Microsoft Sentinel Fusion Enginen havaitsemat skenaariot

Tässä asiakirjassa on luettelo skenaariopohjaisista monivaiheisista hyökkäyksistä, jotka on ryhmitelty uhkien luokittelun mukaan ja jotka Microsoft Sentinel havaitsee fuusion korrelaatiomoduulin avulla.

Koska fuusio korreloi useita signaaleja eri tuotteista edistyneiden monivaihehyökkäysten havaitsemiseksi, onnistuneet fuusiotunnistukset esitetään fuusiotapauksina Microsoft Sentinel Incidents -sivulla eikä hälytyksinä, ja ne tallennetaan Logs-taulukonIncidents-taulukkoon eivätkä SecurityAlerts-taulukkoon.

Jotta nämä fuusiopohjaisen hyökkäyksen havaitsemisskenaariot voidaan ottaa käyttöön, kaikki luetellut tietolähteet on otettava käyttöön Log Analytics -työtilassasi. Ajoitettuja analytiikkasääntöjä sisältävissä skenaarioissa noudata ohjeita artikkelissa Ajoitettujen analyysisääntöjen määrittäminen fuusion tunnistuksia varten.

Huomautus

Jotkin näistä skenaarioista ovat esikatselutilassa. Ne ovat niin ilmaistuja.

Resurssien väärinkäytön käsittely

Useita näennäiskoneen luontitoimintoja epäilyttävien Microsoft Entra sisäänkirjautumisen jälkeen

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), resurssien kaappaus (T1496)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että yksittäisessä istunnossa luotiin poikkeava määrä näennäiskoneita epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Tämäntyyppinen hälytys osoittaa suurella luotettavuudella, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä on käytetty uusien näennäiskoneiden luomiseen luvattomiin tarkoituksiin, kuten salauslouhintatoimintojen suorittamiseen. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot useiden näennäiskoneiden luontitoimintohälytyksillä ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainteihin, mikä johtaa useisiin näennäiskokeiden luontitoimintoihin

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa useisiin näennäiskorien luontitoimintoihin

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, mikä johtaa useisiin näennäiskoneiden luontitoimintoihin

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa useisiin näennäiskomien luontitoimintoihin

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat useisiin näennäiskoneiden luontitoimintoihin

Tunnistetietojen käyttö

(Uusi uhkien luokitus)

Käyttäjä palauttaa useita salasanoja epäilyttävän sisäänkirjautumisen jälkeen

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, tunnistetietojen käyttö

MITRE ATT&CK-tekniikat: Valid Account (T1078), Brute Force (T1110)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitetun analysoinnin sääntö), Microsoft Entra ID suojaus

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että käyttäjä nollaa useita salasanoja epäilyttävän Microsoft Entra tiliin kirjautumisen jälkeen. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä käytettiin useiden salasanojen palauttamiseen, jotta päästäisiin useisiin järjestelmiin ja resursseihin. Tilin käsittely (mukaan lukien salasanan vaihtaminen) voi auttaa vastustajia säilyttämään käyttöoikeuksien ja tiettyjen käyttöoikeustasojen ylläpitämisen ympäristössä. Epäilyttävien Microsoft Entra kirjautumisilmoitusten, joissa on useita salasanoja palauttavia ilmoituksia, permutaatiot ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainteihin, mikä johtaa useiden salasanojen palauttamiseen

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa useiden salasanojen palauttamiseen

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa useiden salasanojen palauttamiseen

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa useiden salasanojen palauttamiseen

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat useisiin salasanoihin palauttamiseen

Epäilyttävä sisäänkirjautuminen samaan aikaan onnistuneen Kirjautumisen kanssa Palo Alto VPN:ään IP:n mukaan useilla epäonnistuneilla Microsoft Entra kirjautumisilla

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, tunnistetietojen käyttö

MITRE ATT&CK-tekniikat: Valid Account (T1078), Brute Force (T1110)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitetun analysoinnin sääntö), Microsoft Entra ID suojaus

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että epäilyttävä kirjautuminen Microsoft Entra-tilille tapahtui samaan aikaan palo alto VPN:n kautta tapahtuneen onnistuneen kirjautumisen kanssa IP-osoitteesta, josta useat epäonnistuneet Microsoft Entra kirjautumiset tapahtuivat vastaavassa ajassa. Vaikka nämä kaksi huonolaatuista ilmoitusta eivät todista monivaiheisesta hyökkäyksestä, niiden korrelaatio johtaa korkeaan laatuun perustuviin tapaukseen, joka viittaa haitalliseen alustavaan pääsyyn organisaation verkkoon. Vaihtoehtoisesti tämä voi olla merkki siitä, että hyökkääjä yrittää käyttää raakaa voimatekniikkaa päästäkseen käsiksi Microsoft Entra tiliin. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot "IP-osoitteet, joissa on useita epäonnistuneita Microsoft Entra kirjautuminen kirjautuu onnistuneesti Palo Alto VPN:ään" -hälytykset ovat:

  • Mahdoton matka epätyypilliseen sijaintiin samaan aikaan IP-osoitteen kanssa useiden epäonnistuneiden Microsoft Entra kirjautumiset kirjautuvat onnistuneesti Palo Alto VPN:ään

  • Kirjautumistapahtuma tuntemattomasta sijainnista samaan aikaan IP-osoitteen kanssa useiden epäonnistuneiden Microsoft Entra kirjautuminen Sisään Palo Alto VPN:ään onnistui

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta samaan aikaan IP-osoitteen kanssa useiden epäonnistuneiden Microsoft Entra kirjautuminen sisään onnistui Palo Alto VPN:ään

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta samaan aikaan IP-osoitteen kanssa useiden epäonnistuneiden Microsoft Entra kirjautuminen palo alto VPN:ään onnistuu

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot samaan aikaan IP-osoitteen kanssa, jossa on useita epäonnistuneita Microsoft Entra kirjautuminen kirjautuu onnistuneesti Palo Alto VPN:ään

Tunnistetietojen kerääminen

(Uusi uhkien luokitus)

Pahantahtoisen tunnistetietovarkaustyökalun suorittaminen epäilyttävän sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkukäyttö, tunnistetietojen käyttö

