Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este documento se enumeran los tipos de ataques de varias fases basados en escenarios, agrupados por clasificación de amenazas, que Microsoft Sentinel detecta mediante el motor de correlación de Fusion.
Dado que Fusion correlaciona varias señales de varios productos para detectar ataques avanzados de varias fases, las detecciones de Fusion correctas se presentan como incidentes de Fusion en la página Incidentes de Microsoft Sentinel y no como alertas, y se almacenan en la tabla Incidentes en Registros y no en la tabla SecurityAlerts.
Para habilitar estos escenarios de detección de ataques con tecnología de Fusion, los orígenes de datos enumerados deben ingerirse en el área de trabajo de Log Analytics. Para escenarios con reglas de análisis programadas, siga las instrucciones de Configuración de reglas de análisis programadas para detecciones de Fusion.
Nota:
Algunos de estos escenarios están en versión preliminar. Se indicarán así.
Abuso de recursos de proceso
Varias actividades de creación de máquinas virtuales después de un inicio de sesión sospechoso Microsoft Entra
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), secuestro de recursos (T1496)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se creó un número anómalo de máquinas virtuales en una sola sesión después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Este tipo de alerta indica, con un alto grado de confianza, que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para crear nuevas máquinas virtuales con fines no autorizados, como ejecutar operaciones de minería de datos criptográficas. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de varias actividades de creación de máquinas virtuales son:
Viaje imposible a una ubicación atípica que conduce a varias actividades de creación de máquinas virtuales
Evento de inicio de sesión desde una ubicación desconocida que conduce a varias actividades de creación de máquinas virtuales
Evento de inicio de sesión desde un dispositivo infectado que conduce a varias actividades de creación de máquinas virtuales
Evento de inicio de sesión desde una dirección IP anónima que conduce a varias actividades de creación de máquinas virtuales
Evento de inicio de sesión del usuario con credenciales filtradas que conducen a varias actividades de creación de máquinas virtuales
Acceso a credenciales
(Nueva clasificación de amenazas)
Varias contraseñas restablecidas por el usuario después del inicio de sesión sospechoso
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, Acceso a credenciales
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), Fuerza bruta (T1110)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que un usuario restablece varias contraseñas después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta evidencia sugiere que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para realizar varios restablecimientos de contraseña con el fin de obtener acceso a varios sistemas y recursos. La manipulación de cuentas (incluido el restablecimiento de contraseña) puede ayudar a los adversarios a mantener el acceso a las credenciales y determinados niveles de permisos dentro de un entorno. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con varias alertas de restablecimiento de contraseña son:
Viaje imposible a una ubicación atípica que conduce al restablecimiento de varias contraseñas
Evento de inicio de sesión desde una ubicación desconocida que conduce al restablecimiento de varias contraseñas
Evento de inicio de sesión desde un dispositivo infectado que conduce al restablecimiento de varias contraseñas
Evento de inicio de sesión desde una dirección IP anónima que conduce al restablecimiento de varias contraseñas
Evento de inicio de sesión del usuario con credenciales filtradas que conduce al restablecimiento de varias contraseñas
Inicio de sesión sospechoso que coincide con el inicio de sesión correcto en Palo Alto VPN by IP con varios inicios de sesión con errores Microsoft Entra
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, Acceso a credenciales
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), Fuerza bruta (T1110)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que un inicio de sesión sospechoso en una cuenta de Microsoft Entra coincidió con un inicio de sesión correcto a través de una VPN de Palo Alto desde una dirección IP desde la que se produjeron varios inicios de sesión de Microsoft Entra con errores en un período de tiempo similar. Aunque no es evidencia de un ataque de varias fases, la correlación de estas dos alertas de baja fidelidad da como resultado un incidente de alta fidelidad que sugiere acceso inicial malintencionado a la red de la organización. Como alternativa, podría ser una indicación de que un atacante intenta usar técnicas de fuerza bruta para obtener acceso a una cuenta de Microsoft Entra. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con alertas de "IP con varios inicios de sesión Microsoft Entra con errores inician sesión correctamente en Palo Alto VPN" son:
Viaje imposible a una ubicación atípica que coincide con la dirección IP con varios inicios de sesión de Microsoft Entra con errores inicia sesión correctamente en Palo Alto VPN
Evento de inicio de sesión desde una ubicación desconocida que coincide con la dirección IP con varios inicios de sesión de Microsoft Entra con errores inicia sesión correctamente en Palo Alto VPN
Evento de inicio de sesión desde un dispositivo infectado que coincide con la dirección IP con varios inicios de sesión de Microsoft Entra con errores inicia sesión correctamente en Palo Alto VPN
Evento de inicio de sesión desde una dirección IP anónima que coincide con ip con varios inicios de sesión de Microsoft Entra con errores inicia sesión correctamente en Palo Alto VPN
Evento de inicio de sesión del usuario con credenciales filtradas que coincide con la dirección IP con varios inicios de sesión de Microsoft Entra con errores inicia sesión correctamente en Palo Alto VPN
Recopilación de credenciales
(Nueva clasificación de amenazas)
Ejecución de herramientas de robo de credenciales malintencionadas tras un inicio de sesión sospechoso
Tácticas de MITRE ATT&CK: Acceso inicial, Acceso a credenciales
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), dumping de credenciales del sistema operativo (T1003)
Orígenes del conector de datos: Microsoft Entra ID Protection, Microsoft Defender para punto de conexión
