Scenario's gedetecteerd door de Microsoft Sentinel Fusion-engine

In dit document vindt u een overzicht van de typen op scenario's gebaseerde aanvallen met meerdere fasen, gegroepeerd op bedreigingsclassificatie, die Microsoft Sentinel detecteert met behulp van de Fusion-correlatie-engine.

Omdat Fusion meerdere signalen van verschillende producten correleert om geavanceerde aanvallen met meerdere fasen te detecteren, worden succesvolle Fusion-detecties weergegeven als Fusion-incidenten op de pagina Microsoft Sentinel Incidenten en niet als waarschuwingen. Deze worden opgeslagen in de tabel Incidenten in Logboeken en niet in de tabel SecurityAlerts.

Als u deze door Fusion aangedreven aanvalsdetectiescenario's wilt inschakelen, moeten alle vermelde gegevensbronnen worden opgenomen in uw Log Analytics-werkruimte. Voor scenario's met geplande analyseregels volgt u de instructies in Geplande analyseregels configureren voor fusiondetecties.

Opmerking

Sommige van deze scenario's bevinden zich in PREVIEW. Ze zullen zo worden aangegeven.

Misbruik van rekenresources

Meerdere VM-activiteiten maken na verdachte Microsoft Entra aanmelding

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), resource hijacking (T1496)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat er in één sessie een afwijkend aantal VM's is gemaakt na een verdachte aanmelding bij een Microsoft Entra-account. Dit type waarschuwing geeft met een hoge mate van vertrouwen aan dat het account dat is vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en gebruikt om nieuwe VM's te maken voor niet-geautoriseerde doeleinden, zoals het uitvoeren van crypto-mijnbouwbewerkingen. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor het maken van meerdere VM's zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot meerdere activiteiten voor het maken van vm's

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot meerdere vm-activiteiten

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot meerdere activiteiten voor het maken van vm's

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot meerdere activiteiten voor het maken van vm's

  • Aanmeldingsgebeurtenis van een gebruiker met gelekte referenties die leidt tot meerdere activiteiten voor het maken van vm's

Toegang tot referenties

(Nieuwe bedreigingsclassificatie)

Meerdere wachtwoorden opnieuw instellen door gebruiker na verdachte aanmelding

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), Brute Force (T1110)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een gebruiker meerdere wachtwoorden opnieuw instelt na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat wordt vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om meerdere wachtwoordherstelbewerkingen uit te voeren om toegang te krijgen tot meerdere systemen en resources. Accountmanipulatie (inclusief wachtwoordherstel) kan kwaadwillenden helpen bij het onderhouden van toegang tot referenties en bepaalde machtigingsniveaus binnen een omgeving. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met meerdere waarschuwingen voor het opnieuw instellen van wachtwoorden zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot het opnieuw instellen van meerdere wachtwoorden

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot het opnieuw instellen van meerdere wachtwoorden

Verdachte aanmelding die samenvalt met geslaagde aanmelding bij Palo Alto VPN per IP met meerdere mislukte Microsoft Entra aanmeldingen

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), Brute Force (T1110)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een verdachte aanmelding bij een Microsoft Entra-account samenviel met een geslaagde aanmelding via een Palo Alto VPN vanaf een IP-adres van waaruit meerdere mislukte Microsoft Entra aanmeldingen hebben plaatsgevonden in een vergelijkbaar tijdsbestek. Hoewel er geen bewijs is van een aanval met meerdere fasen, resulteert de correlatie van deze twee waarschuwingen met een lagere kwaliteit in een incident met hoge kwaliteit dat schadelijke initiële toegang tot het netwerk van de organisatie suggereert. Dit kan ook een indicatie zijn van een aanvaller die brute force-technieken probeert te gebruiken om toegang te krijgen tot een Microsoft Entra-account. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met waarschuwingen 'IP met meerdere mislukte Microsoft Entra aanmeldingen aanmelden bij Palo Alto VPN' zijn:

  • Onmogelijk reizen naar een atypische locatie die samenvalt met IP met meerdere mislukte Microsoft Entra aanmeldingen aanmelden bij Palo Alto VPN

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die samenvalt met IP met meerdere mislukte Microsoft Entra aanmeldingen zijn aangemeld bij Palo Alto VPN

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat samenvalt met IP met meerdere mislukte Microsoft Entra aanmeldingen worden aangemeld bij Palo Alto VPN

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat samenvalt met IP met meerdere mislukte Microsoft Entra aanmeldingen zijn aangemeld bij Palo Alto VPN

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die samenvallen met IP met meerdere mislukte Microsoft Entra aanmeldingen zijn aangemeld bij Palo Alto VPN

Referentie verzamelen

(Nieuwe bedreigingsclassificatie)

Uitvoering van het hulpprogramma voor schadelijke referentiediefstal na verdachte aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), dumpen van besturingssysteemreferenties (T1003)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor Eindpunt