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), käyttöjärjestelmän tunnistetietojen dumppaaminen (T1003)

Tietoyhdistimen lähteet: Microsoft Entra ID Protection, Microsoft Defender for Endpoint

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että tunnettu tunnistetietovarkaustyökalu suoritettiin epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen. Nämä todisteet viittaavat erittäin varmasti siihen, että hälytyksen kuvauksessa mainittu käyttäjätili on vaarantunut ja että se on saattanut käyttää onnistuneesti Mimikatzin kaltaista työkalua tunnistetietojen, kuten avainten, salaamattoman tekstin salasanojen ja/tai salasanan hajautuskoodien keräämiseen järjestelmästä. Korjattujen tunnistetietojen avulla hyökkääjä voi käyttää luottamuksellisia tietoja, laajentaa oikeuksia ja/tai siirtyä sivuttain verkossa. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot haitallisia tunnistetietovarkaustyökaluhälytyksiä käyttäen ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainteihin, mikä johtaa haitallisiin tunnistetietovarkaustyökalun suorituksiin

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa pahantahtoisen tunnistetietovarkaustyökalun suorittamiseen

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa haitallisiin tunnistetietovarkaustyökalun suorituksiin

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa haitallisten tunnistetietojen varkaustyökalun suorittamiseen

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat haitallisten tunnistetietojen varkaustyökalun suorittamiseen

Epäillyt tunnistetietovarkaudet epäilyttävän sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkukäyttö, tunnistetietojen käyttö

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), tunnistetiedot salasanasäilöistä (T1555), käyttöjärjestelmän tunnistetietojen dumppaaminen (T1003)

Tietoyhdistimen lähteet: Microsoft Entra ID Protection, Microsoft Defender for Endpoint

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että tunnistetietovarkauden malleihin liittyvä toiminta tapahtui epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen. Nämä todisteet viittaavat siihen, että hälytyskuvauksessa mainittu käyttäjätili on vaarantunut ja sitä on käytetty esimerkiksi tunnistetietojen, kuten avainten, tekstimuotoisten salasanojen ja salasanan hajautuskoodien, varastamiseen. Varastetut tunnistetiedot saattavat antaa hyökkääjälle mahdollisuuden käyttää luottamuksellisia tietoja, laajentaa oikeuksia ja/tai siirtyä sivuttain verkossa. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot tunnistetietovarkaustoimintahälytyksessä ovat seuraavat:

  • Mahdoton matka epätyypillisiin paikkoihin, jotka johtavat epäiltyyn tunnistetietovarkaustoimintaan

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa epäiltyyn tunnistetietovarkaustoimintaan

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, mikä johtaa epäiltyyn tunnistetietovarkaustoimintaan

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa epäiltyyn tunnistetietovarkaustoimintaan

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat epäiltyyn tunnistetietovarkaustoimintaan

Salauslouhinta

(Uusi uhkien luokitus)

Salauslouhintatoiminta epäilyttävän sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkukäyttö, tunnistetietojen käyttö

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), resurssien kaappaus (T1496)

Tietoyhdistimen lähteet: Microsoft Entra ID Protection, Microsoft Defender for Cloud

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat salauslouhintatoiminnan, joka liittyy epäilyttävään kirjautumisen Microsoft Entra tiliin. Nämä todisteet viittaavat erittäin luotettavasti siihen, että hälytyksen kuvauksessa mainittu käyttäjätili on vaarantunut ja sitä on käytetty kaapata resursseja ympäristössäsi salausvaluutan louhimiseksi. Tämä voi näännyttää laskentatehon resurssit nälkään ja/tai johtaa merkittävästi odotettua suurempiin pilvipalvelun käyttölaskuihin. Epäilyttävien Microsoft Entra kirjautumishälytysten permutaatiot salauslouhinnan toimintahälytyksessä ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainteihin, jotka johtavat salauslouhintatoimintaan

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa salauslouhintatoimintaan

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa salauslouhinnan toimintaan

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa salauslouhintatoimintaan

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, jotka johtavat salauslouhintatoimintoon

Tietojen tuhoaminen

Joukkotiedostojen poistaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Tietojen tuhoaminen (T1485)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että poikkeava määrä yksilöllisiä tiedostoja poistettiin epäilyttävän kirjautumisen jälkeen Microsoft Entra tiliin. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu tili on saattanut vaarantua ja sitä käytettiin tietojen tuhoamiseen haitallisiin tarkoituksiin. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot, joissa on joukkotiedostojen poistoilmoitus, ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijaintiin, mikä johtaa joukkotiedostojen poistamiseen

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa joukkotiedostojen poistamiseen

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa joukkotiedostojen poistamiseen

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa joukkotiedostojen poistamiseen

  • Käyttäjän kirjautumistapahtuma, jonka vuotaneet tunnistetiedot johtivat joukkotiedostojen poistamiseen

Joukkotiedostojen poistaminen Cisco-palomuurin estämän ip-kirjautumisen onnistuneen Microsoft Entra jälkeen

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Tietojen tuhoaminen (T1485)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että virheellinen määrä yksilöllisiä tiedostoja poistettiin onnistuneen Microsoft Entra sisäänkirjautumisen jälkeen, vaikka Cisco-palomuurilaite esti käyttäjän IP-osoitteen. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä on käytetty tietojen tuhoamiseen haitallisiin tarkoituksiin. Koska palomuuri esti IP-osoitteen, sama IP-kirjautuminen onnistui Microsoft Entra ID on mahdollisesti epäilyttävä ja saattaa ilmaista käyttäjätilin tunnistetietojen vaarantumisen.

Joukkotiedoston poistaminen onnistuneen Palo Alto VPN -kirjautumisen jälkeen IP-osoitteen mukaan useilla epäonnistuneilla Microsoft Entra kirjautumisilla

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, tunnistetietojen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Valid Account (T1078), Brute Force (T1110), Data Destruction (T1485)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset ilmaisevat, että palo alto VPN:n kautta onnistuneesti kirjautunut käyttäjä poisti poikkeavan määrän yksilöllisiä tiedostoja IP-osoitteesta, josta useat epäonnistuneet Microsoft Entra kirjautumiset tapahtuivat vastaavassa ajassa. Nämä todisteet viittaavat siihen, että fuusiotapauksessa mainittu käyttäjätili on saattanut vaarantua raakavoimatekniikoilla ja sitä on käytetty tietojen tuhoamiseen haitallisiin tarkoituksiin.

