Scenarier oppdaget av Microsoft Sentinel Fusion-motoren

Dette dokumentet viser hvilke typer scenariobaserte flertrinnsangrep, gruppert etter trusselklassifisering, som Microsoft Sentinel oppdager ved hjelp av Fusion-korrelasjonsmotoren.

Siden Fusion korrelerer flere signaler fra ulike produkter for å oppdage avanserte flertrinnsangrep, presenteres vellykkede Fusion-gjenkjenninger som Fusion-hendelser på siden Microsoft Sentinel Hendelser og ikke som varsler, og lagres i Hendelser-tabellen i Logger og ikke i SecurityAlerts-tabellen.

Hvis du vil aktivere disse Fusion-drevne angrepsgjenkjenningsscenarioene, må alle datakilder som er oppført, tas inn i Log Analytics-arbeidsområdet. For scenarioer med planlagte analyseregler følger du instruksjonene i Konfigurer planlagte analyseregler for Fusion-gjenkjenninger.

Obs!

Noen av disse scenariene er i FORHÅNDSVISNING. De vil være så angitt.

Databehandlingsressursmisbruk

Flere vm-opprettelsesaktiviteter etter mistenkelig Microsoft Entra pålogging

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), Ressurskapring (T1496)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall vm-er ble opprettet i en enkelt økt etter en mistenkelig pålogging til en Microsoft Entra-konto. Denne typen varsel indikerer, med høy grad av tillit, at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, har blitt kompromittert og brukt til å opprette nye VM-er for uautoriserte formål, for eksempel å kjøre kryptogruveoperasjoner. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om flere vm-opprettelsesaktiviteter er:

  • Umulig reise til en atypisk plassering som fører til flere vm-opprettelsesaktiviteter

  • Påloggingshendelse fra en ukjent plassering som fører til flere vm-opprettelsesaktiviteter

  • Påloggingshendelse fra en infisert enhet som fører til flere vm-opprettelsesaktiviteter

  • Påloggingshendelse fra en anonym IP-adresse som fører til flere vm-opprettelsesaktiviteter

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til flere vm-opprettelsesaktiviteter

Legitimasjonstilgang

(Ny trusselklassifisering)

Flere passord tilbakestilt av brukeren etter mistenkelig pålogging

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Første tilgang, legitimasjonstilgang

MITRE ATT&CK teknikker: Gyldig konto (T1078), Brute Force (T1110)

Datakilder for datakobling: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at en bruker tilbakestiller flere passord etter en mistenkelig pålogging til en Microsoft Entra-konto. Dette beviset tyder på at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å utføre flere tilbakestillinger av passord for å få tilgang til flere systemer og ressurser. Kontomanipulering (inkludert tilbakestilling av passord) kan hjelpe motstandere med å opprettholde tilgang til legitimasjon og visse tilgangsnivåer i et miljø. Permutasjoner av mistenkelige Microsoft Entra påloggingsvarsler med flere tilbakestillingsvarsler for passord er:

  • Umulig reise til en atypisk plassering som fører til tilbakestilling av flere passord

  • Påloggingshendelse fra en ukjent plassering som fører til tilbakestilling av flere passord

  • Påloggingshendelse fra en infisert enhet som fører til tilbakestilling av flere passord

  • Påloggingshendelse fra en anonym IP som fører til tilbakestilling av flere passord

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til tilbakestilling av flere passord

Mistenkelig pålogging som sammenfaller med vellykket pålogging til Palo Alto VPN etter IP med flere mislykkede Microsoft Entra pålogginger

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Første tilgang, legitimasjonstilgang

MITRE ATT&CK teknikker: Gyldig konto (T1078), Brute Force (T1110)

Datakilder for datakobling: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusion-hendelser av denne typen indikerer at en mistenkelig pålogging til en Microsoft Entra-konto sammenfalt med en vellykket pålogging gjennom en Palo Alto VPN fra en IP-adresse der flere mislykkede Microsoft Entra pålogginger skjedde i en lignende tidsramme. Selv om det ikke er bevis for et flertrinnsangrep, resulterer korrelasjonen mellom disse to varslene med lavere gjengivelse i en hendelse med høy gjengivelse som tyder på ondsinnet første tilgang til organisasjonens nettverk. Alternativt kan dette være en indikasjon på at en angriper prøver å bruke brute force teknikker for å få tilgang til en Microsoft Entra konto. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varsler om "IP med flere mislykkede Microsoft Entra pålogginger med hell logger på Palo Alto VPN"-varsler er:

  • Umulig reise til en atypisk plassering som sammenfaller med IP med flere mislykkede Microsoft Entra pålogginger med hell logger på Palo Alto VPN

  • Påloggingshendelse fra en ukjent plassering som sammenfaller med IP med flere mislykkede Microsoft Entra pålogginger logges på Palo Alto VPN

  • Påloggingshendelse fra en infisert enhet som sammenfaller med IP med flere mislykkede Microsoft Entra pålogginger logges på Palo Alto VPN

  • Påloggingshendelse fra en anonym IP som sammenfaller med IP med flere mislykkede Microsoft Entra pålogginger logges på Palo Alto VPN

  • Påloggingshendelse fra bruker med lekket legitimasjon som sammenfaller med IP med flere mislykkede Microsoft Entra pålogginger er vellykket pålogging til Palo Alto VPN

Innhøsting av legitimasjon

(Ny trusselklassifisering)

Kjøring av verktøy for skadelig legitimasjonstyveri etter mistenkelig pålogging

MITRE ATT&CK taktikk: Første tilgang, legitimasjonstilgang

MITRE ATT&CK teknikker: Gyldig konto (T1078), OS-legitimasjonsdumping (T1003)

