السيناريوهات التي تم اكتشافها بواسطة محرك Microsoft Sentinel Fusion
يسرد هذا المستند أنواع الهجمات متعددة المراحل المستندة إلى السيناريو، مجمعة حسب تصنيف التهديدات، التي يكتشفها Microsoft Sentinel باستخدام محرك ارتباط Fusion .
نظرا لأن Fusion يربط إشارات متعددة من منتجات مختلفة للكشف عن الهجمات المتقدمة متعددة المراحل، يتم تقديم اكتشافات Fusion الناجحة كحوادث Fusion في صفحة حوادث Microsoft Sentinel وليس كتنبيهات، ويتم تخزينها في جدول الحوادث في السجلات وليس في جدول SecurityAlerts.
لتمكين سيناريوهات اكتشاف الهجمات التي تعمل بنظام Fusion هذه، يجب استيعاب أي مصادر بيانات مدرجة في مساحة عمل Log Analytics.
ملاحظة
بعض هذه السيناريوهات قيد المعاينة. سيتم الإشارة إليها على هذا النحو.
حساب إساءة استخدام الموارد
أنشطة إنشاء أجهزة ظاهرية متعددة بعد تسجيل الدخول المشبوه إلى Azure Active Directory
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، اختطاف الموارد (T1496)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء عدد شاذ من الأجهزة الظاهرية في جلسة عمل واحدة بعد تسجيل دخول مريب إلى حساب Azure AD. يشير هذا النوع من التنبيهات، بدرجة عالية من الثقة، إلى أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه واستخدامه لإنشاء أجهزة ظاهرية جديدة لأغراض غير مصرح بها، مثل تشغيل عمليات تعدين العملات المشفرة. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه أنشطة إنشاء الأجهزة الظاهرية المتعددة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى أنشطة إنشاء أجهزة ظاهرية متعددة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة إنشاء أجهزة ظاهرية متعددة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة إنشاء أجهزة ظاهرية متعددة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة إنشاء أجهزة ظاهرية متعددة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى أنشطة إنشاء أجهزة ظاهرية متعددة
الوصول إلى بيانات الاعتماد
(تصنيف جديد للتهديدات)
إعادة تعيين كلمات مرور متعددة بواسطة المستخدم بعد تسجيل الدخول المريب
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، القوة الغاشمة (T1110)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أن المستخدم يقوم بإعادة تعيين كلمات مرور متعددة بعد تسجيل دخول مريب إلى حساب Azure AD. تشير هذه الأدلة إلى أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لإجراء عمليات إعادة تعيين متعددة لكلمات المرور من أجل الوصول إلى أنظمة وموارد متعددة. قد يساعد التلاعب بالحساب (بما في ذلك إعادة تعيين كلمة المرور) الخصوم في الحفاظ على الوصول إلى بيانات الاعتماد ومستويات أذونات معينة داخل البيئة. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيهات إعادة تعيين كلمات مرور متعددة هي:
مستحيل السفر إلى موقع غير نمطي مما يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى إعادة تعيين كلمات مرور متعددة
تسجيل دخول مشبوه يتزامن مع تسجيل الدخول الناجح إلى Palo Alto VPN عن طريق IP مع العديد من عمليات تسجيل الدخول الفاشلة في Azure AD
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، القوة الغاشمة (T1110)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أن تسجيل الدخول المشبوه إلى حساب Azure AD تزامن مع تسجيل دخول ناجح من خلال شبكة VPN في بالو ألتو من عنوان IP حدثت منه عدة عمليات تسجيل دخول فاشلة إلى Azure AD في إطار زمني مماثل. على الرغم من أنه ليس دليلا على هجوم متعدد المراحل ، إلا أن الارتباط بين هذين التنبيهين الأقل دقة يؤدي إلى حادث عالي الدقة يشير إلى وصول أولي ضار إلى شبكة المؤسسة. بدلا من ذلك، قد يكون هذا مؤشرا على مهاجم يحاول استخدام تقنيات القوة الغاشمة للوصول إلى حساب Azure AD. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيهات "IP مع العديد من عمليات تسجيل الدخول الفاشلة في Azure AD تسجل الدخول بنجاح إلى Palo Alto VPN" هي:
السفر المستحيل إلى موقع غير نمطي يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة ل Azure AD لتسجيل الدخول بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من موقع غير مألوف يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة ل Azure AD لتسجيل الدخول بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من جهاز مصاب يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة في Azure AD لتسجيل الدخول بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من عنوان IP مجهول يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة في Azure AD لتسجيل الدخول بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة في Azure AD لتسجيل الدخول بنجاح إلى Palo Alto VPN
حصاد بيانات الاعتماد
(تصنيف جديد للتهديدات)
تنفيذ أداة سرقة بيانات اعتماد ضارة بعد تسجيل الدخول المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
MITRE ATT& تقنيات CK: حساب صالح (T1078)، إغراق بيانات اعتماد نظام التشغيل (T1003)
مصادر موصل البيانات: Azure Active Directory Identity Protection, Microsoft Defender for Endpoint
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ أداة سرقة بيانات اعتماد معروفة بعد تسجيل دخول Azure AD مشبوه. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المشار إليه في وصف التنبيه قد تم اختراقه وربما نجح في استخدام أداة مثل Mimikatz لحصاد بيانات الاعتماد مثل المفاتيح وكلمات المرور ذات النص العادي و / أو تجزئة كلمات المرور من النظام. قد تسمح بيانات الاعتماد التي تم حصادها للمهاجم بالوصول إلى البيانات الحساسة و/أو تصعيد الامتيازات و/أو الانتقال أفقيا عبر الشبكة. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه أداة سرقة بيانات الاعتماد الضارة هي:
مستحيل السفر إلى مواقع غير نمطية مما يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى تنفيذ أداة سرقة بيانات اعتماد ضارة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى تنفيذ أداة سرقة بيانات اعتماد ضارة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى تنفيذ أداة سرقة بيانات اعتماد ضارة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى تنفيذ أداة سرقة بيانات اعتماد ضارة
نشاط مشتبه به لسرقة بيانات الاعتماد بعد تسجيل الدخول المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، بيانات اعتماد من مخازن كلمات المرور (T1555) ، إغراق بيانات اعتماد نظام التشغيل (T1003)
مصادر موصل البيانات: Azure Active Directory Identity Protection, Microsoft Defender for Endpoint
وصف: تشير حوادث الاندماج من هذا النوع إلى أن النشاط المقترن بأنماط سرقة بيانات الاعتماد حدث بعد تسجيل دخول Azure AD مشبوه. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المشار إليه في وصف التنبيه قد تم اختراقه واستخدامه لسرقة بيانات الاعتماد مثل المفاتيح وكلمات مرور النص العادي وتجزئات كلمات المرور وما إلى ذلك. قد تسمح بيانات الاعتماد المسروقة للمهاجم بالوصول إلى البيانات الحساسة و/أو تصعيد الامتيازات و/أو الانتقال أفقيا عبر الشبكة. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه نشاط سرقة بيانات الاعتماد:
مستحيل السفر إلى مواقع غير نمطية مما يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
تعدين العملات المشفرة
(تصنيف جديد للتهديدات)
نشاط تعدين العملات المشفرة بعد تسجيل الدخول المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، اختطاف الموارد (T1496)
مصادر موصل البيانات: Azure Active Directory Identity Protection, Microsoft Defender for Cloud
وصف: تشير حوادث الاندماج من هذا النوع إلى نشاط تعدين التشفير المرتبط بتسجيل دخول مشبوه إلى حساب Azure AD. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المشار إليه في وصف التنبيه قد تم اختراقه وتم استخدامه لاختطاف الموارد في بيئتك لتعدين العملات المشفرة. يمكن أن يؤدي ذلك إلى تجويع مواردك من قوة الحوسبة و / أو يؤدي إلى فواتير استخدام سحابية أعلى بكثير من المتوقع. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه نشاط تعدين العملات المشفرة هي:
السفر المستحيل إلى مواقع غير نمطية تؤدي إلى نشاط تعدين العملات المشفرة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط تعدين العملات المشفرة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط تعدين العملات المشفرة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط تعدين العملات المشفرة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى نشاط تعدين العملات المشفرة
إتلاف البيانات
الحذف الجماعي للملفات بعد تسجيل الدخول إلى Azure AD المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078)، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد شاذ من الملفات الفريدة بعد تسجيل دخول مريب إلى حساب Azure AD. تشير هذه الأدلة إلى أن الحساب المشار إليه في وصف حادث Fusion ربما تم اختراقه وتم استخدامه لتدمير البيانات لأغراض ضارة. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه الحذف الجماعي للملفات هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى حذف الملفات بشكل جماعي
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى حذف ملف جماعي
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى حذف ملف جماعي
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى حذف الملفات بشكل جماعي
حدث تسجيل الدخول من المستخدم باستخدام بيانات اعتماد مسربة تؤدي إلى حذف الملفات بشكل جماعي
الحذف الجماعي للملفات بعد تسجيل الدخول الناجح إلى Azure AD من IP المحظور بواسطة جهاز جدار حماية Cisco
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078)، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير طبيعي من الملفات الفريدة بعد تسجيل الدخول الناجح إلى Azure AD على الرغم من حظر عنوان IP الخاص بالمستخدم بواسطة جهاز جدار حماية Cisco. تشير هذه الأدلة إلى أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتدمير البيانات لأغراض ضارة. نظرا لأنه تم حظر عنوان IP بواسطة جدار الحماية، فمن المحتمل أن يكون تسجيل الدخول إلى Azure AD نفسه موضع شك ويمكن أن يشير إلى اختراق بيانات الاعتماد لحساب المستخدم.
الحذف الجماعي للملفات بعد تسجيل الدخول بنجاح إلى Palo Alto VPN بواسطة IP مع العديد من عمليات تسجيل الدخول الفاشلة إلى Azure AD
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، الوصول إلى بيانات الاعتماد ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، القوة الغاشمة (T1110) ، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد شاذ من الملفات الفريدة بواسطة مستخدم قام بتسجيل الدخول بنجاح من خلال Palo Alto VPN من عنوان IP الذي حدثت منه عدة عمليات تسجيل دخول فاشلة إلى Azure AD في إطار زمني مماثل. تشير هذه الأدلة إلى أن حساب المستخدم المشار إليه في حادثة فيوجن ربما تم اختراقه باستخدام تقنيات القوة الغاشمة ، وتم استخدامه لتدمير البيانات لأغراض ضارة.