Epäilyttävä sähköpostin poistotoiminto epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Tietojen tuhoaminen (T1485)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että poikkeava määrä sähköposteja poistettiin yksittäisessä istunnossa epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu tili on saattanut vaarantua ja sitä käytettiin tietojen tuhoamiseen haitallisiin tarkoituksiin, kuten organisaation vahingoittamiseen tai roskapostiin liittyvän sähköpostitoiminnan piilottamiseen. Epäilyttävien Microsoft Entra kirjautumisilmoitusten, joissa on epäilyttävä sähköpostin poistotoimintohälytys, permutaatiot ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainneihin, mikä johtaa epäilyttävään sähköpostin poistotoimintoon

  • Kirjautumistapahtuma tuntemattomasta sijainnista, mikä johtaa epäilyttävään sähköpostin poistotoimintoon

  • Sisäänkirjautumistapahtuma tartunnan saaneesta laitteesta, mikä johtaa epäilyttävään sähköpostin poistotoimintoon

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, mikä johtaa epäilyttävään sähköpostin poistotoimintoon

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat epäilyttävään sähköpostin poistotoimintoon

Tietojen suodatus

Sähköpostin edelleenlähetystoiminnot uuden järjestelmänvalvojan tilin toiminnan jälkeen, jota ei ole nähty äskettäin

Tämä skenaario kuuluu tähän luetteloon kahteen uhkien luokitukseen: tietojen suodatus ja haitallinen hallinnollinen toiminta. Selvyyden vuoksi se näkyy kummassakin osassa.

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, kokoelma, suodatus

MITRE ATT&CK-tekniikat: Valid Account (T1078), Email Collection (T1114), Exfiltration Over Web Service (T1567)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että joko uusi Exchange-järjestelmänvalvojatili on luotu tai olemassa oleva Exchange-järjestelmänvalvojatili on ottanut joitakin hallinnollisia toimia ensimmäistä kertaa kahden viime viikon aikana ja että tili on sitten tehnyt joitakin sähköpostin edelleenlähetystoimia, jotka ovat epätavallisia järjestelmänvalvojatilille. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu käyttäjätili on vaarantunut tai sitä on manipuloitu ja sitä käytettiin tietojen suodattamiseen organisaatiosi verkosta.

Joukkotiedoston lataaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkukäyttö, suodatus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että käyttäjä latasi poikkeavan määrän tiedostoja epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Tämä ilmaisee erittäin luotettavasti, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä käytettiin tietojen suodattamiseen organisaatiosi verkosta. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot joukkotiedoston latausilmoitukset ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijaintiin, joka johtaa joukkotiedostojen lataamiseen

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa joukkotiedostojen lataamiseen

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa joukkotiedoston lataamiseen

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa joukkotiedostojen lataamiseen

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, jotka johtavat joukkotiedostojen lataamiseen

Joukkotiedoston lataaminen Cisco-palomuurin estämän ip-osoitteen onnistuneen Microsoft Entra jälkeen

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, suodatus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Exfiltration Over Web Service (T1567)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että käyttäjä latasi poikkeavan määrän tiedostoja onnistuneen Microsoft Entra sisäänkirjautumisen jälkeen, vaikka Cisco-palomuurilaite esti käyttäjän IP-osoitteen. Tämä voi olla hyökkääjän yritys suodattaa tietoja organisaation verkosta käyttäjätilin vaarantumisen jälkeen. Koska palomuuri esti IP-osoitteen, sama IP-kirjautuminen onnistui Microsoft Entra ID on mahdollisesti epäilyttävä ja saattaa ilmaista käyttäjätilin tunnistetietojen vaarantumisen.

Joukkotiedoston lataaminen samaan aikaan SharePoint-tiedostotoiminnon kanssa aiemmin näkymättömästä IP-osoitteesta

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Suodatus

MITRE ATT&CK-tekniikat: Suodatus verkkopalvelun (T1567) kautta, tiedonsiirron kokorajoitukset (T1030)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että aiemmin näkymättömästä IP-osoitteesta yhdistetty käyttäjä latasi poikkeavan määrän tiedostoja. Vaikka nämä kaksi huonolaatuista ilmoitusta eivät ole todisteena monivaihehyökkäyksestä, niiden korrelaatio johtaa erittäin luotettavaan tapaukseen, joka viittaa hyökkääjän yritykseen suodattaa tiedot organisaation verkosta mahdollisesti vaarantuneelta käyttäjätililtä. Vakaissa ympäristöissä aiemmin näkymättömien PIKA-yhteyksien käyttö saattaa olla luvatonta erityisesti silloin, jos niihin liittyy määräpiikkejä, jotka voivat liittyä asiakirjojen laajamittaiseen suodattimeen.

Joukkotiedostojen jakaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkukäyttö, suodatus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Exfiltration Over Web Service (T1567)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että useita tietyn kynnyksen ylittäviä tiedostoja jaettiin muille epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Tämä ilmaisee, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä on käytetty tietojen tyhjentämiseen organisaatiosi verkosta jakamalla tiedostoja, kuten asiakirjoja, laskentataulukoita ja niin edelleen, luvattomien käyttäjien kanssa haitallisiin tarkoituksiin. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot, joissa on yhteiskäyttöilmoitus, ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijaintiin, mikä johtaa tiedostojen joukkojakoon

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa tiedostojen joukkojakoon

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa joukkotiedostojen jakamiseen

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa tiedostojen joukkojakoon

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat tiedostojen joukkojakoon

Useita Power BI -raporttien jakamistoimintoja epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, suodatus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Exfiltration Over Web Service (T1567)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että poikkeava määrä Power BI -raportteja jaettiin yksittäisessä istunnossa epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Tämä ilmaisee erittäin luotettavasti, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä käytettiin tietojen suodattimeen organisaatiosi verkosta jakamalla Power BI -raportteja luvattomien käyttäjien kanssa haitallisiin tarkoituksiin. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot useilla Power BI -raporttien jakamistoiminnoilla ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainteihin, mikä johtaa useisiin Power BI -raporttien jakamistoimintoihin