Beschrijving: Fusie-incidenten van dit type geven aan dat een bekend hulpprogramma voor referentiediefstal is uitgevoerd na een verdachte Microsoft Entra aanmelding. Dit bewijs suggereert met hoge zekerheid dat het gebruikersaccount dat is genoteerd in de beschrijving van de waarschuwing is gecompromitteerd en mogelijk een hulpprogramma zoals Mimikatz heeft gebruikt om referenties te verzamelen, zoals sleutels, wachtwoorden zonder opmaak en/of wachtwoordhashes van het systeem. Met de opgehaalde referenties kan een aanvaller toegang krijgen tot gevoelige gegevens, bevoegdheden escaleren en/of zich lateraal over het netwerk verplaatsen. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor schadelijke referentiediefstal zijn:

  • Onmogelijk reizen naar atypische locaties die leiden tot de uitvoering van het hulpprogramma voor schadelijke referentiediefstal

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot de uitvoering van het hulpprogramma voor kwaadwillende referentiediefstal

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot uitvoering van het hulpprogramma voor schadelijke referentiediefstal

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot de uitvoering van het hulpprogramma voor schadelijke referentiediefstal

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot de uitvoering van het hulpprogramma voor kwaadwillende referentiediefstal

Vermoedelijke diefstal van referenties na verdachte aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), referenties uit wachtwoordarchieven (T1555), OS-referenties dumpen (T1003)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor Eindpunt

Beschrijving: Fusie-incidenten van dit type geven aan dat activiteiten die zijn gekoppeld aan patronen van referentiediefstal zijn opgetreden na een verdachte Microsoft Entra aanmelding. Dit bewijs suggereert met grote zekerheid dat het gebruikersaccount dat is genoteerd in de beschrijving van de waarschuwing is gecompromitteerd en wordt gebruikt om referenties te stelen, zoals sleutels, wachtwoorden zonder opmaak, wachtwoordhashes, enzovoort. Met de gestolen referenties kan een aanvaller toegang krijgen tot gevoelige gegevens, bevoegdheden escaleren en/of lateraal over het netwerk gaan. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor diefstal van referenties zijn:

  • Onmogelijk reizen naar atypische locaties die leiden tot vermoedelijke diefstal van referenties

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot vermoedelijke diefstal van referenties

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot vermoedelijke diefstal van referenties

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot vermoedelijke diefstal van referenties

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot vermoedelijke diefstal van referenties

Crypto-mining

(Nieuwe bedreigingsclassificatie)

Crypto-mining-activiteit na verdachte aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, referentietoegang

MITRE ATT&CK-technieken: Geldig account (T1078), resource hijacking (T1496)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor cloud

Beschrijving: Fusie-incidenten van dit type duiden op crypto-mining-activiteit die is gekoppeld aan een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert met hoge zekerheid dat het gebruikersaccount dat is genoteerd in de beschrijving van de waarschuwing is gecompromitteerd en is gebruikt om resources in uw omgeving te kapen om cryptovaluta te minen. Dit kan uw rekenkracht verhongeren en/of resulteren in aanzienlijk hogere cloudgebruiksfactuur dan verwacht. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor crypto-miningactiviteit zijn:

  • Onmogelijk reizen naar atypische locaties die leiden tot crypto-mining-activiteit

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot crypto-mining-activiteit

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot cryptominingactiviteit

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot cryptominingactiviteit

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot crypto-mining-activiteit

Gegevensvernietiging

Bestand massaal verwijderen na verdachte Microsoft Entra aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal unieke bestanden is verwijderd na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat wordt vermeld in de beschrijving van het Fusion-incident mogelijk is gecompromitteerd en is gebruikt om gegevens te vernietigen voor schadelijke doeleinden. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor het verwijderen van massabestanden zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot massaal verwijderen van bestanden

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot het massaal verwijderen van bestanden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot het massaal verwijderen van bestanden

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot het massaal verwijderen van bestanden

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot het massaal verwijderen van bestanden

Massaal verwijderen van bestanden na geslaagde Microsoft Entra aanmelding vanaf IP geblokkeerd door een Cisco-firewallapparaat

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal unieke bestanden is verwijderd na een geslaagde Microsoft Entra aanmelding, ondanks dat het IP-adres van de gebruiker is geblokkeerd door een Cisco-firewallapparaat. Dit bewijs suggereert dat het account dat wordt vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om gegevens te vernietigen voor schadelijke doeleinden. Omdat het IP-adres is geblokkeerd door de firewall, is dezelfde IP-aanmelding bij Microsoft Entra ID mogelijk verdacht en kan dit duiden op inbreuk op referenties voor het gebruikersaccount.