Datakilder for datakobling: Microsoft Entra ID Protection, Microsoft Defender for endepunkt

Beskrivelse: Fusion hendelser av denne typen indikerer at en kjent legitimasjon tyveri verktøy ble utført etter en mistenkelig Microsoft Entra pålogging. Dette beviset tyder med høy tillit til at brukerkontoen som er angitt i varselbeskrivelsen, har blitt kompromittert og kan ha brukt et verktøy som Mimikatz til å høste legitimasjoner som nøkler, passord i ren tekst og/eller passord-hash-koder fra systemet. Den innhøstede legitimasjonen kan gi en angriper tilgang til sensitive data, eskalere rettigheter og/eller bevege seg sidelengs over nettverket. Permutasjoner av mistenkelige Microsoft Entra påloggingsvarsler med varselet om skadelig legitimasjonstyveriverktøy er:

  • Umulig reise til atypiske steder som fører til kjøring av verktøy for ondsinnet legitimasjonstyveri

  • Påloggingshendelse fra en ukjent plassering som fører til kjøring av verktøy for skadelig legitimasjonstyveri

  • Påloggingshendelse fra en infisert enhet som fører til kjøring av verktøy for skadelig legitimasjonstyveri

  • Påloggingshendelse fra en anonym IP-adresse som fører til kjøring av verktøy for skadelig legitimasjonstyveri

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til kjøring av verktøy for skadelig legitimasjonstyveri

Mistenkt legitimasjonstyveri aktivitet etter mistenkelig pålogging

MITRE ATT&CK taktikk: Første tilgang, legitimasjonstilgang

MITRE ATT&CK teknikker: Gyldig konto (T1078), legitimasjon fra passordlagre (T1555), OS-legitimasjonsdumping (T1003)

Datakilder for datakobling: Microsoft Entra ID Protection, Microsoft Defender for endepunkt

Beskrivelse: Fusjonshendelser av denne typen indikerer at aktivitet knyttet til mønstre for legitimasjonstyveri skjedde etter en mistenkelig Microsoft Entra pålogging. Dette beviset tyder på at brukerkontoen som er angitt i varselbeskrivelsen, har blitt kompromittert og brukt til å stjele legitimasjon, for eksempel nøkler, passord i ren tekst, hash-koder for passord og så videre. Den stjålne legitimasjonen kan gi en angriper tilgang til sensitive data, eskalere privilegier og/eller bevege seg sidelengs over nettverket. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med aktivitetsvarselet for legitimasjonstyveri er:

  • Umulig reise til atypiske steder som fører til mistanke om legitimasjonstyveri aktivitet

  • Påloggingshendelse fra et ukjent sted som fører til mistanke om legitimasjonstyveriaktivitet

  • Påloggingshendelse fra en infisert enhet som fører til mistanke om legitimasjonstyveriaktivitet

  • Påloggingshendelse fra en anonym IP-adresse som fører til mistanke om legitimasjonstyveri

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistanke om legitimasjonstyveriaktivitet

Krypto-gruvedrift

(Ny trusselklassifisering)

Krypto-gruvedrift aktivitet etter mistenkelig pålogging

MITRE ATT&CK taktikk: Første tilgang, legitimasjonstilgang

MITRE ATT&CK teknikker: Gyldig konto (T1078), Ressurskapring (T1496)

Datakilder for datakobling: Microsoft Entra ID Protection, Microsoft Defender for Cloud

Beskrivelse: Fusion hendelser av denne typen indikerer krypto-gruvedrift aktivitet knyttet til en mistenkelig pålogging til en Microsoft Entra konto. Dette beviset tyder med høy tillit til at brukerkontoen som er angitt i varselbeskrivelsen, har blitt kompromittert og ble brukt til å kapre ressurser i miljøet ditt for å utvinne krypto-valuta. Dette kan sulte ressursene dine for databehandlingskraft og/eller føre til betydelig høyere enn forventet skybruksregninger. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om krypto-gruveaktivitet er:

  • Umulig reise til atypiske steder som fører til krypto-gruvedrift aktivitet

  • Påloggingshendelse fra et ukjent sted som fører til krypto-gruvedrift aktivitet

  • Påloggingshendelse fra en infisert enhet som fører til krypto-gruvedrift aktivitet

  • Påloggingshendelse fra en anonym IP-adresse som fører til krypto-gruveaktivitet

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til krypto-gruvedrift aktivitet

Dataødeleggelse

Massefilsletting etter mistenkelig Microsoft Entra pålogging

MITRE ATT&CK taktikk: Innledende tilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), Data Destruction (T1485)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall unike filer ble slettet etter en mistenkelig pålogging til en Microsoft Entra-konto. Dette beviset tyder på at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, kan ha blitt kompromittert og ble brukt til å ødelegge data for ondsinnede formål. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om massefilsletting er:

  • Umulig reise til en atypisk plassering som fører til massefilsletting

  • Påloggingshendelse fra en ukjent plassering som fører til massefilsletting

  • Påloggingshendelse fra en infisert enhet som fører til massefilsletting

  • Påloggingshendelse fra en anonym IP-adresse som fører til massefilsletting

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til massefilsletting

Massefilsletting etter vellykket Microsoft Entra pålogging fra IP blokkert av en Cisco-brannmur

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), Data Destruction (T1485)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall unike filer ble slettet etter en vellykket Microsoft Entra pålogging til tross for at brukerens IP-adresse ble blokkert av et Cisco-brannmurapparat. Dette beviset tyder på at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å ødelegge data for ondsinnede formål. Fordi IP-adressen ble blokkert av brannmuren, er den samme IP-påloggingen på Microsoft Entra ID potensielt mistenkt og kan indikere legitimasjonskompromisse for brukerkontoen.

