), eksfiltration via webtjeneste (T1567)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at der opstod en mistænkelig delingsaktivitet for Power BI-rapporter efter et mistænkeligt logon på en Microsoft Entra konto. Delingsaktiviteten blev identificeret som mistænkelig, fordi Power BI-rapporten indeholdt følsomme oplysninger, der blev identificeret ved hjælp af behandling på naturligt sprog, og fordi den blev delt med en ekstern mailadresse, publiceret på internettet eller leveret som et snapshot til en mailadresse, der abonneres på eksternt. Denne besked angiver med høj sikkerhed, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og blev brugt til at exfiltrere følsomme data fra din organisation ved at dele Power BI-rapporter med uautoriserede brugere med henblik på ondsindede formål. Permutationerne af mistænkelige Microsoft Entra logonbeskeder med den mistænkelige Power BI-rapportdeling er:

  • Umulig rejse til en atypisk placering, der fører til mistænkelig deling af Power BI-rapporter

  • Logonhændelse fra en ukendt placering, der fører til mistænkelig deling af Power BI-rapporter

  • Logonhændelse fra en inficeret enhed, der fører til mistænkelig deling af Power BI-rapporter

  • Logonhændelse fra en anonym IP-adresse, der fører til mistænkelig deling af Power BI-rapporter

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistænkelig deling af Power BI-rapport

Denial-of-service

Flere aktiviteter for sletning af vm efter mistænkelig Microsoft Entra logon

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, virkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), Slutpunkt Denial of Service (T1499)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at et unormalt antal VM'er blev slettet i en enkelt session efter et mistænkeligt logon på en Microsoft Entra konto. Denne indikation giver høj tillid til, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og blev brugt til at forsøge at afbryde eller ødelægge organisationens cloudmiljø. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om flere aktiviteter for sletning af vm er:

  • Umulig rejse til en atypisk placering, der fører til flere aktiviteter for sletning af VM

  • Logonhændelse fra en ukendt placering, der fører til flere aktiviteter for sletning af vm

  • Logonhændelse fra en inficeret enhed, der fører til flere aktiviteter for sletning af VM

  • Logonhændelse fra en anonym IP-adresse, der fører til flere aktiviteter for sletning af VM

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til flere aktiviteter for sletning af VM

Tværgående bevægelse

Office 365 repræsentation efter mistænkelig Microsoft Entra logon

MITRE ATT&CK taktik: Indledende adgang, tværgående bevægelse

MITRE ATT&CK-teknikker: Gyldig konto (T1078), intern spyd phishing (T1534)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at der opstod et unormalt antal repræsentationshandlinger efter et mistænkeligt logon fra en Microsoft Entra konto. I nogle programmer er der muligheder for at give brugerne mulighed for at repræsentere andre brugere. Mailtjenester giver f.eks. brugerne mulighed for at give andre brugere tilladelse til at sende mail på deres vegne. Denne besked angiver med større sikkerhed, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og blev brugt til at udføre repræsentationsaktiviteter til skadelige formål, f.eks. afsendelse af phishing-mails til distribution af malware eller tværgående bevægelse. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med Office 365 repræsentationsadvarsel er:

  • Umulig rejse til et atypisk sted, der fører til Office 365 repræsentation

  • Logonhændelse fra en ukendt placering, der fører til Office 365 repræsentation

  • Logonhændelse fra en inficeret enhed, der fører til Office 365 repræsentation

  • Logonhændelse fra en anonym IP-adresse, der fører til Office 365 repræsentation

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til Office 365 repræsentation

Regler for mistænkelig indbakkemanipulation, der er angivet efter mistænkelig Microsoft Entra logon

