A Microsoft Sentinel Fusion motor által észlelt forgatókönyvek

  • Cikk

Ez a dokumentum a Microsoft Sentinel által a Fusion korrelációs motor használatával észlelt, veszélyforrások besorolása szerint csoportosított forgatókönyvalapú többlépéses támadások típusait sorolja fel.

Mivel a Fusion több különböző terméktől származó jeleket korrelál a fejlett multistage támadások észleléséhez, a sikeres fúziós észlelések fúziós incidenskéntjelennek meg a Microsoft Sentinel incidensek oldalán, nem riasztásként, és nem a SecurityAlerts táblában, hanem a Naplók Incidensek táblájában vannak tárolva.

A fúziós támadásészlelési forgatókönyvek engedélyezéséhez a felsorolt adatforrásokat a Log Analytics-munkaterületre kell beolvasni. Az ütemezett elemzési szabályokkal rendelkező forgatókönyvek esetében kövesse a Fúziós észlelések ütemezett elemzési szabályainak konfigurálása című témakör utasításait.

Megjegyzés:

Néhány ilyen forgatókönyv előzetes verzióban érhető el. Ezek a jelölések meg lesznek jelölve.

Számítási erőforrásokkal való visszaélés

Több virtuálisgép-létrehozási tevékenység gyanús Microsoft Entra-bejelentkezés után

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás

MITRE ATT&CK technikák: Érvényes fiók (T1078), Erőforrás-eltérítés (T1496)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú virtuális gép jött létre. Az ilyen típusú riasztások nagy megbízhatósággal jelzik, hogy a Fusion-incidens leírásában szereplő fiókot feltörték, és új virtuális gépek jogosulatlan célokra, például kriptobányászati műveletek futtatására használták. A gyanús Microsoft Entra bejelentkezési riasztások több virtuálisgép-létrehozási tevékenységre vonatkozó riasztással való áthangolása a következő:

  • Lehetetlen utazás olyan atipikus helyre, amely több virtuálisgép-létrehozási tevékenységhez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely több virtuálisgép-létrehozási tevékenységhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely több virtuálisgép-létrehozási tevékenységhez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely több virtuálisgép-létrehozási tevékenységhez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely több virtuálisgép-létrehozási tevékenységhez vezet

Hitelesítő adatokhoz való hozzáférés

(Új fenyegetésbesorolás)

Több jelszó alaphelyzetbe állítása a felhasználó által a gyanús bejelentkezést követően

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Initial Access, Credential Access

MITRE ATT&CK technikák: Érvényes fiók (T1078), Brute Force (T1110)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy felhasználó több jelszót is alaphelyzetbe állít a Microsoft Entra-fiókba való gyanús bejelentkezést követően. Ez a bizonyíték arra utal, hogy a fúziós incidens leírásában szereplő fiók sérült, és több jelszó-visszaállítás végrehajtására szolgál, hogy több rendszerhez és erőforráshoz férhessen hozzá. A fiókkezelés (beleértve a jelszó-visszaállítást is) segíthet a támadóknak a hitelesítő adatokhoz és bizonyos jogosultsági szintekhez való hozzáférés fenntartásában egy környezetben. A gyanús Microsoft Entra bejelentkezési riasztások több jelszó-visszaállítási riasztással való áthangolása a következő:

  • Lehetetlen utazás egy atipikus helyre, amely több jelszó alaphelyzetbe állításához vezet

  • Bejelentkezési esemény ismeretlen helyről, amely több jelszó alaphelyzetbe állításához vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely több jelszó alaphelyzetbe állításához vezet

  • Bejelentkezési esemény névtelen IP-címről, amely több jelszó alaphelyzetbe állításához vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely több jelszó alaphelyzetbe állításához vezet

Gyanús bejelentkezés egybeesik a Palo Alto VPN-be való sikeres bejelentkezéssel IP-cím alapján, több sikertelen Microsoft Entra-bejelentkezéssel

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Initial Access, Credential Access

MITRE ATT&CK technikák: Érvényes fiók (T1078), Brute Force (T1110)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezés egybeesett egy Palo Alto VPN-en keresztüli sikeres bejelentkezéssel egy olyan IP-címről, amelyről több sikertelen Microsoft Entra-bejelentkezés történt hasonló időkeretben. Bár a többtényezős támadás nem bizonyíték, a két alacsonyabb megbízhatóságú riasztás korrelációja magas megbízhatósági incidenst eredményez, amely rosszindulatú kezdeti hozzáférést jelez a szervezet hálózatához. Ez azt is jelezheti, hogy egy támadó találgatásos technikákkal próbál hozzáférni egy Microsoft Entra-fiókhoz. A gyanús Microsoft Entra bejelentkezési riasztások "Több sikertelen Microsoft Entra-bejelentkezéssel rendelkező IP-cím sikeresen bejelentkezik a Palo Alto VPN-be" riasztások permutációi a következők:

  • Lehetetlen olyan atipikus helyre utazni, amely az IP-címmel egybeesik több sikertelen Microsoft Entra-bejelentkezéssel, és sikeresen bejelentkezik a Palo Alto VPN-be

  • Ismeretlen helyről való bejelentkezési esemény, amely az IP-címmel egybeesik több sikertelen Microsoft Entra-bejelentkezéssel, sikeresen bejelentkezik a Palo Alto VPN-be

  • Több sikertelen Microsoft Entra-bejelentkezéssel rendelkező fertőzött eszközről származó bejelentkezési esemény sikeresen bejelentkezik a Palo Alto VPN-be

  • Bejelentkezési esemény egy névtelen IP-címről, amely több sikertelen Microsoft Entra-bejelentkezéssel rendelkezik, sikeresen bejelentkezik a Palo Alto VPN-be

  • A kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye több sikertelen Microsoft Entra-bejelentkezéssel sikeresen bejelentkezik a Palo Alto VPN-be

Hitelesítő adatok betakarítása

(Új fenyegetésbesorolás)