نشاط حذف البريد الإلكتروني المريب بعد تسجيل الدخول إلى Azure AD المشبوه
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078)، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد شاذ من رسائل البريد الإلكتروني في جلسة واحدة بعد تسجيل دخول مشبوه إلى حساب Azure AD. تشير هذه الأدلة إلى أن الحساب المشار إليه في وصف حادث Fusion ربما تم اختراقه وتم استخدامه لتدمير البيانات لأغراض ضارة، مثل الإضرار بالمؤسسة أو إخفاء نشاط البريد الإلكتروني المتعلق بالبريد العشوائي. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه نشاط حذف البريد الإلكتروني المشبوه:
مستحيل السفر إلى موقع غير نمطي يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط مشبوه لحذف البريد الإلكتروني
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط مشبوه لحذف البريد الإلكتروني
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط حذف بريد إلكتروني مريب
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى نشاط مشبوه لحذف البريد الإلكتروني
نقل غير مصرّح به للبيانات
أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا
ينتمي هذا السيناريو إلى تصنيفين للتهديدات في هذه القائمة: استخراج البياناتوالنشاط الإداري الضار. من أجل الوضوح ، يظهر في كلا القسمين.
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التجميع ، الترشيح
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، جمع البريد الإلكتروني (T1114) ، الترشيح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه إما تم إنشاء حساب مسؤول Exchange جديد، أو أن حساب مسؤول Exchange موجود اتخذ بعض الإجراءات الإدارية لأول مرة، في الأسبوعين الماضيين، وأن الحساب قام بعد ذلك ببعض إجراءات إعادة توجيه البريد، وهي إجراءات غير عادية لحساب المسؤول. تشير هذه الأدلة إلى أن حساب المستخدم المشار إليه في وصف حادث Fusion قد تم اختراقه أو التلاعب به، وأنه تم استخدامه لاستخراج البيانات من شبكة مؤسستك.
تنزيل ملف جماعي بعد تسجيل الدخول إلى Azure AD المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي ، الترشيح
MITRE ATT& تقنيات CK: حساب صالح (T1078)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أن عددا غير طبيعي من الملفات قد تم تنزيله بواسطة مستخدم بعد تسجيل دخول مريب إلى حساب Azure AD. يوفر هذا المؤشر ثقة عالية في أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لاستخراج البيانات من شبكة مؤسستك. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة باستخدام تنبيه التنزيل الشامل للملف:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى تنزيل ملف جماعي
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى تنزيل ملف جماعي
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى تنزيل ملف جماعي
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى تنزيل ملف جماعي
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى تنزيل ملف جماعي
تنزيل ملف جماعي بعد تسجيل الدخول الناجح إلى Azure AD من IP المحظور بواسطة جهاز جدار حماية Cisco
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، الترشيح
MITRE ATT& تقنيات CK: حساب صالح (T1078)، الترشيح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أن عددا غير طبيعي من الملفات قد تم تنزيله بواسطة مستخدم بعد تسجيل دخول Azure AD بنجاح على الرغم من حظر عنوان IP الخاص بالمستخدم بواسطة جهاز جدار حماية Cisco. قد تكون هذه محاولة من قبل مهاجم لاستخراج البيانات من شبكة المؤسسة بعد اختراق حساب مستخدم. نظرا لأنه تم حظر عنوان IP بواسطة جدار الحماية، فمن المحتمل أن يكون تسجيل الدخول إلى Azure AD نفسه موضع شك ويمكن أن يشير إلى اختراق بيانات الاعتماد لحساب المستخدم.
تنزيل ملف جماعي بالتزامن مع تشغيل ملف SharePoint من IP غير المرئي سابقا
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: التسلل
MITRE ATT& تقنيات CK: الإخراج عبر خدمة الويب (T1567)، حدود حجم نقل البيانات (T1030)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أن عددا غير طبيعي من الملفات تم تنزيله بواسطة مستخدم متصل من عنوان IP غير مرئي سابقا. على الرغم من أنه ليس دليلا على هجوم متعدد المراحل ، إلا أن الارتباط بين هذين التنبيهين الأقل دقة يؤدي إلى حادث عالي الدقة يشير إلى محاولة من قبل مهاجم لاستخراج البيانات من شبكة المؤسسة من حساب مستخدم يحتمل أن يكون مخترقا. وفي البيئات المستقرة، قد تكون هذه الاتصالات بواسطة عناوين IP غير المرئية سابقا غير مصرح بها، خاصة إذا كانت مرتبطة بطفرات في الحجم يمكن أن ترتبط باستخراج الوثائق على نطاق واسع.
