A Microsoft Sentinel Fusion motor által észlelt forgatókönyvek
Ez a dokumentum a Microsoft Sentinel által a Fusion korrelációs motor használatával észlelt, veszélyforrások besorolása szerint csoportosított forgatókönyvalapú többlépéses támadások típusait sorolja fel.
Mivel a Fusion több különböző terméktől származó jeleket korrelál a fejlett multistage támadások észleléséhez, a sikeres fúziós észlelések fúziós incidensként jelennek meg a Microsoft Sentinel incidensek oldalán, nem riasztásként, és nem a SecurityAlerts táblában, hanem a Naplók Incidensek táblájában vannak tárolva.
A fúziós támadásészlelési forgatókönyvek engedélyezéséhez a felsorolt adatforrásokat a Log Analytics-munkaterületre kell beolvasni. Az ütemezett elemzési szabályokkal rendelkező forgatókönyvek esetében kövesse a Fúziós észlelések ütemezett elemzési szabályainak konfigurálása című témakör utasításait.
Megjegyzés:
Néhány ilyen forgatókönyv előzetes verzióban érhető el. Ezek a jelölések meg lesznek jelölve.
Számítási erőforrásokkal való visszaélés
Több virtuálisgép-létrehozási tevékenység gyanús Microsoft Entra-bejelentkezés után
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás
MITRE ATT&CK technikák: Érvényes fiók (T1078), Erőforrás-eltérítés (T1496)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú virtuális gép jött létre. Az ilyen típusú riasztások nagy megbízhatósággal jelzik, hogy a Fusion-incidens leírásában szereplő fiókot feltörték, és új virtuális gépek jogosulatlan célokra, például kriptobányászati műveletek futtatására használták. A gyanús Microsoft Entra bejelentkezési riasztások több virtuálisgép-létrehozási tevékenységre vonatkozó riasztással való áthangolása a következő:
Lehetetlen utazás olyan atipikus helyre, amely több virtuálisgép-létrehozási tevékenységhez vezet
Bejelentkezési esemény ismeretlen helyről, amely több virtuálisgép-létrehozási tevékenységhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely több virtuálisgép-létrehozási tevékenységhez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely több virtuálisgép-létrehozási tevékenységhez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely több virtuálisgép-létrehozási tevékenységhez vezet
Hitelesítő adatokhoz való hozzáférés
(Új fenyegetésbesorolás)
Több jelszó alaphelyzetbe állítása a felhasználó által a gyanús bejelentkezést követően
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Initial Access, Credential Access
MITRE ATT&CK technikák: Érvényes fiók (T1078), Brute Force (T1110)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy felhasználó több jelszót is alaphelyzetbe állít a Microsoft Entra-fiókba való gyanús bejelentkezést követően. Ez a bizonyíték arra utal, hogy a fúziós incidens leírásában szereplő fiók sérült, és több jelszó-visszaállítás végrehajtására szolgál, hogy több rendszerhez és erőforráshoz férhessen hozzá. A fiókkezelés (beleértve a jelszó-visszaállítást is) segíthet a támadóknak a hitelesítő adatokhoz és bizonyos jogosultsági szintekhez való hozzáférés fenntartásában egy környezetben. A gyanús Microsoft Entra bejelentkezési riasztások több jelszó-visszaállítási riasztással való áthangolása a következő:
Lehetetlen utazás egy atipikus helyre, amely több jelszó alaphelyzetbe állításához vezet
Bejelentkezési esemény ismeretlen helyről, amely több jelszó alaphelyzetbe állításához vezet
Bejelentkezési esemény egy fertőzött eszközről, amely több jelszó alaphelyzetbe állításához vezet
Bejelentkezési esemény névtelen IP-címről, amely több jelszó alaphelyzetbe állításához vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely több jelszó alaphelyzetbe állításához vezet
Gyanús bejelentkezés egybeesik a Palo Alto VPN-be való sikeres bejelentkezéssel IP-cím alapján, több sikertelen Microsoft Entra-bejelentkezéssel
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Initial Access, Credential Access
MITRE ATT&CK technikák: Érvényes fiók (T1078), Brute Force (T1110)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezés egybeesett egy Palo Alto VPN-en keresztüli sikeres bejelentkezéssel egy olyan IP-címről, amelyről több sikertelen Microsoft Entra-bejelentkezés történt hasonló időkeretben. Bár a többtényezős támadás nem bizonyíték, a két alacsonyabb megbízhatóságú riasztás korrelációja magas megbízhatósági incidenst eredményez, amely rosszindulatú kezdeti hozzáférést jelez a szervezet hálózatához. Ez azt is jelezheti, hogy egy támadó találgatásos technikákkal próbál hozzáférni egy Microsoft Entra-fiókhoz. A gyanús Microsoft Entra bejelentkezési riasztások "Több sikertelen Microsoft Entra-bejelentkezéssel rendelkező IP-cím sikeresen bejelentkezik a Palo Alto VPN-be" riasztások permutációi a következők:
Lehetetlen olyan atipikus helyre utazni, amely az IP-címmel egybeesik több sikertelen Microsoft Entra-bejelentkezéssel, és sikeresen bejelentkezik a Palo Alto VPN-be
Ismeretlen helyről való bejelentkezési esemény, amely az IP-címmel egybeesik több sikertelen Microsoft Entra-bejelentkezéssel, sikeresen bejelentkezik a Palo Alto VPN-be
Több sikertelen Microsoft Entra-bejelentkezéssel rendelkező fertőzött eszközről származó bejelentkezési esemény sikeresen bejelentkezik a Palo Alto VPN-be
Bejelentkezési esemény egy névtelen IP-címről, amely több sikertelen Microsoft Entra-bejelentkezéssel rendelkezik, sikeresen bejelentkezik a Palo Alto VPN-be
A kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye több sikertelen Microsoft Entra-bejelentkezéssel sikeresen bejelentkezik a Palo Alto VPN-be
Hitelesítő adatok betakarítása
(Új fenyegetésbesorolás)
Rosszindulatú hitelesítőadat-lopási eszköz végrehajtása gyanús bejelentkezés után
MITRE ATT&CK-taktikák: Initial Access, Credential Access
MITRE ATT&CK technikák: Érvényes fiók (T1078), operációsrendszer-hitelesítő adatok memóriaképe (T1003)
Adatforrások: Microsoft Entra ID-védelem, Végponthoz készült Microsoft Defender
