このドキュメントでは、Fusion 相関エンジンを使用して検出Microsoft Sentinel、脅威分類別にグループ化されたシナリオベースのマルチステージ攻撃の種類を示します。
Fusion は、高度なマルチステージ攻撃を検出するためにさまざまな製品からの複数の信号を関連付けるので、Fusion 検出の成功は、アラートとしてではなく、Microsoft Sentinel インシデント ページに Fusion インシデントとして表示され、SecurityAlerts テーブルではなく、ログの Incidents テーブルに格納されます。
これらの Fusion を利用した攻撃検出シナリオを有効にするには、一覧表示されているすべてのデータ ソースを Log Analytics ワークスペースに取り込む必要があります。 スケジュールされた分析ルールを使用するシナリオの場合は、「 Fusion 検出のスケジュールされた分析ルールを構成する」の手順に従います。
注:
これらのシナリオの一部は プレビュー段階です。 それらはそのように示されます。
コンピューティング リソースの不正使用
不審なMicrosoft Entraサインイン後の複数の VM 作成アクティビティ
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、リソース乗っ取り (T1496)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後、1 つのセッションで異常な数の VM が作成されたことを示します。 この種類のアラートは、Fusion インシデントの説明に記載されているアカウントが侵害され、暗号化マイニング操作の実行などの未承認の目的で新しい VM を作成するために使用されたことを、高い信頼度で示します。 複数の VM 作成アクティビティ アラートを含む不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
複数の VM 作成アクティビティにつながる非定型の場所への不可能な移動
不慣れな場所からサインイン イベントが発生し、複数の VM 作成アクティビティが発生する
感染したデバイスからのサインイン イベントによって、複数の VM 作成アクティビティが発生する
複数の VM 作成アクティビティにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩したユーザーからのサインイン イベントにより、複数の VM 作成アクティビティが発生する
資格情報アクセス
(新しい脅威分類)
疑わしいサインイン後にユーザーが複数のパスワードをリセットする
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、資格情報アクセス
MITRE ATT&CK 手法: 有効なアカウント (T1078)、ブルート フォース (T1110)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、ユーザーが不審なサインイン後に複数のパスワードをMicrosoft Entra アカウントにリセットすることを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害され、複数のシステムとリソースにアクセスするために複数のパスワード リセットを実行するために使用されたことを示唆しています。 アカウント操作 (パスワードリセットを含む) は、環境内の資格情報と特定のアクセス許可レベルへのアクセスを維持する際に敵対者を助ける可能性があります。 複数のパスワード リセット アラートを含む不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
複数のパスワードリセットにつながる非定型の場所への不可能な移動
不慣れな場所からのサインイン イベントによって、複数のパスワードがリセットされる
感染したデバイスからのサインイン イベントによって、複数のパスワードがリセットされる
匿名 IP からサインイン イベントが発生し、複数のパスワードがリセットされる
資格情報が漏洩し、複数のパスワードがリセットされるユーザーからのサインイン イベント
複数のサインインに失敗した場合に、PALO Alto VPN by IP へのサインインに成功した疑わしいサインインと一致Microsoft Entra
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、資格情報アクセス
MITRE ATT&CK 手法: 有効なアカウント (T1078)、ブルート フォース (T1110)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインが、同様の時間枠で複数の失敗したMicrosoft Entraサインインが発生した IP アドレスからの Palo Alto VPN 経由のサインインに成功したことを示します。 マルチステージ攻撃の証拠ではありませんが、これら 2 つの低忠実度アラートの相関関係により、organizationのネットワークへの悪意のある初期アクセスを示唆する忠実度の高いインシデントが発生します。 または、攻撃者がブルート フォース手法を使用してMicrosoft Entra アカウントにアクセスしようとしていることを示している可能性があります。 "複数の失敗したMicrosoft Entra ログインが Palo Alto VPN に正常にログインした IP" アラートを含む不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
複数の失敗したMicrosoft Entraログインで IP と一致する非定型の場所への不可能な移動は、Palo Alto VPN に正常にログインします
不慣れな場所からのサインイン イベントと、失敗した複数のMicrosoft Entra ログインが Palo Alto VPN に正常にログインした IP と一致する
複数の失敗したMicrosoft Entraログインで IP と一致する感染したデバイスからのサインイン イベントが Palo Alto VPN に正常にログインする
複数の失敗したMicrosoft Entraログインが Palo Alto VPN に正常にログインした場合に、匿名 IP と IP が一致した場合のサインイン イベント
資格情報が漏洩したユーザーからのサインイン イベントが、複数の失敗したMicrosoft Entra ログインで IP と一致して Palo Alto VPN に正常にログインする
資格情報の収集
(新しい脅威分類)
不審なサインイン後の悪意のある資格情報の盗難ツールの実行
MITRE ATT&CK 戦術: 初期アクセス、資格情報アクセス
MITRE ATT&CK 手法: 有効なアカウント (T1078)、OS 資格情報のダンプ (T1003)
データ コネクタ ソース: Microsoft Entra ID Protection、Microsoft Defender for Endpoint
説明:この種類の Fusion インシデントは、不審なMicrosoft Entraサインインの後に既知の資格情報の盗難ツールが実行されたことを示します。 この証拠は、アラートの説明に記載されているユーザー アカウントが侵害され、 Mimikatz のようなツールを正常に使用して、キー、プレーンテキスト パスワード、パスワード ハッシュなどの資格情報をシステムから収集した可能性があることを高い自信を持って示唆しています。 収集された資格情報により、攻撃者は機密データにアクセスしたり、特権をエスカレートしたり、ネットワーク全体を横方向に移動したりできます。 悪意のある資格情報の盗難ツールアラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