Het massaal verwijderen van bestanden na een geslaagde aanmelding bij Palo Alto VPN per IP met meerdere mislukte Microsoft Entra aanmeldingen

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, toegang tot referenties, impact

MITRE ATT&CK-technieken: Geldig account (T1078), Brute Force (T1110), Gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal unieke bestanden is verwijderd door een gebruiker die zich met succes heeft aangemeld via een Palo Alto VPN vanaf een IP-adres van waaruit meerdere mislukte Microsoft Entra aanmeldingen zijn opgetreden in een vergelijkbaar tijdsbestek. Dit bewijs suggereert dat het gebruikersaccount dat is genoteerd in het Fusion-incident mogelijk is gecompromitteerd met behulp van brute force-technieken en is gebruikt om gegevens te vernietigen voor schadelijke doeleinden.

Verdachte e-mailverwijderingsactiviteit na verdachte Microsoft Entra aanmelding

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), gegevensvernietiging (T1485)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal e-mailberichten in één sessie is verwijderd na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat is vermeld in de beschrijving van het Fusion-incident mogelijk is gecompromitteerd en is gebruikt om gegevens te vernietigen voor schadelijke doeleinden, zoals het beschadigen van de organisatie of het verbergen van spamgerelateerde e-mailactiviteiten. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor verdachte e-mailverwijderingsactiviteiten zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot verdachte e-mailverwijderingsactiviteiten

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte e-mailverwijderingsactiviteit

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte e-mailverwijderingsactiviteit

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte e-mailverwijderingsactiviteit

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot verdachte e-mailverwijderingsactiviteit

Gegevensexfiltratie

Activiteiten voor het doorsturen van e-mail na nieuwe beheerdersaccountactiviteit die onlangs niet zijn gezien

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: gegevensexfiltratie en schadelijke beheeractiviteiten. Ter wille van de duidelijkheid wordt deze in beide secties weergegeven.

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, verzameling, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Email Collection (T1114), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type geven aan dat er een nieuw Exchange-beheerdersaccount is gemaakt of dat een bestaand Exchange-beheerdersaccount de afgelopen twee weken voor het eerst een aantal administratieve actie heeft ondernomen en dat het account vervolgens enkele acties voor het doorsturen van e-mail heeft uitgevoerd, wat ongebruikelijk is voor een beheerdersaccount. Dit bewijs suggereert dat het gebruikersaccount dat is vermeld in de beschrijving van het Fusion-incident, is gecompromitteerd of gemanipuleerd en dat het is gebruikt om gegevens van het netwerk van uw organisatie te exfiltreren.

Bestand massaal downloaden na verdachte Microsoft Entra aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een gebruiker een afwijkend aantal bestanden heeft gedownload na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge mate van vertrouwen dat het account dat is genoteerd in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om gegevens van het netwerk van uw organisatie te exfiltreren. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor het downloaden van massabestanden zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot het massaal downloaden van bestanden

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot het massaal downloaden van bestanden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot het massaal downloaden van bestanden

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot het massaal downloaden van bestanden

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot het massaal downloaden van bestanden

Massaal downloaden van bestanden na geslaagde Microsoft Entra aanmelding vanaf IP geblokkeerd door een Cisco-firewallapparaat

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal bestanden is gedownload door een gebruiker na een geslaagde Microsoft Entra aanmelding, ondanks dat het IP-adres van de gebruiker is geblokkeerd door een Cisco-firewallapparaat. Dit kan mogelijk een poging zijn van een aanvaller om gegevens uit het netwerk van de organisatie te exfiltreren nadat een gebruikersaccount in gevaar is gebracht. Omdat het IP-adres is geblokkeerd door de firewall, is dezelfde IP-aanmelding bij Microsoft Entra ID mogelijk verdacht en kan dit duiden op inbreuk op referenties voor het gebruikersaccount.

Massabestand downloaden dat samenvalt met SharePoint-bestandsbewerking vanaf een eerder niet-zichtbaar IP-adres

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Exfiltratie

MITRE ATT&CK-technieken: Exfiltratie via webservice (T1567), limieten voor gegevensoverdracht (T1030)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal bestanden is gedownload door een gebruiker die is verbonden vanaf een eerder ongezien IP-adres. Hoewel er geen bewijs is van een aanval met meerdere fasen, resulteert de correlatie van deze twee waarschuwingen met een lagere kwaliteit in een incident met hoge kwaliteit dat een poging van een aanvaller suggereert om gegevens uit het netwerk van de organisatie te exfiltreren van een mogelijk gecompromitteerd gebruikersaccount. In stabiele omgevingen kunnen dergelijke verbindingen door voorheen niet-geziene IP-adressen niet-geautoriseerd zijn, met name als deze zijn gekoppeld aan pieken in het volume die kunnen worden gekoppeld aan grootschalige documentexfiltratie.