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa useisiin Power BI -raporttien jakamistoimintoihin

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa useisiin Power BI -raporttien jakamistoimintoihin

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa useisiin Power BI -raporttien jakamistoimintoihin

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat useisiin Power BI -raporttien jakamistoimintoihin

Office 365 postilaatikon suodatus epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, suodatus, kokoelma

MITRE ATT&CK-tekniikat: Valid Account (T1078), E-mail collection (T1114), Automated Exfiltration (T1020)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että epäilyttävä Saapuneet-kansion edelleenlähetyssääntö asetettiin käyttäjän Saapuneet-kansioon epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Tämä ilmaisee, että käyttäjän tili (mainittu fuusiotapauksen kuvauksessa) on vaarantunut ja että sitä käytettiin tietojen suodattamiseen organisaatiosi verkosta ottamalla käyttöön postilaatikon edelleenlähetyssääntö ilman todellisen käyttäjän tietoja. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot Office 365 postilaatikon exfiltration-hälytyksessä ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainneihin, mikä johtaa postilaatikon Office 365 suodattimeen

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa postilaatikon Office 365 suodattimeen

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa postilaatikon Office 365 suodatusta

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa postilaatikon Office 365 suodatusta

  • Käyttäjän kirjautumistapahtuma, jonka vuotaneet tunnistetiedot johtivat postilaatikon Office 365 suodattimeen

SharePoint-tiedostotoiminto aiemmin näkymättömästä IP-osoitteesta haittaohjelmien tunnistamisen jälkeen

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Suodatus, puolustuksen välttely

MITRE ATT&CK-tekniikat: Tiedonsiirron kokorajoitukset (T1030)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että hyökkääjä yritti suodattaa suuria tietomääriä lataamalla tai jakamalla SharePointin kautta haittaohjelmien avulla. Vakaissa ympäristöissä aiemmin näkymättömien PIKA-yhteyksien käyttö saattaa olla luvatonta erityisesti silloin, jos niihin liittyy määräpiikkejä, jotka voivat liittyä asiakirjojen laajamittaiseen suodattimeen.

Epäilyttävät Saapuneet-kansion käsittelysäännöt asetettu epäilyttävien Microsoft Entra sisäänkirjautumisen jälkeen

Tämä skenaario kuuluu kahteen tämän luettelon uhkaluokitukseen: tietojen suodatus ja sivuttaissiirto. Selvyyden vuoksi se näkyy kummassakin osassa.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Ensimmäinen käyttö, sivuttainen liike, suodatus

MITRE ATT&CK-tekniikat: Valid Account (T1078), Internal Spear Phishing (T1534), Automated Exfiltration (T1020)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että käyttäjän Saapuneet-kansioon on asetettu poikkeavat Saapuneet-kansion säännöt epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Nämä todisteet antavat erittäin luotettavan viitteitä siitä, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä käytettiin käyttäjän sähköpostin Saapuneet-kansion sääntöjen muokkaamiseen haitallisiin tarkoituksiin, mahdollisesti tietojen suodattamiseen organisaation verkosta. Vaihtoehtoisesti hyökkääjä voi yrittää luoda tietojenkalastelusähköposteja organisaation sisältä (ohittamalla tietojenkalastelun havaitsemismekanismit, jotka on kohdistettu ulkoisista lähteistä peräisin oleviin sähköpostiviesteihin) sivuttain siirtymiseksi hankkimalla käyttöoikeuden muihin käyttäjiin ja/tai etuoikeutettuihin tileihin. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot epäilyttävän Saapuneet-kansion käsittelysääntöjen hälytyksen kanssa ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijaintiin, mikä johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Sisäänkirjautumistapahtuma tartunnan saaneesta laitteesta, mikä johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, mikä johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

Epäilyttävä Power BI -raporttien jakaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, suodatus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Exfiltration Over Web Service (T1567)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että epäilyttävä Power BI -raporttien jakamistoiminto tapahtui epäilyttävän kirjautumisen jälkeen Microsoft Entra tiliin. Jakamistoiminto todettiin epäilyttäväksi, koska Power BI -raportti sisälsi luottamuksellisia tietoja, jotka tunnistettiin luonnollisella kielellä ja koska se jaettiin ulkoisella sähköpostiosoitteella, julkaistiin verkossa tai toimitettiin tilannevedoksena ulkoisesti tilattuun sähköpostiosoitteeseen. Tämä ilmoitus ilmaisee suurella luotettavuudella, että fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä on käytetty luottamuksellisten tietojen suodattamiseen organisaatiostasi jakamalla Power BI -raportteja luvattomien käyttäjien kanssa haitallisia tarkoituksia varten. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot epäilyttävällä Power BI -raportin jakamisella ovat seuraavat:

  • Mahdoton matka epätavalliseen sijaintiin, mikä johtaa epäilyttävään Power BI -raportin jakamiseen

  • Kirjautumistapahtuma tuntemattomasta sijainnista, mikä johtaa epäilyttävään Power BI -raportin jakamiseen

  • Tartunnan saaneen laitteen kirjautumistapahtuma, joka johtaa epäilyttävään Power BI -raportin jakamiseen

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, mikä johtaa epäilyttävään Power BI -raportin jakamiseen

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, mikä johtaa epäilyttävään Power BI -raportin jakamiseen

Palvelunesto

Useita näennäiskoneen poistotoimintoja epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Valid Account (T1078), Endpoint Denial of Service (T1499)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että poikkeava määrä näennäiskoneita poistettiin yksittäisessä istunnossa epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Tämä ilmaisee, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä on käytetty organisaation pilviympäristön häiritsemiseen tai tuhoamiseen. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot useiden näennäiskoneiden poistotoimintojen hälytyksen yhteydessä ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainteihin, mikä johtaa useisiin näennäiskokeiden poistotoimintoihin

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa useisiin näennäiskoneen poistotoimintoihin

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa useisiin näennäiskoneiden poistotoimintoihin

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa useisiin näennäiskomien poistotoimintoihin

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat useisiin näennäiskoneiden poistotoimintoihin