Rosszindulatú hitelesítőadat-lopási eszköz végrehajtása gyanús bejelentkezés után

MITRE ATT&CK-taktikák: Initial Access, Credential Access

MITRE ATT&CK technikák: Érvényes fiók (T1078), operációsrendszer-hitelesítő adatok memóriaképe (T1003)

Adatforrások: Microsoft Entra ID-védelem, Végponthoz készült Microsoft Defender

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy ismert hitelesítőadat-lopási eszközt egy gyanús Microsoft Entra-bejelentkezés után hajtottak végre. Ez a bizonyíték nagy biztonsággal arra utal, hogy a riasztás leírásában szereplő felhasználói fiók sérült, és lehetséges, hogy sikeresen használt egy olyan eszközt, mint a Mimikatz , hogy hitelesítő adatokat gyűjtsön, például kulcsokat, egyszerű szöveges jelszavakat és/vagy jelszókivonatokat a rendszerből. A begyűjtött hitelesítő adatokkal a támadó hozzáférhet a bizalmas adatokhoz, eszkalálhatja a jogosultságokat, és/vagy oldalirányban mozoghat a hálózaton. A gyanús Microsoft Entra bejelentkezési riasztások és a rosszindulatú hitelesítő adatok ellopása eszközre vonatkozó riasztások permutációi a következők:

  • Lehetetlen utazás atipikus helyekre, amely rosszindulatú hitelesítő adatok ellopására szolgáló eszköz végrehajtásához vezet

  • Bejelentkezési esemény ismeretlen helyről, amely rosszindulatú hitelesítőadat-lopási eszköz végrehajtásához vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely rosszindulatú hitelesítőadat-lopási eszköz végrehajtásához vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely rosszindulatú hitelesítőadat-lopási eszköz végrehajtásához vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely rosszindulatú hitelesítő adatok ellopására szolgáló eszköz végrehajtásához vezet

Gyanús bejelentkezést követő hitelesítőadat-lopás gyanúja

MITRE ATT&CK-taktikák: Initial Access, Credential Access

MITRE ATT&CK technikák: Érvényes fiók (T1078), hitelesítő adatok a jelszótárolókból (T1555), operációsrendszer-hitelesítő adatok memóriaképe (T1003)

Adatforrások: Microsoft Entra ID-védelem, Végponthoz készült Microsoft Defender

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a hitelesítő adatok ellopásának mintáival kapcsolatos tevékenységek gyanús Microsoft Entra-bejelentkezést követően történtek. Ez a bizonyíték azt sugallja, hogy a riasztás leírásában szereplő felhasználói fiók sérült, és hitelesítő adatok, például kulcsok, egyszerű szöveges jelszavak, jelszókivonatok stb. ellopására szolgál. Az ellopott hitelesítő adatokkal a támadó hozzáférhet a bizalmas adatokhoz, eszkalálhatja a jogosultságokat, és/vagy oldalirányban mozoghat a hálózaton. A gyanús Microsoft Entra bejelentkezési riasztások hitelesítőadat-lopási tevékenységgel kapcsolatos riasztásainak permutációi a következők:

  • Lehetetlen utazás atipikus helyekre, ahol a hitelesítő adatok ellopása gyanúja merül fel

  • Bejelentkezési esemény ismeretlen helyről, amely hitelesítő adatok ellopására gyanús tevékenységhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely hitelesítő adatok ellopására gyanús tevékenységhez vezet

  • Bejelentkezési esemény névtelen IP-címről, amely hitelesítő adatok ellopására gyanús tevékenységhez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely a hitelesítő adatok ellopására gyanús tevékenységhez vezet

Kriptobányászat

(Új fenyegetésbesorolás)

Kriptobányászati tevékenység gyanús bejelentkezés után

MITRE ATT&CK-taktikák: Initial Access, Credential Access

MITRE ATT&CK technikák: Érvényes fiók (T1078), Erőforrás-eltérítés (T1496)

Adatforrások: Microsoft Entra ID-védelem, Felhőhöz készült Microsoft Defender

Leírás: Az ilyen típusú fúziós incidensek a Microsoft Entra-fiókba való gyanús bejelentkezéshez kapcsolódó kriptobányászati tevékenységet jelölnek. Ez a bizonyíték nagy biztonsággal arra utal, hogy a riasztás leírásában szereplő felhasználói fiók feltörve lett, és a környezet erőforrásainak eltérítésére szolgál a kriptovaluta bányászásához. Ez éheztetheti a számítási teljesítmény erőforrásait, és/vagy a vártnál jelentősen magasabb felhőhasználati számlákat eredményezhet. A gyanús Microsoft Entra bejelentkezési riasztások és a kriptobányászati tevékenység riasztásainak permutációi a következők:

  • Lehetetlen utazás a kriptobányászati tevékenységhez vezető atipikus helyekre

  • Bejelentkezési esemény ismeretlen helyről, amely kriptobányászati tevékenységhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely kriptobányászati tevékenységhez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely kriptobányászati tevékenységhez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely kriptobányászati tevékenységhez vezet

Adatmegsemmisítés

Tömeges fájltörlés gyanús Microsoft Entra-bejelentkezés után

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás

MITRE ATT&CK technikák: Érvényes fiók (T1078), Adatmegsemmisítés (T1485)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően rendellenes számú egyedi fájl törölve lett. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és rosszindulatú célokra használták az adatok megsemmisítésére. A gyanús Microsoft Entra bejelentkezési riasztások és a tömeges fájltörlési riasztások permutációi a következők:

  • Lehetetlen utazás egy atipikus helyre, amely tömeges fájltörléshez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely tömeges fájltörléshez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely tömeges fájltörléshez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely tömeges fájltörléshez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely tömeges fájltörléshez vezet

Tömeges fájltörlés a Cisco tűzfalkészülék által blokkolt IP-címről való sikeres Microsoft Entra-bejelentkezés után

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás

MITRE ATT&CK technikák: Érvényes fiók (T1078), Adatmegsemmisítés (T1485)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra sikeres bejelentkezése után rendellenes számú egyedi fájl törölve lett annak ellenére, hogy a felhasználó IP-címét egy Cisco tűzfalberendezés blokkolta. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiókot feltörték, és rosszindulatú célokra használták az adatok megsemmisítésére. Mivel az IP-címet a tűzfal blokkolta, a Microsoft Entra-azonosítóra való sikeres IP-naplózás valószínűleg gyanús, és a felhasználói fiók hitelesítő adatainak sérülésére utalhat.