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy ismert hitelesítőadat-lopási eszközt egy gyanús Microsoft Entra-bejelentkezés után hajtottak végre. Ez a bizonyíték nagy biztonsággal arra utal, hogy a riasztás leírásában szereplő felhasználói fiók sérült, és lehetséges, hogy sikeresen használt egy olyan eszközt, mint a Mimikatz , hogy hitelesítő adatokat gyűjtsön, például kulcsokat, egyszerű szöveges jelszavakat és/vagy jelszókivonatokat a rendszerből. A begyűjtött hitelesítő adatokkal a támadó hozzáférhet a bizalmas adatokhoz, eszkalálhatja a jogosultságokat, és/vagy oldalirányban mozoghat a hálózaton. A gyanús Microsoft Entra bejelentkezési riasztások és a rosszindulatú hitelesítő adatok ellopása eszközre vonatkozó riasztások permutációi a következők:
Lehetetlen utazás atipikus helyekre, amely rosszindulatú hitelesítő adatok ellopására szolgáló eszköz végrehajtásához vezet
Bejelentkezési esemény ismeretlen helyről, amely rosszindulatú hitelesítőadat-lopási eszköz végrehajtásához vezet
Bejelentkezési esemény egy fertőzött eszközről, amely rosszindulatú hitelesítőadat-lopási eszköz végrehajtásához vezet
Bejelentkezési esemény egy névtelen IP-címről, amely rosszindulatú hitelesítőadat-lopási eszköz végrehajtásához vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely rosszindulatú hitelesítő adatok ellopására szolgáló eszköz végrehajtásához vezet
Gyanús bejelentkezést követő hitelesítőadat-lopás gyanúja
MITRE ATT&CK-taktikák: Initial Access, Credential Access
MITRE ATT&CK technikák: Érvényes fiók (T1078), hitelesítő adatok a jelszótárolókból (T1555), operációsrendszer-hitelesítő adatok memóriaképe (T1003)
Adatforrások: Microsoft Entra ID-védelem, Végponthoz készült Microsoft Defender
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a hitelesítő adatok ellopásának mintáival kapcsolatos tevékenységek gyanús Microsoft Entra-bejelentkezést követően történtek. Ez a bizonyíték azt sugallja, hogy a riasztás leírásában szereplő felhasználói fiók sérült, és hitelesítő adatok, például kulcsok, egyszerű szöveges jelszavak, jelszókivonatok stb. ellopására szolgál. Az ellopott hitelesítő adatokkal a támadó hozzáférhet a bizalmas adatokhoz, eszkalálhatja a jogosultságokat, és/vagy oldalirányban mozoghat a hálózaton. A gyanús Microsoft Entra bejelentkezési riasztások hitelesítőadat-lopási tevékenységgel kapcsolatos riasztásainak permutációi a következők:
Lehetetlen utazás atipikus helyekre, ahol a hitelesítő adatok ellopása gyanúja merül fel
Bejelentkezési esemény ismeretlen helyről, amely hitelesítő adatok ellopására gyanús tevékenységhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely hitelesítő adatok ellopására gyanús tevékenységhez vezet
Bejelentkezési esemény névtelen IP-címről, amely hitelesítő adatok ellopására gyanús tevékenységhez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely a hitelesítő adatok ellopására gyanús tevékenységhez vezet
Kriptobányászat
(Új fenyegetésbesorolás)
Kriptobányászati tevékenység gyanús bejelentkezés után
MITRE ATT&CK-taktikák: Initial Access, Credential Access
MITRE ATT&CK technikák: Érvényes fiók (T1078), Erőforrás-eltérítés (T1496)
Adatforrások: Microsoft Entra ID-védelem, Felhőhöz készült Microsoft Defender
Leírás: Az ilyen típusú fúziós incidensek a Microsoft Entra-fiókba való gyanús bejelentkezéshez kapcsolódó kriptobányászati tevékenységet jelölnek. Ez a bizonyíték nagy biztonsággal arra utal, hogy a riasztás leírásában szereplő felhasználói fiók feltörve lett, és a környezet erőforrásainak eltérítésére szolgál a kriptovaluta bányászásához. Ez éheztetheti a számítási teljesítmény erőforrásait, és/vagy a vártnál jelentősen magasabb felhőhasználati számlákat eredményezhet. A gyanús Microsoft Entra bejelentkezési riasztások és a kriptobányászati tevékenység riasztásainak permutációi a következők:
Lehetetlen utazás a kriptobányászati tevékenységhez vezető atipikus helyekre
Bejelentkezési esemény ismeretlen helyről, amely kriptobányászati tevékenységhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely kriptobányászati tevékenységhez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely kriptobányászati tevékenységhez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely kriptobányászati tevékenységhez vezet
Adatmegsemmisítés
Tömeges fájltörlés gyanús Microsoft Entra-bejelentkezés után
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás
MITRE ATT&CK technikák: Érvényes fiók (T1078), Adatmegsemmisítés (T1485)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően rendellenes számú egyedi fájl törölve lett. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és rosszindulatú célokra használták az adatok megsemmisítésére. A gyanús Microsoft Entra bejelentkezési riasztások és a tömeges fájltörlési riasztások permutációi a következők:
Lehetetlen utazás egy atipikus helyre, amely tömeges fájltörléshez vezet
Bejelentkezési esemény ismeretlen helyről, amely tömeges fájltörléshez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely tömeges fájltörléshez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely tömeges fájltörléshez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely tömeges fájltörléshez vezet
Tömeges fájltörlés a Cisco tűzfalkészülék által blokkolt IP-címről való sikeres Microsoft Entra-bejelentkezés után
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás
MITRE ATT&CK technikák: Érvényes fiók (T1078), Adatmegsemmisítés (T1485)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra sikeres bejelentkezése után rendellenes számú egyedi fájl törölve lett annak ellenére, hogy a felhasználó IP-címét egy Cisco tűzfalberendezés blokkolta. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiókot feltörték, és rosszindulatú célokra használták az adatok megsemmisítésére. Mivel az IP-címet a tűzfal blokkolta, a Microsoft Entra-azonosítóra való sikeres IP-naplózás valószínűleg gyanús, és a felhasználói fiók hitelesítő adatainak sérülésére utalhat.