Massefilsletting etter vellykket pålogging til Palo Alto VPN etter IP med flere mislykkede Microsoft Entra pålogginger

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, legitimasjonstilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), Brute Force (T1110), Data Destruction (T1485)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall unike filer ble slettet av en bruker som logget på gjennom en Palo Alto VPN fra en IP-adresse der flere mislykkede Microsoft Entra pålogginger oppstod i en lignende tidsramme. Dette beviset tyder på at brukerkontoen som er nevnt i Fusion-hendelsen, kan ha blitt kompromittert ved hjelp av brute force-teknikker, og ble brukt til å ødelegge data for ondsinnede formål.

Mistenkelig e-postslettingsaktivitet etter mistenkelig Microsoft Entra pålogging

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), Data Destruction (T1485)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall e-postmeldinger ble slettet i en enkelt økt etter en mistenkelig pålogging til en Microsoft Entra-konto. Dette beviset tyder på at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, kan ha blitt kompromittert og ble brukt til å ødelegge data for ondsinnede formål, for eksempel å skade organisasjonen eller skjule søppelpostrelatert e-postaktivitet. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om mistenkelig e-postslettingsaktivitet er:

  • Umulig reise til et atypisk sted som fører til mistenkelig e-postslettingsaktivitet

  • Påloggingshendelse fra et ukjent sted som fører til mistenkelig e-postslettingsaktivitet

  • Påloggingshendelse fra en infisert enhet som fører til mistenkelig e-postslettingsaktivitet

  • Påloggingshendelse fra en anonym IP-adresse som fører til mistenkelig aktivitet for sletting av e-post

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistenkelig aktivitet for sletting av e-post

Dataeksfiltrering

Aktiviteter for videresending av e-post etter ny aktivitet for administratorkonto er ikke nylig sett

Dette scenarioet tilhører to trusselklassifiseringer i denne listen: dataeksfiltrering og skadelig administrativ aktivitet. For klarhets skyld vises det i begge delene.

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, samling, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), e-postsamling (T1114), exfiltration over webtjeneste (T1567)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer at enten en ny Exchange-administratorkonto er opprettet, eller en eksisterende Exchange-administratorkonto tok noen administrative handlinger for første gang i løpet av de siste to ukene, og at kontoen deretter gjorde noen handlinger for videresending av e-post, noe som er uvanlig for en administratorkonto. Dette beviset tyder på at brukerkontoen som er angitt i fusionhendelsesbeskrivelsen, har blitt kompromittert eller manipulert, og at den ble brukt til å eksfiltrere data fra organisasjonens nettverk.

Massefilnedlasting etter mistenkelig Microsoft Entra pålogging

MITRE ATT&CK taktikk: Starttilgang, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall filer ble lastet ned av en bruker etter en mistenkelig pålogging til en Microsoft Entra-konto. Denne indikasjonen gir høy tillit til at kontoen som er angitt i fusionhendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å eksfiltrere data fra organisasjonens nettverk. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med nedlastingsvarselet for massefilen er:

  • Umulig reise til en atypisk plassering som fører til massefilnedlasting

  • Påloggingshendelse fra en ukjent plassering som fører til nedlasting av massefiler

  • Påloggingshendelse fra en infisert enhet som fører til massefilnedlasting

  • Påloggingshendelse fra en anonym IP som fører til nedlasting av massefiler

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til nedlasting av massefiler

Massefilnedlasting etter vellykket Microsoft Entra pålogging fra IP blokkert av et Cisco-brannmurapparat

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Starttilgang, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), Exfiltration Over Web Service (T1567)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall filer ble lastet ned av en bruker etter en vellykket Microsoft Entra pålogging til tross for at brukerens IP-adresse ble blokkert av et Cisco-brannmurapparat. Dette kan muligens være et forsøk fra en angriper på å eksfiltrere data fra organisasjonens nettverk etter å ha kompromittert en brukerkonto. Fordi IP-adressen ble blokkert av brannmuren, er den samme IP-påloggingen på Microsoft Entra ID potensielt mistenkt og kan indikere legitimasjonskompromisse for brukerkontoen.

Massefilnedlasting sammenfallende med SharePoint-filoperasjon fra tidligere usett IP

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Eksfiltrering

MITRE ATT&CK teknikker: Exfiltration Over Web Service (T1567), Data Transfer Size Limits (T1030)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall filer ble lastet ned av en bruker som er koblet til fra en tidligere usett IP-adresse. Selv om det ikke er bevis for et flertrinnsangrep, resulterer korrelasjonen mellom disse to varslene med lavere gjengivelse i en hendelse med høy gjengivelse som tyder på et forsøk fra en angriper på å eksfiltrere data fra organisasjonens nettverk fra en muligens kompromittert brukerkonto. I stabile miljøer kan slike tilkoblinger av tidligere usynlige IP-er være uautoriserte, spesielt hvis de er knyttet til volumtopper som kan knyttes til dokumenteksfiltrering i stor skala.