Dette scenarie tilhører to trusselsklassificeringer på denne liste: tværgående bevægelse og dataudfiltrering. Af hensyn til klarheden fremgår det af begge afsnit.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, tværgående bevægelse, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), intern spyd phishing (T1534), automatiseret exfiltration (T1020)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at der blev angivet unormale indbakkeregler for en brugers indbakke efter et mistænkeligt logon på en Microsoft Entra konto. Dette bevis giver en indikation af, at den konto, der er angivet i beskrivelsen af Fusion-hændelsen, er blevet kompromitteret og blev brugt til at manipulere brugerens indbakkeregler til skadelige formål og muligvis til at exfiltrere data fra organisationens netværk. Alternativt kan hackeren forsøge at generere phishing-mails fra organisationen (omgå mekanismer til phishing-registrering, der er målrettet til mail fra eksterne kilder) med det formål at flytte side om side ved at få adgang til yderligere bruger- og/eller privilegerede konti. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med beskeden om regler for manipulation af mistænkelig indbakke er:

  • Umulig rejse til en atypisk placering, der fører til mistænkelig indbakke manipulation regel

  • Logonhændelse fra en ukendt placering, der fører til mistænkelig regel for manipulation af indbakker

  • Logonhændelse fra en inficeret enhed, der fører til mistænkelig regel for manipulation af indbakke

  • Logonhændelse fra en anonym IP-adresse, der fører til mistænkelig regel for manipulation af indbakke

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistænkelig regel for manipulation af indbakke

Ondsindet administrativ aktivitet

Mistænkelig administration af cloudapps efter mistænkelig Microsoft Entra logon

MITRE ATT&CK taktik: Indledende adgang, vedholdenhed, forsvarunddragelse, tværgående bevægelse, samling, eksfiltration og indvirkning

MITRE ATT&CK-teknikker: NIELSEN

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at der blev udført et unormalt antal administrative aktiviteter i en enkelt session efter et mistænkeligt Microsoft Entra logon fra den samme konto. Dette tyder på, at den konto, der er nævnt i beskrivelsen af Fusion-hændelsen, kan være blevet kompromitteret og blev brugt til at foretage et vilkårligt antal uautoriserede administrative handlinger med ondsindet hensigt. Dette angiver også, at en konto med administrative rettigheder kan være blevet kompromitteret. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med den mistænkelige besked om administrative aktiviteter i cloudappen er:

  • Umulig rejse til en atypisk placering, der fører til mistænkelige administrative aktiviteter i cloudapps

  • Logonhændelse fra en ukendt placering, der fører til mistænkelig administrativ aktivitet i cloudappen

  • Logonhændelse fra en inficeret enhed, der fører til mistænkelig administrativ aktivitet i cloudappen

  • Logonhændelse fra en anonym IP-adresse, der fører til mistænkelig administrativ aktivitet i cloudappen

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistænkelig administrativ aktivitet i cloudappen

Aktiviteter til videresendelse af mail efter den nye administratorkontoaktivitet blev ikke set for nylig

Dette scenarie tilhører to trusselsklassificeringer på denne liste: ondsindet administrativ aktivitet og dataudfiltrering. Af hensyn til klarheden fremgår det af begge afsnit.

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, samling, eksfiltration

MITRE ATT&CK-teknikker: Gyldig konto (T1078), mailsamling (T1114), eksfiltration via webtjeneste (T1567)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type angiver, at der enten er oprettet en ny Exchange-administratorkonto, eller at en eksisterende Exchange-administratorkonto har foretaget nogle administrative handlinger for første gang i de sidste to uger, og at kontoen derefter udførte nogle handlinger til videresendelse af mail, hvilket er usædvanligt for en administratorkonto. Dette tyder på, at den brugerkonto, der er angivet i beskrivelsen af fusionshændelsen, er blevet kompromitteret eller manipuleret, og at den blev brugt til at exfiltrere data fra organisationens netværk.