مشاركة الملفات الجماعية بعد تسجيل الدخول إلى Azure AD المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي ، الترشيح
MITRE ATT& تقنيات CK: حساب صالح (T1078)، الترشيح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تمت مشاركة عدد من الملفات فوق عتبة معينة مع الآخرين بعد تسجيل دخول مشبوه إلى حساب Azure AD. يوفر هذا المؤشر ثقة كبيرة في أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه واستخدامه لاستخراج البيانات من شبكة مؤسستك عن طريق مشاركة ملفات مثل المستندات وجداول البيانات وما إلى ذلك مع مستخدمين غير مصرح لهم لأغراض ضارة. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه مشاركة الملفات الجماعية هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى مشاركة الملفات الجماعية
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى مشاركة الملفات الجماعية
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى مشاركة الملفات الجماعية
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى مشاركة الملفات الجماعية
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى مشاركة الملفات الجماعية
أنشطة مشاركة تقارير Power BI المتعددة بعد تسجيل الدخول إلى Azure AD المشبوه
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، الترشيح
MITRE ATT& تقنيات CK: حساب صالح (T1078)، الترشيح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تمت مشاركة عدد غير طبيعي من تقارير Power BI في جلسة عمل واحدة بعد تسجيل دخول مريب إلى حساب Azure AD. يوفر هذا المؤشر ثقة عالية بأن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتصفية البيانات من شبكة مؤسستك عن طريق مشاركة تقارير Power BI مع مستخدمين غير مصرح لهم لأغراض ضارة. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع أنشطة مشاركة تقارير Power BI المتعددة:
مستحيل السفر إلى موقع غير نمطي يؤدي إلى أنشطة مشاركة تقارير Power BI متعددة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة مشاركة تقارير Power BI متعددة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة مشاركة تقارير Power BI متعددة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة مشاركة تقارير Power BI متعددة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى أنشطة مشاركة تقارير Power BI متعددة
Office 365 إخراج علبة البريد بعد تسجيل دخول Azure AD مريب
MITRE ATT& تكتيكات CK: الوصول الأولي ، التسلل ، التحصيل
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، جمع البريد الإلكتروني (T1114) ، الترشيح الآلي (T1020)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قاعدة إعادة توجيه البريد الوارد المشبوهة على البريد الوارد للمستخدم بعد تسجيل دخول مريب إلى حساب Azure AD. يوفر هذا المؤشر ثقة عالية بأن حساب المستخدم (المشار إليه في وصف حادث Fusion) قد تم اختراقه، وأنه تم استخدامه لاستخراج البيانات من شبكة مؤسستك عن طريق تمكين قاعدة إعادة توجيه علبة البريد دون علم المستخدم الحقيقي. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه الترشيح لعلبة البريد Office 365 هي:
مستحيل السفر إلى موقع غير نمطي يؤدي إلى Office 365 بإخراج صندوق البريد
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى Office 365 بإخراج صندوق البريد
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى Office 365 بإخراج علبة البريد
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى Office 365 بإخراج صندوق البريد
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى Office 365 بتصفية صندوق البريد
SharePoint عملية تشغيل الملف من IP غير المرئي سابقا بعد اكتشاف البرامج الضارة
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: التسلل ، التهرب الدفاعي
MITRE ATT& تقنيات CK: حدود حجم نقل البيانات (T1030)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أن المهاجم حاول استخراج كميات كبيرة من البيانات عن طريق التنزيل أو المشاركة من خلال SharePoint من خلال استخدام البرامج الضارة. وفي البيئات المستقرة، قد تكون هذه الاتصالات بواسطة عناوين IP غير المرئية سابقا غير مصرح بها، خاصة إذا كانت مرتبطة بطفرات في الحجم يمكن أن ترتبط باستخراج الوثائق على نطاق واسع.
قواعد معالجة البريد الوارد المشبوهة التي تم تعيينها بعد تسجيل الدخول إلى Azure AD المشبوه
ينتمي هذا السيناريو إلى تصنيفين للتهديدات في هذه القائمة: استخراج البياناتوالحركة الجانبية. من أجل الوضوح ، يظهر في كلا القسمين.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، الحركة الجانبية ، التسلل
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، تصيد داخلي بالرمح (T1534) ، الترشيح الآلي (T1020)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قواعد علبة الوارد الشاذة على البريد الوارد للمستخدم بعد تسجيل دخول مريب إلى حساب Azure AD. يوفر هذا الدليل مؤشرا عالي الثقة على أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه للتلاعب بقواعد البريد الوارد للبريد الإلكتروني للمستخدم لأغراض ضارة ، ربما لاستخراج البيانات من شبكة المؤسسة. بدلا من ذلك، قد يحاول المهاجم إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي من داخل المؤسسة (تجاوز آليات اكتشاف التصيد الاحتيالي التي تستهدف البريد الإلكتروني من مصادر خارجية) لغرض الانتقال أفقيا من خلال الوصول إلى حسابات إضافية للمستخدمين و / أو المميزين. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه قواعد معالجة البريد الوارد المشبوهة:
مستحيل السفر إلى موقع غير نمطي مما يؤدي إلى قاعدة تلاعب مشبوهة بالبريد الوارد
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى قاعدة تلاعب مشبوهة في البريد الوارد
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى قاعدة تلاعب مشبوهة في البريد الوارد
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى قاعدة تلاعب مشبوهة في البريد الوارد
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى قاعدة تلاعب مشبوهة بالبريد الوارد
مشاركة تقرير Power BI المشبوه بعد تسجيل الدخول إلى Azure AD المشبوه
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، الترشيح
MITRE ATT& تقنيات CK: حساب صالح (T1078)، الترشيح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى حدوث نشاط مشاركة تقرير Power BI مريب بعد تسجيل دخول مريب إلى حساب Azure AD. تم تحديد نشاط المشاركة على أنه مشبوه لأن تقرير Power BI يحتوي على معلومات حساسة تم تحديدها باستخدام معالجة اللغة الطبيعية، ولأنه تمت مشاركتها مع عنوان بريد إلكتروني خارجي أو نشرها على الويب أو تسليمها كلقطة إلى عنوان بريد إلكتروني مشترك خارجيا. يشير هذا التنبيه بثقة عالية إلى أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتصفية البيانات الحساسة من مؤسستك عن طريق مشاركة تقارير Power BI مع مستخدمين غير مصرح لهم لأغراض ضارة. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع مشاركة تقارير Power BI المشبوهة:
مستحيل السفر إلى موقع غير نمطي يؤدي إلى مشاركة تقارير Power BI مشبوهة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى مشاركة تقارير Power BI مشبوهة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى مشاركة تقارير Power BI مشبوهة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى مشاركة تقارير Power BI مشبوهة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى مشاركة تقارير Power BI مشبوهة
رفض الخدمة
أنشطة حذف VM متعددة بعد تسجيل الدخول إلى Azure AD المشبوه
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078)، رفض الخدمة من نقطة النهاية (T1499)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد شاذ من الأجهزة الظاهرية في جلسة عمل واحدة بعد تسجيل دخول مريب إلى حساب Azure AD. يوفر هذا المؤشر ثقة عالية في أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لمحاولة تعطيل أو تدمير البيئة السحابية للمؤسسة. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه أنشطة حذف الأجهزة الظاهرية المتعددة هي:
مستحيل السفر إلى موقع غير نمطي يؤدي إلى أنشطة حذف VM متعددة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة حذف الأجهزة الظاهرية المتعددة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة حذف الأجهزة الظاهرية المتعددة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة حذف الأجهزة الظاهرية المتعددة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى أنشطة حذف متعددة للأجهزة الظاهرية
الحركة الجانبيّة
انتحال شخصية Office 365 بعد تسجيل الدخول إلى Azure AD المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي ، الحركة الجانبية
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، تصيد داخلي بالرمح (T1534)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى حدوث عدد غير طبيعي من إجراءات انتحال الشخصية بعد تسجيل دخول مشبوه من حساب Azure AD. في بعض البرامج ، هناك خيارات للسماح للمستخدمين بانتحال شخصية مستخدمين آخرين. على سبيل المثال، تسمح خدمات البريد الإلكتروني للمستخدمين بتفويض المستخدمين الآخرين بإرسال بريد إلكتروني نيابة عنهم. يشير هذا التنبيه بثقة أكبر إلى أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لإجراء أنشطة انتحال الشخصية لأغراض ضارة، مثل إرسال رسائل بريد إلكتروني للتصيد الاحتيالي لتوزيع البرامج الضارة أو الحركة الجانبية. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه انتحال الشخصية Office 365 هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى انتحال شخصية Office 365
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى انتحال شخصية Office 365
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى انتحال شخصية Office 365
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى انتحال شخصية Office 365
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى انتحال شخصية Office 365
قواعد معالجة البريد الوارد المشبوهة التي تم تعيينها بعد تسجيل الدخول إلى Azure AD المشبوه
ينتمي هذا السيناريو إلى تصنيفين للتهديدات في هذه القائمة: الحركة الجانبيةواستخراج البيانات. من أجل الوضوح ، يظهر في كلا القسمين.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، الحركة الجانبية ، التسلل
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، تصيد داخلي بالرمح (T1534) ، الترشيح الآلي (T1020)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قواعد علبة الوارد الشاذة على البريد الوارد للمستخدم بعد تسجيل دخول مريب إلى حساب Azure AD. يوفر هذا الدليل مؤشرا عالي الثقة على أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه للتلاعب بقواعد البريد الوارد للبريد الإلكتروني للمستخدم لأغراض ضارة ، ربما لاستخراج البيانات من شبكة المؤسسة. بدلا من ذلك، قد يحاول المهاجم إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي من داخل المؤسسة (تجاوز آليات اكتشاف التصيد الاحتيالي التي تستهدف البريد الإلكتروني من مصادر خارجية) لغرض الانتقال أفقيا من خلال الوصول إلى حسابات إضافية للمستخدمين و / أو المميزين. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه قواعد معالجة البريد الوارد المشبوهة:
مستحيل السفر إلى موقع غير نمطي مما يؤدي إلى قاعدة تلاعب مشبوهة بالبريد الوارد
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى قاعدة تلاعب مشبوهة في البريد الوارد
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى قاعدة تلاعب مشبوهة في البريد الوارد
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى قاعدة تلاعب مشبوهة في البريد الوارد
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى قاعدة تلاعب مشبوهة بالبريد الوارد
نشاط إداري ضار
نشاط إداري مريب لتطبيق السحابة بعد تسجيل الدخول إلى Azure AD المشبوه
MITRE ATT& تكتيكات CK: الوصول الأولي ، والمثابرة ، والتهرب الدفاعي ، والحركة الجانبية ، والجمع ، والتسلل ، والتأثير
MITRE ATT& تقنيات CK: غير متوفر
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ عدد غير طبيعي من الأنشطة الإدارية في جلسة عمل واحدة بعد تسجيل دخول Azure AD مشبوه من نفس الحساب. تشير هذه الأدلة إلى أن الحساب المشار إليه في وصف حادث فيوجن ربما يكون قد تم اختراقه وتم استخدامه لاتخاذ أي عدد من الإجراءات الإدارية غير المصرح بها بنية خبيثة. يشير هذا أيضا إلى أن حسابا يتمتع بامتيازات إدارية ربما يكون قد تم اختراقه. فيما يلي تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة باستخدام تنبيه النشاط الإداري لتطبيق السحابة المشبوهة:
مستحيل السفر إلى موقع غير نمطي مما يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا
ينتمي هذا السيناريو إلى تصنيفين للتهديدات في هذه القائمة: النشاط الإداري الضارواستخراج البيانات. من أجل الوضوح ، يظهر في كلا القسمين.
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التجميع ، الترشيح
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، جمع البريد الإلكتروني (T1114) ، الترشيح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه إما تم إنشاء حساب مسؤول Exchange جديد، أو أن حساب مسؤول Exchange موجود اتخذ بعض الإجراءات الإدارية لأول مرة، في الأسبوعين الماضيين، وأن الحساب قام بعد ذلك ببعض إجراءات إعادة توجيه البريد، وهي إجراءات غير عادية لحساب المسؤول. تشير هذه الأدلة إلى أن حساب المستخدم المشار إليه في وصف حادث Fusion قد تم اختراقه أو التلاعب به، وأنه تم استخدامه لاستخراج البيانات من شبكة مؤسستك.