Massefildeling etter mistenkelig Microsoft Entra pålogging

MITRE ATT&CK taktikk: Starttilgang, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), Exfiltration Over Web Service (T1567)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at en rekke filer over en bestemt terskel ble delt med andre etter en mistenkelig pålogging til en Microsoft Entra-konto. Denne indikasjonen gir stor tillit til at kontoen som er angitt i beskrivelsen av Fusion-hendelsen, har blitt kompromittert og brukt til å eksfiltrere data fra organisasjonens nettverk ved å dele filer som dokumenter, regneark osv., med uautoriserte brukere for ondsinnede formål. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om massefildeling er:

  • Umulig reise til en atypisk plassering som fører til massefildeling

  • Påloggingshendelse fra en ukjent plassering som fører til massefildeling

  • Påloggingshendelse fra en infisert enhet som fører til massefildeling

  • Påloggingshendelse fra en anonym IP-adresse som fører til massefildeling

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til massefildeling

Flere rapportdelingsaktiviteter i Power BI etter mistenkelig Microsoft Entra pålogging

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Starttilgang, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), Exfiltration Over Web Service (T1567)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall Power BI-rapporter ble delt i én enkelt økt etter en mistenkelig pålogging til en Microsoft Entra-konto. Denne indikasjonen gir høy tillit til at kontoen som er angitt i beskrivelsen av Fusion-hendelsen, har blitt kompromittert og ble brukt til å eksfiltrere data fra organisasjonens nettverk ved å dele Power BI-rapporter med uautoriserte brukere for ondsinnede formål. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med flere rapportdelingsaktiviteter i Power BI er:

  • Umulig reise til en atypisk plassering som fører til flere rapportdelingsaktiviteter i Power BI

  • Påloggingshendelse fra en ukjent plassering som fører til flere rapportdelingsaktiviteter i Power BI

  • Påloggingshendelse fra en infisert enhet som fører til flere rapportdelingsaktiviteter i Power BI

  • Påloggingshendelse fra en anonym IP-adresse som fører til flere rapportdelingsaktiviteter i Power BI

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til flere rapportdelingsaktiviteter i Power BI

Office 365-postboksutfiltrering etter en mistenkelig Microsoft Entra pålogging

MITRE ATT&CK taktikk: Innledende tilgang, eksfiltrering, samling

MITRE ATT&CK teknikker: Gyldig konto (T1078), e-postsamling (T1114), automatisert eksfiltrering (T1020)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusion hendelser av denne typen indikerer at en mistenkelig innboks videresending regel ble satt på en brukers innboks etter en mistenkelig pålogging til en Microsoft Entra konto. Denne indikasjonen gir høy tillit til at brukerens konto (angitt i Fusion-hendelsesbeskrivelsen) har blitt kompromittert, og at den ble brukt til å eksfiltrere data fra organisasjonens nettverk ved å aktivere en regel for videresending av postboks uten den sanne brukerens kunnskap. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med Office 365 exfiltration-varselet for postboksen er:

  • Umulig reise til en atypisk plassering som fører til Office 365 postboksutfiltrering

  • Påloggingshendelse fra en ukjent plassering som fører til Office 365 postboksutfiltrering

  • Påloggingshendelse fra en infisert enhet som fører til Office 365 postboksutfiltrering

  • Påloggingshendelse fra en anonym IP-adresse som fører til Office 365 postboksutfiltrering

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til Office 365-postboksutfiltrering

SharePoint-filoperasjon fra tidligere usett IP etter gjenkjenning av skadelig programvare

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Exfiltration, Defense Evasion

MITRE ATT&CK teknikker: Størrelsesgrenser for dataoverføring (T1030)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer at en angriper forsøkte å eksfiltrere store mengder data ved å laste ned eller dele gjennom SharePoint gjennom bruk av skadelig programvare. I stabile miljøer kan slike tilkoblinger av tidligere usynlige IP-er være uautoriserte, spesielt hvis de er knyttet til volumtopper som kan knyttes til dokumenteksfiltrering i stor skala.

Mistenkelige innboksmanipuleringsregler angitt etter mistenkelig Microsoft Entra pålogging

Dette scenarioet tilhører to trusselklassifiseringer i denne listen: dataeksfiltrering og sideveksling. For klarhets skyld vises det i begge delene.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, sideveksling, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), intern spyd-phishing (T1534), automatisert eksfiltrering (T1020)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at uregelmessige innboksregler ble satt på en brukers innboks etter en mistenkelig pålogging til en Microsoft Entra-konto. Dette beviset gir en høy visshet som indikerer at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å manipulere brukerens e-postinnboksregler for ondsinnede formål, muligens for å eksfiltrere data fra organisasjonens nettverk. Angriperen kan eventuelt prøve å generere phishing-e-poster fra organisasjonen (omgå phishing-gjenkjenningsmekanismer rettet mot e-post fra eksterne kilder) med det formål å flytte sidelengs ved å få tilgang til flere bruker- og/eller privilegerte kontoer. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om mistenkelige innboksmanipuleringsregler er:

  • Umulig reise til et atypisk sted som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra et ukjent sted som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra en infisert enhet som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra en anonym IP-adresse som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistenkelig innboksmanipuleringsregel

Mistenkelig deling av Power BI-rapporter etter mistenkelig Microsoft Entra pålogging

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Starttilgang, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), Exfiltration Over Web Service (T1567)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at en mistenkelig delingsaktivitet for Power BI-rapporter skjedde etter en mistenkelig pålogging til en Microsoft Entra-konto. Delingsaktiviteten ble identifisert som mistenkelig fordi Power BI-rapporten inneholdt sensitiv informasjon som ble identifisert ved hjelp av naturlig språkbehandling, og fordi den ble delt med en ekstern e-postadresse, publisert på nettet eller levert som et øyeblikksbilde til en eksternt abonnert e-postadresse. Dette varselet indikerer med høy visshet at kontoen som er angitt i beskrivelsen av Fusion-hendelsen, har blitt kompromittert og ble brukt til å eksfiltrere sensitive data fra organisasjonen ved å dele Power BI-rapporter med uautoriserte brukere for ondsinnede formål. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med mistenkelig deling av Power BI-rapporter er:

  • Umulig reise til et atypisk sted som fører til mistenkelig deling av Power BI-rapporter

  • Påloggingshendelse fra en ukjent plassering som fører til mistenkelig deling av Power BI-rapporter

  • Påloggingshendelse fra en infisert enhet som fører til mistenkelig deling av Power BI-rapporter

  • Påloggingshendelse fra en anonym IP-adresse som fører til mistenkelig deling av Power BI-rapporter

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistenkelig deling av Power BI-rapporter

Tjenestenekt

Flere vm-slettingsaktiviteter etter mistenkelig Microsoft Entra pålogging

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), endepunktfornektelse (T1499)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall virtuelle maskiner ble slettet i en enkelt økt etter en mistenkelig pålogging til en Microsoft Entra-konto. Denne indikasjonen gir høy tillit til at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å forsøke å forstyrre eller ødelegge organisasjonens skymiljø. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om flere vm-slettingsaktiviteter er:

  • Umulig reise til en atypisk plassering som fører til flere vm-slettingsaktiviteter

  • Påloggingshendelse fra en ukjent plassering som fører til flere vm-slettingsaktiviteter

  • Påloggingshendelse fra en infisert enhet som fører til flere vm-slettingsaktiviteter

  • Påloggingshendelse fra en anonym IP-adresse som fører til flere vm-slettingsaktiviteter

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til flere vm-slettingsaktiviteter

Sideveis bevegelse

Office 365 etterligning etter mistenkelig Microsoft Entra pålogging

MITRE ATT&CK taktikk: Innledende tilgang, sideveis bevegelse

MITRE ATT&CK teknikker: Gyldig konto (T1078), intern spyd-phishing (T1534)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall representasjonshandlinger skjedde etter en mistenkelig pålogging fra en Microsoft Entra-konto. I noe programvare finnes det alternativer for å tillate brukere å representere andre brukere. E-posttjenester tillater for eksempel brukere å godkjenne at andre brukere sender e-post på deres vegne. Dette varselet indikerer med høyere tillit at kontoen som er angitt i fusionhendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å utføre representasjonsaktiviteter for ondsinnede formål, for eksempel å sende phishing-e-poster for distribusjon av skadelig programvare eller lateral bevegelse. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med Office 365 representasjonsvarsel er:

  • Umulig reise til et atypisk sted som fører til Office 365 representasjon

  • Påloggingshendelse fra en ukjent plassering som fører til Office 365 representasjon

  • Påloggingshendelse fra en infisert enhet som fører til Office 365 representasjon

  • Påloggingshendelse fra en anonym IP-adresse som fører til Office 365 representasjon

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til Office 365 representasjon

Mistenkelige innboksmanipuleringsregler angitt etter mistenkelig Microsoft Entra pålogging

Dette scenarioet tilhører to trusselklassifiseringer i denne listen: sideveksling og dataeksfiltrering. For klarhets skyld vises det i begge delene.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, sideveksling, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), intern spyd-phishing (T1534), automatisert eksfiltrering (T1020)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at uregelmessige innboksregler ble satt på en brukers innboks etter en mistenkelig pålogging til en Microsoft Entra-konto. Dette beviset gir en høy visshet som indikerer at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å manipulere brukerens e-postinnboksregler for ondsinnede formål, muligens for å eksfiltrere data fra organisasjonens nettverk. Angriperen kan eventuelt prøve å generere phishing-e-poster fra organisasjonen (omgå phishing-gjenkjenningsmekanismer rettet mot e-post fra eksterne kilder) med det formål å flytte sidelengs ved å få tilgang til flere bruker- og/eller privilegerte kontoer. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om mistenkelige innboksmanipuleringsregler er:

  • Umulig reise til et atypisk sted som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra et ukjent sted som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra en infisert enhet som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra en anonym IP-adresse som fører til mistenkelig innboksmanipuleringsregel

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistenkelig innboksmanipuleringsregel

Skadelig administrativ aktivitet

Mistenkelig administrativ aktivitet i skyappen etter mistenkelig Microsoft Entra pålogging

MITRE ATT&CK taktikk: Innledende tilgang, utholdenhet, forsvarsunndragelse, sidebevegelse, samling, eksfiltrering og innvirkning

MITRE ATT&CK teknikker: N/A

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et uregelmessig antall administrative aktiviteter ble utført i en enkelt økt etter en mistenkelig Microsoft Entra pålogging fra samme konto. Dette beviset tyder på at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, kan ha blitt kompromittert og ble brukt til å gjøre en rekke uautoriserte administrative handlinger med ondsinnede hensikter. Dette indikerer også at en konto med administrative rettigheter kan ha blitt kompromittert. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med det mistenkelige administrative aktivitetsvarselet for skyappen er:

  • Umulig reise til et atypisk sted som fører til mistenkelig administrativ aktivitet i skyappen

  • Påloggingshendelse fra et ukjent sted som fører til mistenkelig administrativ aktivitet i skyappen

  • Påloggingshendelse fra en infisert enhet som fører til mistenkelig administrativ aktivitet i skyappen

  • Påloggingshendelse fra en anonym IP-adresse som fører til mistenkelig administrativ aktivitet i skyappen

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistenkelig administrativ aktivitet i skyappen

Aktiviteter for videresending av e-post etter ny aktivitet for administratorkonto er ikke nylig sett

Dette scenarioet tilhører to trusselklassifiseringer i denne listen: ondsinnet administrativ aktivitet og datautfiltrering. For klarhets skyld vises det i begge delene.