Tömeges fájltörlés, miután sikeresen bejelentkezett a Palo Alto VPN-be IP-cím alapján, több sikertelen Microsoft Entra-bejelentkezéssel

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, Hitelesítő adatok elérése, Hatás

MITRE ATT&CK technikák: Érvényes fiók (T1078), Brute Force (T1110), Data Destruction (T1485)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy rendellenes számú egyedi fájlt törölt egy felhasználó, aki sikeresen bejelentkezett egy Palo Alto VPN-en keresztül egy OLYAN IP-címről, amelyről több sikertelen Microsoft Entra-bejelentkezés történt hasonló időkeretben. Ez a bizonyíték arra utal, hogy a Fúziós incidensben feljegyzett felhasználói fiók valószínűleg találgatásos technikákkal lett feltörve, és rosszindulatú célokra az adatok megsemmisítésére szolgál.

Gyanús e-mail-törlési tevékenység gyanús Microsoft Entra-bejelentkezés után

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás

MITRE ATT&CK technikák: Érvényes fiók (T1078), Adatmegsemmisítés (T1485)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú e-mailt töröltek. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és rosszindulatú célokra, például a szervezet sérülésére vagy a levélszeméttel kapcsolatos e-mail-tevékenységek elrejtésére szolgáltak. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús e-mail törlési tevékenységgel kapcsolatos riasztások permutációi a következők:

  • Lehetetlen utazás atipikus helyre, amely gyanús e-mail törlési tevékenységhez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely gyanús e-mail törlési tevékenységhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely gyanús e-mail törlési tevékenységhez vezet

  • Bejelentkezési esemény névtelen IP-címről, amely gyanús e-mail törlési tevékenységhez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús e-mail törlési tevékenységhez vezet

Adatkiszivárgás

E-mail-továbbítási tevékenységek a közelmúltban nem látott új rendszergazdai fióktevékenység után

Ez a forgatókönyv két fenyegetésbesoroláshoz tartozik ebben a listában: adatkiszivárgás és rosszindulatú rendszergazdai tevékenység. Az egyértelműség kedvéért mindkét szakaszban megjelenik.

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, gyűjtemény, kiszűrés

MITRE ATT&CK technikák: Érvényes fiók (T1078), E-mail-gyűjtemény (T1114), Kiszűrés webszolgáltatáson keresztül (T1567)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy vagy új Exchange-rendszergazdai fiókot hoztak létre, vagy egy meglévő Exchange-rendszergazdai fiók először hajtott végre rendszergazdai műveletet az elmúlt két hétben, és hogy a fiók ezután végrehajtott néhány levelezési továbbítási műveletet, ami szokatlan a rendszergazdai fiókok esetében. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő felhasználói fiókot feltörték vagy manipulálták, és arra használták, hogy kiszűrje az adatokat a szervezet hálózatából.

Tömeges fájlletöltés gyanús Microsoft Entra-bejelentkezés után

MITRE ATT&CK-taktikák: Initial Access, Exfiltration

MITRE ATT&CK technikák: Érvényes fiók (T1078)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy felhasználó rendellenes számú fájlt töltött le a Microsoft Entra-fiókba való gyanús bejelentkezést követően. Ez a jelzés nagy megbízhatóságot biztosít, hogy a Fúziós incidens leírásában szereplő fiók sérült, és a szervezet hálózatából származó adatok kiszivárgására szolgál. A gyanús Microsoft Entra bejelentkezési riasztások és a tömeges fájlletöltési riasztások permutációi a következők:

  • Lehetetlen utazás egy atipikus helyre, amely tömeges fájlletöltéshez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely tömeges fájlletöltéshez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely tömeges fájlletöltéshez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely tömeges fájlletöltéshez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely tömeges fájlletöltéshez vezet

Tömeges fájlletöltés a Cisco tűzfalkészülék által blokkolt IP-címről való sikeres Microsoft Entra-bejelentkezés után

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Initial Access, Exfiltration

MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a felhasználó rendellenes számú fájlt töltött le a Microsoft Entra sikeres bejelentkezését követően annak ellenére, hogy a felhasználó IP-címét egy Cisco tűzfalberendezés blokkolta. Ez lehet egy támadó kísérlete arra, hogy kiszűrje az adatokat a szervezet hálózatából egy felhasználói fiók veszélyeztetése után. Mivel az IP-címet a tűzfal blokkolta, a Microsoft Entra-azonosítóra való sikeres IP-naplózás valószínűleg gyanús, és a felhasználói fiók hitelesítő adatainak sérülésére utalhat.

Tömeges fájlletöltés a Korábban nem látott IP-címről származó SharePoint-fájlművelettel

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Exfiltration

MITRE ATT&CK technikák: Exfiltration over Web Service (T1567), Data Transfer Size Limits (T1030)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a korábban nem látott IP-címről csatlakoztatott felhasználó rendellenes számú fájlt töltött le. Bár a többtényezős támadás nem bizonyíték, a két alacsonyabb megbízhatóságú riasztás korrelációja egy magas megbízhatósági incidenst eredményez, amely arra utal, hogy a támadó megpróbálja kiszűrni az adatokat a szervezet hálózatáról egy esetlegesen feltört felhasználói fiókból. Stabil környezetekben a korábban nem látott IP-címek által létesített ilyen kapcsolatok jogosulatlanok lehetnek, különösen akkor, ha nagy méretű dokumentumkiszivárgással társított kötetkiugrásokhoz társulnak.