Skadelig udførelse med legitim proces

PowerShell har oprettet en mistænkelig netværksforbindelse efterfulgt af unormal trafik, der er markeret af Palo Alto Networks firewall.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Udførelse

MITRE ATT&CK-teknikker: Kommando- og scriptfortolker (T1059)

Datakilder til dataconnector: Microsoft Defender for Endpoint (tidligere Microsoft Defender Advanced Threat Protection eller MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusionshændelser af denne type angiver, at en anmodning om udgående forbindelse blev foretaget via en PowerShell-kommando, og derefter blev der registreret unormal indgående aktivitet af Palo Alto Networks Firewall. Dette tyder på, at en hacker sandsynligvis har fået adgang til dit netværk og forsøger at udføre skadelige handlinger. Forbindelsesforsøg fra PowerShell, der følger dette mønster, kan være en indikation af malwarekommando og -kontrolaktivitet, anmodninger om download af yderligere malware eller en hacker, der etablerer fjern interaktiv adgang. Som med alle "at leve af jorden"-angreb kan denne aktivitet være en legitim brug af PowerShell. Udførelsen af PowerShell-kommandoen efterfulgt af mistænkelig indgående firewallaktivitet øger dog tilliden til, at PowerShell bruges på en ondsindet måde og bør undersøges yderligere. I Palo Alto-logfiler fokuserer Microsoft Sentinel på trusselslogge, og trafik betragtes som mistænkelig, når trusler er tilladt (mistænkelige data, filer, oversvømmelser, pakker, scanninger, spyware, URL-adresser, virus, sårbarheder, løbeildvirus, løbeild). Se også Palo Alto Threat Log, der svarer til den trussel/indholdstype, der er angivet i beskrivelsen af Fusion-hændelsen, for at få yderligere oplysninger om vigtige beskeder.

Mistænkelig ekstern WMI-udførelse efterfulgt af unormal trafik, der er markeret af Palo Alto Networks firewall

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Eksekvering, registrering

MITRE ATT&CK-teknikker: Windows Management Instrumentation (T1047)

Datakilder for dataconnector: Microsoft Defender for Endpoint (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusionshændelser af denne type angiver, at WMI-kommandoer (Windows Management Interface) blev udført eksternt på et system, og derefter blev mistænkelig indgående aktivitet registreret af Palo Alto Networks Firewall. Dette tyder på, at en person med ondsindede hensigter kan have fået adgang til dit netværk og forsøger at flytte side om side, eskalere rettigheder og/eller udføre skadelige nyttedata. Som med alle "levende fra jorden" angreb, kan denne aktivitet være en legitim brug af WMI. Fjernudførelsen af WMI-kommandoen efterfulgt af mistænkelig indgående firewallaktivitet øger dog tilliden til, at WMI bruges på en ondsindet måde og bør undersøges yderligere. I Palo Alto-logfiler fokuserer Microsoft Sentinel på trusselslogge, og trafik betragtes som mistænkelig, når trusler er tilladt (mistænkelige data, filer, oversvømmelser, pakker, scanninger, spyware, URL-adresser, virus, sårbarheder, løbeildvirus, løbeild). Se også Palo Alto Threat Log, der svarer til den trussel/indholdstype, der er angivet i beskrivelsen af Fusion-hændelsen, for at få yderligere oplysninger om vigtige beskeder.

Mistænkelig PowerShell-kommandolinje efter mistænkeligt logon

MITRE ATT&CK taktik: Indledende adgang, udførelse

MITRE ATT&CK-teknikker: Gyldig konto (T1078), kommando- og scriptfortolker (T1059)

Datakilder til dataconnector: Microsoft Entra ID Protection, Microsoft Defender for Endpoint (tidligere MDATP)

Beskrivelse: Fusionshændelser af denne type angiver, at en bruger udførte potentielt skadelige PowerShell-kommandoer efter et mistænkeligt logon på en Microsoft Entra konto. Dette tyder med stor tillid på, at den konto, der er nævnt i beskrivelsen af beskeden, er blevet kompromitteret, og at der er foretaget yderligere ondsindede handlinger. Hackere bruger ofte PowerShell til at udføre skadelige nyttedata i hukommelsen uden at efterlade artefakter på disken for at undgå registrering af diskbaserede sikkerhedsmekanismer, f.eks. virusscannere. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med den mistænkelige PowerShell-kommandobesked er:

  • Umulig rejse til atypiske steder, der fører til mistænkelig PowerShell-kommandolinje

  • Logonhændelse fra en ukendt placering, der fører til mistænkelig PowerShell-kommandolinje

  • Logonhændelse fra en inficeret enhed, der fører til mistænkelig PowerShell-kommandolinje

  • Logonhændelse fra en anonym IP-adresse, der fører til mistænkelig PowerShell-kommandolinje

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistænkelig PowerShell-kommandolinje

Malware C2 eller download

Beacon-mønster registreret af Fortinet efter flere mislykkede brugerlogon til en tjeneste

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, kommando og kontrol

MITRE ATT&CK-teknikker: Gyldig konto (T1078), ikke-Standard port (T1571), T1065 (udgået)

Datakilder for dataconnector: Microsoft Sentinel (regel for planlagt analyse), Microsoft Defender for Cloud Apps

Beskrivelse: Fusionshændelser af denne type angiver kommunikationsmønstre fra en intern IP-adresse til en ekstern, der er i overensstemmelse med beaconing, efter at flere mislykkede brugerlogon til en tjeneste fra en relateret intern enhed. Kombinationen af disse to hændelser kan være en indikation af malware-infektion eller af en kompromitteret vært, der udfører dataudfiltrering.

Beacon-mønster registreret af Fortinet efter mistænkelig Microsoft Entra logon

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, kommando og kontrol

MITRE ATT&CK-teknikker: Gyldig konto (T1078), ikke-Standard port (T1571), T1065 (udgået)

Datakilder for dataconnector: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type indikerer kommunikationsmønstre, fra en intern IP-adresse til en ekstern, der er i overensstemmelse med beaconing, efter at en bruger logger på af mistænkelig karakter for at Microsoft Entra ID. Kombinationen af disse to hændelser kan være en indikation af malware-infektion eller af en kompromitteret vært, der udfører dataudfiltrering. Permutationerne af beaconmønsteret, der registreres af Fortinet-beskeder med mistænkelige Microsoft Entra logonbeskeder, er:

  • Umulig rejse til en atypisk placering, der fører til beacon mønster opdaget af Fortinet

  • Logonhændelse fra et ukendt sted, der fører til beacon-mønster opdaget af Fortinet

  • Logonhændelse fra en inficeret enhed, der fører til et beaconmønster, der er registreret af Fortinet

  • Logonhændelse fra en anonym IP-adresse, der fører til beacon-mønster opdaget af Fortinet

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til beacon-mønster registreret af Fortinet

Netværksanmodning til TOR-anonymiseringstjeneste efterfulgt af unormal trafik, der er markeret af Palo Alto Networks firewall.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Kommando og kontrolelement

MITRE ATT&CK-teknikker: Krypteret kanal (T1573), proxy (T1090)

Datakilder for dataconnector: Microsoft Defender for Endpoint (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusionshændelser af denne type angiver, at der blev foretaget en anmodning om udgående forbindelse til tor-anonymiseringstjenesten, og derefter blev unormal indgående aktivitet registreret af Palo Alto Networks Firewall. Dette tyder på, at en person med ondsindede hensigter sandsynligvis har fået adgang til dit netværk og forsøger at skjule sine handlinger og hensigter. Forbindelser til tor-netværket, der følger dette mønster, kan være en indikation af malwarekommando og -kontrolaktivitet, anmodninger om download af yderligere malware eller en hacker, der etablerer ekstern interaktiv adgang. I Palo Alto-logfiler fokuserer Microsoft Sentinel på trusselslogge, og trafik betragtes som mistænkelig, når trusler er tilladt (mistænkelige data, filer, oversvømmelser, pakker, scanninger, spyware, URL-adresser, virus, sårbarheder, løbeildvirus, løbeild). Se også Palo Alto Threat Log, der svarer til den trussel/indholdstype, der er angivet i beskrivelsen af Fusion-hændelsen, for at få yderligere oplysninger om vigtige beskeder.