Tömeges fájltörlés, miután sikeresen bejelentkezett a Palo Alto VPN-be IP-cím alapján, több sikertelen Microsoft Entra-bejelentkezéssel
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, Hitelesítő adatok elérése, Hatás
MITRE ATT&CK technikák: Érvényes fiók (T1078), Brute Force (T1110), Data Destruction (T1485)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy rendellenes számú egyedi fájlt törölt egy felhasználó, aki sikeresen bejelentkezett egy Palo Alto VPN-en keresztül egy OLYAN IP-címről, amelyről több sikertelen Microsoft Entra-bejelentkezés történt hasonló időkeretben. Ez a bizonyíték arra utal, hogy a Fúziós incidensben feljegyzett felhasználói fiók valószínűleg találgatásos technikákkal lett feltörve, és rosszindulatú célokra az adatok megsemmisítésére szolgál.
Gyanús e-mail-törlési tevékenység gyanús Microsoft Entra-bejelentkezés után
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás
MITRE ATT&CK technikák: Érvényes fiók (T1078), Adatmegsemmisítés (T1485)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú e-mailt töröltek. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és rosszindulatú célokra, például a szervezet sérülésére vagy a levélszeméttel kapcsolatos e-mail-tevékenységek elrejtésére szolgáltak. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús e-mail törlési tevékenységgel kapcsolatos riasztások permutációi a következők:
Lehetetlen utazás atipikus helyre, amely gyanús e-mail törlési tevékenységhez vezet
Bejelentkezési esemény ismeretlen helyről, amely gyanús e-mail törlési tevékenységhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely gyanús e-mail törlési tevékenységhez vezet
Bejelentkezési esemény névtelen IP-címről, amely gyanús e-mail törlési tevékenységhez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús e-mail törlési tevékenységhez vezet
Adatkiszivárgás
E-mail-továbbítási tevékenységek a közelmúltban nem látott új rendszergazdai fióktevékenység után
Ez a forgatókönyv két fenyegetésbesoroláshoz tartozik ebben a listában: adatkiszivárgás és rosszindulatú rendszergazdai tevékenység. Az egyértelműség kedvéért mindkét szakaszban megjelenik.
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, gyűjtemény, kiszűrés
MITRE ATT&CK technikák: Érvényes fiók (T1078), E-mail-gyűjtemény (T1114), Kiszűrés webszolgáltatáson keresztül (T1567)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy vagy új Exchange-rendszergazdai fiókot hoztak létre, vagy egy meglévő Exchange-rendszergazdai fiók először hajtott végre rendszergazdai műveletet az elmúlt két hétben, és hogy a fiók ezután végrehajtott néhány levelezési továbbítási műveletet, ami szokatlan a rendszergazdai fiókok esetében. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő felhasználói fiókot feltörték vagy manipulálták, és arra használták, hogy kiszűrje az adatokat a szervezet hálózatából.
Tömeges fájlletöltés gyanús Microsoft Entra-bejelentkezés után
MITRE ATT&CK-taktikák: Initial Access, Exfiltration
MITRE ATT&CK technikák: Érvényes fiók (T1078)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy felhasználó rendellenes számú fájlt töltött le a Microsoft Entra-fiókba való gyanús bejelentkezést követően. Ez a jelzés nagy megbízhatóságot biztosít, hogy a Fúziós incidens leírásában szereplő fiók sérült, és a szervezet hálózatából származó adatok kiszivárgására szolgál. A gyanús Microsoft Entra bejelentkezési riasztások és a tömeges fájlletöltési riasztások permutációi a következők:
Lehetetlen utazás egy atipikus helyre, amely tömeges fájlletöltéshez vezet
Bejelentkezési esemény ismeretlen helyről, amely tömeges fájlletöltéshez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely tömeges fájlletöltéshez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely tömeges fájlletöltéshez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely tömeges fájlletöltéshez vezet
Tömeges fájlletöltés a Cisco tűzfalkészülék által blokkolt IP-címről való sikeres Microsoft Entra-bejelentkezés után
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Initial Access, Exfiltration
MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a felhasználó rendellenes számú fájlt töltött le a Microsoft Entra sikeres bejelentkezését követően annak ellenére, hogy a felhasználó IP-címét egy Cisco tűzfalberendezés blokkolta. Ez lehet egy támadó kísérlete arra, hogy kiszűrje az adatokat a szervezet hálózatából egy felhasználói fiók veszélyeztetése után. Mivel az IP-címet a tűzfal blokkolta, a Microsoft Entra-azonosítóra való sikeres IP-naplózás valószínűleg gyanús, és a felhasználói fiók hitelesítő adatainak sérülésére utalhat.