Sivusuuntainen liike

Office 365 tekeytyminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Ensimmäinen käyttö, sivusuuntainen liike

MITRE ATT&CK-tekniikat: Valid Account (T1078), Internal Spear Phishing (T1534)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että Microsoft Entra tililtä tapahtuneen epäilyttävän sisäänkirjautumisen jälkeen tapahtui poikkeava määrä tekeytymistoimia. Joissakin ohjelmissa on vaihtoehtoja, joiden avulla käyttäjät voivat tekeytyä toiseksi käyttäjäksi. Esimerkiksi sähköpostipalveluiden avulla käyttäjät voivat valtuuttaa muita käyttäjiä lähettämään sähköpostia puolestaan. Tämä ilmoitus ilmaisee varmuudella, että fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä on käytetty tekeytymistoimintojen suorittamiseen haitallisiin tarkoituksiin, kuten tietojenkalastelusähköpostien lähettämiseen haittaohjelmien jakelua tai sivuttaista liikkumista varten. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot Office 365 tekeytymisilmoituksella ovat seuraavat:

  • Mahdoton matka epätyypillistän sijainnin, joka johtaa Office 365 tekeytyminen

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa Office 365 tekeytymiseen

  • Sisäänkirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa Office 365 tekeytymiseen

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa Office 365 tekeytymiseen

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat Office 365 tekeytymiseen

Epäilyttävät Saapuneet-kansion käsittelysäännöt asetettu epäilyttävien Microsoft Entra sisäänkirjautumisen jälkeen

Tämä skenaario kuuluu kahteen tämän luettelon uhkaluokitukseen: sivuttaissiirtoon ja tietojen suodattimeen. Selvyyden vuoksi se näkyy kummassakin osassa.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Ensimmäinen käyttö, sivuttainen liike, suodatus

MITRE ATT&CK-tekniikat: Valid Account (T1078), Internal Spear Phishing (T1534), Automated Exfiltration (T1020)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että käyttäjän Saapuneet-kansioon on asetettu poikkeavat Saapuneet-kansion säännöt epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Nämä todisteet antavat erittäin luotettavan viitteitä siitä, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä käytettiin käyttäjän sähköpostin Saapuneet-kansion sääntöjen muokkaamiseen haitallisiin tarkoituksiin, mahdollisesti tietojen suodattamiseen organisaation verkosta. Vaihtoehtoisesti hyökkääjä voi yrittää luoda tietojenkalastelusähköposteja organisaation sisältä (ohittamalla tietojenkalastelun havaitsemismekanismit, jotka on kohdistettu ulkoisista lähteistä peräisin oleviin sähköpostiviesteihin) sivuttain siirtymiseksi hankkimalla käyttöoikeuden muihin käyttäjiin ja/tai etuoikeutettuihin tileihin. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot epäilyttävän Saapuneet-kansion käsittelysääntöjen hälytyksen kanssa ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijaintiin, mikä johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Sisäänkirjautumistapahtuma tartunnan saaneesta laitteesta, mikä johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, mikä johtaa epäilyttävään Saapuneet-kansion käsittelysääntöön

Pahantahtoinen hallinnollinen toiminta

Epäilyttävää pilvisovelluksen hallintatoimintaa epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, pysyvyys, puolustuksen välttely, sivuttaisliike, kokoelma, suodatus ja vaikutus

MITRE ATT&CK-tekniikat: N/A

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että yksittäisessä istunnossa suoritettiin poikkeava määrä hallinnollisia toimia epäilyttävän Microsoft Entra kirjautumisen jälkeen samalta tililtä. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu tili on saattanut vaarantua ja sitä käytettiin tekemään useita luvattomia hallinnollisia toimia pahantahtoisesti. Tämä ilmaisee myös, että tili, jolla on järjestelmänvalvojan oikeudet, on saattanut vaarantua. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot epäilyttävällä pilvisovelluksen hallintahälytyksella ovat seuraavat:

  • Mahdoton matka epätyypillistän sijaintiin, mikä johtaa epäilyttävään pilvisovelluksen hallinnolliseen toimintaan

  • Kirjautumistapahtuma tuntemattomasta sijainnista, mikä johtaa epäilyttävään pilvisovelluksen hallinnolliseen toimintaan

  • Tartunnan saaneen laitteen kirjautumistapahtuma, joka johtaa epäilyttävään pilvisovelluksen hallinnolliseen toimintaan

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, mikä johtaa epäilyttävään pilvisovelluksen hallinnolliseen toimintaan

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, mikä johtaa epäilyttävään pilvisovelluksen hallintatoimintoon

Sähköpostin edelleenlähetystoiminnot uuden järjestelmänvalvojan tilin toiminnan jälkeen, jota ei ole nähty äskettäin

Tämä skenaario kuuluu tähän luetteloon kahteen uhkien luokitukseen: haitalliseen hallinnolliseen toimintaan ja tietojen suodattimeen. Selvyyden vuoksi se näkyy kummassakin osassa.

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, kokoelma, suodatus

MITRE ATT&CK-tekniikat: Valid Account (T1078), Email Collection (T1114), Exfiltration Over Web Service (T1567)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että joko uusi Exchange-järjestelmänvalvojatili on luotu tai olemassa oleva Exchange-järjestelmänvalvojatili on ottanut joitakin hallinnollisia toimia ensimmäistä kertaa kahden viime viikon aikana ja että tili on sitten tehnyt joitakin sähköpostin edelleenlähetystoimia, jotka ovat epätavallisia järjestelmänvalvojatilille. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu käyttäjätili on vaarantunut tai sitä on manipuloitu ja sitä käytettiin tietojen suodattamiseen organisaatiosi verkosta.