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, samling, eksfiltrering

MITRE ATT&CK teknikker: Gyldig konto (T1078), e-postsamling (T1114), exfiltration over webtjeneste (T1567)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer at enten en ny Exchange-administratorkonto er opprettet, eller en eksisterende Exchange-administratorkonto tok noen administrative handlinger for første gang i løpet av de siste to ukene, og at kontoen deretter gjorde noen handlinger for videresending av e-post, noe som er uvanlig for en administratorkonto. Dette beviset tyder på at brukerkontoen som er angitt i fusionhendelsesbeskrivelsen, har blitt kompromittert eller manipulert, og at den ble brukt til å eksfiltrere data fra organisasjonens nettverk.

Ondsinnet kjøring med legitim prosess

PowerShell gjorde en mistenkelig nettverkstilkobling, etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Utførelse

MITRE ATT&CK teknikker: Kommando- og skripttolk (T1059)

Datakilder for datakoblinger: Microsoft Defender for endepunkt (tidligere Microsoft Defender Advanced Threat Protection eller MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusjonshendelser av denne typen indikerer at en utgående tilkoblingsforespørsel ble gjort via en PowerShell-kommando, og etter det ble uregelmessig innkommende aktivitet oppdaget av Palo Alto Networks Firewall. Dette beviset tyder på at en angriper sannsynligvis har fått tilgang til nettverket og prøver å utføre ondsinnede handlinger. Tilkoblingsforsøk fra PowerShell som følger dette mønsteret, kan være en indikasjon på kommando- og kontrollaktivitet for skadelig programvare, forespørsler om nedlasting av ytterligere skadelig programvare eller en angriper som etablerer ekstern interaktiv tilgang. Som med alle "leve av landet" angrep, kan denne aktiviteten være en legitim bruk av PowerShell. PowerShell-kommandokjøringen etterfulgt av mistenkelig innkommende brannmuraktivitet øker imidlertid tilliten til at PowerShell brukes på en ondsinnet måte og bør undersøkes videre. I Palo Alto-logger fokuserer Microsoft Sentinel på trussellogger, og trafikk betraktes som mistenkelig når trusler tillates (mistenkelige data, filer, oversvømmelser, pakker, skanninger, spionprogrammer, nettadresser, virus, sårbarheter, skogbrannvirus, skogbranner). Du kan også referere til Palo Alto-trusselloggen som tilsvarer trussel-/innholdstypen som er oppført i fusionhendelsesbeskrivelsen for ytterligere varseldetaljer.

Mistenkelig ekstern WMI-kjøring etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Kjøring, oppdagelse

MITRE ATT&CK teknikker: Windows Management Instrumentation (T1047)

Datakilder for datakoblinger: Microsoft Defender for endepunkt (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusjonshendelser av denne typen indikerer at WMI-kommandoer (Windows Management Interface) ble utført eksternt på et system, og etter det ble mistenkelig innkommende aktivitet oppdaget av Palo Alto Networks Firewall. Dette beviset tyder på at en angriper kan ha fått tilgang til nettverket og forsøker å flytte sidelengs, eskalere rettigheter og/eller utføre ondsinnede nyttelaster. Som med alle "leve av landet" angrep, kan denne aktiviteten være en legitim bruk av WMI. Den eksterne kjøringen av WMI-kommandoen etterfulgt av mistenkelig innkommende brannmuraktivitet øker imidlertid tilliten til at WMI brukes på en ondsinnet måte og bør undersøkes videre. I Palo Alto-logger fokuserer Microsoft Sentinel på trussellogger, og trafikk betraktes som mistenkelig når trusler tillates (mistenkelige data, filer, oversvømmelser, pakker, skanninger, spionprogrammer, nettadresser, virus, sårbarheter, skogbrannvirus, skogbranner). Du kan også referere til Palo Alto-trusselloggen som tilsvarer trussel-/innholdstypen som er oppført i fusionhendelsesbeskrivelsen for ytterligere varseldetaljer.

Mistenkelig PowerShell-kommandolinje etter mistenkelig pålogging

MITRE ATT&CK taktikk: Første tilgang, kjøring

MITRE ATT&CK teknikker: Gyldig konto (T1078), kommando- og skripttolk (T1059)

Datakilder for datakobling: Microsoft Entra ID Protection, Microsoft Defender for endepunkt (tidligere MDATP)

Beskrivelse: Fusjonshendelser av denne typen indikerer at en bruker utførte potensielt ondsinnede PowerShell-kommandoer etter en mistenkelig pålogging til en Microsoft Entra-konto. Dette beviset tyder med høy tillit til at kontoen som er nevnt i varslingsbeskrivelsen, har blitt kompromittert og ytterligere ondsinnede handlinger ble tatt. Angripere bruker ofte PowerShell til å utføre skadelige nyttelaster i minnet uten å forlate artefakter på disken, for å unngå gjenkjenning av diskbaserte sikkerhetsmekanismer som virusskannere. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med det mistenkelige PowerShell-kommandovarselet er:

  • Umulig reise til atypiske steder som fører til mistenkelig PowerShell-kommandolinje

  • Påloggingshendelse fra en ukjent plassering som fører til mistenkelig PowerShell-kommandolinje

  • Påloggingshendelse fra en infisert enhet som fører til mistenkelig PowerShell-kommandolinje

  • Påloggingshendelse fra en anonym IP-adresse som fører til mistenkelig PowerShell-kommandolinje