Tömeges fájlletöltés a Korábban nem látott IP-címről származó SharePoint-fájlművelettel
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Exfiltration
MITRE ATT&CK technikák: Exfiltration over Web Service (T1567), Data Transfer Size Limits (T1030)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a korábban nem látott IP-címről csatlakoztatott felhasználó rendellenes számú fájlt töltött le. Bár a többtényezős támadás nem bizonyíték, a két alacsonyabb megbízhatóságú riasztás korrelációja egy magas megbízhatósági incidenst eredményez, amely arra utal, hogy a támadó megpróbálja kiszűrni az adatokat a szervezet hálózatáról egy esetlegesen feltört felhasználói fiókból. Stabil környezetekben a korábban nem látott IP-címek által létesített ilyen kapcsolatok jogosulatlanok lehetnek, különösen akkor, ha nagy méretű dokumentumkiszivárgással társított kötetkiugrásokhoz társulnak.
Tömeges fájlmegosztás gyanús Microsoft Entra-bejelentkezés után
MITRE ATT&CK-taktikák: Initial Access, Exfiltration
MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy Microsoft Entra-fiókba való gyanús bejelentkezést követően több fájl is meg lett osztva egy adott küszöbérték felett. Ez a jelzés nagy megbízhatóságot biztosít arról, hogy a Fusion-incidens leírásában szereplő fiók sérült, és a szervezet hálózatából származó adatok kiszűrésére szolgál olyan fájlok, például dokumentumok, számolótáblák stb. megosztásával, amelyek illetéktelen felhasználókkal rosszindulatú célokra használhatók. A gyanús Microsoft Entra bejelentkezési riasztások és a tömeges fájlmegosztási riasztások permutációi a következők:
Lehetetlen utazás egy atipikus helyre, amely tömeges fájlmegosztáshoz vezet
Bejelentkezési esemény egy ismeretlen helyről, amely tömeges fájlmegosztáshoz vezet
Bejelentkezési esemény egy fertőzött eszközről, amely tömeges fájlmegosztáshoz vezet
Bejelentkezési esemény egy névtelen IP-címről, amely tömeges fájlmegosztáshoz vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely tömeges fájlmegosztáshoz vezet
Több Power BI-jelentésmegosztási tevékenység gyanús Microsoft Entra-bejelentkezés után
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Initial Access, Exfiltration
MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú Power BI-jelentést osztottak meg. Ez a jelzés nagy megbízhatóságot biztosít, hogy a Fúziós incidens leírásában szereplő fiók feltört, és arra szolgál, hogy rosszindulatú célokra megossza a Power BI-jelentéseket jogosulatlan felhasználókkal. A gyanús Microsoft Entra bejelentkezési riasztások több Power BI-jelentésmegosztási tevékenységgel kapcsolatos permutációi a következők:
Lehetetlen olyan atipikus helyre utazni, amely több Power BI-jelentésmegosztási tevékenységhez vezet
Bejelentkezési esemény ismeretlen helyről, amely több Power BI-jelentésmegosztási tevékenységhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely több Power BI-jelentésmegosztási tevékenységhez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely több Power BI-jelentésmegosztási tevékenységhez vezet
Több Power BI-jelentésmegosztási tevékenységhez vezető kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye
Office 365-ös postaláda-kiszivárgás gyanús Microsoft Entra-bejelentkezés után
MITRE ATT&CK-taktikák: Initial Access, Exfiltration, Collection
MITRE ATT&CK technikák: Érvényes fiók (T1078), E-mail gyűjtemény (T1114), Automatikus kiszivárgás (T1020)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy gyanús beérkezett üzenetek továbbítására vonatkozó szabály lett beállítva a felhasználó postaládájába, miután gyanús bejelentkezés történt egy Microsoft Entra-fiókba. Ez a jelzés nagy megbízhatóságot biztosít a felhasználó fiókjának (a Fusion-incidens leírásában feljegyzett) feltörése és a szervezet hálózatából származó adatok kiszivárgására egy postaláda-továbbítási szabály engedélyezésével, a valódi felhasználó tudta nélkül. A gyanús Microsoft Entra bejelentkezési riasztások az Office 365-ös postaláda-kiszivárgási riasztással való áthangolása a következő:
Lehetetlen utazás az Office 365-ös postaláda-kiszivárgáshoz vezető atipikus helyre
Bejelentkezési esemény ismeretlen helyről, amely az Office 365-ös postaláda-kiszivárgáshoz vezet
Bejelentkezési esemény egy fertőzött eszközről, amely az Office 365-ös postaláda-kiszivárgáshoz vezet
Bejelentkezési esemény egy névtelen IP-címről, amely az Office 365-ös postaláda-kiszivárgáshoz vezet
Bejelentkezési esemény az Office 365-ös postaláda-kiszivárgáshoz vezető kiszivárgott hitelesítő adatokkal rendelkező felhasználótól
SharePoint-fájlművelet korábban nem látott IP-címről a kártevők észlelését követően
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK taktika: Exfiltration, Defense Evasion
MITRE ATT&CK technikák: Adatátviteli méretkorlátok (T1030)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy támadó nagy mennyiségű adatot próbált kiszúrni a SharePointon keresztüli letöltéssel vagy megosztással kártevők használatával. Stabil környezetekben a korábban nem látott IP-címek által létesített ilyen kapcsolatok jogosulatlanok lehetnek, különösen akkor, ha nagy méretű dokumentumkiszivárgással társított kötetkiugrásokhoz társulnak.