Bestanden massaal delen na verdachte Microsoft Entra aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een aantal bestanden boven een bepaalde drempelwaarde is gedeeld met anderen na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge mate van vertrouwen dat het account dat wordt vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en wordt gebruikt om gegevens van het netwerk van uw organisatie te exfiltreren door bestanden zoals documenten, spreadsheets, enzovoort, te delen met onbevoegde gebruikers voor schadelijke doeleinden. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor het massaal delen van bestanden zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot het massaal delen van bestanden

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot het massaal delen van bestanden

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot het massaal delen van bestanden

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot het massaal delen van bestanden

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot het massaal delen van bestanden

Meerdere activiteiten voor het delen van Power BI-rapporten na verdachte Microsoft Entra aanmelding

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal Power BI-rapporten is gedeeld in één sessie na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge mate van vertrouwen dat het account dat is vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om gegevens van het netwerk van uw organisatie te exfiltreren door Power BI-rapporten te delen met onbevoegde gebruikers voor schadelijke doeleinden. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de meerdere activiteiten voor het delen van Power BI-rapporten zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot meerdere activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot meerdere activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot meerdere activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot meerdere activiteiten voor het delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot meerdere activiteiten voor het delen van Power BI-rapporten

Office 365 postvakexfiltratie na een verdachte Microsoft Entra aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, exfiltratie, verzameling

MITRE ATT&CK-technieken: Geldig account (T1078), E-mailverzameling (T1114), geautomatiseerde exfiltratie (T1020)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een verdachte regel voor het doorsturen van postvak IN is ingesteld op het Postvak IN van een gebruiker na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge mate van vertrouwen dat het account van de gebruiker (vermeld in de beschrijving van het Fusion-incident) is gecompromitteerd en dat het is gebruikt om gegevens van het netwerk van uw organisatie te exfiltreren door een regel voor het doorsturen van postvakken in te schakelen zonder dat de gebruiker het weet. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor exfiltratie van Office 365 postvak zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot Office 365 postvakexfiltratie

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot exfiltratie van Office 365 postvak

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot exfiltratie van Office 365 postvak

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot exfiltratie van Office 365 postvak

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot exfiltratie van Office 365 postvak

Bewerking van SharePoint-bestand vanaf een eerder niet-zichtbaar IP-adres na detectie van malware

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Exfiltratie, defensieontduiking

MITRE ATT&CK-technieken: Limieten voor gegevensoverdracht (T1030)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type geven aan dat een aanvaller heeft geprobeerd grote hoeveelheden gegevens te exfiltreren door het downloaden of delen via SharePoint door middel van malware. In stabiele omgevingen kunnen dergelijke verbindingen door voorheen niet-geziene IP-adressen niet-geautoriseerd zijn, met name als deze zijn gekoppeld aan pieken in het volume die kunnen worden gekoppeld aan grootschalige documentexfiltratie.

Verdachte regels voor manipulatie van Postvak IN ingesteld na verdachte Microsoft Entra aanmelding

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: gegevensexfiltratie en laterale verplaatsing. Ter wille van de duidelijkheid wordt deze in beide secties weergegeven.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, laterale beweging, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Interne Spear Phishing (T1534), Geautomatiseerde exfiltratie (T1020)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat afwijkende regels voor Postvak IN zijn ingesteld op het Postvak IN van een gebruiker na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs levert een indicatie met hoge betrouwbaarheid dat het account dat is genoteerd in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om de e-mailregels van het Postvak IN van de gebruiker te manipuleren voor schadelijke doeleinden, mogelijk om gegevens uit het netwerk van de organisatie te exfiltreren. De aanvaller kan ook proberen phishing-e-mails te genereren van binnen de organisatie (phishingdetectiemechanismen worden overgeslagen die zijn gericht op e-mail van externe bronnen) met het doel zich lateraal te verplaatsen door toegang te krijgen tot extra gebruikers- en/of bevoegde accounts. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor verdachte manipulatieregels voor Postvak IN zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot verdachte manipulatieregel voor Postvak IN

Verdacht delen van Power BI-rapporten na verdachte Microsoft Entra aanmelding

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat er een verdachte activiteit voor het delen van Power BI-rapporten is opgetreden na een verdachte aanmelding bij een Microsoft Entra-account. De activiteit voor delen is verdacht omdat het Power BI-rapport gevoelige informatie bevat die is geïdentificeerd met natuurlijke taalverwerking en omdat deze is gedeeld met een extern e-mailadres, op internet is gepubliceerd of als momentopname is bezorgd op een extern geabonneerd e-mailadres. Deze waarschuwing geeft met hoge zekerheid aan dat het account dat is vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om gevoelige gegevens van uw organisatie te exfiltreren door Power BI-rapporten te delen met onbevoegde gebruikers voor schadelijke doeleinden. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met het verdachte delen van Power BI-rapporten zijn:

  • Onmogelijk reizen naar een atypische locatie leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis vanaf een anoniem IP-adres dat leidt tot verdacht delen van Power BI-rapporten

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot verdacht delen van Power BI-rapporten