التنفيذ الضار مع عملية مشروعة
أجرت PowerShell اتصالا مشبوها بالشبكة ، متبوعا بحركة مرور شاذة تم الإبلاغ عنها بواسطة جدار حماية Palo Alto Networks.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: التنفيذ
MITRE ATT& تقنيات CK: مترجم الأوامر والبرمجة النصية (T1059)
مصادر موصل البيانات: Microsoft Defender for Endpoint (سابقا Microsoft Defender Advanced Threat Protection, or MDATP), Palo Alto Networks
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تقديم طلب اتصال صادر عبر أمر PowerShell ، وبعد ذلك ، تم اكتشاف نشاط وارد شاذ بواسطة جدار حماية Palo Alto Networks. تشير هذه الأدلة إلى أن المهاجم قد تمكن على الأرجح من الوصول إلى شبكتك ويحاول تنفيذ إجراءات ضارة. قد تكون محاولات الاتصال من قبل PowerShell التي تتبع هذا النمط مؤشرا على نشاط القيادة والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو قيام مهاجم بإنشاء وصول تفاعلي عن بعد. كما هو الحال مع جميع هجمات "العيش على الأرض" ، يمكن أن يكون هذا النشاط استخداما مشروعا ل PowerShell. ومع ذلك، فإن تنفيذ الأمر PowerShell متبوعا بنشاط جدار الحماية الوارد المشبوه يزيد من الثقة في أن PowerShell يتم استخدامه بطريقة ضارة ويجب إجراء مزيد من التحقيق فيه. في سجلات بالو ألتو، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر حركة المرور مشبوهة عند السماح بالتهديدات (البيانات المشبوهة، والملفات، والفيضانات، والحزم، والمسح، وبرامج التجسس، وعناوين URL، والفيروسات، ونقاط الضعف، وفيروسات حرائق الغابات، وحرائق الغابات). راجع أيضا سجل تهديدات بالو ألتو المقابل لنوع التهديد/المحتوى المدرج في وصف حادث الانصهار للحصول على تفاصيل تنبيه إضافية.
تنفيذ WMI مشبوه عن بعد متبوعا بحركة مرور شاذة تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: التنفيذ ، الاكتشاف
MITRE ATT& تقنيات CK: أجهزة إدارة Windows (T1047)
مصادر موصل البيانات: Microsoft Defender for Endpoint (MDATP سابقا)، بالو ألتو نتوركس
وصف: تشير حوادث الاندماج من هذا النوع إلى أن أوامر واجهة إدارة Windows (WMI) قد تم تنفيذها عن بعد على نظام ، وبعد ذلك ، تم اكتشاف نشاط وارد مشبوه بواسطة جدار حماية Palo Alto Networks. تشير هذه الأدلة إلى أن المهاجم ربما يكون قد تمكن من الوصول إلى شبكتك ويحاول التحرك أفقيا و/أو تصعيد الامتيازات و/أو تنفيذ حمولات ضارة. وكما هو الحال مع جميع هجمات "العيش على الأرض"، يمكن أن يكون هذا النشاط استخداما مشروعا لأسلحة الدمار الشامل. ومع ذلك، فإن تنفيذ أمر WMI عن بعد متبوعا بنشاط جدار حماية وارد مشبوه يزيد من الثقة في أن WMI يتم استخدامه بطريقة ضارة ويجب إجراء مزيد من التحقيق فيه. في سجلات بالو ألتو، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر حركة المرور مشبوهة عند السماح بالتهديدات (البيانات المشبوهة، والملفات، والفيضانات، والحزم، والمسح، وبرامج التجسس، وعناوين URL، والفيروسات، ونقاط الضعف، وفيروسات حرائق الغابات، وحرائق الغابات). راجع أيضا سجل تهديدات بالو ألتو المقابل لنوع التهديد/المحتوى المدرج في وصف حادث الانصهار للحصول على تفاصيل تنبيه إضافية.
سطر أوامر PowerShell المشبوه بعد تسجيل الدخول المريب
MITRE ATT& تكتيكات CK: الوصول الأولي ، التنفيذ
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، مترجم الأوامر والبرمجة النصية (T1059)
مصادر موصل البيانات: Azure Active Directory Identity Protection, Microsoft Defender for Endpoint (MDATP سابقا)
وصف: تشير حوادث الاندماج من هذا النوع إلى أن المستخدم نفذ أوامر PowerShell التي يحتمل أن تكون ضارة بعد تسجيل دخول مريب إلى حساب Azure AD. تشير هذه الأدلة بثقة عالية إلى أن الحساب المشار إليه في وصف التنبيه قد تم اختراقه وتم اتخاذ المزيد من الإجراءات الضارة. غالبا ما يستخدم المهاجمون PowerShell لتنفيذ حمولات ضارة في الذاكرة دون ترك القطع الأثرية على القرص، لتجنب اكتشافها بواسطة آليات الأمان المستندة إلى القرص مثل ماسحات الفيروسات. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه الأمر PowerShell المشبوه هي:
مستحيل السفر إلى مواقع غير نمطية مما يؤدي إلى سطر أوامر PowerShell مشبوه
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى سطر أوامر PowerShell مشبوه
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى سطر أوامر PowerShell مشبوه
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى سطر أوامر PowerShell مشبوه
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى سطر أوامر PowerShell مشبوه
البرامج الضارة C2 أو تنزيلها
نمط المنارة الذي اكتشفته Fortinet بعد عدة عمليات تسجيل دخول فاشلة للمستخدم إلى خدمة
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي والقيادة والتحكم
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، منفذ غير قياسي (T1571) ، T1065 (متقاعد)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنماط الاتصال، من عنوان IP داخلي إلى عنوان خارجي، والتي تتوافق مع الإرشاد، بعد عدة عمليات تسجيل دخول فاشلة للمستخدم إلى خدمة من كيان داخلي ذي صلة. يمكن أن يكون الجمع بين هذين الحدثين مؤشرا على الإصابة بالبرامج الضارة أو على وجود مضيف مخترق يقوم باستخراج البيانات.