Gyanús, a Microsoft Entra-bejelentkezést követő beérkezett üzenetekre vonatkozó manipulációs szabályok
Ez a forgatókönyv a lista két fenyegetésbesorolásához tartozik: az adatkiszivárgáshoz és az oldalirányú mozgáshoz. Az egyértelműség kedvéért mindkét szakaszban megjelenik.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, oldalirányú mozgás, kiszűrés
MITRE ATT&CK technikák: Érvényes fiók (T1078), belső dárdai adathalászat (T1534), automatikus kiszivárgás (T1020)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a microsoft Entra-fiókba való gyanús bejelentkezést követően rendellenes beérkezett üzenetekre vonatkozó szabályok lettek beállítva a felhasználó postaládájába. Ez a bizonyíték nagy megbízhatósági jelzést ad arról, hogy a Fúziós incidens leírásában szereplő fiók sérült, és a felhasználó levelezési szabályainak rosszindulatú célú módosítására szolgál, esetleg a szervezet hálózatából származó adatok kiszivárgására. Másik lehetőségként előfordulhat, hogy a támadó adathalász e-maileket próbál létrehozni a szervezeten belülről (megkerülve a külső forrásokból érkező e-maileket célzó adathalász-észlelési mechanizmusokat), hogy oldalirányba lépjen további felhasználói és/vagy kiemelt fiókokhoz való hozzáféréssel. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús beérkezett üzenetek kezelési szabályaira vonatkozó riasztások permutációi a következők:
Nem lehet olyan atipikus helyre utazni, amely gyanús postaládák manipulációs szabályához vezet
Bejelentkezési esemény ismeretlen helyről, amely gyanús beérkezett üzenetek kezelési szabályához vezet
Bejelentkezési esemény egy fertőzött eszközről, amely gyanús postaláda-kezelési szabályhoz vezet
Bejelentkezési esemény egy névtelen IP-címről, amely gyanús beérkezett üzenetek kezelési szabályához vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús beérkezett üzenetek kezelési szabályához vezet
Gyanús Power BI-jelentésmegosztás gyanús Microsoft Entra-bejelentkezés után
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Initial Access, Exfiltration
MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy gyanús Power BI-jelentésmegosztási tevékenység történt a Microsoft Entra-fiókba való gyanús bejelentkezés után. A megosztási tevékenységet gyanúsként azonosították, mert a Power BI-jelentés a természetes nyelvi feldolgozással azonosított bizalmas információkat tartalmazott, és mivel egy külső e-mail-címmel osztották meg, közzétették a weben, vagy pillanatképként egy külsőleg előfizetett e-mail-címre szállították. Ez a riasztás nagy megbízhatósággal jelzi, hogy a Fúziós incidens leírásában szereplő fiók sérült, és arra szolgál, hogy kártékony célokból ossza meg a Power BI-jelentéseket jogosulatlan felhasználókkal. A gyanús Microsoft Entra bejelentkezési riasztások gyanús Power BI-jelentésmegosztással való áthangolása a következő:
Nem lehet olyan atipikus helyre utazni, amely gyanús Power BI-jelentésmegosztáshoz vezet
Bejelentkezési esemény ismeretlen helyről, amely gyanús Power BI-jelentésmegosztáshoz vezet
Bejelentkezési esemény egy fertőzött eszközről, amely gyanús Power BI-jelentésmegosztáshoz vezet
Bejelentkezési esemény egy névtelen IP-címről, amely gyanús Power BI-jelentésmegosztáshoz vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús Power BI-jelentésmegosztáshoz vezet
Szolgáltatásmegtagadás
Több virtuálisgép-törlési tevékenység gyanús Microsoft Entra-bejelentkezés után
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás
MITRE ATT&CK technikák: Érvényes fiók (T1078), Végponti szolgáltatásmegtagadás (T1499)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú virtuális gépet töröltek. Ez a jelzés nagy megbízhatóságot biztosít, hogy a fúziós incidens leírásában szereplő fiók sérült, és a szervezet felhőkörnyezetének megzavarására vagy megsemmisítésére szolgál. A gyanús Microsoft Entra bejelentkezési riasztások több virtuális gép törlési tevékenységre vonatkozó riasztásával kapcsolatos permutációi a következők:
Lehetetlen utazás olyan atipikus helyre, amely több virtuálisgép-törlési tevékenységhez vezet
Bejelentkezési esemény ismeretlen helyről, amely több virtuálisgép-törlési tevékenységhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely több virtuálisgép-törlési tevékenységhez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely több virtuálisgép-törlési tevékenységhez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely több virtuálisgép-törlési tevékenységhez vezet
Oldalirányú mozgás
Office 365-megszemélyesítés gyanús Microsoft Entra-bejelentkezés után
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, oldalirányú mozgás
MITRE ATT&CK technikák: Érvényes fiók (T1078), belső dárdai adathalászat (T1534)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókból való gyanús bejelentkezést követően rendellenes számú megszemélyesítési művelet történt. Egyes szoftverekben lehetőség van arra, hogy a felhasználók megszemélyesíthessenek más felhasználókat. Az e-mail-szolgáltatások lehetővé teszik például, hogy más felhasználók e-maileket küldjenek a nevükben. Ez a riasztás nagyobb megbízhatósággal jelzi, hogy a Fusion-incidens leírásában szereplő fiók sérült, és rosszindulatú célokra, például adathalász e-mailek küldésére szolgál a kártevők terjesztéséhez vagy az oldalirányú mozgáshoz. A gyanús Microsoft Entra bejelentkezési riasztások és az Office 365 megszemélyesítési riasztásainak permutációi a következők:
Lehetetlen utazás az Office 365 megszemélyesítéséhez vezető atipikus helyre
Bejelentkezési esemény ismeretlen helyről, amely az Office 365 megszemélyesítéséhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely az Office 365 megszemélyesítéséhez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely az Office 365 megszemélyesítéséhez vezet
Bejelentkezési esemény az Office 365 megszemélyesítéséhez vezető kiszivárgott hitelesítő adatokkal rendelkező felhasználótól
Gyanús, a Microsoft Entra-bejelentkezést követő beérkezett üzenetekre vonatkozó manipulációs szabályok
Ez a forgatókönyv a lista két fenyegetésbesorolásához tartozik: az oldalirányú mozgáshoz és az adatkiszivárgáshoz. Az egyértelműség kedvéért mindkét szakaszban megjelenik.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, oldalirányú mozgás, kiszűrés