Pahantahtoinen suorittaminen laillisella prosessilla

PowerShell teki epäilyttävän verkkoyhteyden, jota seurasi Palo Alto Networksin palomuurin merkitsemä poikkeava liikenne.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Etäsuorittamisen

MITRE ATT&CK-tekniikat: Komento- ja komentosarjatulkki (T1059)

Tietoyhdistimen lähteet: Microsoft Defender for Endpoint (aiemmin Microsoft Defender Advanced Threat Protection eli MDATP), Microsoft Sentinel (ajoitettu analytiikkasääntö)

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että lähtevä yhteyspyyntö tehtiin PowerShell-komennolla, ja sen jälkeen Palo Alto -verkkojen palomuuri havaitsi poikkeavan saapuvan toiminnan. Nämä todisteet viittaavat siihen, että hyökkääjä on todennäköisesti päässyt verkkoosi ja yrittää suorittaa haitallisia toimintoja. Tätä mallia noudattavat PowerShellin yhteysyritykset voivat olla merkki haittaohjelmakomentojen ja -hallintatoimintojen toiminnoista, haittaohjelmien latauspyynnöistä tai hyökkääjästä, joka muodostaa vuorovaikutteisen etäkäytön. Kuten kaikki "asuminen maalla" -hyökkäykset, tämä toiminta voisi olla oikeutettua PowerShellin käyttöä. PowerShell-komennon suorittaminen ja epäilyttävä saapuva palomuuri lisäävät kuitenkin luottamusta siihen, että PowerShelliä käytetään haitallisella tavalla ja että sitä tulee tutkia tarkemmin. Palo Alto -lokeissa Microsoft Sentinel keskittyy uhkalokeihin, ja liikennettä pidetään epäilyttävänä, kun uhat ovat sallittuja (epäilyttävät tiedot, tiedostot, tulvat, paketit, skannaukset, vakoiluohjelmat, URL-osoitteet, virukset, haavoittuvuudet, maastopalovirukset, maastopalot). Katso lisäilmoitustiedot myös Palo Alto Threat Log -lokista, joka vastaa Fuusiotapauksen kuvauksessa mainittua uhka-/sisältötyyppiä .

Epäilyttävä WMI-etäteloitus, jota seuraa Palo Alto Networksin palomuurin merkitsemä poikkeava liikenne

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Suoritus, etsintä

MITRE ATT&CK-tekniikat: Windows Management Instrumentation (T1047)

Tietoyhdistimen lähteet: Microsoft Defender for Endpoint (aiemmin MDATP), Microsoft Sentinel (ajoitettu analytiikkasääntö)

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että Windows Management Interface (WMI) -komennot suoritettiin etäyhteydellä järjestelmässä, minkä jälkeen Palo Alto Networksin palomuuri havaitsi epäilyttävää saapuvaa toimintaa. Nämä todisteet viittaavat siihen, että hyökkääjä on saattanut päästä käyttämään verkkoasi ja yrittää siirtyä sivuttain, laajentaa oikeuksia ja/tai suorittaa haitallisia hyötymääriä. Kuten kaikki "asuminen maalla" -hyökkäykset, tämä toiminta voisi olla oikeutettua WMI: n käyttöä. WMI:n etäkomennon suorittaminen ja epäilyttävä saapuvan palomuurin toiminta lisäävät kuitenkin luottamusta siihen, että WMI:tä käytetään haitallisesti ja että sitä tulee tutkia tarkemmin. Palo Alto -lokeissa Microsoft Sentinel keskittyy uhkalokeihin, ja liikennettä pidetään epäilyttävänä, kun uhat ovat sallittuja (epäilyttävät tiedot, tiedostot, tulvat, paketit, skannaukset, vakoiluohjelmat, URL-osoitteet, virukset, haavoittuvuudet, maastopalovirukset, maastopalot). Katso lisäilmoitustiedot myös Palo Alto Threat Log -lokista, joka vastaa Fuusiotapauksen kuvauksessa mainittua uhka-/sisältötyyppiä .

Epäilyttävä PowerShell-komentorivi epäilyttävän sisäänkirjautumisen jälkeen

MITRE ATT&CK-taktiikka: Ensimmäinen käyttö, suoritus

MITRE ATT&CK-tekniikat: Valid Account (T1078), Command and Scripting Interpreter (T1059)

Tietoyhdistimen lähteet: Microsoft Entra ID Protection, Microsoft Defender for Endpoint (aiemmin MDATP)

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että käyttäjä suoritti mahdollisesti haitallisia PowerShell-komentoja epäilyttävän kirjautumisen jälkeen Microsoft Entra tiliin. Nämä todisteet viittaavat erittäin varmasti siihen, että hälytyksen kuvauksessa mainittu tili on vaarantunut ja että siihen on ryhdytty muita haitallisia toimia. Hyökkääjät käyttävät usein PowerShellin avulla haitallisia hyötykuormia muistissa jättämättä artefakteja levylle, jotta levypohjaisia suojausmekanismeja, kuten virusskannereita, ei tunnisteta. Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot epäilyttävällä PowerShell-komentohälytyksessä ovat seuraavat:

  • Mahdoton matka epätyypillisiin sijainteihin, mikä johtaa epäilyttävään PowerShell-komentoriviin

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa epäilyttävään PowerShell-komentoriviin

  • Tartunnan saaneen laitteen kirjautumistapahtuma, joka johtaa epäilyttävään PowerShell-komentoriviin

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa epäilyttävään PowerShell-komentoriviin

  • Kirjautumistapahtuma käyttäjältä, jonka tunnistetiedot ovat vuotaneet ja jotka johtavat epäilyttävään PowerShell-komentoriviin

Malware C2 tai lataa

Fortinetin havaitsema majakkakuvio useiden epäonnistuneiden käyttäjien palveluun kirjautumisen jälkeen

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, komento ja hallinta

MITRE ATT&CK-tekniikat: Valid Account (T1078), Non-Standard Port (T1571), T1065 (eläkkeellä)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitettu analytiikkasääntö), Microsoft Defender for Cloud Apps

Kuvaus: Tämäntyyppiset fuusiotapaukset ilmaisevat viestintämalleja sisäisestä IP-osoitteesta ulkoiseen osoitteeseen, jotka ovat yhdenmukaisia majakan kanssa, kun useat epäonnistuneet käyttäjän kirjautumiset palveluun liittyvästä sisäisestä entiteetistä. Näiden kahden tapahtuman yhdistelmä voi olla osoitus haittaohjelmatartunnasta tai vaarantuneesta isännästä, joka tekee tietojen suodatustietoja.