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistenkelig PowerShell-kommandolinje

Skadelig programvare C2 eller last ned

Beacon-mønster oppdaget av Fortinet etter flere mislykkede brukerpålogginger til en tjeneste

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Første tilgang, kommando og kontroll

MITRE ATT&CK teknikker: Gyldig konto (T1078), ikke-Standard port (T1571), T1065 (trukket tilbake)

Datakilder for datakobling: Microsoft Sentinel (planlegg analyseregel), Microsoft Defender for Cloud Apps

Beskrivelse: Fusjonshendelser av denne typen indikerer kommunikasjonsmønstre, fra en intern IP-adresse til en ekstern, som er i samsvar med beaconing, etter flere mislykkede brukerpålogginger til en tjeneste fra en relatert intern enhet. Kombinasjonen av disse to hendelsene kan være en indikasjon på malware infeksjon eller av en kompromittert vert gjør data exfiltration.

Beacon mønster oppdaget av Fortinet etter mistenkelig Microsoft Entra pålogging

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Første tilgang, kommando og kontroll

MITRE ATT&CK teknikker: Gyldig konto (T1078), ikke-Standard port (T1571), T1065 (trukket tilbake)

Datakilder for datakobling: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer kommunikasjonsmønstre, fra en intern IP-adresse til en ekstern, som er i samsvar med beaconing, etter en brukerpålogging av mistenkelig natur for å Microsoft Entra ID. Kombinasjonen av disse to hendelsene kan være en indikasjon på malware infeksjon eller av en kompromittert vert gjør data exfiltration. Permutasjoner av beacon mønster oppdaget av Fortinet varsler med mistenkelige Microsoft Entra påloggingsvarsler er:

  • Umulig reise til en atypisk plassering som fører til beacon mønster oppdaget av Fortinet

  • Påloggingshendelse fra en ukjent plassering som fører til signalmønster oppdaget av Fortinet

  • Påloggingshendelse fra en infisert enhet som fører til signalmønster oppdaget av Fortinet

  • Påloggingshendelse fra en anonym IP-adresse som fører til signalmønster oppdaget av Fortinet

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til signalmønster oppdaget av Fortinet

Nettverksforespørsel til tor anonymiseringstjeneste etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Kommando og kontroll

MITRE ATT&CK teknikker: Kryptert kanal (T1573), proxy (T1090)

Datakilder for datakoblinger: Microsoft Defender for endepunkt (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusjonshendelser av denne typen indikerer at en utgående tilkoblingsforespørsel ble gjort til tor anonymiseringstjenesten, og etter det ble uregelmessig innkommende aktivitet oppdaget av Palo Alto Networks Firewall. Dette beviset tyder på at en angriper sannsynligvis har fått tilgang til nettverket ditt og prøver å skjule sine handlinger og hensikter. Tilkoblinger til tor-nettverket etter dette mønsteret kan være en indikasjon på kommando- og kontrollaktivitet for skadelig programvare, forespørsler om nedlasting av ytterligere skadelig programvare eller en angriper som etablerer ekstern interaktiv tilgang. I Palo Alto-logger fokuserer Microsoft Sentinel på trussellogger, og trafikk betraktes som mistenkelig når trusler tillates (mistenkelige data, filer, oversvømmelser, pakker, skanninger, spionprogrammer, nettadresser, virus, sårbarheter, skogbrannvirus, skogbranner). Du kan også referere til Palo Alto-trusselloggen som tilsvarer trussel-/innholdstypen som er oppført i fusionhendelsesbeskrivelsen for ytterligere varseldetaljer.

Utgående tilkobling til IP med en logg over uautoriserte tilgangsforsøk etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Kommando og kontroll

MITRE ATT&CK teknikker: Gjelder ikke

Datakilder for datakoblinger: Microsoft Defender for endepunkt (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusjonshendelser av denne typen indikerer at en utgående tilkobling til en IP-adresse med en logg over uautoriserte tilgangsforsøk ble etablert, og etter det ble uregelmessig aktivitet oppdaget av Palo Alto Networks Firewall. Dette beviset tyder på at en angriper sannsynligvis har fått tilgang til nettverket ditt. Tilkoblingsforsøk etter dette mønsteret kan være en indikasjon på kommando- og kontrollaktivitet for skadelig programvare, forespørsler om nedlasting av ekstra skadelig programvare eller en angriper som etablerer ekstern interaktiv tilgang. I Palo Alto-logger fokuserer Microsoft Sentinel på trussellogger, og trafikk betraktes som mistenkelig når trusler tillates (mistenkelige data, filer, oversvømmelser, pakker, skanninger, spionprogrammer, nettadresser, virus, sårbarheter, skogbrannvirus, skogbranner). Du kan også referere til Palo Alto-trusselloggen som tilsvarer trussel-/innholdstypen som er oppført i fusionhendelsesbeskrivelsen for ytterligere varseldetaljer.