MITRE ATT&CK technikák: Érvényes fiók (T1078), belső dárdai adathalászat (T1534), automatikus kiszivárgás (T1020)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a microsoft Entra-fiókba való gyanús bejelentkezést követően rendellenes beérkezett üzenetekre vonatkozó szabályok lettek beállítva a felhasználó postaládájába. Ez a bizonyíték nagy megbízhatósági jelzést ad arról, hogy a Fúziós incidens leírásában szereplő fiók sérült, és a felhasználó levelezési szabályainak rosszindulatú célú módosítására szolgál, esetleg a szervezet hálózatából származó adatok kiszivárgására. Másik lehetőségként előfordulhat, hogy a támadó adathalász e-maileket próbál létrehozni a szervezeten belülről (megkerülve a külső forrásokból érkező e-maileket célzó adathalász-észlelési mechanizmusokat), hogy oldalirányba lépjen további felhasználói és/vagy kiemelt fiókokhoz való hozzáféréssel. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús beérkezett üzenetek kezelési szabályaira vonatkozó riasztások permutációi a következők:
Nem lehet olyan atipikus helyre utazni, amely gyanús postaládák manipulációs szabályához vezet
Bejelentkezési esemény ismeretlen helyről, amely gyanús beérkezett üzenetek kezelési szabályához vezet
Bejelentkezési esemény egy fertőzött eszközről, amely gyanús postaláda-kezelési szabályhoz vezet
Bejelentkezési esemény egy névtelen IP-címről, amely gyanús beérkezett üzenetek kezelési szabályához vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús beérkezett üzenetek kezelési szabályához vezet
Rosszindulatú rendszergazdai tevékenység
Gyanús felhőalkalmazás-felügyeleti tevékenység gyanús Microsoft Entra-bejelentkezés után
MITRE ATT&CK-taktikák: Initial Access, Persistence, Defense Evasion, Lateral Movement, Collection, Exfiltration és Impact
MITRE ATT&CK technikák: N/A
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy rendellenes számú rendszergazdai tevékenységet hajtottak végre egyetlen munkamenetben, miután egy gyanús Microsoft Entra-bejelentkezés történt ugyanabból a fiókból. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és arra használták, hogy rosszindulatú szándékkal bármilyen számú jogosulatlan rendszergazdai műveletet végrehajtson. Ez azt is jelzi, hogy egy rendszergazdai jogosultságokkal rendelkező fiók sérült. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús felhőalkalmazások felügyeleti tevékenységére vonatkozó riasztások permutációi a következők:
Nem lehet olyan atipikus helyre utazni, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet
Bejelentkezési esemény ismeretlen helyről, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet
Bejelentkezési esemény egy névtelen IP-címről, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet
E-mail-továbbítási tevékenységek a közelmúltban nem látott új rendszergazdai fióktevékenység után
Ez a forgatókönyv a lista két fenyegetésbesorolásához tartozik: rosszindulatú rendszergazdai tevékenységhez és adatkiszivárgáshoz. Az egyértelműség kedvéért mindkét szakaszban megjelenik.
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, gyűjtemény, kiszűrés
MITRE ATT&CK technikák: Érvényes fiók (T1078), E-mail-gyűjtemény (T1114), Kiszűrés webszolgáltatáson keresztül (T1567)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy vagy új Exchange-rendszergazdai fiókot hoztak létre, vagy egy meglévő Exchange-rendszergazdai fiók először hajtott végre rendszergazdai műveletet az elmúlt két hétben, és hogy a fiók ezután végrehajtott néhány levelezési továbbítási műveletet, ami szokatlan a rendszergazdai fiókok esetében. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő felhasználói fiókot feltörték vagy manipulálták, és arra használták, hogy kiszűrje az adatokat a szervezet hálózatából.
Rosszindulatú végrehajtás jogszerű eljárással
A PowerShell gyanús hálózati kapcsolatot létesített, amelyet a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom követett.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Végrehajtás
MITRE ATT&CK technikák: Parancs- és szkript-értelmező (T1059)
Adatforrások: Végponthoz készült Microsoft Defender (korábban Microsoft Defender Advanced Threat Protection vagy MDATP), Microsoft Sentinel (ütemezett elemzési szabály)
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy kimenő kapcsolatkérés történt egy PowerShell-paranccsal, és ezt követően a Palo Alto Networks tűzfala rendellenes bejövő tevékenységet észlelt. Ez a bizonyíték arra utal, hogy a támadó valószínűleg hozzáfért a hálózathoz, és rosszindulatú műveleteket próbál végrehajtani. Csatlakozás PowerShell ezen mintát követő kísérletei a kártevők parancs- és vezérlési tevékenységére, a további kártevők letöltésére irányuló kérelmekre vagy a távoli interaktív hozzáférést létrehozó támadókra utalhatnak. Mint minden "élő a földön" támadás, ez a tevékenység lehet a PowerShell jogos használata. A PowerShell-parancs végrehajtása, majd a gyanús bejövő tűzfaltevékenységek azonban növelik a PowerShell rosszindulatú használata megbízhatóságát, ezért további vizsgálatot kell végezni. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.
Gyanús távoli WMI-végrehajtás, majd a Palo Alto Networks tűzfal által megjelölt rendellenes forgalom
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Végrehajtás, felderítés
MITRE ATT&CK technikák: Windows Management Instrumentation (T1047)
Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Windows Felügyeleti felület (WMI) parancsait távolról hajtották végre egy rendszeren, és ezt követően gyanús bejövő tevékenységet észlelt a Palo Alto Networks tűzfala. Ez a bizonyíték arra utal, hogy a támadó hozzáférhetett a hálózathoz, és megpróbál oldalirányban mozogni, eszkalálni a jogosultságokat, és/vagy rosszindulatú hasznos adatokat végrehajtani. Mint minden "élő a földön" támadás, ez a tevékenység lehet a WMI jogos használata. A távoli WMI-parancsok végrehajtása, majd a gyanús bejövő tűzfaltevékenységek azonban növelik a WMI rosszindulatú felhasználásának megbízhatóságát, ezért további vizsgálatot kell végezni. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.