Descripción: Los incidentes de Fusion de este tipo indican que se ejecutó una herramienta de robo de credenciales conocida después de un inicio de sesión Microsoft Entra sospechoso. Esta evidencia sugiere con gran confianza que la cuenta de usuario indicada en la descripción de la alerta se ha puesto en peligro y puede haber usado correctamente una herramienta como Mimikatz para recopilar credenciales como claves, contraseñas de texto no cifrado o hashes de contraseña del sistema. Las credenciales cosechadas pueden permitir a un atacante acceder a datos confidenciales, escalar privilegios o moverse lateralmente a través de la red. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de herramienta de robo de credenciales malintencionadas son:
Viaje imposible a ubicaciones atípicas que conducen a la ejecución de herramientas de robo de credenciales malintencionadas
Evento de inicio de sesión desde una ubicación desconocida que conduce a la ejecución de herramientas de robo de credenciales malintencionadas
Evento de inicio de sesión desde un dispositivo infectado que conduce a la ejecución de herramientas de robo de credenciales malintencionadas
Evento de inicio de sesión desde una dirección IP anónima que conduce a la ejecución de herramientas de robo de credenciales malintencionadas
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a la ejecución de herramientas de robo de credenciales malintencionadas
Sospecha de actividad de robo de credenciales después de un inicio de sesión sospechoso
Tácticas de MITRE ATT&CK: Acceso inicial, Acceso a credenciales
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), Credenciales de almacenes de contraseñas (T1555), Volcado de credenciales del sistema operativo (T1003)
Orígenes del conector de datos: Microsoft Entra ID Protection, Microsoft Defender para punto de conexión
Descripción: Los incidentes de Fusion de este tipo indican que la actividad asociada a patrones de robo de credenciales se produjo después de un inicio de sesión Microsoft Entra sospechoso. Esta evidencia sugiere con alta confianza que la cuenta de usuario indicada en la descripción de la alerta se ha puesto en peligro y se ha usado para robar credenciales como claves, contraseñas de texto sin formato, hash de contraseñas, etc. Las credenciales robadas pueden permitir a un atacante acceder a datos confidenciales, escalar privilegios o moverse lateralmente a través de la red. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de actividad de robo de credenciales son:
Viaje imposible a ubicaciones atípicas que conducen a una sospecha de actividad de robo de credenciales
Evento de inicio de sesión desde una ubicación desconocida que conduce a una actividad sospechosa de robo de credenciales
Evento de inicio de sesión desde un dispositivo infectado que conduce a una actividad sospechosa de robo de credenciales
Evento de inicio de sesión desde una dirección IP anónima que conduce a una actividad sospechosa de robo de credenciales
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a una actividad de robo de credenciales sospechosa
Minería criptográfica
(Nueva clasificación de amenazas)
Actividad de minería de datos criptográfica tras un inicio de sesión sospechoso
Tácticas de MITRE ATT&CK: Acceso inicial, Acceso a credenciales
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), secuestro de recursos (T1496)
Orígenes del conector de datos: Microsoft Entra ID Protection, Microsoft Defender for Cloud
Descripción: Los incidentes de Fusion de este tipo indican la actividad de minería de cifrado asociada a un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta evidencia sugiere con alta confianza que la cuenta de usuario anotada en la descripción de la alerta se ha puesto en peligro y se usó para secuestrar recursos en su entorno para extraer cripto-moneda. Esto puede privar a los recursos de potencia informática o dar lugar a facturas de uso en la nube significativamente superiores a las esperadas. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de actividad de minería de datos criptográficas son:
Viaje imposible a ubicaciones atípicas que conducen a la actividad de minería criptográfica
Evento de inicio de sesión desde una ubicación desconocida que conduce a la actividad de minería de cifrado
Evento de inicio de sesión desde un dispositivo infectado que conduce a la actividad de minería de cifrado
Evento de inicio de sesión desde una dirección IP anónima que conduce a la actividad de minería de cifrado
Evento de inicio de sesión del usuario con credenciales filtradas que conducen a la actividad de minería de datos criptográfica
Destrucción de datos
Eliminación masiva de archivos después de un inicio de sesión sospechoso Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial, impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), destrucción de datos (T1485)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se eliminó un número anómalo de archivos únicos después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta evidencia sugiere que la cuenta indicada en la descripción del incidente de Fusion puede haber estado en peligro y se usó para destruir datos con fines malintencionados. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de eliminación masiva de archivos son:
Viaje imposible a una ubicación atípica que conduce a la eliminación masiva de archivos
Evento de inicio de sesión desde una ubicación desconocida que conduce a la eliminación masiva de archivos
Evento de inicio de sesión desde un dispositivo infectado que conduce a la eliminación masiva de archivos
Evento de inicio de sesión desde una dirección IP anónima que conduce a la eliminación masiva de archivos
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a la eliminación masiva de archivos
Eliminación masiva de archivos después de Microsoft Entra inicio de sesión correcto desde IP bloqueado por un dispositivo de firewall de Cisco
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), destrucción de datos (T1485)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican que se eliminó un número anómalo de archivos únicos después de un inicio de sesión correcto Microsoft Entra a pesar de que un dispositivo de firewall de Cisco bloqueó la dirección IP del usuario. Esta evidencia sugiere que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para destruir datos con fines malintencionados. Dado que el firewall bloqueó la dirección IP, es posible que el mismo registro DE IP en Microsoft Entra ID sea sospechoso y podría indicar que la credencial está en peligro para la cuenta de usuario.