Fortinetin havaitsema majakkakuvio epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, komento ja hallinta

MITRE ATT&CK-tekniikat: Valid Account (T1078), Non-Standard Port (T1571), T1065 (eläkkeellä)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitetun analysoinnin sääntö), Microsoft Entra ID suojaus

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat viestintämalleja sisäisestä IP-osoitteesta ulkoiseen osoitteeseen, jotka ovat yhdenmukaisia majakan kanssa, kun käyttäjä on kirjautunut epäilyttävästi Microsoft Entra ID. Näiden kahden tapahtuman yhdistelmä voi olla osoitus haittaohjelmatartunnasta tai vaarantuneesta isännästä, joka tekee tietojen suodatustietoja. Fortinet-hälytysten havaitsemat majakkakuvion permutaatiot epäilyttävillä Microsoft Entra kirjautumishälytyksillä ovat:

  • Mahdoton matka epätyypilliseen sijaintiin, joka johtaa Fortinetin havaitsemaan majakkakuvioon

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa Fortinetin havaitsemaan majakkakuvioon

  • Sisäänkirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa Fortinetin havaitsemaan majakkakuvioon

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa Fortinetin havaitsemaan majakkakuvioon

  • Käyttäjän kirjautumistapahtuma, jonka vuotaneet tunnistetiedot johtavat Fortinetin havaitsemaan majakkakuvioon

Verkkopyyntö ToR-anonyymipalvelulle, jota seuraa Palo Alto Networksin palomuurin merkitsemä poikkeava liikenne.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Komento ja hallinta

MITRE ATT&CK-tekniikat: Salattu kanava (T1573), välityspalvelin (T1090)

Tietoyhdistimen lähteet: Microsoft Defender for Endpoint (aiemmin MDATP), Microsoft Sentinel (ajoitettu analytiikkasääntö)

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että tor-anonyymipalveluun tehtiin lähtevä yhteyspyyntö, minkä jälkeen Palo Alto Networks -palomuuri havaitsi poikkeavan saapuvan toiminnan. Nämä todisteet viittaavat siihen, että hyökkääjä on todennäköisesti päässyt verkkoosi ja yrittää salata toimintansa ja tarkoituksensa. Yhteydet tor-verkkoon tämän mallin mukaisesti voivat olla merkki haittaohjelmien komento- ja hallintatoiminnasta, haittaohjelmien latauspyynnöt tai hyökkääjä, joka muodostaa vuorovaikutteisen etäkäytön. Palo Alto -lokeissa Microsoft Sentinel keskittyy uhkalokeihin, ja liikennettä pidetään epäilyttävänä, kun uhat ovat sallittuja (epäilyttävät tiedot, tiedostot, tulvat, paketit, skannaukset, vakoiluohjelmat, URL-osoitteet, virukset, haavoittuvuudet, maastopalovirukset, maastopalot). Katso lisäilmoitustiedot myös Palo Alto Threat Log -lokista, joka vastaa Fuusiotapauksen kuvauksessa mainittua uhka-/sisältötyyppiä .

Lähtevä yhteys IP-osoitteisiin, jossa on luvaton käyttöyritys, jota seuraa Palo Alto Networksin palomuurin ilmoittama poikkeava liikenne

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Komento ja hallinta

MITRE ATT&CK-tekniikat: Ei käytettävissä

Tietoyhdistimen lähteet: Microsoft Defender for Endpoint (aiemmin MDATP), Microsoft Sentinel (ajoitettu analytiikkasääntö)

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että muodostettiin lähtevä yhteys IP-osoitteeseen, jossa on ollut luvaton käyttöyritys, ja sen jälkeen Palo Alto Networks -palomuuri havaitsi poikkeavan toiminnan. Nämä todisteet viittaavat siihen, että hyökkääjä on todennäköisesti päässyt verkkoosi. Tätä mallia seuraavat yhteysyritykset voivat olla merkkejä haittaohjelmien komento- ja hallintatoiminnoista, haittaohjelmien latauspyynnöistä tai hyökkääjästä, joka muodostaa vuorovaikutteisen etäkäytön. Palo Alto -lokeissa Microsoft Sentinel keskittyy uhkalokeihin, ja liikennettä pidetään epäilyttävänä, kun uhat ovat sallittuja (epäilyttävät tiedot, tiedostot, tulvat, paketit, skannaukset, vakoiluohjelmat, URL-osoitteet, virukset, haavoittuvuudet, maastopalovirukset, maastopalot). Katso lisäilmoitustiedot myös Palo Alto Threat Log -lokista, joka vastaa Fuusiotapauksen kuvauksessa mainittua uhka-/sisältötyyppiä .

Pysyvyys

(Uusi uhkien luokitus)

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Pysyvyys, alkuperäinen käyttö

MITRE ATT&CK-tekniikat: Luo tili (T1136), kelvollinen tili (T1078)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitetun analysoinnin sääntö), Microsoft Entra ID suojaus

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että sovellukselle on myöntänyt suostumus käyttäjältä, joka ei ole koskaan tai harvoin tehnyt niin, sen jälkeen kun kyseessä oli epäilyttävä sisäänkirjautuminen Microsoft Entra tiliin. Nämä todisteet viittaavat siihen, että Fuusiotapauksen kuvauksessa mainittu tili on saattanut vaarantua ja sitä on voitu käyttää sovelluksen käyttämiseen tai manipulointiin haitallisiin tarkoituksiin. Suostumus sovellukselle, Lisää palvelun päänimi ja Lisää OAuth2PermissionGrant ovat yleensä harvinaisia tapahtumia. Hyökkääjät voivat käyttää tämäntyyppistä määritysmuutosta luodakseen tai säilyttääkseen jalansijansa järjestelmissä. Epäilyttävien Microsoft Entra kirjautumishälytysten permutaatiot harvinaisen sovellussuostumushälytyksen avulla ovat seuraavat:

  • Mahdoton matkustaminen epätyypillisiin sijaintiin, mikä johtaa harvinaiseen hakemussuosttamukseen

  • Kirjautumistapahtuma tuntemattomasta sijainnista, mikä johtaa harvinaiseen sovelluksen suostumukseen

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, mikä johtaa harvinaiseen suostumussovellukseen

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa harvinaiseen sovelluksen suostumukseen

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, jotka johtavat harvinaiseen sovelluksen suostumukseen