Gyanús PowerShell-parancssor gyanús bejelentkezés után
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, végrehajtás
MITRE ATT&CK technikák: Valid Account (T1078), Command and Scripting Interpret (T1059)
Adatforrások: Microsoft Entra ID-védelem, Végponthoz készült Microsoft Defender (korábban MDATP)
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy felhasználó a Microsoft Entra-fiókba való gyanús bejelentkezést követően potenciálisan rosszindulatú PowerShell-parancsokat hajtott végre. Ez a bizonyíték nagy biztonsággal arra utal, hogy a riasztás leírásában szereplő fiók sérült, és további rosszindulatú műveleteket hajtottak végre. A támadók gyakran a PowerShell használatával hajtanak végre rosszindulatú hasznos adatokat a memóriában anélkül, hogy az összetevőket a lemezen hagyják, hogy elkerülje a lemezalapú biztonsági mechanizmusok, például a vírusolvasók általi észlelést. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús PowerShell-parancsriasztások permutációi a következők:
A gyanús PowerShell-parancssorhoz vezető atipikus helyekre való utazás lehetetlen
Bejelentkezési esemény ismeretlen helyről, amely gyanús PowerShell-parancssorhoz vezet
Bejelentkezési esemény egy fertőzött eszközről, amely gyanús PowerShell-parancssorhoz vezet
Bejelentkezési esemény egy névtelen IP-címről, amely gyanús PowerShell-parancssorhoz vezet
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús PowerShell-parancssorhoz vezet
Kártevő C2 vagy letöltés
A Fortinet több sikertelen felhasználói bejelentkezést követően észlelt jelzőfénymintát egy szolgáltatásba
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, parancs és vezérlés
MITRE ATT&CK technikák: Érvényes fiók (T1078), nem standard port (T1571), T1065 (kivezetve)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps
Leírás: Az ilyen típusú fúziós incidensek kommunikációs mintákat jeleznek egy belső IP-címről egy külsőre, amely konzisztens a jelzőrendszerezéssel, és több sikertelen felhasználói bejelentkezést követ egy szolgáltatásba egy kapcsolódó belső entitásból. A két esemény kombinációja utalhat kártevő-fertőzésre vagy egy sérült gazdagépre, amely adatkiszivárgást végez.
A Fortinet a gyanús Microsoft Entra-bejelentkezést követően jelzőfénymintát észlelt
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, parancs és vezérlés
MITRE ATT&CK technikák: Érvényes fiók (T1078), nem standard port (T1571), T1065 (kivezetve)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek kommunikációs mintákat jeleznek egy belső IP-címről egy külsőre, amely konzisztens a jelzőfényezéssel, miután egy gyanús jellegű felhasználó bejelentkezett a Microsoft Entra-azonosítóba. A két esemény kombinációja utalhat kártevő-fertőzésre vagy egy sérült gazdagépre, amely adatkiszivárgást végez. A Fortinet-riasztások által a Gyanús Microsoft Entra bejelentkezési riasztásokkal észlelt jeladóminta-permutációk a következők:
Lehetetlen utazás egy atipikus helyre, amely a Fortinet által észlelt jelzőfény-mintához vezet
Bejelentkezési esemény ismeretlen helyről, amely a Fortinet által észlelt jelzőfény-mintázathoz vezet
Bejelentkezési esemény egy fertőzött eszközről, amely a Fortinet által észlelt jelzőfény-mintához vezet
Bejelentkezési esemény egy névtelen IP-címről, amely a Fortinet által észlelt jelzőfény-mintához vezet
Kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye, amely a Fortinet által észlelt jelzőfény-mintázathoz vezet
Hálózati kérés a TOR anonimizálási szolgáltatáshoz, majd a Palo Alto Networks tűzfal által megjelölt rendellenes forgalom.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Parancs és vezérlés
MITRE ATT&CK technikák: Titkosított csatorna (T1573), Proxy (T1090)
Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy kimenő kapcsolatkérés történt a TOR anonimizálási szolgáltatáshoz, és ezt követően a Palo Alto Networks tűzfala rendellenes bejövő tevékenységet észlelt. Ez a bizonyíték arra utal, hogy a támadó valószínűleg hozzáfért a hálózathoz, és megpróbálja elrejteni a tetteit és szándékait. Csatlakozás TOR-hálózatra irányuló, ezt a mintát követő műveletek a kártevők parancs- és vezérlési tevékenységére, a további kártevők letöltésére irányuló kérelmekre vagy a távoli interaktív hozzáférést létrehozó támadókra utalhatnak. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.
Kimenő ip-kapcsolat jogosulatlan hozzáférési kísérletek előzményeivel, amelyet a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom követ
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Parancs és vezérlés
MITRE ATT&CK technikák: Nem alkalmazható
Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Palo Alto Networks tűzfala kimenő kapcsolatot létesített egy olyan IP-címmel, amelynek előzményei jogosulatlan hozzáférési kísérletek, és ezt követően rendellenes tevékenységet észlelt a Palo Alto Networks tűzfala. Ez a bizonyíték arra utal, hogy a támadó valószínűleg hozzáfért a hálózathoz. Csatlakozás minta követésére tett kísérletek jelezhetik a kártevők parancs- és vezérlési tevékenységét, a további kártevők letöltésére irányuló kéréseket, vagy egy távoli interaktív hozzáférést létrehozó támadót. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.