悪意のある資格情報の盗難ツールの実行につながる非定型の場所への移動が不可能
悪意のある資格情報の盗難ツールの実行につながる、なじみのない場所からのサインイン イベント
悪意のある資格情報の盗難ツールの実行につながる、感染したデバイスからのサインイン イベント
悪意のある資格情報の盗難ツールの実行につながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、悪意のある資格情報の盗難ツールが実行されるユーザーからのサインイン イベント
疑わしいサインイン後の疑わしい資格情報の盗難アクティビティ
MITRE ATT&CK 戦術: 初期アクセス、資格情報アクセス
MITRE ATT&CK 手法: 有効なアカウント (T1078)、パスワード ストアからの資格情報 (T1555)、OS 資格情報のダンプ (T1003)
データ コネクタ ソース: Microsoft Entra ID Protection、Microsoft Defender for Endpoint
説明:この種類の Fusion インシデントは、不審なMicrosoft Entraサインイン後に資格情報の盗難のパターンに関連付けられたアクティビティが発生したことを示します。 この証拠は、アラートの説明に記載されているユーザー アカウントが侵害され、キー、プレーンテキスト パスワード、パスワード ハッシュなどの資格情報を盗むために使用されていることを高い信頼で示しています。 盗まれた資格情報により、攻撃者は機密データにアクセスしたり、特権をエスカレートしたり、ネットワーク全体を横方向に移動したりできます。 資格情報の盗難アクティビティ アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
非定型の場所への移動が不可能で、資格情報の盗難の疑いのあるアクティビティが発生する
不審な資格情報の盗難アクティビティにつながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントによって、資格情報の盗難の疑いがあるアクティビティが発生する
疑わしい資格情報の盗難アクティビティにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、資格情報の盗難の疑いがあるアクティビティが発生したユーザーからのサインイン イベント
Crypto-mining
(新しい脅威分類)
不審なサインイン後の暗号化マイニング アクティビティ
MITRE ATT&CK 戦術: 初期アクセス、資格情報アクセス
MITRE ATT&CK 手法: 有効なアカウント (T1078)、リソース乗っ取り (T1496)
データ コネクタ ソース: Microsoft Entra ID Protection、Microsoft Defender for Cloud
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインに関連付けられている暗号化マイニング アクティビティを示します。 この証拠は、アラートの説明に記載されているユーザー アカウントが侵害され、仮想通貨をマイニングするために環境内のリソースを乗っ取るために使用されたことを高い信頼で示唆しています。 これにより、コンピューティング能力のリソースが不足したり、予想を大幅に上回るクラウド使用量の請求が発生したりする可能性があります。 暗号化マイニング アクティビティ アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
暗号マイニング活動につながる非定型の場所への不可能な旅行
暗号化マイニング アクティビティにつながる、なじみのない場所からのサインイン イベント
暗号化マイニング アクティビティにつながる感染したデバイスからのサインイン イベント
暗号化マイニング アクティビティにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、暗号化マイニング アクティビティにつながるユーザーからのサインイン イベント
データの破棄
不審なMicrosoft Entraサインイン後のファイルの一括削除
MITRE ATT&CK 戦術: 初期アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、データ破棄 (T1485)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に異常な数の一意のファイルが削除されたことを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害された可能性があり、悪意のある目的でデータを破棄するために使用されたことを示唆しています。 一括ファイル削除アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
一括ファイルの削除につながる非定型の場所への不可能な移動
一括ファイルの削除につながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントが発生し、大量のファイルが削除される
匿名 IP アドレスからのサインイン イベントが発生し、大量のファイルが削除される
資格情報が漏洩し、大量のファイルが削除されるユーザーからのサインイン イベント
Cisco ファイアウォール アプライアンスによってブロックされた IP からのMicrosoft Entraサインインに成功した後の一括ファイルの削除
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、データ破棄 (T1485)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明:この種類の Fusion インシデントは、ユーザーの IP アドレスが Cisco ファイアウォール アプライアンスによってブロックされているにもかかわらず、Microsoft Entraサインインに成功した後に異常な数の一意のファイルが削除されたことを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害され、悪意のある目的でデータを破棄するために使用されたことを示唆しています。 ファイアウォールによって IP がブロックされたため、Microsoft Entra IDに正常にログオンしたのと同じ IP ログが疑われる可能性があり、ユーザー アカウントの資格情報の侵害を示す可能性があります。
複数の失敗したMicrosoft Entraサインインを含む IP による Palo Alto VPN へのサインインに成功した後の一括ファイルの削除