Eliminación masiva de archivos después de iniciar sesión correctamente en Palo Alto VPN by IP con varios inicios de sesión de Microsoft Entra con errores
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, Acceso a credenciales, Impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), Fuerza bruta (T1110), Destrucción de datos (T1485)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican que un número anómalo de archivos únicos fue eliminado por un usuario que inició sesión correctamente a través de una VPN de Palo Alto desde una dirección IP desde la que se produjeron varios inicios de sesión Microsoft Entra erróneos en un período de tiempo similar. Esta evidencia sugiere que la cuenta de usuario indicada en el incidente de Fusion puede haberse visto comprometida mediante técnicas de fuerza bruta y se usó para destruir datos con fines malintencionados.
Actividad de eliminación de correo electrónico sospechosa después de un inicio de sesión Microsoft Entra sospechoso
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), destrucción de datos (T1485)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se eliminó un número anómalo de correos electrónicos en una sola sesión después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta evidencia sugiere que la cuenta indicada en la descripción del incidente de Fusion puede haber estado en peligro y se usó para destruir datos con fines malintencionados, como dañar a la organización u ocultar la actividad de correo electrónico relacionada con el correo no deseado. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de actividad de eliminación de correo electrónico sospechosa son:
Viaje imposible a una ubicación atípica que conduce a una actividad de eliminación de correo electrónico sospechosa
Evento de inicio de sesión desde una ubicación desconocida que conduce a una actividad de eliminación de correo electrónico sospechosa
Evento de inicio de sesión desde un dispositivo infectado que conduce a una actividad de eliminación de correo electrónico sospechosa
Evento de inicio de sesión desde una dirección IP anónima que conduce a una actividad de eliminación de correo electrónico sospechosa
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a una actividad de eliminación de correo electrónico sospechosa
Filtración de datos
Actividades de reenvío de correo después de la nueva actividad de cuenta de administrador que no se ha visto recientemente
Este escenario pertenece a dos clasificaciones de amenazas de esta lista: filtración de datos y actividad administrativa malintencionada. Por motivos de claridad, aparece en ambas secciones.
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, recopilación, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), colección Email (T1114), filtración a través del servicio web (T1567)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican que se ha creado una nueva cuenta de administrador de Exchange o que una cuenta de administrador de Exchange existente tomó alguna acción administrativa por primera vez, en las últimas dos semanas, y que la cuenta realizó algunas acciones de reenvío de correo, que son inusuales para una cuenta de administrador. Esta evidencia sugiere que la cuenta de usuario indicada en la descripción del incidente de Fusion se ha puesto en peligro o manipulado, y que se usó para filtrar datos de la red de su organización.
Descarga masiva de archivos después de un inicio de sesión sospechoso Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que un usuario descargó un número anómalo de archivos después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta indicación proporciona una gran confianza en que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para filtrar datos de la red de su organización. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de descarga masiva de archivos son:
Viaje imposible a una ubicación atípica que conduce a la descarga masiva de archivos
Evento de inicio de sesión desde una ubicación desconocida que conduce a la descarga masiva de archivos
Evento de inicio de sesión desde un dispositivo infectado que conduce a la descarga masiva de archivos
Evento de inicio de sesión desde una dirección IP anónima que conduce a la descarga masiva de archivos
Evento de inicio de sesión del usuario con credenciales filtradas que conducen a la descarga masiva de archivos
Descarga masiva de archivos después de Microsoft Entra inicio de sesión correcto desde ip bloqueada por un dispositivo de firewall de Cisco
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), filtración a través del servicio web (T1567)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican que un usuario descargó un número anómalo de archivos después de un inicio de sesión correcto Microsoft Entra a pesar de que un dispositivo de firewall de Cisco bloqueó la dirección IP del usuario. Podría tratarse de un intento de un atacante de filtrar datos de la red de la organización después de poner en peligro una cuenta de usuario. Dado que el firewall bloqueó la dirección IP, es posible que el mismo registro DE IP en Microsoft Entra ID sea sospechoso y podría indicar que la credencial está en peligro para la cuenta de usuario.
Descarga masiva de archivos que coincide con la operación de archivo de SharePoint desde una dirección IP no vista anteriormente
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Filtración
Técnicas de MITRE ATT&CK: Filtración a través del servicio web (T1567), límites de tamaño de transferencia de datos (T1030)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican que un usuario conectado desde una dirección IP no vista anteriormente descargó un número anómalo de archivos. Aunque no es evidencia de un ataque de varias fases, la correlación de estas dos alertas de baja fidelidad da como resultado un incidente de alta fidelidad que sugiere un intento de un atacante de filtrar datos de la red de la organización desde una cuenta de usuario posiblemente en peligro. En entornos estables, estas conexiones por direcciones IP no detectadas anteriormente pueden no estar autorizadas, especialmente si se asocian a picos de volumen que podrían asociarse a la filtración de documentos a gran escala.