نمط المنارة الذي تم اكتشافه بواسطة Fortinet بعد تسجيل الدخول إلى Azure AD المشبوه
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي والقيادة والتحكم
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، منفذ غير قياسي (T1571) ، T1065 (متقاعد)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنماط اتصال، من عنوان IP داخلي إلى عنوان خارجي، تتوافق مع الإرشاد، بعد تسجيل دخول المستخدم ذي الطبيعة المشبوهة إلى Azure AD. يمكن أن يكون الجمع بين هذين الحدثين مؤشرا على الإصابة بالبرامج الضارة أو على وجود مضيف مخترق يقوم باستخراج البيانات. تباديل نمط المنارة التي تم اكتشافها بواسطة تنبيهات Fortinet مع تنبيهات تسجيل الدخول إلى Azure AD المشبوهة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى نمط منارة اكتشفه Fortinet
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة مما يؤدي إلى نمط منارة اكتشفته Fortinet
طلب الشبكة إلى خدمة إخفاء هوية TOR متبوعا بحركة مرور شاذة تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: القيادة والسيطرة
MITRE ATT& تقنيات CK: قناة مشفرة (T1573)، بروكسي (T1090)
مصادر موصل البيانات: Microsoft Defender for Endpoint (MDATP سابقا)، بالو ألتو نتوركس
وصف: وتشير حوادث الاندماج من هذا النوع إلى أنه تم تقديم طلب اتصال صادر إلى خدمة إخفاء هوية TOR، وبعد ذلك، تم الكشف عن نشاط وارد شاذ بواسطة جدار حماية شبكات بالو ألتو. تشير هذه الأدلة إلى أن المهاجم قد تمكن على الأرجح من الوصول إلى شبكتك ويحاول إخفاء أفعاله ونواياه. يمكن أن تكون الاتصالات بشبكة TOR التي تتبع هذا النمط مؤشرا على نشاط القيادة والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو قيام مهاجم بإنشاء وصول تفاعلي عن بعد. في سجلات بالو ألتو، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر حركة المرور مشبوهة عند السماح بالتهديدات (البيانات المشبوهة، والملفات، والفيضانات، والحزم، والمسح، وبرامج التجسس، وعناوين URL، والفيروسات، ونقاط الضعف، وفيروسات حرائق الغابات، وحرائق الغابات). راجع أيضا سجل تهديدات بالو ألتو المقابل لنوع التهديد/المحتوى المدرج في وصف حادث الانصهار للحصول على تفاصيل تنبيه إضافية.
الاتصال الصادر ببروتوكول الإنترنت مع سجل من محاولات الوصول غير المصرح بها متبوعة بحركة مرور شاذة تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: القيادة والسيطرة
MITRE ATT& تقنيات CK: غير قابلة للتطبيق
مصادر موصل البيانات: Microsoft Defender for Endpoint (MDATP سابقا)، بالو ألتو نتوركس
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء اتصال صادر بعنوان IP له تاريخ من محاولات الوصول غير المصرح بها ، وبعد ذلك ، تم اكتشاف نشاط شاذ بواسطة جدار حماية Palo Alto Networks. تشير هذه الأدلة إلى أن المهاجم قد تمكن على الأرجح من الوصول إلى شبكتك. يمكن أن تكون محاولات الاتصال التي تتبع هذا النمط مؤشرا على نشاط القيادة والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو قيام مهاجم بإنشاء وصول تفاعلي عن بعد. في سجلات بالو ألتو، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر حركة المرور مشبوهة عند السماح بالتهديدات (البيانات المشبوهة، والملفات، والفيضانات، والحزم، والمسح، وبرامج التجسس، وعناوين URL، والفيروسات، ونقاط الضعف، وفيروسات حرائق الغابات، وحرائق الغابات). راجع أيضا سجل تهديدات بالو ألتو المقابل لنوع التهديد/المحتوى المدرج في وصف حادث الانصهار للحصول على تفاصيل تنبيه إضافية.