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、資格情報アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、ブルート フォース (T1110)、データ破棄 (T1485)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明:この種類の Fusion インシデントは、複数の失敗したMicrosoft Entraサインインが同様の時間枠で発生した IP アドレスから Palo Alto VPN 経由で正常にサインインしたユーザーによって、異常な数の一意のファイルが削除されたことを示します。 この証拠は、Fusion インシデントに記載されているユーザー アカウントがブルート フォース手法を使用して侵害された可能性があり、悪意のある目的でデータを破棄するために使用されたことを示唆しています。
不審なMicrosoft Entraサインイン後の疑わしい電子メールの削除アクティビティ
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、データ破棄 (T1485)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後、1 つのセッションで異常な数の電子メールが削除されたことを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害された可能性があり、organizationに損害を与えたり、スパム関連のメール アクティビティを非表示にしたりするなど、悪意のある目的でデータを破棄するために使用されたことを示唆しています。 不審な電子メール削除アクティビティ アラートを含む不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
不審な電子メールの削除アクティビティにつながる非定型の場所への不可能な移動
不審なメール削除アクティビティにつながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントによって、疑わしい電子メールの削除アクティビティが発生する
不審なメール削除アクティビティにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩したユーザーからのサインイン イベントにより、疑わしい電子メールの削除アクティビティが発生する
データ流出
最近見られない新しい管理者アカウント アクティビティに続くメール転送アクティビティ
このシナリオは、データ 流出 と 悪意のある管理アクティビティという 2 つの脅威分類に属します。 わかりやすくするために、両方のセクションに表示されます。
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、コレクション、流出
MITRE ATT&CK 手法:有効なアカウント (T1078)、Email コレクション (T1114)、Exfiltration Over Web Service (T1567)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明: この種類の Fusion インシデントは、新しい Exchange 管理者アカウントが作成されたか、既存の Exchange 管理者アカウントが過去 2 週間に初めて何らかの管理アクションを実行し、その後、アカウントがメール転送アクションを実行したことを示します。これは、管理者アカウントでは珍しい操作です。 この証拠は、Fusion インシデントの説明に記載されているユーザー アカウントが侵害または操作されていること、およびorganizationのネットワークからデータを流出させるために使用されたことを示唆しています。
不審なMicrosoft Entraサインイン後の大量ファイルのダウンロード
MITRE ATT&CK 戦術: 初期アクセス、流出
MITRE ATT&CK 手法: 有効なアカウント (T1078)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、異常な数のファイルがユーザーによってダウンロードされたことを示します。 この兆候は、Fusion インシデントの説明に記載されているアカウントが侵害され、organizationのネットワークからデータを流出させるために使用されたという高い信頼度を提供します。 一括ファイル ダウンロード アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
大量のファイルのダウンロードにつながる非定型の場所への不可能な移動
一括ファイルのダウンロードにつながる、なじみのない場所からのサインイン イベント
大量のファイルのダウンロードにつながる感染したデバイスからのサインイン イベント
匿名 IP から大量のファイルをダウンロードするサインイン イベント
大量のファイルのダウンロードにつながる資格情報が漏洩したユーザーからのサインイン イベント
Cisco ファイアウォール アプライアンスによってブロックされた IP からの正常なMicrosoft Entraサインインに続く大量のファイルダウンロード
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、流出
MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明:この種類の Fusion インシデントは、ユーザーの IP アドレスが Cisco ファイアウォール アプライアンスによってブロックされているにもかかわらず、正常にMicrosoft Entraサインインした後に、異常な数のファイルがユーザーによってダウンロードされたことを示します。 これは、攻撃者がユーザー アカウントを侵害した後にorganizationのネットワークからデータを流出させようとした可能性があります。 ファイアウォールによって IP がブロックされたため、Microsoft Entra IDに正常にログオンしたのと同じ IP ログが疑われる可能性があり、ユーザー アカウントの資格情報の侵害を示す可能性があります。
以前に見えない IP からの SharePoint ファイル操作と一致する大量のファイルのダウンロード
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 流出
MITRE ATT&CK 手法: Web サービス経由の流出 (T1567)、データ転送サイズ制限 (T1030)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明: この種類の Fusion インシデントは、以前に見えない IP アドレスから接続されたユーザーによって異常な数のファイルがダウンロードされたことを示します。 マルチステージ攻撃の証拠ではありませんが、これら 2 つの低忠実度アラートの相関関係により、攻撃者が侵害された可能性のあるユーザー アカウントからorganizationのネットワークからデータを流出させようとすることを示唆する忠実度の高いインシデントが発生します。 安定した環境では、特に大規模なドキュメント流出に関連する可能性があるボリュームの急増に関連している場合は、見えない IP によるこのような接続が承認されていない可能性があります。
不審なMicrosoft Entraサインイン後の一括ファイル共有
MITRE ATT&CK 戦術: 初期アクセス、流出
MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、特定のしきい値を超えるファイルの数が、Microsoft Entra アカウントへの不審なサインイン後に他のユーザーと共有されたことを示します。 この表示は、Fusion インシデントの説明に記載されているアカウントが侵害され、悪意のある目的で未承認のユーザーとドキュメント、スプレッドシートなどのファイルを共有することで、organizationのネットワークからデータを流出させるために使用されたという高い信頼を提供します。 一括ファイル共有アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
一括ファイル共有につながる非定型の場所への不可能な移動
一括ファイル共有につながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントによって大量のファイル共有が発生する
大量のファイル共有につながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、大量のファイル共有につながるユーザーからのサインイン イベント
不審なMicrosoft Entraサインイン後の複数の Power BI レポート共有アクティビティ
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、流出
MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後、異常な数の Power BI レポートが 1 つのセッションで共有されたことを示します。 この兆候は、Fusion インシデントの説明に記載されているアカウントが侵害され、悪意のある目的で権限のないユーザーと Power BI レポートを共有することで、organizationのネットワークからデータを流出させるために使用されたという高い信頼を提供します。 複数の Power BI レポート共有アクティビティを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
複数の Power BI レポート共有アクティビティにつながる非定型の場所への移動が不可能
不慣れな場所からサインイン イベントが発生し、複数の Power BI レポート共有アクティビティが発生する
感染したデバイスからのサインイン イベントによって、複数の Power BI レポート共有アクティビティが発生する
複数の Power BI レポート共有アクティビティにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩したユーザーからのサインイン イベントにより、複数の Power BI レポート共有アクティビティが発生する
不審なMicrosoft Entraサインイン後のメールボックス流出のOffice 365
MITRE ATT&CK 戦術: 初期アクセス、流出、コレクション
MITRE ATT&CK 手法: 有効なアカウント (T1078)、電子メール コレクション (T1114)、自動流出 (T1020)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後、ユーザーの受信トレイに不審な受信トレイ転送ルールが設定されたことを示します。 この表示は、ユーザーのアカウント (Fusion インシデントの説明に記載されている) が侵害されていること、および真のユーザーの知識がなくてもメールボックス転送ルールを有効にすることで、organizationのネットワークからデータを流出させるために使用されたという高い信頼度を提供します。 Office 365 メールボックス流出アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
メールボックス流出につながる非定型の場所への不可能な移動Office 365
不慣れな場所からのサインイン イベントにより、メールボックスが流出Office 365
感染したデバイスからのサインイン イベントにより、メールボックスが流出Office 365
メールボックスの流出につながる匿名 IP アドレスからのサインイン イベントOffice 365
資格情報が漏洩したユーザーからのサインイン イベントにより、メールボックスが流出Office 365
マルウェア検出後の以前に見えない IP からの SharePoint ファイル操作
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 流出、防御回避
MITRE ATT&CK 手法: データ転送サイズの制限 (T1030)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明: この種類の Fusion インシデントは、攻撃者がマルウェアを使用して SharePoint を通じてダウンロードまたは共有することで大量のデータを流出させようとしたことを示しています。 安定した環境では、特に大規模なドキュメント流出に関連する可能性があるボリュームの急増に関連している場合は、見えない IP によるこのような接続が承認されていない可能性があります。
不審なMicrosoft Entraサインイン後に設定される不審な受信トレイ操作ルール
このシナリオは、この一覧の 2 つの脅威分類 ( データ流出 と 横移動) に属します。 わかりやすくするために、両方のセクションに表示されます。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、横移動、流出
MITRE ATT&CK 手法: 有効なアカウント (T1078)、内部スピア フィッシング (T1534)、自動流出 (T1020)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、異常な受信トレイ ルールがユーザーの受信トレイに設定されたことを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害され、悪意のある目的でユーザーの電子メール受信トレイ ルールを操作するために使用されたことを示す高い信頼度を示します。これにより、organizationのネットワークからデータを流出させる可能性があります。 または、攻撃者は、追加のユーザーや特権アカウントにアクセスして横方向に移動する目的で、organization内からフィッシングメールを生成しようとしている可能性があります (外部ソースからの電子メールを対象とするフィッシング検出メカニズムをバイパスします)。 不審な受信トレイ操作ルール アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
不審な受信トレイ操作ルールにつながる非定型の場所への不可能な移動
不審な受信トレイ操作ルールにつながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントによって疑わしい受信トレイ操作ルールが発生する
不審な受信トレイ操作ルールにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩したユーザーからのサインイン イベントにより、疑わしい受信トレイ操作ルールが発生する
不審なMicrosoft Entraサインイン後の疑わしい Power BI レポートの共有
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、流出