Uso compartido masivo de archivos después de un inicio de sesión sospechoso Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), filtración a través del servicio web (T1567)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se compartieron varios archivos por encima de un umbral determinado a otros usuarios después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta indicación proporciona una gran confianza en que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para filtrar datos de la red de su organización mediante el uso compartido de archivos como documentos, hojas de cálculo, etc., con usuarios no autorizados con fines malintencionados. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de uso compartido de archivos masivo son:
Viaje imposible a una ubicación atípica que conduce al uso compartido masivo de archivos
Evento de inicio de sesión desde una ubicación desconocida que conduce al uso compartido masivo de archivos
Evento de inicio de sesión desde un dispositivo infectado que conduce al uso compartido masivo de archivos
Evento de inicio de sesión desde una dirección IP anónima que conduce al uso compartido masivo de archivos
Evento de inicio de sesión del usuario con credenciales filtradas que conduce al uso compartido masivo de archivos
Varias actividades de uso compartido de informes de Power BI después de un inicio de sesión sospechoso Microsoft Entra
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), filtración a través del servicio web (T1567)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que un número anómalo de informes de Power BI se compartió en una sola sesión después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta indicación proporciona una gran confianza en que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para filtrar datos de la red de su organización mediante el uso compartido de informes de Power BI con usuarios no autorizados con fines malintencionados. Las permutaciones de alertas de inicio de sesión sospechosas Microsoft Entra con varias actividades de uso compartido de informes de Power BI son:
Viaje imposible a una ubicación atípica que conduce a varias actividades de uso compartido de informes de Power BI
Evento de inicio de sesión desde una ubicación desconocida que conduce a varias actividades de uso compartido de informes de Power BI
Evento de inicio de sesión desde un dispositivo infectado que conduce a varias actividades de uso compartido de informes de Power BI
Evento de inicio de sesión desde una dirección IP anónima que conduce a varias actividades de uso compartido de informes de Power BI
Evento de inicio de sesión del usuario con credenciales filtradas que conducen a varias actividades de uso compartido de informes de Power BI
Office 365 filtración de buzones después de un inicio de sesión sospechoso Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial, Filtración, Colección
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), Recopilación de correo electrónico (T1114), Filtración automatizada (T1020)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se estableció una regla de reenvío de bandeja de entrada sospechosa en la bandeja de entrada de un usuario después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta indicación proporciona una gran confianza en que la cuenta del usuario (que se indica en la descripción del incidente de Fusion) se ha puesto en peligro y que se usó para filtrar datos de la red de su organización habilitando una regla de reenvío de buzones sin el conocimiento del usuario verdadero. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de filtración del buzón de Office 365 son:
Viaje imposible a una ubicación atípica que conduce a Office 365 filtración de buzones
Evento de inicio de sesión desde una ubicación desconocida que conduce a Office 365 filtración de buzones
Evento de inicio de sesión desde un dispositivo infectado que conduce a Office 365 filtración de buzones
Evento de inicio de sesión desde una dirección IP anónima que conduce a Office 365 filtración de buzones
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a la filtración de Office 365 buzón
Operación de archivo de SharePoint desde una dirección IP no vista anteriormente después de la detección de malware
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Filtración, Evasión de defensa
Técnicas de MITRE ATT&CK: Límites de tamaño de transferencia de datos (T1030)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican que un atacante intentó filtrar grandes cantidades de datos descargando o compartiendo a través de SharePoint mediante el uso de malware. En entornos estables, estas conexiones por direcciones IP no detectadas anteriormente pueden no estar autorizadas, especialmente si se asocian a picos de volumen que podrían asociarse a la filtración de documentos a gran escala.
Reglas de manipulación de bandeja de entrada sospechosas establecidas después del inicio de sesión Microsoft Entra sospechoso
Este escenario pertenece a dos clasificaciones de amenazas de esta lista: filtración de datos y movimiento lateral. Por motivos de claridad, aparece en ambas secciones.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, movimiento lateral, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), phishing de lanza interna (T1534), filtración automatizada (T1020)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que las reglas anómalas de bandeja de entrada se establecieron en la bandeja de entrada de un usuario después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta evidencia proporciona una indicación de alta confianza de que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para manipular las reglas de bandeja de entrada de correo electrónico del usuario con fines malintencionados, posiblemente para filtrar datos de la red de la organización. Como alternativa, el atacante podría estar intentando generar correos electrónicos de suplantación de identidad desde dentro de la organización (omitiendo los mecanismos de detección de suplantación de identidad (phishing) dirigidos al correo electrónico desde orígenes externos) con el fin de moverse lateralmente obteniendo acceso a cuentas de usuario o con privilegios adicionales. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de reglas de manipulación de bandeja de entrada sospechosas son:
Viaje imposible a una ubicación atípica que conduce a una regla de manipulación sospechosa de bandeja de entrada
Evento de inicio de sesión desde una ubicación desconocida que conduce a una regla de manipulación de bandeja de entrada sospechosa
Evento de inicio de sesión desde un dispositivo infectado que conduce a una regla de manipulación de bandeja de entrada sospechosa
Evento de inicio de sesión desde una dirección IP anónima que conduce a una regla de manipulación sospechosa de bandeja de entrada
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a una regla de manipulación sospechosa de bandeja de entrada
Uso compartido de informes sospechosos de Power BI después del inicio de sesión sospechoso Microsoft Entra
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), filtración a través del servicio web (T1567)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se produjo una actividad sospechosa de uso compartido de informes de Power BI después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. La actividad de uso compartido se identificó como sospechosa porque el informe de Power BI contenía información confidencial identificada mediante el procesamiento de lenguaje natural y porque se compartió con una dirección de correo electrónico externa, se publicó en la web o se entregó como instantánea a una dirección de correo electrónico suscrita externamente. Esta alerta indica con gran confianza que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para filtrar datos confidenciales de su organización mediante el uso compartido de informes de Power BI con usuarios no autorizados con fines malintencionados. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con el uso compartido de informes sospechosos de Power BI son:
Viaje imposible a una ubicación atípica que conduce a un uso compartido sospechoso de informes de Power BI
Evento de inicio de sesión desde una ubicación desconocida que conduce al uso compartido de informes sospechosos de Power BI
Evento de inicio de sesión desde un dispositivo infectado que conduce al uso compartido de informes sospechosos de Power BI
Evento de inicio de sesión desde una dirección IP anónima que conduce al uso compartido de informes sospechosos de Power BI
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a un uso compartido sospechoso de informes de Power BI
Denegación de servicio
Varias actividades de eliminación de máquinas virtuales después de un inicio de sesión sospechoso Microsoft Entra
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), denegación de servicio del punto de conexión (T1499)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se eliminó un número anómalo de máquinas virtuales en una sola sesión después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta indicación proporciona una gran confianza en que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para intentar interrumpir o destruir el entorno en la nube de la organización. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de varias actividades de eliminación de máquinas virtuales son:
Viaje imposible a una ubicación atípica que conduce a varias actividades de eliminación de máquinas virtuales
Evento de inicio de sesión desde una ubicación desconocida que conduce a varias actividades de eliminación de máquinas virtuales
Evento de inicio de sesión desde un dispositivo infectado que conduce a varias actividades de eliminación de máquinas virtuales
Evento de inicio de sesión desde una dirección IP anónima que conduce a varias actividades de eliminación de máquinas virtuales
Evento de inicio de sesión del usuario con credenciales filtradas que conducen a varias actividades de eliminación de máquinas virtuales
Movimiento lateral
Office 365 suplantación después de un inicio de sesión sospechoso Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial, movimiento lateral
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), phishing de lanza interna (T1534)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se produjo un número anómalo de acciones de suplantación después de un inicio de sesión sospechoso desde una cuenta de Microsoft Entra. En algunos software, hay opciones para permitir a los usuarios suplantar a otros usuarios. Por ejemplo, los servicios de correo electrónico permiten a los usuarios autorizar a otros usuarios a enviar correo electrónico en su nombre. Esta alerta indica con mayor confianza que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para realizar actividades de suplantación con fines malintencionados, como el envío de correos electrónicos de suplantación de identidad para la distribución de malware o el movimiento lateral. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de suplantación Office 365 son:
Viaje imposible a una ubicación atípica que conduce a Office 365 suplantación
Evento de inicio de sesión desde una ubicación desconocida que conduce a Office 365 suplantación
Evento de inicio de sesión desde un dispositivo infectado que conduce a la suplantación de Office 365
Evento de inicio de sesión desde una dirección IP anónima que conduce a Office 365 suplantación
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a Office 365 suplantación
Reglas de manipulación de bandeja de entrada sospechosas establecidas después del inicio de sesión Microsoft Entra sospechoso
Este escenario pertenece a dos clasificaciones de amenazas de esta lista: movimiento lateral y filtración de datos. Por motivos de claridad, aparece en ambas secciones.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, movimiento lateral, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), phishing de lanza interna (T1534), filtración automatizada (T1020)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que las reglas anómalas de bandeja de entrada se establecieron en la bandeja de entrada de un usuario después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta evidencia proporciona una indicación de alta confianza de que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para manipular las reglas de bandeja de entrada de correo electrónico del usuario con fines malintencionados, posiblemente para filtrar datos de la red de la organización. Como alternativa, el atacante podría estar intentando generar correos electrónicos de suplantación de identidad desde dentro de la organización (omitiendo los mecanismos de detección de suplantación de identidad (phishing) dirigidos al correo electrónico desde orígenes externos) con el fin de moverse lateralmente obteniendo acceso a cuentas de usuario o con privilegios adicionales. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de reglas de manipulación de bandeja de entrada sospechosas son:
Viaje imposible a una ubicación atípica que conduce a una regla de manipulación sospechosa de bandeja de entrada
Evento de inicio de sesión desde una ubicación desconocida que conduce a una regla de manipulación de bandeja de entrada sospechosa
Evento de inicio de sesión desde un dispositivo infectado que conduce a una regla de manipulación de bandeja de entrada sospechosa
Evento de inicio de sesión desde una dirección IP anónima que conduce a una regla de manipulación sospechosa de bandeja de entrada
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a una regla de manipulación sospechosa de bandeja de entrada
Actividad administrativa malintencionada
Actividad administrativa sospechosa de la aplicación en la nube después del inicio de sesión sospechoso Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial, persistencia, evasión de defensa, movimiento lateral, recopilación, filtración e impacto
Técnicas de MITRE ATT&CK: N/A
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se realizó un número anómalo de actividades administrativas en una sola sesión después de un inicio de sesión sospechoso Microsoft Entra desde la misma cuenta. Esta evidencia sugiere que la cuenta indicada en la descripción del incidente de Fusion puede haber estado en peligro y se usó para realizar cualquier número de acciones administrativas no autorizadas con intenciones malintencionadas. Esto también indica que es posible que una cuenta con privilegios administrativos se haya puesto en peligro. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de actividad administrativa de la aplicación en la nube sospechosa son:
Viaje imposible a una ubicación atípica que conduce a una actividad administrativa sospechosa de aplicaciones en la nube
Evento de inicio de sesión desde una ubicación desconocida que conduce a una actividad administrativa sospechosa de aplicaciones en la nube
Evento de inicio de sesión desde un dispositivo infectado que conduce a una actividad administrativa de aplicación en la nube sospechosa
Evento de inicio de sesión desde una dirección IP anónima que conduce a una actividad administrativa de aplicación en la nube sospechosa
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a una actividad administrativa de aplicación en la nube sospechosa
Actividades de reenvío de correo después de la nueva actividad de cuenta de administrador que no se ha visto recientemente
Este escenario pertenece a dos clasificaciones de amenazas de esta lista: actividad administrativa malintencionada y filtración de datos. Por motivos de claridad, aparece en ambas secciones.