Tömeges fájlmegosztás gyanús Microsoft Entra-bejelentkezés után

MITRE ATT&CK-taktikák: Initial Access, Exfiltration

MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy Microsoft Entra-fiókba való gyanús bejelentkezést követően több fájl is meg lett osztva egy adott küszöbérték felett. Ez a jelzés nagy megbízhatóságot biztosít arról, hogy a Fusion-incidens leírásában szereplő fiók sérült, és a szervezet hálózatából származó adatok kiszűrésére szolgál olyan fájlok, például dokumentumok, számolótáblák stb. megosztásával, amelyek illetéktelen felhasználókkal rosszindulatú célokra használhatók. A gyanús Microsoft Entra bejelentkezési riasztások és a tömeges fájlmegosztási riasztások permutációi a következők:

  • Lehetetlen utazás egy atipikus helyre, amely tömeges fájlmegosztáshoz vezet

  • Bejelentkezési esemény egy ismeretlen helyről, amely tömeges fájlmegosztáshoz vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely tömeges fájlmegosztáshoz vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely tömeges fájlmegosztáshoz vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely tömeges fájlmegosztáshoz vezet

Több Power BI-jelentésmegosztási tevékenység gyanús Microsoft Entra-bejelentkezés után

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Initial Access, Exfiltration

MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú Power BI-jelentést osztottak meg. Ez a jelzés nagy megbízhatóságot biztosít, hogy a Fúziós incidens leírásában szereplő fiók feltört, és arra szolgál, hogy rosszindulatú célokra megossza a Power BI-jelentéseket jogosulatlan felhasználókkal. A gyanús Microsoft Entra bejelentkezési riasztások több Power BI-jelentésmegosztási tevékenységgel kapcsolatos permutációi a következők:

  • Lehetetlen olyan atipikus helyre utazni, amely több Power BI-jelentésmegosztási tevékenységhez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely több Power BI-jelentésmegosztási tevékenységhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely több Power BI-jelentésmegosztási tevékenységhez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely több Power BI-jelentésmegosztási tevékenységhez vezet

  • Több Power BI-jelentésmegosztási tevékenységhez vezető kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye

Office 365-ös postaláda-kiszivárgás gyanús Microsoft Entra-bejelentkezés után

MITRE ATT&CK-taktikák: Initial Access, Exfiltration, Collection

MITRE ATT&CK technikák: Érvényes fiók (T1078), E-mail gyűjtemény (T1114), Automatikus kiszivárgás (T1020)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy gyanús beérkezett üzenetek továbbítására vonatkozó szabály lett beállítva a felhasználó postaládájába, miután gyanús bejelentkezés történt egy Microsoft Entra-fiókba. Ez a jelzés nagy megbízhatóságot biztosít a felhasználó fiókjának (a Fusion-incidens leírásában feljegyzett) feltörése és a szervezet hálózatából származó adatok kiszivárgására egy postaláda-továbbítási szabály engedélyezésével, a valódi felhasználó tudta nélkül. A gyanús Microsoft Entra bejelentkezési riasztások az Office 365-ös postaláda-kiszivárgási riasztással való áthangolása a következő:

  • Lehetetlen utazás az Office 365-ös postaláda-kiszivárgáshoz vezető atipikus helyre

  • Bejelentkezési esemény ismeretlen helyről, amely az Office 365-ös postaláda-kiszivárgáshoz vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely az Office 365-ös postaláda-kiszivárgáshoz vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely az Office 365-ös postaláda-kiszivárgáshoz vezet

  • Bejelentkezési esemény az Office 365-ös postaláda-kiszivárgáshoz vezető kiszivárgott hitelesítő adatokkal rendelkező felhasználótól

SharePoint-fájlművelet korábban nem látott IP-címről a kártevők észlelését követően

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK taktika: Exfiltration, Defense Evasion

MITRE ATT&CK technikák: Adatátviteli méretkorlátok (T1030)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy támadó nagy mennyiségű adatot próbált kiszúrni a SharePointon keresztüli letöltéssel vagy megosztással kártevők használatával. Stabil környezetekben a korábban nem látott IP-címek által létesített ilyen kapcsolatok jogosulatlanok lehetnek, különösen akkor, ha nagy méretű dokumentumkiszivárgással társított kötetkiugrásokhoz társulnak.

Gyanús, a Microsoft Entra-bejelentkezést követő beérkezett üzenetekre vonatkozó manipulációs szabályok

Ez a forgatókönyv a lista két fenyegetésbesorolásához tartozik: az adatkiszivárgáshoz és az oldalirányú mozgáshoz. Az egyértelműség kedvéért mindkét szakaszban megjelenik.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, oldalirányú mozgás, kiszűrés

MITRE ATT&CK technikák: Érvényes fiók (T1078), belső dárdai adathalászat (T1534), automatikus kiszivárgás (T1020)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a microsoft Entra-fiókba való gyanús bejelentkezést követően rendellenes beérkezett üzenetekre vonatkozó szabályok lettek beállítva a felhasználó postaládájába. Ez a bizonyíték nagy megbízhatósági jelzést ad arról, hogy a Fúziós incidens leírásában szereplő fiók sérült, és a felhasználó levelezési szabályainak rosszindulatú célú módosítására szolgál, esetleg a szervezet hálózatából származó adatok kiszivárgására. Másik lehetőségként előfordulhat, hogy a támadó adathalász e-maileket próbál létrehozni a szervezeten belülről (megkerülve a külső forrásokból érkező e-maileket célzó adathalász-észlelési mechanizmusokat), hogy oldalirányba lépjen további felhasználói és/vagy kiemelt fiókokhoz való hozzáféréssel. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús beérkezett üzenetek kezelési szabályaira vonatkozó riasztások permutációi a következők:

  • Nem lehet olyan atipikus helyre utazni, amely gyanús postaládák manipulációs szabályához vezet