MITRE ATT&CK 手法: 有効なアカウント (T1078)、Web サービス経由の流出 (T1567)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインイン後に疑わしい Power BI レポート共有アクティビティが発生したことを示します。 Power BI レポートには、自然言語処理を使用して識別された機密情報が含まれていたため、共有アクティビティが疑わしいと識別されました。また、外部メール アドレスと共有されていたり、Web に公開されたり、外部サブスクライブされたメール アドレスにスナップショットとして配信されたりしたためです。 このアラートは、Fusion インシデントの説明に記載されているアカウントが侵害され、悪意のある目的で権限のないユーザーと Power BI レポートを共有することで、organizationから機密データを流出させるために使用されたことを高い信頼で示します。 不審な Power BI レポート共有を使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
不審な Power BI レポート共有につながる非定型の場所への移動が不可能
不審な Power BI レポート共有につながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントによって、疑わしい Power BI レポート共有が発生する
不審な Power BI レポート共有につながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、疑わしい Power BI レポート共有につながるユーザーからのサインイン イベント
サービス拒否
不審なMicrosoft Entraサインイン後の複数の VM 削除アクティビティ
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、エンドポイントサービス拒否 (T1499)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後、1 つのセッションで異常な数の VM が削除されたことを示します。 この兆候は、Fusion インシデントの説明に記載されているアカウントが侵害され、organizationのクラウド環境を中断または破棄するために使用されたという高い信頼を提供します。 複数の VM 削除アクティビティ アラートを含む不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
非定型の場所への移動が不可能で、複数の VM 削除アクティビティが発生する
不慣れな場所からのサインイン イベントによって、複数の VM 削除アクティビティが発生する
感染したデバイスからのサインイン イベントによって、複数の VM 削除アクティビティが発生する
複数の VM 削除アクティビティにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、複数の VM 削除アクティビティが発生するユーザーからのサインイン イベント
横方向の移動
不審なMicrosoft Entraサインイン後の偽装をOffice 365する
MITRE ATT&CK 戦術: 初期アクセス、横移動
MITRE ATT&CK 手法: 有効なアカウント (T1078)、内部スピア フィッシング (T1534)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントからの不審なサインインの後に、異常な数の偽装アクションが発生したことを示します。 一部のソフトウェアでは、ユーザーが他のユーザーを偽装できるようにするオプションがあります。 たとえば、電子メール サービスを使用すると、ユーザーは他のユーザーが自分の代わりに電子メールを送信することを承認できます。 このアラートは、Fusion インシデントの説明に記載されているアカウントが侵害され、マルウェアの配布や横移動のためのフィッシング メールの送信など、悪意のある目的で偽装アクティビティを実行するために使用されたという信頼度が高いことを示します。 Office 365偽装アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
Office 365偽装につながる非定型の場所への不可能な旅行
見慣れない場所からのサインイン イベントにより、偽装がOffice 365される
感染したデバイスからのサインイン イベントにより、偽装がOffice 365される
偽装につながる匿名 IP アドレスからのサインイン イベントOffice 365
資格情報が漏洩し、偽装がOffice 365されるユーザーからのサインイン イベント
不審なMicrosoft Entraサインイン後に設定される不審な受信トレイ操作ルール
このシナリオは、横 移動 と データ流出の 2 つの脅威分類に属します。 わかりやすくするために、両方のセクションに表示されます。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、横移動、流出
MITRE ATT&CK 手法: 有効なアカウント (T1078)、内部スピア フィッシング (T1534)、自動流出 (T1020)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後に、異常な受信トレイ ルールがユーザーの受信トレイに設定されたことを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害され、悪意のある目的でユーザーの電子メール受信トレイ ルールを操作するために使用されたことを示す高い信頼度を示します。これにより、organizationのネットワークからデータを流出させる可能性があります。 または、攻撃者は、追加のユーザーや特権アカウントにアクセスして横方向に移動する目的で、organization内からフィッシングメールを生成しようとしている可能性があります (外部ソースからの電子メールを対象とするフィッシング検出メカニズムをバイパスします)。 不審な受信トレイ操作ルール アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
不審な受信トレイ操作ルールにつながる非定型の場所への不可能な移動
不審な受信トレイ操作ルールにつながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントによって疑わしい受信トレイ操作ルールが発生する
不審な受信トレイ操作ルールにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩したユーザーからのサインイン イベントにより、疑わしい受信トレイ操作ルールが発生する
悪意のある管理アクティビティ
不審なMicrosoft Entraサインイン後の疑わしいクラウド アプリ管理アクティビティ
MITRE ATT&CK 戦術: 初期アクセス、永続化、防御回避、横移動、収集、流出、影響
MITRE ATT&CK 手法: N/a
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、同じアカウントからの不審なMicrosoft Entraサインインの後、1 つのセッションで異常な数の管理アクティビティが実行されたことを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害された可能性があり、悪意のある任意の数の不正な管理アクションを行うために使用されたことを示唆しています。 これは、管理特権を持つアカウントが侵害された可能性も示します。 不審なクラウド アプリ管理アクティビティ アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