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, recopilación, filtración
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), colección Email (T1114), filtración a través del servicio web (T1567)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican que se ha creado una nueva cuenta de administrador de Exchange o que una cuenta de administrador de Exchange existente tomó alguna acción administrativa por primera vez, en las últimas dos semanas, y que la cuenta realizó algunas acciones de reenvío de correo, que son inusuales para una cuenta de administrador. Esta evidencia sugiere que la cuenta de usuario indicada en la descripción del incidente de Fusion se ha puesto en peligro o manipulado, y que se usó para filtrar datos de la red de su organización.
Ejecución malintencionada con proceso legítimo
PowerShell realizó una conexión de red sospechosa, seguida de tráfico anómalo marcado por el firewall de Palo Alto Networks.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Ejecución
Técnicas de MITRE ATT&CK: Intérprete de comandos y scripting (T1059)
Orígenes del conector de datos: Microsoft Defender para punto de conexión (anteriormente Microsoft Defender Advanced Threat Protection o MDATP), Microsoft Sentinel (regla de análisis programado)
Descripción: Los incidentes de Fusion de este tipo indican que se realizó una solicitud de conexión saliente a través de un comando de PowerShell y, a continuación, el firewall de Palo Alto Networks detectó una actividad de entrada anómala. Esta evidencia sugiere que un atacante probablemente ha obtenido acceso a la red y está intentando realizar acciones malintencionadas. Los intentos de conexión de PowerShell que siguen este patrón podrían ser una indicación de actividad de control y comando de malware, solicitudes para la descarga de malware adicional o un atacante que establezca acceso interactivo remoto. Al igual que con todos los ataques de "vivir fuera de la tierra", esta actividad podría ser un uso legítimo de PowerShell. Sin embargo, la ejecución del comando de PowerShell seguida de una actividad de firewall entrante sospechosa aumenta la confianza de que PowerShell se usa de forma malintencionada y debe investigarse aún más. En los registros de Palo Alto, Microsoft Sentinel se centra en los registros de amenazas y el tráfico se considera sospechoso cuando se permiten amenazas (datos sospechosos, archivos, inundaciones, paquetes, exámenes, spyware, direcciones URL, virus, vulnerabilidades, incendios forestales, incendios forestales). Haga referencia también al registro de amenazas de Palo Alto correspondiente al tipo de contenido o amenaza que se muestra en la descripción del incidente de Fusion para obtener detalles de alerta adicionales.
Ejecución de WMI remota sospechosa seguida de tráfico anómalo marcado por el firewall de Palo Alto Networks
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Ejecución, detección
Técnicas de MITRE ATT&CK: Instrumental de administración de Windows (T1047)
Orígenes del conector de datos: Microsoft Defender para punto de conexión (anteriormente MDATP), Microsoft Sentinel (regla de análisis programado)
Descripción: Los incidentes de Fusion de este tipo indican que los comandos de la Interfaz de administración de Windows (WMI) se ejecutaron de forma remota en un sistema y, a continuación, el Firewall de Palo Alto Networks detectó una actividad entrante sospechosa. Esta evidencia sugiere que un atacante puede haber obtenido acceso a la red y está intentando moverse lateralmente, escalar privilegios o ejecutar cargas malintencionadas. Al igual que con todos los ataques de "vivir fuera de la tierra", esta actividad podría ser un uso legítimo de WMI. Sin embargo, la ejecución remota del comando WMI seguida de una actividad de firewall entrante sospechosa aumenta la confianza de que WMI se usa de forma malintencionada y se debe investigar más. En los registros de Palo Alto, Microsoft Sentinel se centra en los registros de amenazas y el tráfico se considera sospechoso cuando se permiten amenazas (datos sospechosos, archivos, inundaciones, paquetes, exámenes, spyware, direcciones URL, virus, vulnerabilidades, incendios forestales, incendios forestales). Haga referencia también al registro de amenazas de Palo Alto correspondiente al tipo de contenido o amenaza que se muestra en la descripción del incidente de Fusion para obtener detalles de alerta adicionales.
Línea de comandos de PowerShell sospechosa después del inicio de sesión sospechoso
Tácticas de MITRE ATT&CK: Acceso inicial, ejecución
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), intérprete de comandos y scripting (T1059)
Orígenes del conector de datos: Microsoft Entra ID Protection, Microsoft Defender para punto de conexión (anteriormente MDATP)
Descripción: Los incidentes de Fusion de este tipo indican que un usuario ejecutó comandos de PowerShell potencialmente malintencionados después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta evidencia sugiere con gran confianza que la cuenta anotada en la descripción de la alerta se ha puesto en peligro y se han tomado otras acciones malintencionadas. Los atacantes suelen usar PowerShell para ejecutar cargas malintencionadas en la memoria sin dejar artefactos en el disco, con el fin de evitar la detección por medio de mecanismos de seguridad basados en disco, como los escáneres de virus. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de comando de PowerShell sospechosa son:
Viaje imposible a ubicaciones atípicas que conducen a una línea de comandos de PowerShell sospechosa
Evento de inicio de sesión desde una ubicación desconocida que conduce a una línea de comandos de PowerShell sospechosa
Evento de inicio de sesión desde un dispositivo infectado que conduce a una línea de comandos de PowerShell sospechosa
Evento de inicio de sesión desde una dirección IP anónima que conduce a una línea de comandos de PowerShell sospechosa
Evento de inicio de sesión del usuario con credenciales filtradas que conducen a una línea de comandos de PowerShell sospechosa
Malware C2 o descarga
Patrón de baliza detectado por Fortinet después de varios inicios de sesión de usuario con errores en un servicio
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso, comando y control iniciales
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), puerto no Standard (T1571), T1065 (retirado)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Defender for Cloud Apps
Descripción: Los incidentes de Fusion de este tipo indican patrones de comunicación, desde una dirección IP interna a una externa, que son coherentes con la señalización, después de varios inicios de sesión de usuario con errores en un servicio desde una entidad interna relacionada. La combinación de estos dos eventos podría ser una indicación de infección por malware o de un host en peligro que realiza la filtración de datos.