Kitartás
(Új fenyegetésbesorolás)
Ritka alkalmazás-hozzájárulás gyanús bejelentkezés után
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Adatmegőrzés, kezdeti hozzáférés
MITRE ATT&CK technikák: Fiók létrehozása (T1136), Érvényes fiók (T1078)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy alkalmazáshoz olyan felhasználó adott hozzájárulást, aki ezt soha vagy ritkán nem tette meg, a Microsoft Entra-fiókba való gyanús bejelentkezést követően. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és rosszindulatú célokra való hozzáférésre vagy az alkalmazás módosítására szolgál. Az alkalmazáshoz való hozzájárulásnak, a szolgáltatásnév hozzáadásának és az OAuth2PermissionGrant hozzáadásának általában ritka eseményeknek kell lenniük. A támadók ilyen típusú konfigurációmódosítással hozhatják létre vagy tarthatják fenn a lábtartásukat a rendszereken. A gyanús Microsoft Entra bejelentkezési riasztások és a ritka alkalmazás-hozzájárulási riasztások permutációi a következők:
Lehetetlen utazás atipikus helyre, amely ritka alkalmazás-hozzájáruláshoz vezet
Bejelentkezési esemény ismeretlen helyről, amely ritka alkalmazás-hozzájáruláshoz vezet
Bejelentkezési esemény egy fertőzött eszközről, amely ritka alkalmazás-hozzájáruláshoz vezet
Bejelentkezési esemény egy névtelen IP-címről, amely ritka alkalmazás-hozzájáruláshoz vezet
Bejelentkezési esemény olyan felhasználótól, aki kiszivárgott hitelesítő adatokkal rendelkezik, amely ritka alkalmazás-hozzájáruláshoz vezet
Zsarolóprogramok
Zsarolóprogramok végrehajtása gyanús Microsoft Entra-bejelentkezés után
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás
MITRE ATT&CK technikák: Valid Account (T1078), Data Encrypted for Impact (T1486)
Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a rendszer a Microsoft Entra-fiókba való gyanús bejelentkezést követően zsarolóprogram-támadást jelző rendellenes felhasználói viselkedést észlelt. Ez a jelzés nagy megbízhatóságot biztosít, hogy a Fusion-incidens leírásában szereplő fiók sérült, és az adatok titkosítására szolgál az adattulajdonos zsarolása vagy az adattulajdonos adataihoz való hozzáférésének megtagadása céljából. A gyanús Microsoft Entra bejelentkezési riasztások és a zsarolóprogram-végrehajtási riasztások permutációi a következők:
Lehetetlen utazás egy atipikus helyre, amely ransomware-hez vezet a felhőalkalmazásban
Bejelentkezési esemény ismeretlen helyről, amely ransomware-hez vezet a felhőalkalmazásban
Bejelentkezési esemény egy fertőzött eszközről, amely zsarolóprogramhoz vezet a felhőalkalmazásban
Bejelentkezési esemény egy névtelen IP-címről, amely zsarolóprogramhoz vezet a felhőalkalmazásban
Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely zsarolóprogramhoz vezet a felhőalkalmazásban
Távoli kihasználás
A támadási keretrendszer feltételezett használata, amelyet a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom követ
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, végrehajtás, oldalirányú mozgás, jogosultságeszkaláció
MITRE ATT&CK technikák: Nyilvános elérésű alkalmazás kihasználása (T1190), Ügyfélvégrehajtás kihasználása (T1203), Távoli szolgáltatások kiaknázása (T1210), Privilege-eszkaláció kiaknázása (T1068)
Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a protokollok nem szabványos, a támadási keretrendszerek, például a Metasploit használatára emlékeztető használatát észlelték, és ezt követően gyanús bejövő tevékenységet észlelt a Palo Alto Networks tűzfala. Ez lehet az első jele annak, hogy a támadó kihasznált egy szolgáltatást, hogy hozzáférjen a hálózati erőforrásokhoz, vagy hogy a támadó már hozzáfért, és megpróbálja tovább kihasználni az elérhető rendszereket/szolgáltatásokat a jogosultságok oldalirányú áthelyezéséhez és/vagy eszkalálásához. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.
Erőforrás-eltérítés
(Új fenyegetésbesorolás)
Gyanús erőforrás/erőforráscsoport üzembe helyezése egy korábban nem látott hívó által a gyanús Microsoft Entra-bejelentkezést követően
Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.
Ez a forgatókönyv jelenleg előzetes verzióban érhető el.
MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás
MITRE ATT&CK technikák: Érvényes fiók (T1078), Erőforrás-eltérítés (T1496)
Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem
Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a felhasználó üzembe helyezett egy Azure-erőforrást vagy erőforráscsoportot – egy ritka tevékenységet – egy gyanús bejelentkezést követően, a közelmúltban nem látott tulajdonságokkal egy Microsoft Entra-fiókba. Ez lehet egy támadó kísérlete arra, hogy rosszindulatú célokra helyezzen üzembe erőforrásokat vagy erőforráscsoportokat, miután veszélyeztette a Fúziós incidens leírásában szereplő felhasználói fiókot.
A gyanús Microsoft Entra bejelentkezési riasztások egy korábban nem látott hívó riasztás általi gyanús erőforrás-/erőforráscsoport-üzembe helyezésével kapcsolatos permutációi a következők:
Lehetetlen olyan atipikus helyre utazni, amely egy korábban nem látott hívó gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet
Bejelentkezési esemény ismeretlen helyről, amely egy korábban nem látott hívó gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet
Bejelentkezési esemény egy fertőzött eszközről, amely gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet egy korábban nem látott hívó által
Bejelentkezési esemény egy névtelen IP-címről, amely egy korábban nem látott hívó gyanús erőforrás/ erőforráscsoport üzembe helyezéséhez vezet
Kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye, amely egy korábban nem látott hívó gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet
További lépések
Most, hogy többet is megtudhat a többlépcsős támadások észleléséről, az alábbi rövid útmutatóból megtudhatja, hogyan ismerheti meg adatait és potenciális fenyegetéseit: Ismerkedés a Microsoft Sentinellel.
Ha készen áll az Ön számára létrehozott incidensek kivizsgálására, tekintse meg a következő oktatóanyagot: Incidensek vizsgálata a Microsoft Sentinellel.