不審なクラウド アプリ管理アクティビティにつながる非定型の場所への不可能な移動
不審なクラウド アプリ管理アクティビティにつながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントにより、疑わしいクラウド アプリの管理アクティビティが発生する
不審なクラウド アプリ管理アクティビティにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩したユーザーからのサインイン イベントにより、疑わしいクラウド アプリの管理アクティビティが発生する
最近見られない新しい管理者アカウント アクティビティに続くメール転送アクティビティ
このシナリオは、悪意 のある管理アクティビティ と データ流出という 2 つの脅威分類に属します。 わかりやすくするために、両方のセクションに表示されます。
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、コレクション、流出
MITRE ATT&CK 手法:有効なアカウント (T1078)、Email コレクション (T1114)、Exfiltration Over Web Service (T1567)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明: この種類の Fusion インシデントは、新しい Exchange 管理者アカウントが作成されたか、既存の Exchange 管理者アカウントが過去 2 週間に初めて何らかの管理アクションを実行し、その後、アカウントがメール転送アクションを実行したことを示します。これは、管理者アカウントでは珍しい操作です。 この証拠は、Fusion インシデントの説明に記載されているユーザー アカウントが侵害または操作されていること、およびorganizationのネットワークからデータを流出させるために使用されたことを示唆しています。
正当なプロセスによる悪意のある実行
PowerShell は疑わしいネットワーク接続を行い、その後、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィックが続きました。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 実行
MITRE ATT&CK 手法: コマンドおよびスクリプト インタープリター (T1059)
データ コネクタ ソース: Microsoft Defender for Endpoint (以前のMicrosoft Defender Advanced Threat Protection、または MDATP)、Microsoft Sentinel (スケジュールされた分析ルール)
説明: この種類の Fusion インシデントは、送信接続要求が PowerShell コマンドを介して行われ、その後、Palo Alto Networks Firewall によって異常な受信アクティビティが検出されたことを示します。 この証拠は、攻撃者がネットワークにアクセスし、悪意のあるアクションを実行しようとしている可能性があることを示唆しています。 このパターンに従う PowerShell による接続試行は、マルウェアのコマンドと制御アクティビティ、追加のマルウェアのダウンロード要求、またはリモート対話型アクセスを確立する攻撃者の兆候である可能性があります。 "陸から離れて生活する" 攻撃と同様に、このアクティビティは PowerShell の正当な使用になる可能性があります。 ただし、PowerShell コマンドの実行後に不審な受信ファイアウォール アクティビティが実行されると、PowerShell が悪意のある方法で使用されているという信頼が高まり、さらに調査する必要があります。 Palo Alto ログでは、Microsoft Sentinelは脅威ログに焦点を当て、脅威が許可されている場合 (疑わしいデータ、ファイル、洪水、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、山火事)、トラフィックは疑わしいと見なされます。 また、追加のアラートの詳細については、「Fusion インシデントの説明」に記載されている 脅威/コンテンツ タイプ に対応する Palo Alto Threat Log を参照してください。
疑わしいリモート WMI 実行の後に、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィックが続く
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 実行、検出
MITRE ATT&CK 手法: Windows Management Instrumentation (T1047)
データ コネクタ ソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析ルール)
説明: この種類の Fusion インシデントは、Windows 管理インターフェイス (WMI) コマンドがシステム上でリモートで実行されたことを示し、その後、Palo Alto Networks Firewall によって疑わしい受信アクティビティが検出されたことを示します。 この証拠は、攻撃者がネットワークにアクセスし、横移動、特権のエスカレート、悪意のあるペイロードの実行を試みている可能性があることを示唆しています。 "陸から離れて生活する" 攻撃と同様に、このアクティビティは WMI の正当な使用である可能性があります。 ただし、リモート WMI コマンドの実行後に不審な受信ファイアウォール アクティビティが実行されると、WMI が悪意のある方法で使用されているという確信が高まり、さらに調査する必要があります。 Palo Alto ログでは、Microsoft Sentinelは脅威ログに焦点を当て、脅威が許可されている場合 (疑わしいデータ、ファイル、洪水、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、山火事)、トラフィックは疑わしいと見なされます。 また、追加のアラートの詳細については、「Fusion インシデントの説明」に記載されている 脅威/コンテンツ タイプ に対応する Palo Alto Threat Log を参照してください。
不審なサインイン後の不審な PowerShell コマンド ライン
MITRE ATT&CK 戦術: 初期アクセス、実行
MITRE ATT&CK 手法: 有効なアカウント (T1078)、コマンドおよびスクリプト インタープリター (T1059)
データ コネクタ ソース: Microsoft Entra ID Protection、Microsoft Defender for Endpoint (旧称 MDATP)