Patrón de baliza detectado por Fortinet después de un inicio de sesión sospechoso Microsoft Entra
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso, comando y control iniciales
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), puerto no Standard (T1571), T1065 (retirado)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican patrones de comunicación, desde una dirección IP interna a una externa, que son coherentes con la señalización, después de que un usuario inicie sesión de una naturaleza sospechosa para Microsoft Entra ID. La combinación de estos dos eventos podría ser una indicación de infección por malware o de un host en peligro que realiza la filtración de datos. Las permutaciones del patrón de baliza detectadas por las alertas de Fortinet con alertas de inicio de sesión Microsoft Entra sospechosas son:
Viaje imposible a una ubicación atípica que conduce al patrón de baliza detectado por Fortinet
Evento de inicio de sesión desde una ubicación desconocida que conduce al patrón de baliza detectado por Fortinet
Evento de inicio de sesión desde un dispositivo infectado que conduce al patrón de baliza detectado por Fortinet
Evento de inicio de sesión desde una dirección IP anónima que conduce al patrón de baliza detectado por Fortinet
Evento de inicio de sesión del usuario con credenciales filtradas que conducen al patrón de baliza detectado por Fortinet
Solicitud de red al servicio de anonimización TOR seguida de tráfico anómalo marcado por el firewall de Palo Alto Networks.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Comando y control
Técnicas de MITRE ATT&CK: Canal cifrado (T1573), proxy (T1090)
Orígenes del conector de datos: Microsoft Defender para punto de conexión (anteriormente MDATP), Microsoft Sentinel (regla de análisis programado)
Descripción: Los incidentes de Fusion de este tipo indican que se realizó una solicitud de conexión saliente al servicio de anonimización tor y, a continuación, el firewall de Palo Alto Networks detectó una actividad de entrada anómala. Esta evidencia sugiere que un atacante probablemente ha obtenido acceso a la red y está intentando ocultar sus acciones e intención. Las conexiones a la red TOR que siguen este patrón podrían ser una indicación de actividad de control y comando de malware, solicitudes para la descarga de malware adicional o un atacante que establezca el acceso interactivo remoto. En los registros de Palo Alto, Microsoft Sentinel se centra en los registros de amenazas y el tráfico se considera sospechoso cuando se permiten amenazas (datos sospechosos, archivos, inundaciones, paquetes, exámenes, spyware, direcciones URL, virus, vulnerabilidades, incendios forestales, incendios forestales). Haga referencia también al registro de amenazas de Palo Alto correspondiente al tipo de contenido o amenaza que se muestra en la descripción del incidente de Fusion para obtener detalles de alerta adicionales.
Conexión saliente a IP con un historial de intentos de acceso no autorizados seguido de tráfico anómalo marcado por el firewall de Palo Alto Networks
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Comando y control
Técnicas de MITRE ATT&CK: No aplicable
Orígenes del conector de datos: Microsoft Defender para punto de conexión (anteriormente MDATP), Microsoft Sentinel (regla de análisis programado)
Descripción: Los incidentes de Fusion de este tipo indican que se estableció una conexión saliente a una dirección IP con un historial de intentos de acceso no autorizados y, a continuación, el Firewall de Palo Alto Networks detectó una actividad anómala. Esta evidencia sugiere que es probable que un atacante haya obtenido acceso a la red. Los intentos de conexión que siguen este patrón podrían ser una indicación de actividad de control y comando de malware, solicitudes para la descarga de malware adicional o un atacante que establezca acceso interactivo remoto. En los registros de Palo Alto, Microsoft Sentinel se centra en los registros de amenazas y el tráfico se considera sospechoso cuando se permiten amenazas (datos sospechosos, archivos, inundaciones, paquetes, exámenes, spyware, direcciones URL, virus, vulnerabilidades, incendios forestales, incendios forestales). Haga referencia también al registro de amenazas de Palo Alto correspondiente al tipo de contenido o amenaza que se muestra en la descripción del incidente de Fusion para obtener detalles de alerta adicionales.