Denial of Service

Meerdere VM-verwijderingsactiviteiten na verdachte Microsoft Entra aanmelding

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), Endpoint Denial of Service (T1499)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal VM's in één sessie is verwijderd na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge mate van vertrouwen dat het account dat is vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om te proberen de cloudomgeving van de organisatie te verstoren of te vernietigen. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor meerdere VM-verwijderingsactiviteiten zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot meerdere VM-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot meerdere VM-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot meerdere VM-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot meerdere vm-verwijderingsactiviteiten

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot meerdere VM-verwijderingsactiviteiten

Laterale beweging

Office 365 imitatie na verdachte Microsoft Entra aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, laterale beweging

MITRE ATT&CK-technieken: Geldig account (T1078), Interne Spear Phishing (T1534)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat er een afwijkend aantal imitatieacties is opgetreden na een verdachte aanmelding vanuit een Microsoft Entra-account. In sommige software zijn er opties waarmee gebruikers andere gebruikers kunnen imiteren. Met e-mailservices kunnen gebruikers bijvoorbeeld andere gebruikers machtigen om namens hen e-mail te verzenden. Deze waarschuwing geeft met meer vertrouwen aan dat het account dat is vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om imitatieactiviteiten uit te voeren voor schadelijke doeleinden, zoals het verzenden van phishing-e-mailberichten voor de distributie van malware of laterale verplaatsing. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de Office 365 imitatiewaarschuwing zijn:

  • Onmogelijk reizen naar een atypische locatie leidt tot Office 365 imitatie

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot Office 365 imitatie

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot Office 365 imitatie

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot Office 365 imitatie

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot Office 365 imitatie

Verdachte regels voor manipulatie van Postvak IN ingesteld na verdachte Microsoft Entra aanmelding

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: laterale verplaatsing en gegevensexfiltratie. Ter wille van de duidelijkheid wordt deze in beide secties weergegeven.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, laterale beweging, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Interne Spear Phishing (T1534), Geautomatiseerde exfiltratie (T1020)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat afwijkende regels voor Postvak IN zijn ingesteld op het Postvak IN van een gebruiker na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs levert een indicatie met hoge betrouwbaarheid dat het account dat is genoteerd in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om de e-mailregels van het Postvak IN van de gebruiker te manipuleren voor schadelijke doeleinden, mogelijk om gegevens uit het netwerk van de organisatie te exfiltreren. De aanvaller kan ook proberen phishing-e-mails te genereren van binnen de organisatie (phishingdetectiemechanismen worden overgeslagen die zijn gericht op e-mail van externe bronnen) met het doel zich lateraal te verplaatsen door toegang te krijgen tot extra gebruikers- en/of bevoegde accounts. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor verdachte manipulatieregels voor Postvak IN zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte manipulatieregel voor Postvak IN

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot verdachte manipulatieregel voor Postvak IN

Schadelijke beheeractiviteiten

Verdachte beheeractiviteiten voor cloud-apps na verdachte Microsoft Entra aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, persistentie, defensieontduiking, laterale beweging, verzameling, exfiltratie en impact

MITRE ATT&CK-technieken: N/A

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een afwijkend aantal beheeractiviteiten is uitgevoerd in één sessie na een verdachte Microsoft Entra aanmelding vanuit hetzelfde account. Dit bewijs suggereert dat het account dat is vermeld in de beschrijving van het Fusion-incident mogelijk is gecompromitteerd en is gebruikt om een willekeurig aantal niet-geautoriseerde beheeracties met kwaadwillende bedoelingen uit te voeren. Dit geeft ook aan dat een account met beheerdersbevoegdheden mogelijk is gecompromitteerd. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de waarschuwing voor verdachte cloud-app-beheeractiviteiten zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot verdachte beheeractiviteiten voor cloud-apps

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte beheeractiviteiten voor cloud-apps

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot verdachte beheeractiviteiten voor cloud-apps

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte beheeractiviteiten voor cloud-apps

  • Aanmeldingsgebeurtenis van een gebruiker met gelekte referenties die leidt tot verdachte beheeractiviteiten voor cloud-apps

Activiteiten voor het doorsturen van e-mail na nieuwe beheerdersaccountactiviteit die onlangs niet zijn gezien

Dit scenario behoort tot twee bedreigingsclassificaties in deze lijst: schadelijke beheeractiviteiten en gegevensexfiltratie. Ter wille van de duidelijkheid wordt deze in beide secties weergegeven.

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, verzameling, exfiltratie

MITRE ATT&CK-technieken: Geldig account (T1078), Email Collection (T1114), Exfiltratie via webservice (T1567)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type geven aan dat er een nieuw Exchange-beheerdersaccount is gemaakt of dat een bestaand Exchange-beheerdersaccount de afgelopen twee weken voor het eerst een aantal administratieve actie heeft ondernomen en dat het account vervolgens enkele acties voor het doorsturen van e-mail heeft uitgevoerd, wat ongebruikelijk is voor een beheerdersaccount. Dit bewijs suggereert dat het gebruikersaccount dat is vermeld in de beschrijving van het Fusion-incident, is gecompromitteerd of gemanipuleerd en dat het is gebruikt om gegevens van het netwerk van uw organisatie te exfiltreren.