Utholdenhet

(Ny trusselklassifisering)

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Vedvarende, innledende tilgang

MITRE ATT&CK teknikker: Opprett konto (T1136), gyldig konto (T1078)

Datakilder for datakobling: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at et program ble gitt samtykke av en bruker som aldri eller sjelden har gjort det, etter en relatert mistenkelig pålogging til en Microsoft Entra-konto. Dette beviset tyder på at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, kan ha blitt kompromittert og brukt til å få tilgang til eller manipulere programmet for ondsinnede formål. Samtykke til program, Legg til tjenestekontohaver og Legg til OAuth2PermissionGrant bør vanligvis være sjeldne hendelser. Angripere kan bruke denne typen konfigurasjonsendringer til å etablere eller opprettholde sitt fotfeste på systemer. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med det sjeldne varselet om programsamtykke er:

  • Umulig reise til et atypisk sted som fører til sjeldent søknadssamtykke

  • Påloggingshendelse fra et ukjent sted som fører til sjeldent søknadssamtykke

  • Påloggingshendelse fra en infisert enhet som fører til sjeldent programsamtykke

  • Påloggingshendelse fra en anonym IP som fører til sjeldent programsamtykke

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til sjeldent programsamtykke

Løsepengevirus

Utføring av løsepengevirus etter mistenkelig Microsoft Entra pålogging

MITRE ATT&CK taktikk: Innledende tilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), data kryptert for innvirkning (T1486)

Datakilder for datakobling: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at uregelmessig brukeratferd som indikerer et ransomware-angrep ble oppdaget etter en mistenkelig pålogging til en Microsoft Entra-konto. Denne indikasjonen gir høy tillit til at kontoen som er nevnt i Fusion-hendelsesbeskrivelsen, har blitt kompromittert og ble brukt til å kryptere data med det formål å presse dataeieren eller nekte dataeieren tilgang til dataene sine. Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med varselet om kjøring av løsepengevirus er:

  • Umulig reise til en atypisk plassering som fører til løsepengevirus i skyappen

  • Påloggingshendelse fra en ukjent plassering som fører til løsepengevirus i skyappen

  • Påloggingshendelse fra en infisert enhet som fører til løsepengevirus i skyappen

  • Påloggingshendelse fra en anonym IP-adresse som fører til løsepengevirus i skyappen

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til løsepengevirus i skyappen

Ekstern utnyttelse

Mistenkt bruk av angrepsrammeverk etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, utførelse, sideveis bevegelse, privilegiskalering

MITRE ATT&CK teknikker: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)

Datakilder for datakoblinger: Microsoft Defender for endepunkt (tidligere MDATP), Microsoft Sentinel (planlagt analyseregel)

Beskrivelse: Fusjonshendelser av denne typen indikerer at ikke-standard bruk av protokoller, som ligner bruken av angrepsrammeverk som Metasploit, ble oppdaget, og etter det ble mistenkelig innkommende aktivitet oppdaget av Palo Alto Networks Firewall. Dette kan være en innledende indikasjon på at en angriper har utnyttet en tjeneste for å få tilgang til nettverksressursene dine, eller at en angriper allerede har fått tilgang og prøver å utnytte tilgjengelige systemer/tjenester til å flytte senere og/eller eskalere rettigheter. I Palo Alto-logger fokuserer Microsoft Sentinel på trussellogger, og trafikk betraktes som mistenkelig når trusler tillates (mistenkelige data, filer, oversvømmelser, pakker, skanninger, spionprogrammer, nettadresser, virus, sårbarheter, skogbrannvirus, skogbranner). Du kan også referere til Palo Alto-trusselloggen som tilsvarer trussel-/innholdstypen som er oppført i fusionhendelsesbeskrivelsen for ytterligere varseldetaljer.

Ressurskapring

(Ny trusselklassifisering)

Mistenkelig ressurs-/ressursgruppedistribusjon av en tidligere usett innringer etter mistenkelig Microsoft Entra pålogging

Dette scenarioet bruker varsler som produseres av planlagte analyseregler.

Dette scenarioet er for øyeblikket i PREVIEW.

MITRE ATT&CK taktikk: Innledende tilgang, innvirkning

MITRE ATT&CK teknikker: Gyldig konto (T1078), Ressurskapring (T1496)

Datakilder for datakobling: Microsoft Sentinel (planlagt analyseregel), Microsoft Entra ID Protection

Beskrivelse: Fusjonshendelser av denne typen indikerer at en bruker har distribuert en Azure ressurs eller ressursgruppe - en sjelden aktivitet - etter en mistenkelig pålogging, med egenskaper som ikke nylig er sett, til en Microsoft Entra-konto. Dette kan muligens være et forsøk fra en angriper på å distribuere ressurser eller ressursgrupper for ondsinnede formål etter å ha kompromittert brukerkontoen som er angitt i fusionhendelsesbeskrivelsen.

Permutasjonene av mistenkelige Microsoft Entra påloggingsvarsler med mistenkelig ressurs-/ressursgruppedistribusjon av et tidligere usett anropervarsel, er:

  • Umulig reise til en atypisk plassering som fører til mistenkelig ressurs-/ressursgruppedistribusjon av en tidligere usynlig innringer

  • Påloggingshendelse fra en ukjent plassering som fører til mistenkelig ressurs-/ressursgruppedistribusjon av en tidligere usett innringer

  • Påloggingshendelse fra en infisert enhet som fører til mistenkelig ressurs-/ressursgruppedistribusjon av en tidligere usett innringer

  • Påloggingshendelse fra en anonym IP som fører til mistenkelig ressurs-/ressursgruppedistribusjon av en tidligere usett innringer

  • Påloggingshendelse fra bruker med lekket legitimasjon som fører til mistenkelig ressurs-/ressursgruppedistribusjon av en tidligere usett innringer

Neste trinn

Nå har du lært mer om avansert angrepsgjenkjenning med flere trinn, og du kan være interessert i følgende hurtigstart for å lære hvordan du får innsyn i dataene og potensielle trusler: Kom i gang med Microsoft Sentinel.

Hvis du er klar til å undersøke hendelsene som er opprettet for deg, kan du se følgende opplæring: Undersøk hendelser med Microsoft Sentinel.

  • Last updated on