説明:この種類の Fusion インシデントは、ユーザーが、Microsoft Entra アカウントへの不審なサインインの後に悪意のある可能性のある PowerShell コマンドを実行したことを示します。 この証拠は、アラートの説明に記載されているアカウントが侵害され、さらに悪意のあるアクションが実行されたことを高い信頼度で示唆しています。 多くの場合、攻撃者は、ウイルス スキャナーなどのディスク ベースのセキュリティ メカニズムによる検出を回避するために、ディスクにアーティファクトを残さずにメモリ内の悪意のあるペイロードを実行するために PowerShell を使用します。 不審な PowerShell コマンド アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
不審な PowerShell コマンド ラインにつながる非定型の場所への移動が不可能
不審な PowerShell コマンド ラインにつながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントにより、疑わしい PowerShell コマンド ラインが発生する
不審な PowerShell コマンド ラインにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、疑わしい PowerShell コマンド ラインにつながるユーザーからのサインイン イベント
マルウェア C2 またはダウンロード
サービスへの複数のユーザー サインインに失敗した後に Fortinet によって検出されたビーコン パターン
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、コマンド、制御
MITRE ATT&CK 手法:有効なアカウント (T1078)、非Standard ポート (T1571)、T1065 (廃止)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Defender for Cloud Apps
説明: この種類の Fusion インシデントは、内部 IP アドレスから外部 IP アドレスへの通信パターンを示します。これは、関連する内部エンティティからサービスへの複数の失敗したユーザー サインインに続いて、ビーコンと一致します。 これら 2 つのイベントの組み合わせは、マルウェア感染の兆候、またはデータ流出を実行している侵害されたホストの兆候である可能性があります。
不審なMicrosoft Entraサインイン後に Fortinet によって検出されたビーコン パターン
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、コマンド、制御
MITRE ATT&CK 手法:有効なアカウント (T1078)、非Standard ポート (T1571)、T1065 (廃止)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、不審な性質のユーザー サインインに従って、内部 IP アドレスから外部 IP アドレスへの通信パターンを示し、ビーコンと一致Microsoft Entra ID。 これら 2 つのイベントの組み合わせは、マルウェア感染の兆候、またはデータ流出を実行している侵害されたホストの兆候である可能性があります。 不審なMicrosoft Entraサインイン アラートを含む Fortinet アラートによって検出されるビーコン パターンの順列は次のとおりです。
Fortinet によって検出されたビーコン パターンにつながる非定型の場所への不可能な移動
Fortinet によって検出されたビーコン パターンにつながる、なじみのない場所からのサインイン イベント
Fortinet によって検出されたビーコン パターンにつながる感染デバイスからのサインイン イベント
Fortinet によって検出されたビーコン パターンにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、Fortinet によってビーコン パターンが検出されたユーザーからのサインイン イベント
TOR 匿名化サービスへのネットワーク要求の後に、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィックが続きます。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: コマンドとコントロール
MITRE ATT&CK 手法: 暗号化されたチャネル (T1573)、プロキシ (T1090)
データ コネクタ ソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析ルール)
説明: この種類の Fusion インシデントは、送信接続要求が TOR 匿名化サービスに対して行われ、その後、Palo Alto Networks Firewall によって異常な受信アクティビティが検出されたことを示します。 この証拠は、攻撃者がネットワークにアクセスし、その操作と意図を隠そうとしている可能性があることを示唆しています。 このパターンに従った TOR ネットワークへの接続は、マルウェアのコマンドと制御のアクティビティ、追加のマルウェアのダウンロード要求、またはリモート対話型アクセスを確立する攻撃者の兆候である可能性があります。 Palo Alto ログでは、Microsoft Sentinelは脅威ログに焦点を当て、脅威が許可されている場合 (疑わしいデータ、ファイル、洪水、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、山火事)、トラフィックは疑わしいと見なされます。 また、追加のアラートの詳細については、「Fusion インシデントの説明」に記載されている 脅威/コンテンツ タイプ に対応する Palo Alto Threat Log を参照してください。
許可されていないアクセス試行の履歴を含む IP への送信接続と、Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: コマンドとコントロール
MITRE ATT&CK 手法: 該当なし
データ コネクタ ソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析ルール)
説明: この種類の Fusion インシデントは、未承認のアクセス試行の履歴を持つ IP アドレスへの送信接続が確立され、その後、Palo Alto Networks Firewall によって異常なアクティビティが検出されたことを示します。 この証拠は、攻撃者がネットワークにアクセスした可能性があることを示唆しています。 このパターンに従った接続試行は、マルウェアのコマンドと制御のアクティビティ、追加のマルウェアのダウンロード要求、またはリモート対話型アクセスを確立する攻撃者を示している可能性があります。 Palo Alto ログでは、Microsoft Sentinelは脅威ログに焦点を当て、脅威が許可されている場合 (疑わしいデータ、ファイル、洪水、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、山火事)、トラフィックは疑わしいと見なされます。 また、追加のアラートの詳細については、「Fusion インシデントの説明」に記載されている 脅威/コンテンツ タイプ に対応する Palo Alto Threat Log を参照してください。
永続性
(新しい脅威分類)
不審なサインイン後のまれなアプリケーションの同意
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 永続化、初期アクセス