Schadelijke uitvoering met legitiem proces

PowerShell heeft een verdachte netwerkverbinding gemaakt, gevolgd door afwijkend verkeer dat is gemarkeerd door de Firewall van Palo Alto Networks.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Uitvoering

MITRE ATT&CK-technieken: Opdracht- en scriptinterpreter (T1059)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen Microsoft Defender Advanced Threat Protection of MDATP), Microsoft Sentinel (geplande analyseregel)

Beschrijving: Fusie-incidenten van dit type geven aan dat er een aanvraag voor een uitgaande verbinding is gedaan via een PowerShell-opdracht en dat daarna afwijkende binnenkomende activiteit is gedetecteerd door de Palo Alto Networks-firewall. Dit bewijs suggereert dat een aanvaller waarschijnlijk toegang heeft gekregen tot uw netwerk en schadelijke acties probeert uit te voeren. Verbindingspogingen door PowerShell die dit patroon volgen, kunnen een indicatie zijn van malware-opdracht- en controleactiviteiten, aanvragen voor het downloaden van extra malware of een aanvaller die externe interactieve toegang tot stand heeft gebracht. Net als bij alle aanvallen op 'leven op het land', kan deze activiteit een legitiem gebruik van PowerShell zijn. De uitvoering van de PowerShell-opdracht gevolgd door verdachte binnenkomende firewallactiviteit verhoogt echter het vertrouwen dat PowerShell op een schadelijke manier wordt gebruikt en moet verder worden onderzocht. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en wordt verkeer als verdacht beschouwd wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, bosbranden). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Verdachte externe WMI-uitvoering gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Uitvoering, detectie

MITRE ATT&CK-technieken: Windows Management Instrumentation (T1047)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (geplande analyseregel)

Beschrijving: Fusie-incidenten van dit type geven aan dat WMI-opdrachten (Windows Management Interface) op afstand zijn uitgevoerd op een systeem en dat vervolgens verdachte binnenkomende activiteit is gedetecteerd door de Palo Alto Networks-firewall. Dit bewijs suggereert dat een aanvaller mogelijk toegang heeft gekregen tot uw netwerk en probeert zich lateraal te verplaatsen, bevoegdheden te escaleren en/of schadelijke nettoladingen uit te voeren. Net als bij alle aanvallen op 'wonen op het land', kan deze activiteit een legitiem gebruik van WMI zijn. De uitvoering van de externe WMI-opdracht gevolgd door verdachte inkomende firewallactiviteit verhoogt echter het vertrouwen dat WMI op een schadelijke manier wordt gebruikt en moet verder worden onderzocht. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en wordt verkeer als verdacht beschouwd wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, bosbranden). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Verdachte PowerShell-opdrachtregel na verdachte aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, uitvoering

MITRE ATT&CK-technieken: Geldig account (T1078), opdracht- en scriptinterpreter (T1059)

Gegevensconnectorbronnen: Microsoft Entra ID Protection, Microsoft Defender voor Eindpunt (voorheen MDATP)

Beschrijving: Fusie-incidenten van dit type geven aan dat een gebruiker mogelijk schadelijke PowerShell-opdrachten heeft uitgevoerd na een verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert met hoge zekerheid dat het account dat in de beschrijving van de waarschuwing is vermeld, is gecompromitteerd en dat er verdere schadelijke acties zijn ondernomen. Aanvallers gebruiken vaak PowerShell om schadelijke nettoladingen in het geheugen uit te voeren zonder artefacten op de schijf achter te laten, om detectie door op schijven gebaseerde beveiligingsmechanismen zoals virusscanners te voorkomen. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de verdachte PowerShell-opdrachtwaarschuwing zijn:

  • Onmogelijk reizen naar atypische locaties die leiden tot verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot een verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot verdachte PowerShell-opdrachtregel

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot verdachte PowerShell-opdrachtregel

Malware C2 of downloaden

Beacon-patroon gedetecteerd door Fortinet na meerdere mislukte aanmeldingen van gebruikers bij een service

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, opdracht en beheer

MITRE ATT&CK-technieken: Geldig account (T1078), niet-standaardpoort (T1571), T1065 (buiten gebruik gesteld)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Defender for Cloud Apps

Beschrijving: Fusie-incidenten van dit type duiden op communicatiepatronen, van een intern IP-adres naar een extern adres, die consistent zijn met beaconing, na meerdere mislukte aanmeldingen van gebruikers bij een service vanuit een gerelateerde interne entiteit. De combinatie van deze twee gebeurtenissen kan een indicatie zijn van malware-infectie of van een gecompromitteerde host die gegevensexfiltratie uitvoert.