Udgående forbindelse til IP med en historik over uautoriseret adgangsforsøg efterfulgt af unormal trafik, der er markeret af Palo Alto Networks firewall

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Kommando og kontrolelement

MITRE ATT&CK-teknikker: Ikke tilgængelig

Datakilder for dataconnector: Microsoft Defender for Endpoint (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusionshændelser af denne type angiver, at der blev etableret en udgående forbindelse til en IP-adresse med en historik over uautoriseret adgangsforsøg, og derefter blev der registreret unormal aktivitet af Palo Alto Networks Firewall. Dette tyder på, at en hacker sandsynligvis har fået adgang til dit netværk. Forbindelsesforsøg, der følger dette mønster, kan være en indikation af malwarekommando og -kontrolaktivitet, anmodninger om download af yderligere malware eller en hacker, der etablerer fjern interaktiv adgang. I Palo Alto-logfiler fokuserer Microsoft Sentinel på trusselslogge, og trafik betragtes som mistænkelig, når trusler er tilladt (mistænkelige data, filer, oversvømmelser, pakker, scanninger, spyware, URL-adresser, virus, sårbarheder, løbeildvirus, løbeild). Se også Palo Alto Threat Log, der svarer til den trussel/indholdstype, der er angivet i beskrivelsen af Fusion-hændelsen, for at få yderligere oplysninger om vigtige beskeder.

Persistens

(Ny trusselsklassificering)

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Vedholdenhed, indledende adgang

MITRE ATT&CK-teknikker: Opret konto (T1136), gyldig konto (T1078)

Datakilder for dataconnector: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type indikerer, at et program blev givet samtykke af en bruger, der aldrig eller sjældent har gjort det, efter et relateret mistænkeligt logon på en Microsoft Entra konto. Dette tyder på, at den konto, der er nævnt i beskrivelsen af Fusion-hændelsen, kan være blevet kompromitteret og brugt til at få adgang til eller manipulere programmet til skadelige formål. Samtykke til program, Tilføj tjenesteprincipal og Tilføj OAuth2PermissionGrant bør typisk være sjældne hændelser. Hackere kan bruge denne type konfigurationsændring til at etablere eller bevare deres fodfæste på systemer. Permutationerne for mistænkelige Microsoft Entra logonbeskeder med den sjældne besked om samtykke fra programmet er:

  • Umulig rejse til en atypisk placering, der fører til sjældent programsamtykke

  • Logonhændelse fra en ukendt placering, der fører til sjældent programsamtykke

  • Logonhændelse fra en inficeret enhed, der fører til sjældent programsamtykke

  • Logonhændelse fra en anonym IP-adresse, der fører til sjældent programsamtykke

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til sjældent programsamtykke

Ransomware

Udførelse af ransomware efter mistænkelig Microsoft Entra logon

MITRE ATT&CK taktik: Indledende adgang, virkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), data krypteret for indvirkning (T1486)

Datakilder til dataconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type indikerer, at unormal brugeradfærd, der angiver et ransomware-angreb, blev opdaget efter et mistænkeligt logon på en Microsoft Entra konto. Denne indikation giver høj sikkerhed for, at den konto, der er angivet i beskrivelsen af fusionshændelsen, er blevet kompromitteret og blev brugt til at kryptere data med henblik på at afpresse dataejeren eller nægte dataejeren adgang til deres data. Permutationerne af mistænkelige Microsoft Entra logonbeskeder med ransomware udførelsesadvarslen er:

  • Umulig rejse til en atypisk placering, der fører til ransomware i cloudapp

  • Logonhændelse fra en ukendt placering, der fører til ransomware i cloudappen

  • Logonhændelse fra en inficeret enhed, der fører til ransomware i cloudappen

  • Logonhændelse fra en anonym IP-adresse, der fører til ransomware i cloudappen

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til ransomware i cloudapp

Fjernudnyttelse

Mistanke om brug af angrebsramme efterfulgt af uregelmæssig trafik, der er markeret af Palo Alto Networks firewall