الاستمرار
(تصنيف جديد للتهديدات)
الموافقة على طلب نادر بعد تسجيل الدخول المشبوه
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: المثابرة ، الوصول الأولي
MITRE ATT& تقنيات CK: إنشاء حساب (T1136) ، حساب صالح (T1078)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أن أحد التطبيقات قد حصل على موافقة مستخدم لم يسبق له القيام بذلك أو نادرا ما قام بذلك، بعد تسجيل دخول مشبوه ذي صلة إلى حساب Azure AD. تشير هذه الأدلة إلى أن الحساب المشار إليه في وصف حادث Fusion ربما تم اختراقه واستخدامه للوصول إلى التطبيق أو التلاعب به لأغراض ضارة. يجب أن تكون الموافقة على التطبيق وإضافة أصل الخدمة وإضافة OAuth2PermissionGrant عادة أحداثا نادرة. قد يستخدم المهاجمون هذا النوع من تغيير التكوين لإنشاء موطئ قدم لهم على الأنظمة أو الحفاظ عليه. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه الموافقة على التطبيق النادر هي:
مستحيل السفر إلى موقع غير نمطي مما يؤدي إلى موافقة نادرة على التطبيق
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى موافقة نادرة على الطلب
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى موافقة نادرة على التطبيق
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى موافقة نادرة على التطبيق
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى موافقة نادرة على التطبيق
برامج الفدية الضارة
تنفيذ Ransomware بعد تسجيل الدخول المشبوه إلى Azure AD
MITRE ATT& تكتيكات CK: الوصول الأولي ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، بيانات مشفرة للتأثير (T1486)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم اكتشاف سلوك مستخدم شاذ يشير إلى هجوم برامج الفدية بعد تسجيل دخول مريب إلى حساب Azure AD. يوفر هذا المؤشر ثقة كبيرة في أن الحساب المشار إليه في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتشفير البيانات لأغراض ابتزاز مالك البيانات أو حرمان مالك البيانات من الوصول إلى بياناته. تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع تنبيه تنفيذ برامج الفدية هي:
مستحيل السفر إلى موقع غير نمطي مما يؤدي إلى برامج الفدية في التطبيق السحابي
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى برامج الفدية في التطبيق السحابي
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى برامج الفدية في تطبيق السحابة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى برامج الفدية في التطبيق السحابي
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى برامج الفدية في التطبيق السحابي
الاستغلال عن بعد
الاستخدام المشتبه به لإطار الهجوم متبوعا بحركة مرور شاذة تم الإبلاغ عنها بواسطة جدار حماية Palo Alto Networks
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التنفيذ ، الحركة الجانبية ، تصعيد الامتيازات
MITRE ATT& تقنيات CK: استغلال تطبيق Public-Facing (T1190) ، الاستغلال لتنفيذ العميل (T1203) ، استغلال الخدمات عن بعد (T1210) ، الاستغلال لتصعيد الامتيازات (T1068)
مصادر موصل البيانات: Microsoft Defender for Endpoint (MDATP سابقا)، بالو ألتو نتوركس
وصف: وتشير حوادث الاندماج من هذا النوع إلى أنه تم الكشف عن استخدامات غير قياسية للبروتوكولات، تشبه استخدام أطر الهجوم مثل Metasploit، وبعد ذلك، تم الكشف عن نشاط وارد مشبوه بواسطة جدار حماية شبكات بالو ألتو. قد يكون هذا مؤشرا أوليا على أن المهاجم قد استغل خدمة للوصول إلى موارد الشبكة الخاصة بك أو أن المهاجم قد حصل بالفعل على حق الوصول ويحاول زيادة استغلال الأنظمة / الخدمات المتاحة للتنقل أفقيا و / أو تصعيد الامتيازات. في سجلات بالو ألتو، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر حركة المرور مشبوهة عند السماح بالتهديدات (البيانات المشبوهة، والملفات، والفيضانات، والحزم، والمسح، وبرامج التجسس، وعناوين URL، والفيروسات، ونقاط الضعف، وفيروسات حرائق الغابات، وحرائق الغابات). راجع أيضا سجل تهديدات بالو ألتو المقابل لنوع التهديد/المحتوى المدرج في وصف حادث الانصهار للحصول على تفاصيل تنبيه إضافية.
اختطاف الموارد
(تصنيف جديد للتهديدات)
نشر مورد/مجموعة موارد مشبوهة بواسطة متصل غير مرئي سابقا بعد تسجيل الدخول إلى Azure AD المشبوه
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو حاليا في المعاينة.
MITRE ATT& تكتيكات CK: الوصول الأولي ، التأثير
MITRE ATT& تقنيات CK: حساب صالح (T1078) ، اختطاف الموارد (T1496)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Azure Active Directory Identity Protection
وصف: تشير حوادث الاندماج من هذا النوع إلى أن المستخدم قد نشر موردا أو مجموعة موارد Azure - وهو نشاط نادر - بعد تسجيل دخول مريب، مع خصائص لم تظهر مؤخرا، إلى حساب Azure AD. قد يكون هذا محاولة من قبل مهاجم لنشر موارد أو مجموعات موارد لأغراض ضارة بعد اختراق حساب المستخدم المشار إليه في وصف حادث Fusion.
تباديل تنبيهات تسجيل الدخول إلى Azure AD المشبوهة مع نشر الموارد/مجموعة الموارد المشبوهة بواسطة تنبيه متصل لم يسبق له مثيل هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى نشر مجموعة موارد / موارد مشبوهة من قبل متصل لم يسبق له مثيل
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشر مورد / مجموعة موارد مشبوهة بواسطة متصل لم يسبق له مثيل
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشر مورد / مجموعة موارد مشبوهة بواسطة متصل لم يسبق له مثيل
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشر مورد / مجموعة موارد مشبوهة بواسطة متصل لم يسبق له مثيل
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى نشر مجموعة موارد / موارد مشبوهة بواسطة متصل لم يسبق له مثيل
الخطوات التالية
الآن بعد أن تعرفت على المزيد حول اكتشاف الهجمات المتقدمة متعددة المراحل، قد تكون مهتما بالبدء السريع التالي لمعرفة كيفية الحصول على رؤية واضحة لبياناتك والتهديدات المحتملة: ابدأ باستخدام Microsoft Sentinel.
إذا كنت مستعدا للتحقيق في الحوادث التي تم إنشاؤها من أجلك، فراجع البرنامج التعليمي التالي: التحقيق في الحوادث باستخدام Microsoft Sentinel.