Beacon-patroon gedetecteerd door Fortinet na verdachte Microsoft Entra aanmelding

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, opdracht en beheer

MITRE ATT&CK-technieken: Geldig account (T1078), niet-standaardpoort (T1571), T1065 (buiten gebruik gesteld)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type duiden op communicatiepatronen, van een intern IP-adres naar een extern adres, die consistent zijn met beaconing, na een verdachte aanmelding van een gebruiker om te Microsoft Entra ID. De combinatie van deze twee gebeurtenissen kan een indicatie zijn van malware-infectie of van een gecompromitteerde host die gegevensexfiltratie uitvoert. De permutaties van het beaconpatroon dat is gedetecteerd door Fortinet-waarschuwingen met verdachte Microsoft Entra aanmeldingswaarschuwingen zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot een bakenpatroon dat is gedetecteerd door Fortinet

  • Aanmeldingsgebeurtenis van een onbekende locatie die leidt tot een bakenpatroon dat is gedetecteerd door Fortinet

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot een bakenpatroon dat is gedetecteerd door Fortinet

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot een bakenpatroon dat is gedetecteerd door Fortinet

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot een bakenpatroon dat is gedetecteerd door Fortinet

Netwerkaanvraag bij TOR-anonimiseringsservice gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Opdracht en beheer

MITRE ATT&CK-technieken: Versleuteld kanaal (T1573), proxy (T1090)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (geplande analyseregel)

Beschrijving: Fusie-incidenten van dit type geven aan dat er een aanvraag voor een uitgaande verbinding is ingediend bij de TOR-anonimiseringsservice en dat daarna afwijkende binnenkomende activiteit is gedetecteerd door de Palo Alto Networks-firewall. Dit bewijs suggereert dat een aanvaller waarschijnlijk toegang heeft gekregen tot uw netwerk en zijn acties en intenties probeert te verbergen. Verbindingen met het TOR-netwerk volgens dit patroon kunnen een indicatie zijn van malware-opdracht- en controleactiviteit, aanvragen voor het downloaden van extra malware of een aanvaller die externe interactieve toegang tot stand heeft gebracht. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en wordt verkeer als verdacht beschouwd wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, bosbranden). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Uitgaande verbinding met IP met een geschiedenis van onbevoegde toegangspogingen gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Opdracht en beheer

MITRE ATT&CK-technieken: Niet van toepassing

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (geplande analyseregel)

Beschrijving: Fusie-incidenten van dit type geven aan dat er een uitgaande verbinding met een IP-adres met een geschiedenis van niet-geautoriseerde toegangspogingen tot stand is gebracht en dat daarna afwijkende activiteiten zijn gedetecteerd door de Palo Alto Networks-firewall. Dit bewijs suggereert dat een aanvaller waarschijnlijk toegang heeft gekregen tot uw netwerk. Verbindingspogingen volgens dit patroon kunnen een indicatie zijn van malware-opdracht- en controleactiviteiten, aanvragen voor het downloaden van extra malware of een aanvaller die externe interactieve toegang tot stand heeft gebracht. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en wordt verkeer als verdacht beschouwd wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, bosbranden). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Persistentie

(Nieuwe bedreigingsclassificatie)

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Persistentie, initiële toegang

MITRE ATT&CK-technieken: Account maken (T1136), geldig account (T1078)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat aan een toepassing toestemming is verleend door een gebruiker die dit nooit of zelden heeft gedaan, na een gerelateerde verdachte aanmelding bij een Microsoft Entra-account. Dit bewijs suggereert dat het account dat wordt vermeld in de beschrijving van het Fusion-incident mogelijk is gecompromitteerd en gebruikt om toegang te krijgen tot of te manipuleren voor schadelijke doeleinden. Toestemming voor toepassing, Service-principal toevoegen en OAuth2PermissionGrant toevoegen moeten meestal zeldzame gebeurtenissen zijn. Aanvallers kunnen dit type configuratiewijziging gebruiken om hun voet aan de grond te houden op systemen. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de zeldzame waarschuwing voor toepassingstoestemming zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot zeldzame toestemming van de toepassing

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot zeldzame toepassingstoestemming

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot zeldzame toepassingstoestemming

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot zeldzame toepassingstoestemming

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot zeldzame toepassingstoestemming

Ransomware

Ransomware-uitvoering na verdachte Microsoft Entra aanmelding

MITRE ATT&CK-tactieken: Initiële toegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), gegevens versleuteld voor impact (T1486)

Gegevensconnectorbronnen: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat afwijkend gebruikersgedrag dat aangeeft dat er een ransomware-aanval is gedetecteerd na een verdachte aanmelding bij een Microsoft Entra-account. Deze indicatie geeft een hoge mate van vertrouwen dat het account dat is vermeld in de beschrijving van het Fusion-incident is gecompromitteerd en is gebruikt om gegevens te versleutelen met het doel de eigenaar van de gegevens af te drukken of de gegevenseigenaar de toegang tot de gegevens te weigeren. De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de ransomware-uitvoeringswaarschuwing zijn:

  • Onmogelijk reizen naar een atypische locatie die leidt tot ransomware in cloud-app

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot ransomware in cloud-app

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot ransomware in cloud-app

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot ransomware in cloud-app

  • Aanmeldingsgebeurtenis van gebruiker met gelekte referenties die leiden tot ransomware in cloud-app

Externe exploitatie

Verdacht gebruik van aanvalsframework gevolgd door afwijkend verkeer dat is gemarkeerd door Palo Alto Networks-firewall

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, uitvoering, laterale verplaatsing, escalatie van bevoegdheden

MITRE ATT&CK-technieken: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services (T1210), Exploitation for Privilege Escalation (T1068)

Gegevensconnectorbronnen: Microsoft Defender voor Eindpunt (voorheen MDATP), Microsoft Sentinel (geplande analyseregel)

Beschrijving: Fusie-incidenten van dit type geven aan dat niet-standaardgebruik van protocollen, vergelijkbaar met het gebruik van aanvalsframeworks zoals Metasploit, zijn gedetecteerd en dat vervolgens verdachte inkomende activiteit is gedetecteerd door de Palo Alto Networks-firewall. Dit kan een eerste indicatie zijn dat een aanvaller een service heeft misbruikt om toegang te krijgen tot uw netwerkresources of dat een aanvaller al toegang heeft gekregen en probeert beschikbare systemen/services verder te misbruiken om lateraal te verplaatsen en/of bevoegdheden te escaleren. In Palo Alto-logboeken richt Microsoft Sentinel zich op bedreigingslogboeken en wordt verkeer als verdacht beschouwd wanneer bedreigingen zijn toegestaan (verdachte gegevens, bestanden, overstromingen, pakketten, scans, spyware, URL's, virussen, beveiligingsproblemen, wildfire-virussen, bosbranden). Raadpleeg ook het Palo Alto Threat Log dat overeenkomt met het bedreigings-/inhoudstype dat wordt vermeld in de beschrijving van het Fusion-incident voor aanvullende waarschuwingsdetails.

Resource hijacking

(Nieuwe bedreigingsclassificatie)

Verdachte resource-/resourcegroepimplementatie door een eerder niet-geziene aanroeper na verdachte Microsoft Entra aanmelding

Dit scenario maakt gebruik van waarschuwingen die worden geproduceerd door geplande analyseregels.

Dit scenario is momenteel in PREVIEW.

MITRE ATT&CK-tactieken: Initiële toegang, impact

MITRE ATT&CK-technieken: Geldig account (T1078), resource hijacking (T1496)

Gegevensconnectorbronnen: Microsoft Sentinel (geplande analyseregel), Microsoft Entra ID Protection

Beschrijving: Fusie-incidenten van dit type geven aan dat een gebruiker een Azure resource of resourcegroep - een zeldzame activiteit - heeft geïmplementeerd na een verdachte aanmelding, met eigenschappen die niet onlangs zijn gezien, naar een Microsoft Entra-account. Dit kan mogelijk een poging zijn van een aanvaller om resources of resourcegroepen te implementeren voor schadelijke doeleinden nadat het gebruikersaccount in de beschrijving van het Fusion-incident in gevaar is gebracht.

De permutaties van verdachte Microsoft Entra aanmeldingswaarschuwingen met de implementatie van de verdachte resource/resourcegroep door een eerder ongeziene aanroepwaarschuwing zijn:

  • Onmogelijke reis naar een atypische locatie die leidt tot een verdachte resource/resourcegroepimplementatie door een eerder niet-geziene aanroeper

  • Aanmeldingsgebeurtenis vanaf een onbekende locatie die leidt tot een verdachte resource-/resourcegroepimplementatie door een eerder niet-geziene aanroeper

  • Aanmeldingsgebeurtenis van een geïnfecteerd apparaat dat leidt tot een verdachte resource-/resourcegroepimplementatie door een eerder niet-geziene aanroeper

  • Aanmeldingsgebeurtenis van een anoniem IP-adres dat leidt tot een verdachte resource/resourcegroepimplementatie door een eerder niet-geziene aanroeper

  • Aanmeldingsgebeurtenis van een gebruiker met gelekte referenties die leidt tot een verdachte resource/resourcegroepimplementatie door een eerder ongeziene aanroeper

Volgende stappen

Nu u meer hebt geleerd over geavanceerde detectie van aanvallen met meerdere fasen, bent u mogelijk geïnteresseerd in de volgende quickstart voor meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen: Aan de slag met Microsoft Sentinel.

Als u klaar bent om de incidenten te onderzoeken die voor u zijn gemaakt, raadpleegt u de volgende zelfstudie: Incidenten onderzoeken met Microsoft Sentinel.

  • Last updated on