Persistencia
(Nueva clasificación de amenazas)
Consentimiento poco frecuente de la aplicación después del inicio de sesión sospechoso
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Persistencia, acceso inicial
Técnicas de MITRE ATT&CK: Crear cuenta (T1136), Cuenta válida (T1078)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que un usuario que nunca o rara vez ha dado su consentimiento a una aplicación, después de un inicio de sesión sospechoso relacionado en una cuenta de Microsoft Entra. Esta evidencia sugiere que la cuenta indicada en la descripción del incidente de Fusion puede haberse puesto en peligro y usarse para acceder a la aplicación o manipularla con fines malintencionados. Dar su consentimiento a la aplicación, Agregar entidad de servicio y Agregar OAuth2PermissionGrant suelen ser eventos poco frecuentes. Los atacantes pueden usar este tipo de cambio de configuración para establecer o mantener su posición en los sistemas. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la rara alerta de consentimiento de la aplicación son:
Viaje imposible a una ubicación atípica que conduce a un consentimiento poco frecuente de la aplicación
Evento de inicio de sesión desde una ubicación desconocida que conduce al consentimiento poco frecuente de la aplicación
Evento de inicio de sesión desde un dispositivo infectado que conduce al consentimiento poco frecuente de la aplicación
Evento de inicio de sesión desde una dirección IP anónima que conduce al consentimiento poco frecuente de la aplicación
Evento de inicio de sesión del usuario con credenciales filtradas que conducen al consentimiento poco frecuente de la aplicación
Ransomware
Ejecución de ransomware después de un inicio de sesión sospechoso Microsoft Entra
Tácticas de MITRE ATT&CK: Acceso inicial, impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), Data Encrypted for Impact (T1486)
Orígenes del conector de datos: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que se detectó un comportamiento anómalo del usuario que indica un ataque de ransomware después de un inicio de sesión sospechoso en una cuenta de Microsoft Entra. Esta indicación proporciona una gran confianza en que la cuenta indicada en la descripción del incidente de Fusion se ha puesto en peligro y se ha usado para cifrar los datos con el fin de extorsionar al propietario de los datos o denegar el acceso del propietario de los datos a sus datos. Las permutaciones de alertas de inicio de sesión Microsoft Entra sospechosas con la alerta de ejecución de ransomware son:
Viaje imposible a una ubicación atípica que conduce a ransomware en la aplicación en la nube
Evento de inicio de sesión desde una ubicación desconocida que conduce a ransomware en la aplicación en la nube
Evento de inicio de sesión desde un dispositivo infectado que conduce a ransomware en la aplicación en la nube
Evento de inicio de sesión desde una dirección IP anónima que conduce a ransomware en la aplicación en la nube
Evento de inicio de sesión del usuario con credenciales filtradas que conducen a ransomware en la aplicación en la nube
Explotación remota
Sospecha de uso del marco de ataque seguido de tráfico anómalo marcado por el firewall de Palo Alto Networks
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, ejecución, movimiento lateral, escalación de privilegios
Técnicas de MITRE ATT&CK: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)
Orígenes del conector de datos: Microsoft Defender para punto de conexión (anteriormente MDATP), Microsoft Sentinel (regla de análisis programado)
Descripción: Los incidentes de fusión de este tipo indican que se detectaron usos no estándar de protocolos, parecidos al uso de marcos de ataque como Metasploit, y, a continuación, el Firewall de Palo Alto Networks detectó actividad entrante sospechosa. Esto puede ser una indicación inicial de que un atacante ha aprovechado un servicio para obtener acceso a los recursos de red o que un atacante ya ha obtenido acceso y está intentando aprovechar aún más los sistemas o servicios disponibles para moverse lateralmente o escalar privilegios. En los registros de Palo Alto, Microsoft Sentinel se centra en los registros de amenazas y el tráfico se considera sospechoso cuando se permiten amenazas (datos sospechosos, archivos, inundaciones, paquetes, exámenes, spyware, direcciones URL, virus, vulnerabilidades, incendios forestales, incendios forestales). Haga referencia también al registro de amenazas de Palo Alto correspondiente al tipo de contenido o amenaza que se muestra en la descripción del incidente de Fusion para obtener detalles de alerta adicionales.
Secuestro de recursos
(Nueva clasificación de amenazas)
Implementación sospechosa de recursos o grupos de recursos por parte de un llamador que no se ha detectado previamente después de un inicio de sesión sospechoso Microsoft Entra
En este escenario se usan las alertas generadas por las reglas de análisis programadas.
Este escenario se encuentra actualmente en VERSIÓN PRELIMINAR.
Tácticas de MITRE ATT&CK: Acceso inicial, impacto
Técnicas de MITRE ATT&CK: Cuenta válida (T1078), secuestro de recursos (T1496)
Orígenes del conector de datos: Microsoft Sentinel (regla de análisis programado), Microsoft Entra ID Protection
Descripción: Los incidentes de Fusion de este tipo indican que un usuario ha implementado un recurso de Azure o un grupo de recursos (una actividad poco frecuente) después de un inicio de sesión sospechoso, con propiedades no vistas recientemente, en una cuenta de Microsoft Entra. Podría tratarse de un intento de un atacante de implementar recursos o grupos de recursos con fines malintencionados después de poner en peligro la cuenta de usuario indicada en la descripción del incidente de Fusion.
Las permutaciones de alertas de inicio de sesión sospechosas Microsoft Entra con la implementación sospechosa de recursos o grupos de recursos por parte de una alerta de llamador no vista anteriormente son:
Viaje imposible a una ubicación atípica que conduce a la implementación sospechosa de recursos o grupos de recursos por parte de un llamador que no se ha detectado previamente
Evento de inicio de sesión desde una ubicación desconocida que conduce a la implementación sospechosa de recursos o grupos de recursos por parte de un llamador que no se ha detectado previamente
Evento de inicio de sesión desde un dispositivo infectado que conduce a la implementación sospechosa de recursos o grupos de recursos por parte de un llamador que no se ha detectado previamente
Evento de inicio de sesión desde una dirección IP anónima que conduce a la implementación sospechosa de recursos o grupos de recursos por parte de un llamador que no se ha detectado previamente
Evento de inicio de sesión del usuario con credenciales filtradas que conduce a la implementación sospechosa de recursos o grupos de recursos por parte de un llamador que no se ha detectado previamente
Pasos siguientes
Ahora que ha aprendido más sobre la detección avanzada de ataques de varias fases, es posible que le interese el siguiente inicio rápido para obtener información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas: Introducción a Microsoft Sentinel.
Si está listo para investigar los incidentes que se crean automáticamente, consulte el siguiente tutorial: Investigación de incidentes con Microsoft Sentinel.