MITRE ATT&CK 手法: アカウントの作成 (T1136)、有効なアカウント (T1078)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの関連する不審なサインインの後に、アプリケーションに同意を与えられたユーザーが同意したことを示します。 この証拠は、Fusion インシデントの説明に記載されているアカウントが侵害され、悪意のある目的でアプリケーションにアクセスまたは操作するために使用された可能性があることを示唆しています。 アプリケーションへの同意、サービス プリンシパルの追加、および OAuth2PermissionGrant の追加は通常、まれなイベントである必要があります。 攻撃者は、この種の構成変更を使用して、システムに対する足掛かりを確立または維持する可能性があります。 まれなアプリケーション同意アラートを含む不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
珍しいアプリケーションの同意につながる非定型の場所への不可能な旅行
まれなアプリケーションの同意につながる、なじみのない場所からのサインイン イベント
まれなアプリケーションの同意につながる、感染したデバイスからのサインイン イベント
まれなアプリケーションの同意につながる匿名 IP からのサインイン イベント
まれなアプリケーションの同意につながる資格情報が漏洩したユーザーからのサインイン イベント
ランサムウェア
不審なMicrosoft Entraサインイン後のランサムウェアの実行
MITRE ATT&CK 戦術: 初期アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、影響のために暗号化されたデータ (T1486)
データ コネクタ ソース: Microsoft Defender for Cloud Apps、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、Microsoft Entra アカウントへの不審なサインインの後にランサムウェア攻撃が検出されたことを示す異常なユーザー動作を示します。 この兆候は、Fusion インシデントの説明に記載されているアカウントが侵害され、データ所有者を強要したり、データ所有者がデータへのアクセスを拒否したりする目的でデータを暗号化するために使用されたという高い信頼度を提供します。 ランサムウェア実行アラートを使用した不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
クラウド アプリのランサムウェアにつながる非定型の場所への不可能な移動
クラウド アプリのランサムウェアにつながる、なじみのない場所からのサインイン イベント
感染したデバイスからのサインイン イベントにより、クラウド アプリでランサムウェアが発生する
クラウド アプリのランサムウェアにつながる匿名 IP アドレスからのサインイン イベント
資格情報が漏洩し、クラウド アプリのランサムウェアにつながるユーザーからのサインイン イベント
リモート悪用
攻撃フレームワークの使用の疑い、それに続いて Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、実行、横移動、特権エスカレーション
MITRE ATT&CK 手法: Exploit Public-Facing Application (T1190)、クライアント実行の悪用 (T1203)、リモート サービスの悪用(T1210)、特権エスカレーションの悪用 (T1068)
データ コネクタ ソース: Microsoft Defender for Endpoint (旧称 MDATP)、Microsoft Sentinel (スケジュールされた分析ルール)
説明: この種類の Fusion インシデントは、メタスプロイトなどの攻撃フレームワークの使用に似たプロトコルの標準以外の使用が検出され、その後、Palo Alto Networks Firewall によって疑わしい受信アクティビティが検出されたことを示します。 これは、攻撃者がネットワーク リソースへのアクセスを取得するためにサービスを悪用した、または攻撃者が既にアクセス権を取得しており、利用可能なシステム/サービスをさらに悪用して横に移動したり、特権をエスカレートしようとしていることを示している可能性があります。 Palo Alto ログでは、Microsoft Sentinelは脅威ログに焦点を当て、脅威が許可されている場合 (疑わしいデータ、ファイル、洪水、パケット、スキャン、スパイウェア、URL、ウイルス、脆弱性、山火事)、トラフィックは疑わしいと見なされます。 また、追加のアラートの詳細については、「Fusion インシデントの説明」に記載されている 脅威/コンテンツ タイプ に対応する Palo Alto Threat Log を参照してください。
リソースの乗っ取り
(新しい脅威分類)
不審なMicrosoft Entraサインイン後の、以前に見えない呼び出し元による不審なリソース/リソース グループのデプロイ
このシナリオでは、 スケジュールされた分析ルールによって生成されたアラートを使用します。
このシナリオは現在 プレビュー段階です。
MITRE ATT&CK 戦術: 初期アクセス、影響
MITRE ATT&CK 手法: 有効なアカウント (T1078)、リソース乗っ取り (T1496)
データ コネクタ ソース: Microsoft Sentinel (スケジュールされた分析ルール)、Microsoft Entra ID Protection
説明:この種類の Fusion インシデントは、ユーザーがAzureリソースまたはリソース グループ (まれなアクティビティ) を、最近見ていないプロパティを持つ不審なサインインの後にMicrosoft Entra アカウントにデプロイしたことを示します。 これは、Fusion インシデントの説明に記載されているユーザー アカウントを侵害した後、攻撃者が悪意のある目的でリソースまたはリソース グループをデプロイしようとする可能性があります。
以前に見えない呼び出し元アラートによる不審なリソース/リソース グループのデプロイによる不審なMicrosoft Entraサインイン アラートの順列は次のとおりです。
以前に見えない呼び出し元による不審なリソース/リソース グループのデプロイにつながる、非定型の場所への不可能な移動
見慣れない場所からのサインイン イベントにより、以前に見えない呼び出し元による疑わしいリソース/リソース グループのデプロイが発生する
感染したデバイスからのサインイン イベントにより、以前に見えない呼び出し元による疑わしいリソース/リソース グループのデプロイが発生する
匿名 IP からのサインイン イベントにより、以前に見えない呼び出し元による疑わしいリソース/リソース グループのデプロイが発生する
資格情報が漏洩したユーザーからのサインイン イベントにより、以前に見えない呼び出し元による疑わしいリソース/リソース グループのデプロイが発生する
次の手順
高度なマルチステージ攻撃検出の詳細については、次のクイック スタートで、データと潜在的な脅威の可視性を取得する方法について学習します。Microsoft Sentinelの使用を開始します。
作成されたインシデントを調査する準備ができたら、次のチュートリアル「Microsoft Sentinelを使用してインシデントを調査する」を参照してください。