  • Bejelentkezési esemény ismeretlen helyről, amely gyanús beérkezett üzenetek kezelési szabályához vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely gyanús postaláda-kezelési szabályhoz vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely gyanús beérkezett üzenetek kezelési szabályához vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús beérkezett üzenetek kezelési szabályához vezet

Gyanús Power BI-jelentésmegosztás gyanús Microsoft Entra-bejelentkezés után

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Initial Access, Exfiltration

MITRE ATT&CK technikák: Érvényes fiók (T1078), kiszivárgás webszolgáltatáson keresztül (T1567)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy gyanús Power BI-jelentésmegosztási tevékenység történt a Microsoft Entra-fiókba való gyanús bejelentkezés után. A megosztási tevékenységet gyanúsként azonosították, mert a Power BI-jelentés a természetes nyelvi feldolgozással azonosított bizalmas információkat tartalmazott, és mivel egy külső e-mail-címmel osztották meg, közzétették a weben, vagy pillanatképként egy külsőleg előfizetett e-mail-címre szállították. Ez a riasztás nagy megbízhatósággal jelzi, hogy a Fúziós incidens leírásában szereplő fiók sérült, és arra szolgál, hogy kártékony célokból ossza meg a Power BI-jelentéseket jogosulatlan felhasználókkal. A gyanús Microsoft Entra bejelentkezési riasztások gyanús Power BI-jelentésmegosztással való áthangolása a következő:

  • Nem lehet olyan atipikus helyre utazni, amely gyanús Power BI-jelentésmegosztáshoz vezet

  • Bejelentkezési esemény ismeretlen helyről, amely gyanús Power BI-jelentésmegosztáshoz vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely gyanús Power BI-jelentésmegosztáshoz vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely gyanús Power BI-jelentésmegosztáshoz vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús Power BI-jelentésmegosztáshoz vezet

Szolgáltatásmegtagadás

Több virtuálisgép-törlési tevékenység gyanús Microsoft Entra-bejelentkezés után

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás

MITRE ATT&CK technikák: Érvényes fiók (T1078), Végponti szolgáltatásmegtagadás (T1499)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókba való gyanús bejelentkezést követően egyetlen munkamenetben rendellenes számú virtuális gépet töröltek. Ez a jelzés nagy megbízhatóságot biztosít, hogy a fúziós incidens leírásában szereplő fiók sérült, és a szervezet felhőkörnyezetének megzavarására vagy megsemmisítésére szolgál. A gyanús Microsoft Entra bejelentkezési riasztások több virtuális gép törlési tevékenységre vonatkozó riasztásával kapcsolatos permutációi a következők:

  • Lehetetlen utazás olyan atipikus helyre, amely több virtuálisgép-törlési tevékenységhez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely több virtuálisgép-törlési tevékenységhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely több virtuálisgép-törlési tevékenységhez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely több virtuálisgép-törlési tevékenységhez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely több virtuálisgép-törlési tevékenységhez vezet

Oldalirányú mozgás

Office 365-megszemélyesítés gyanús Microsoft Entra-bejelentkezés után

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, oldalirányú mozgás

MITRE ATT&CK technikák: Érvényes fiók (T1078), belső dárdai adathalászat (T1534)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Microsoft Entra-fiókból való gyanús bejelentkezést követően rendellenes számú megszemélyesítési művelet történt. Egyes szoftverekben lehetőség van arra, hogy a felhasználók megszemélyesíthessenek más felhasználókat. Az e-mail-szolgáltatások lehetővé teszik például, hogy más felhasználók e-maileket küldjenek a nevükben. Ez a riasztás nagyobb megbízhatósággal jelzi, hogy a Fusion-incidens leírásában szereplő fiók sérült, és rosszindulatú célokra, például adathalász e-mailek küldésére szolgál a kártevők terjesztéséhez vagy az oldalirányú mozgáshoz. A gyanús Microsoft Entra bejelentkezési riasztások és az Office 365 megszemélyesítési riasztásainak permutációi a következők:

  • Lehetetlen utazás az Office 365 megszemélyesítéséhez vezető atipikus helyre

  • Bejelentkezési esemény ismeretlen helyről, amely az Office 365 megszemélyesítéséhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely az Office 365 megszemélyesítéséhez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely az Office 365 megszemélyesítéséhez vezet

  • Bejelentkezési esemény az Office 365 megszemélyesítéséhez vezető kiszivárgott hitelesítő adatokkal rendelkező felhasználótól

Gyanús, a Microsoft Entra-bejelentkezést követő beérkezett üzenetekre vonatkozó manipulációs szabályok

Ez a forgatókönyv a lista két fenyegetésbesorolásához tartozik: az oldalirányú mozgáshoz és az adatkiszivárgáshoz. Az egyértelműség kedvéért mindkét szakaszban megjelenik.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, oldalirányú mozgás, kiszűrés

MITRE ATT&CK technikák: Érvényes fiók (T1078), belső dárdai adathalászat (T1534), automatikus kiszivárgás (T1020)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a microsoft Entra-fiókba való gyanús bejelentkezést követően rendellenes beérkezett üzenetekre vonatkozó szabályok lettek beállítva a felhasználó postaládájába. Ez a bizonyíték nagy megbízhatósági jelzést ad arról, hogy a Fúziós incidens leírásában szereplő fiók sérült, és a felhasználó levelezési szabályainak rosszindulatú célú módosítására szolgál, esetleg a szervezet hálózatából származó adatok kiszivárgására. Másik lehetőségként előfordulhat, hogy a támadó adathalász e-maileket próbál létrehozni a szervezeten belülről (megkerülve a külső forrásokból érkező e-maileket célzó adathalász-észlelési mechanizmusokat), hogy oldalirányba lépjen további felhasználói és/vagy kiemelt fiókokhoz való hozzáféréssel. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús beérkezett üzenetek kezelési szabályaira vonatkozó riasztások permutációi a következők:

  • Nem lehet olyan atipikus helyre utazni, amely gyanús postaládák manipulációs szabályához vezet

  • Bejelentkezési esemény ismeretlen helyről, amely gyanús beérkezett üzenetek kezelési szabályához vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely gyanús postaláda-kezelési szabályhoz vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely gyanús beérkezett üzenetek kezelési szabályához vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús beérkezett üzenetek kezelési szabályához vezet

Rosszindulatú rendszergazdai tevékenység

Gyanús felhőalkalmazás-felügyeleti tevékenység gyanús Microsoft Entra-bejelentkezés után

MITRE ATT&CK-taktikák: Initial Access, Persistence, Defense Evasion, Lateral Movement, Collection, Exfiltration és Impact

MITRE ATT&CK technikák: N/A

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy rendellenes számú rendszergazdai tevékenységet hajtottak végre egyetlen munkamenetben, miután egy gyanús Microsoft Entra-bejelentkezés történt ugyanabból a fiókból. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és arra használták, hogy rosszindulatú szándékkal bármilyen számú jogosulatlan rendszergazdai műveletet végrehajtson. Ez azt is jelzi, hogy egy rendszergazdai jogosultságokkal rendelkező fiók sérült. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús felhőalkalmazások felügyeleti tevékenységére vonatkozó riasztások permutációi a következők:

  • Nem lehet olyan atipikus helyre utazni, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús felhőalkalmazás-felügyeleti tevékenységhez vezet

E-mail-továbbítási tevékenységek a közelmúltban nem látott új rendszergazdai fióktevékenység után

Ez a forgatókönyv a lista két fenyegetésbesorolásához tartozik: rosszindulatú rendszergazdai tevékenységhez és adatkiszivárgáshoz. Az egyértelműség kedvéért mindkét szakaszban megjelenik.

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, gyűjtemény, kiszűrés

MITRE ATT&CK technikák: Érvényes fiók (T1078), E-mail-gyűjtemény (T1114), Kiszűrés webszolgáltatáson keresztül (T1567)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy vagy új Exchange-rendszergazdai fiókot hoztak létre, vagy egy meglévő Exchange-rendszergazdai fiók először hajtott végre rendszergazdai műveletet az elmúlt két hétben, és hogy a fiók ezután végrehajtott néhány levelezési továbbítási műveletet, ami szokatlan a rendszergazdai fiókok esetében. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő felhasználói fiókot feltörték vagy manipulálták, és arra használták, hogy kiszűrje az adatokat a szervezet hálózatából.

Rosszindulatú végrehajtás jogszerű eljárással

A PowerShell gyanús hálózati kapcsolatot létesített, amelyet a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom követett.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Végrehajtás

MITRE ATT&CK technikák: Parancs- és szkript-értelmező (T1059)

Adatforrások: Végponthoz készült Microsoft Defender (korábban Microsoft Defender Advanced Threat Protection vagy MDATP), Microsoft Sentinel (ütemezett elemzési szabály)

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy kimenő kapcsolatkérés történt egy PowerShell-paranccsal, és ezt követően a Palo Alto Networks tűzfala rendellenes bejövő tevékenységet észlelt. Ez a bizonyíték arra utal, hogy a támadó valószínűleg hozzáfért a hálózathoz, és rosszindulatú műveleteket próbál végrehajtani. Csatlakozás PowerShell ezen mintát követő kísérletei a kártevők parancs- és vezérlési tevékenységére, a további kártevők letöltésére irányuló kérelmekre vagy a távoli interaktív hozzáférést létrehozó támadókra utalhatnak. Mint minden "élő a földön" támadás, ez a tevékenység lehet a PowerShell jogos használata. A PowerShell-parancs végrehajtása, majd a gyanús bejövő tűzfaltevékenységek azonban növelik a PowerShell rosszindulatú használata megbízhatóságát, ezért további vizsgálatot kell végezni. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.

Gyanús távoli WMI-végrehajtás, majd a Palo Alto Networks tűzfal által megjelölt rendellenes forgalom

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Végrehajtás, felderítés

MITRE ATT&CK technikák: Windows Management Instrumentation (T1047)

Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Windows Felügyeleti felület (WMI) parancsait távolról hajtották végre egy rendszeren, és ezt követően gyanús bejövő tevékenységet észlelt a Palo Alto Networks tűzfala. Ez a bizonyíték arra utal, hogy a támadó hozzáférhetett a hálózathoz, és megpróbál oldalirányban mozogni, eszkalálni a jogosultságokat, és/vagy rosszindulatú hasznos adatokat végrehajtani. Mint minden "élő a földön" támadás, ez a tevékenység lehet a WMI jogos használata. A távoli WMI-parancsok végrehajtása, majd a gyanús bejövő tűzfaltevékenységek azonban növelik a WMI rosszindulatú felhasználásának megbízhatóságát, ezért további vizsgálatot kell végezni. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.

Gyanús PowerShell-parancssor gyanús bejelentkezés után

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, végrehajtás

MITRE ATT&CK technikák: Valid Account (T1078), Command and Scripting Interpret (T1059)

Adatforrások: Microsoft Entra ID-védelem, Végponthoz készült Microsoft Defender (korábban MDATP)

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy felhasználó a Microsoft Entra-fiókba való gyanús bejelentkezést követően potenciálisan rosszindulatú PowerShell-parancsokat hajtott végre. Ez a bizonyíték nagy biztonsággal arra utal, hogy a riasztás leírásában szereplő fiók sérült, és további rosszindulatú műveleteket hajtottak végre. A támadók gyakran a PowerShell használatával hajtanak végre rosszindulatú hasznos adatokat a memóriában anélkül, hogy az összetevőket a lemezen hagyják, hogy elkerülje a lemezalapú biztonsági mechanizmusok, például a vírusolvasók általi észlelést. A gyanús Microsoft Entra bejelentkezési riasztások és a gyanús PowerShell-parancsriasztások permutációi a következők:

  • A gyanús PowerShell-parancssorhoz vezető atipikus helyekre való utazás lehetetlen

  • Bejelentkezési esemény ismeretlen helyről, amely gyanús PowerShell-parancssorhoz vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely gyanús PowerShell-parancssorhoz vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely gyanús PowerShell-parancssorhoz vezet

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely gyanús PowerShell-parancssorhoz vezet

Kártevő C2 vagy letöltés

A Fortinet több sikertelen felhasználói bejelentkezést követően észlelt jelzőfénymintát egy szolgáltatásba

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, parancs és vezérlés

MITRE ATT&CK technikák: Érvényes fiók (T1078), nem standard port (T1571), T1065 (kivezetve)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Felhőhöz készült Microsoft Defender Apps

Leírás: Az ilyen típusú fúziós incidensek kommunikációs mintákat jeleznek egy belső IP-címről egy külsőre, amely konzisztens a jelzőrendszerezéssel, és több sikertelen felhasználói bejelentkezést követ egy szolgáltatásba egy kapcsolódó belső entitásból. A két esemény kombinációja utalhat kártevő-fertőzésre vagy egy sérült gazdagépre, amely adatkiszivárgást végez.

A Fortinet a gyanús Microsoft Entra-bejelentkezést követően jelzőfénymintát észlelt

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, parancs és vezérlés

MITRE ATT&CK technikák: Érvényes fiók (T1078), nem standard port (T1571), T1065 (kivezetve)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek kommunikációs mintákat jeleznek egy belső IP-címről egy külsőre, amely konzisztens a jelzőfényezéssel, miután egy gyanús jellegű felhasználó bejelentkezett a Microsoft Entra-azonosítóba. A két esemény kombinációja utalhat kártevő-fertőzésre vagy egy sérült gazdagépre, amely adatkiszivárgást végez. A Fortinet-riasztások által a Gyanús Microsoft Entra bejelentkezési riasztásokkal észlelt jeladóminta-permutációk a következők:

  • Lehetetlen utazás egy atipikus helyre, amely a Fortinet által észlelt jelzőfény-mintához vezet

  • Bejelentkezési esemény ismeretlen helyről, amely a Fortinet által észlelt jelzőfény-mintázathoz vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely a Fortinet által észlelt jelzőfény-mintához vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely a Fortinet által észlelt jelzőfény-mintához vezet

  • Kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye, amely a Fortinet által észlelt jelzőfény-mintázathoz vezet

Hálózati kérés a TOR anonimizálási szolgáltatáshoz, majd a Palo Alto Networks tűzfal által megjelölt rendellenes forgalom.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Parancs és vezérlés

MITRE ATT&CK technikák: Titkosított csatorna (T1573), Proxy (T1090)

Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy kimenő kapcsolatkérés történt a TOR anonimizálási szolgáltatáshoz, és ezt követően a Palo Alto Networks tűzfala rendellenes bejövő tevékenységet észlelt. Ez a bizonyíték arra utal, hogy a támadó valószínűleg hozzáfért a hálózathoz, és megpróbálja elrejteni a tetteit és szándékait. Csatlakozás TOR-hálózatra irányuló, ezt a mintát követő műveletek a kártevők parancs- és vezérlési tevékenységére, a további kártevők letöltésére irányuló kérelmekre vagy a távoli interaktív hozzáférést létrehozó támadókra utalhatnak. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.

Kimenő ip-kapcsolat jogosulatlan hozzáférési kísérletek előzményeivel, amelyet a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom követ

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Parancs és vezérlés

MITRE ATT&CK technikák: Nem alkalmazható

Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a Palo Alto Networks tűzfala kimenő kapcsolatot létesített egy olyan IP-címmel, amelynek előzményei jogosulatlan hozzáférési kísérletek, és ezt követően rendellenes tevékenységet észlelt a Palo Alto Networks tűzfala. Ez a bizonyíték arra utal, hogy a támadó valószínűleg hozzáfért a hálózathoz. Csatlakozás minta követésére tett kísérletek jelezhetik a kártevők parancs- és vezérlési tevékenységét, a további kártevők letöltésére irányuló kéréseket, vagy egy távoli interaktív hozzáférést létrehozó támadót. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.

Kitartás

(Új fenyegetésbesorolás)

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Adatmegőrzés, kezdeti hozzáférés

MITRE ATT&CK technikák: Fiók létrehozása (T1136), Érvényes fiók (T1078)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy egy alkalmazáshoz olyan felhasználó adott hozzájárulást, aki ezt soha vagy ritkán nem tette meg, a Microsoft Entra-fiókba való gyanús bejelentkezést követően. Ez a bizonyíték arra utal, hogy a Fúziós incidens leírásában szereplő fiók feltörhető volt, és rosszindulatú célokra való hozzáférésre vagy az alkalmazás módosítására szolgál. Az alkalmazáshoz való hozzájárulásnak, a szolgáltatásnév hozzáadásának és az OAuth2PermissionGrant hozzáadásának általában ritka eseményeknek kell lenniük. A támadók ilyen típusú konfigurációmódosítással hozhatják létre vagy tarthatják fenn a lábtartásukat a rendszereken. A gyanús Microsoft Entra bejelentkezési riasztások és a ritka alkalmazás-hozzájárulási riasztások permutációi a következők:

  • Lehetetlen utazás atipikus helyre, amely ritka alkalmazás-hozzájáruláshoz vezet

  • Bejelentkezési esemény ismeretlen helyről, amely ritka alkalmazás-hozzájáruláshoz vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely ritka alkalmazás-hozzájáruláshoz vezet

  • Bejelentkezési esemény egy névtelen IP-címről, amely ritka alkalmazás-hozzájáruláshoz vezet

  • Bejelentkezési esemény olyan felhasználótól, aki kiszivárgott hitelesítő adatokkal rendelkezik, amely ritka alkalmazás-hozzájáruláshoz vezet