Kiristysohjelma

Kiristyshaittaohjelman teloitus epäilyttävän kirjautumisen Microsoft Entra jälkeen

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), Data Encrypted for Impact (T1486)

Tietoyhdistimen lähteet: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että epätavallinen käyttäjän käyttäytyminen, joka ilmaisee, että kiristyshaittaohjelmahyökkäys havaittiin epäilyttävän kirjautumisen jälkeen Microsoft Entra tilille. Tämä ilmaisee erittäin luotettavasti, että Fuusiotapauksen kuvauksessa mainittu tili on vaarantunut ja sitä on käytetty tietojen salaamiseen tietojen omistajan kiristämiseksi tai tietojen omistajan tietojen käytön kieltämiseksi. Epäilyttävien Microsoft Entra kirjautumishälytysten permutaatiot kiristyshaittaohjelman teloitushälytyksessä ovat:

  • Mahdoton matka epätyypillisessä sijainnissa, joka johtaa kiristysohjelmiin pilvisovelluksessa

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa kiristyshaittaohjelmaan pilvisovelluksessa

  • Kirjautumistapahtuma tartunnan saaneesta laitteesta, joka johtaa kiristyshaittaohjelmaan pilvisovelluksessa

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, joka johtaa kiristysohjelmiin pilvisovelluksessa

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot, jotka johtavat kiristysohjelmiin pilvisovelluksessa

Etäkäyttö

Epäillään hyökkäyskehyksen käyttöä ja Palo Alto Networksin palomuurin merkitsemää poikkeavaa liikennettä

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkukäyttö, suorittaminen, sivusuuntainen siirto, oikeuksien eskalointi

MITRE ATT&CK-tekniikat: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)

Tietoyhdistimen lähteet: Microsoft Defender for Endpoint (aiemmin MDATP), Microsoft Sentinel (ajoitettu analytiikkasääntö)

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että protokollat, jotka muistuttavat Metasploitin kaltaisten hyökkäyskehysten käyttöä, havaittiin ja sen jälkeen Palo Alto Networks -palomuuri havaitsi epäilyttävää saapuvaa toimintaa. Tämä voi olla ensimmäinen osoitus siitä, että hyökkääjä on hyödyntänyt palvelua päästäkseen käsiksi verkkoresursseihisi tai että hyökkääjä on jo saanut pääsyn ja yrittää edelleen hyödyntää käytettävissä olevia järjestelmiä tai palveluita siirtääkseen myöhempää käyttöä ja/tai eskaloidakseen oikeuksia. Palo Alto -lokeissa Microsoft Sentinel keskittyy uhkalokeihin, ja liikennettä pidetään epäilyttävänä, kun uhat ovat sallittuja (epäilyttävät tiedot, tiedostot, tulvat, paketit, skannaukset, vakoiluohjelmat, URL-osoitteet, virukset, haavoittuvuudet, maastopalovirukset, maastopalot). Katso lisäilmoitustiedot myös Palo Alto Threat Log -lokista, joka vastaa Fuusiotapauksen kuvauksessa mainittua uhka-/sisältötyyppiä .

Resurssien kaappaus

(Uusi uhkien luokitus)

Epäilyttävä resurssien tai resurssiryhmän käyttöönotto aiemmin näkymättömän soittajan toimesta epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

Tässä skenaariossa hyödynnät ajoitettujen analyysisääntöjen tuottamia hälytyksiä.

Tämä skenaario on tällä hetkellä ESIKATSELUSSA.

MITRE ATT&CK-taktiikka: Alkuperäinen käyttö, vaikutus

MITRE ATT&CK-tekniikat: Kelvollinen tili (T1078), resurssien kaappaus (T1496)

Tietoyhdistimen lähteet: Microsoft Sentinel (ajoitetun analysoinnin sääntö), Microsoft Entra ID suojaus

Kuvaus: Tämäntyyppiset fuusiotapaukset osoittavat, että käyttäjä on ottanut käyttöön Azure resurssin tai resurssiryhmän - harvinaisen toiminnan - epäilyttävän sisäänkirjautumisen jälkeen, kun ominaisuuksia ei ole äskettäin nähty, Microsoft Entra tilille. Tämä voi olla hyökkääjän yritys ottaa resursseja tai resurssiryhmiä käyttöön haitallisiin tarkoituksiin, kun fuusiotapauksen kuvauksessa mainittu käyttäjätili on vaarantunut.

Epäilyttävien Microsoft Entra kirjautumisilmoitusten permutaatiot epäilyttävällä resurssi- tai resurssiryhmäkäyttöönotolla aiemmin näkymättömän kutsujahälytyksen avulla ovat seuraavat:

  • Mahdoton matka epätavalliseen sijaintiin, mikä johtaa aiemmin näkymättömän soittajan epäilyttävään resurssien / resurssiryhmän käyttöönottoon

  • Kirjautumistapahtuma tuntemattomasta sijainnista, joka johtaa aiemmin tuntemattoman soittajan epäilyttävään resurssien tai resurssiryhmän käyttöönottoon

  • Tartunnan saaneen laitteen kirjautumistapahtuma, joka johtaa aiemmin näkymättömän soittajan epäilyttävään resurssien/ resurssiryhmän käyttöönottoon

  • Kirjautumistapahtuma anonyymistä IP-osoitteesta, mikä johtaa epäilyttävään resurssien tai resurssiryhmän käyttöönottoon aiemmin tuntemattoman soittajan toimesta

  • Kirjautumistapahtuma käyttäjältä, jolla on vuotaneet tunnistetiedot ja joka johtaa aiemmin näkymättömän soittajan epäilyttävään resurssien tai resurssiryhmän käyttöönottoon

Seuraavat vaiheet

Nyt kun olet oppinut lisää kehittyneestä monivaiheisen hyökkäyksen tunnistamisesta, saatat olla kiinnostunut seuraavasta pikaoppaasta, jossa opit saamaan näkyvyyttä tietoihisi ja mahdollisiin uhkiin: aloita Microsoft Sentinel.

Jos olet valmis tutkimaan puolestasi luotuja tapauksia, katso seuraava opetusohjelma: Tutki tapaukset, joissa on Microsoft Sentinel.

  • Last updated on