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, udførelse, tværgående bevægelse, rettighedseskalering

MITRE ATT&CK-teknikker: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)

Datakilder for dataconnector: Microsoft Defender for Endpoint (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusionshændelser af denne type indikerer, at ikke-standardbrug af protokoller, der ligner brugen af angrebsrammer som Metasploit, blev opdaget, og derefter blev mistænkelig indgående aktivitet opdaget af Palo Alto Networks Firewall. Dette kan være en indledende indikation af, at en person med ondsindede hensigter har udnyttet en tjeneste til at få adgang til dine netværksressourcer, eller at en person med ondsindede hensigter allerede har fået adgang og forsøger yderligere at udnytte tilgængelige systemer/tjenester til at flytte side om side og/eller eskalere rettigheder. I Palo Alto-logfiler fokuserer Microsoft Sentinel på trusselslogge, og trafik betragtes som mistænkelig, når trusler er tilladt (mistænkelige data, filer, oversvømmelser, pakker, scanninger, spyware, URL-adresser, virus, sårbarheder, løbeildvirus, løbeild). Se også Palo Alto Threat Log, der svarer til den trussel/indholdstype, der er angivet i beskrivelsen af Fusion-hændelsen, for at få yderligere oplysninger om vigtige beskeder.

Ressourcekapring

(Ny trusselsklassificering)

Mistænkelig udrulning af ressource/ressourcegruppe af en tidligere uset kalder efter mistænkelig Microsoft Entra logon

I dette scenarie bruges beskeder, der er oprettet af planlagte analyseregler.

Dette scenarie findes i øjeblikket i PRØVEVERSION.

MITRE ATT&CK taktik: Indledende adgang, virkning

MITRE ATT&CK-teknikker: Gyldig konto (T1078), ressourcekapring (T1496)

Datakilder for dataconnector: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusionshændelser af denne type angiver, at en bruger har udrullet en Azure ressource eller ressourcegruppe – en sjælden aktivitet – efter et mistænkeligt logon med egenskaber, der ikke er set for nylig, på en Microsoft Entra konto. Dette kan muligvis være et forsøg fra en hacker på at udrulle ressourcer eller ressourcegrupper til skadelige formål efter at have kompromitteret den brugerkonto, der er angivet i beskrivelsen af Fusion-hændelsen.

Permutationerne for mistænkelige Microsoft Entra logonbeskeder med den mistænkelige udrulning af ressource/ressourcegruppe af en tidligere uset opkaldsbesked er:

  • Umulig rejse til en atypisk placering, der fører til mistænkelig udrulning af ressource/ressourcegruppe af en tidligere uset kalder

  • Logonhændelse fra en ukendt placering, der fører til mistænkelig udrulning af ressource/ressourcegruppe af en tidligere uset kalder

  • Logonhændelse fra en inficeret enhed, der fører til mistænkelig udrulning af ressource/ressourcegruppe af en tidligere uset kalder

  • Logonhændelse fra en anonym IP-adresse, der fører til mistænkelig udrulning af ressource/ressourcegruppe af en tidligere uset kalder

  • Logonhændelse fra bruger med lækkede legitimationsoplysninger, der fører til mistænkelig udrulning af ressource/ressourcegruppe af en tidligere uset kalder

Næste trin

Nu, hvor du har lært mere om avanceret registrering af angreb i fleretages, kan du være interesseret i følgende hurtig start for at få mere at vide om, hvordan du får indsigt i dine data og potentielle trusler: Kom i gang med Microsoft Sentinel.

Hvis du er klar til at undersøge de hændelser, der er oprettet for dig, skal du se følgende selvstudium: Undersøg hændelser med Microsoft Sentinel.

  • Last updated on