Zsarolóprogramok

Zsarolóprogramok végrehajtása gyanús Microsoft Entra-bejelentkezés után

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás

MITRE ATT&CK technikák: Valid Account (T1078), Data Encrypted for Impact (T1486)

Adatforrások: Felhőhöz készült Microsoft Defender Alkalmazások, Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a rendszer a Microsoft Entra-fiókba való gyanús bejelentkezést követően zsarolóprogram-támadást jelző rendellenes felhasználói viselkedést észlelt. Ez a jelzés nagy megbízhatóságot biztosít, hogy a Fusion-incidens leírásában szereplő fiók sérült, és az adatok titkosítására szolgál az adattulajdonos zsarolása vagy az adattulajdonos adataihoz való hozzáférésének megtagadása céljából. A gyanús Microsoft Entra bejelentkezési riasztások és a zsarolóprogram-végrehajtási riasztások permutációi a következők:

  • Lehetetlen utazás egy atipikus helyre, amely ransomware-hez vezet a felhőalkalmazásban

  • Bejelentkezési esemény ismeretlen helyről, amely ransomware-hez vezet a felhőalkalmazásban

  • Bejelentkezési esemény egy fertőzött eszközről, amely zsarolóprogramhoz vezet a felhőalkalmazásban

  • Bejelentkezési esemény egy névtelen IP-címről, amely zsarolóprogramhoz vezet a felhőalkalmazásban

  • Bejelentkezési esemény a kiszivárgott hitelesítő adatokkal rendelkező felhasználótól, amely zsarolóprogramhoz vezet a felhőalkalmazásban

Távoli kihasználás

A támadási keretrendszer feltételezett használata, amelyet a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom követ

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, végrehajtás, oldalirányú mozgás, jogosultságeszkaláció

MITRE ATT&CK technikák: Nyilvános elérésű alkalmazás kihasználása (T1190), Ügyfélvégrehajtás kihasználása (T1203), Távoli szolgáltatások kiaknázása (T1210), Privilege-eszkaláció kiaknázása (T1068)

Adatforrások: Végponthoz készült Microsoft Defender (korábbi nevén MDATP), Microsoft Sentinel (ütemezett elemzési szabály)

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a protokollok nem szabványos, a támadási keretrendszerek, például a Metasploit használatára emlékeztető használatát észlelték, és ezt követően gyanús bejövő tevékenységet észlelt a Palo Alto Networks tűzfala. Ez lehet az első jele annak, hogy a támadó kihasznált egy szolgáltatást, hogy hozzáférjen a hálózati erőforrásokhoz, vagy hogy a támadó már hozzáfért, és megpróbálja tovább kihasználni az elérhető rendszereket/szolgáltatásokat a jogosultságok oldalirányú áthelyezéséhez és/vagy eszkalálásához. A Palo Alto-naplókban a Microsoft Sentinel a fenyegetésnaplókra összpontosít, és a forgalom gyanúsnak minősül a fenyegetések engedélyezésekor (gyanús adatok, fájlok, árvizek, csomagok, vizsgálatok, kémprogramok, URL-címek, vírusok, sebezhetőségek, futótűzvírusok, futótűz). További riasztási részletekért tekintse meg a Fúziós incidens leírásában felsorolt fenyegetés/tartalomtípusnak megfelelő Palo Alto-fenyegetésnaplót is.

Erőforrás-eltérítés

(Új fenyegetésbesorolás)

Gyanús erőforrás/erőforráscsoport üzembe helyezése egy korábban nem látott hívó által a gyanús Microsoft Entra-bejelentkezést követően

Ez a forgatókönyv az ütemezett elemzési szabályok által létrehozott riasztásokat használja.

Ez a forgatókönyv jelenleg előzetes verzióban érhető el.

MITRE ATT&CK-taktikák: Kezdeti hozzáférés, hatás

MITRE ATT&CK technikák: Érvényes fiók (T1078), Erőforrás-eltérítés (T1496)

Adatforrások: Microsoft Sentinel (ütemezett elemzési szabály), Microsoft Entra ID-védelem

Leírás: Az ilyen típusú fúziós incidensek azt jelzik, hogy a felhasználó üzembe helyezett egy Azure-erőforrást vagy erőforráscsoportot – egy ritka tevékenységet – egy gyanús bejelentkezést követően, a közelmúltban nem látott tulajdonságokkal egy Microsoft Entra-fiókba. Ez lehet egy támadó kísérlete arra, hogy rosszindulatú célokra helyezzen üzembe erőforrásokat vagy erőforráscsoportokat, miután veszélyeztette a Fúziós incidens leírásában szereplő felhasználói fiókot.

A gyanús Microsoft Entra bejelentkezési riasztások egy korábban nem látott hívó riasztás általi gyanús erőforrás-/erőforráscsoport-üzembe helyezésével kapcsolatos permutációi a következők:

  • Lehetetlen olyan atipikus helyre utazni, amely egy korábban nem látott hívó gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet

  • Bejelentkezési esemény ismeretlen helyről, amely egy korábban nem látott hívó gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet

  • Bejelentkezési esemény egy fertőzött eszközről, amely gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet egy korábban nem látott hívó által

  • Bejelentkezési esemény egy névtelen IP-címről, amely egy korábban nem látott hívó gyanús erőforrás/ erőforráscsoport üzembe helyezéséhez vezet

  • Kiszivárgott hitelesítő adatokkal rendelkező felhasználó bejelentkezési eseménye, amely egy korábban nem látott hívó gyanús erőforrás/erőforráscsoport üzembe helyezéséhez vezet

További lépések

Most, hogy többet is megtudhat a többlépcsős támadások észleléséről, az alábbi rövid útmutatóból megtudhatja, hogyan ismerheti meg adatait és potenciális fenyegetéseit: Ismerkedés a Microsoft Sentinellel.

Ha készen áll az Ön számára létrehozott incidensek kivizsgálására, tekintse meg a következő oktatóanyagot: Incidensek vizsgálata a Microsoft Sentinellel.