Сценарии, обнаруженные подсистемой Microsoft Sentinel Fusion
В этом документе перечислены типы многоступенчатых атак на основе сценариев, сгруппированные по классификации угроз, которые Microsoft Sentinel обнаруживает с помощью механизма корреляции Fusion.
Поскольку Fusion сопоставляет несколько сигналов, поступающих от различных продуктов, для обнаружения расширенных многоэтапных атак, успешно выполненные Fusion обнаружения представляются как инциденты Fusion на странице Инциденты Microsoft Sentinel, а не как оповещения, и хранятся в таблице Incidents в разделе Журналы, а не в таблице SecurityAlerts.
Чтобы включить эти сценарии обнаружения атак на основе технологии Fusion, все перечисленные источники данных должны быть приняты в рабочую область Log Analytics. Для сценариев с правилами запланированной аналитики следуйте инструкциям в разделе Настройка правил запланированной аналитики для обнаружений Fusion.
Примечание.
Некоторые из этих сценариев находятся на стадии предварительной версии. Они отмечены соответствующим образом.
Неправомерное использование вычислительных ресурсов
Несколько действий по созданию виртуальных машин после подозрительного входа в Microsoft Entra
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), захват ресурса (T1496)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество виртуальных машин было создано в одном сеансе после подозрительного входа в учетную запись Microsoft Entra. Этот тип оповещений указывает на то, что с высокой степенью достоверности учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использована для создания новых виртуальных машин, предназначенных для реализации неправомочных целей, например для выполнения операций по интеллектуальному анализу данных. Для перемещений подозрительных оповещений входа Microsoft Entra с оповещением о нескольких действиях по созданию виртуальной машины являются следующие:
Недопустимое перемещение в нетипичное расположение с последующим созданием нескольких виртуальных машин
Выполнение входа из незнакомого расположения с последующим созданием нескольких виртуальных машин
Выполнение входа с зараженного устройства с последующим созданием нескольких виртуальных машин
Выполнение входа с анонимного IP-адреса с последующим созданием нескольких виртуальных машин
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим созданием нескольких виртуальных машин
Доступ к учетным данным
(новая классификация угроз)
Несколько сбросов пароля пользователем после подозрительного входа
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, доступ к учетным данным
Техники по MITRE ATT&CK: действительная учетная запись (T1078), метод подбора (T1110)
Источники соединителя данных: Microsoft Sentinel (правило запланированной аналитики), Защита идентификации Microsoft Entra
Описание: инциденты Fusion этого типа указывают на то, что пользователь сбрасывает несколько паролей после подозрительного входа в учетную запись Microsoft Entra. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для выполнения нескольких операций сброса пароля, чтобы получить доступ к нескольким системам и ресурсам. Манипуляции с учетными записями (включая сброс пароля) могут помогать злоумышленников получить доступ к учетным данным и определенным уровням разрешений в среде. Ниже приведены перемутации подозрительных оповещений входа Microsoft Entra с несколькими оповещениями сброса паролей:
Неосуществимое перемещение в нетипичное расположение с последующим многократным сбросом пароля
Выполнение входа из незнакомого расположения с последующим многократным сбросом пароля
Выполнение входа с зараженного устройства с последующим многократным сбросом пароля
Выполнение входа с анонимного IP-адреса с последующим многократным сбросом пароля
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим многократным сбросом пароля
Подозрительный вход, совпадающий с успешным входом в Palo Alto VPN по IP-адресу с несколькими неудачными входами Microsoft Entra
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, доступ к учетным данным
Техники по MITRE ATT&CK: действительная учетная запись (T1078), метод подбора (T1110)
Источники соединителя данных: Microsoft Sentinel (правило запланированной аналитики), Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что подозрительный вход в учетную запись Microsoft Entra совпадает с успешным входом через VPN Palo Alto из IP-адреса, из которого произошло несколько неудачных входов Microsoft Entra в аналогичном интервале времени. Хотя это и не свидетельствует о многоэтапной атаке, корреляция этих двух оповещений с низким уровнем точности приводит к созданию инцидента с высоким уровнем точности, указывающего на первоначальный доступ злоумышленника к сети организации. Кроме того, это может быть признаком того, что злоумышленник пытается использовать методы подбора для получения доступа к учетной записи Microsoft Entra. Для перемечений подозрительных оповещений входа Microsoft Entra с "IP-адресом с несколькими неудачными именами входа Microsoft Entra успешно войдите в Palo Alto VPN":
Невозможное путешествие в нетипическое расположение, совпадающее с IP-адресом с несколькими неудачными именами входа Microsoft Entra, успешно входить в VPN Palo Alto
Событие входа из незнакомого расположения, совпадающего с IP-адресом с несколькими неудачными именами входа Microsoft Entra, успешно входит в VPN Palo Alto
Событие входа из зараженного устройства, совпадающего с IP-адресом с несколькими неудачными именами входа Microsoft Entra, успешно войдите в Palo Alto VPN
Событие входа из анонимного IP-адреса, совпадающего с IP-адресом с несколькими неудачными именами входа Microsoft Entra, успешно войдите в VPN Palo Alto
Событие входа пользователя с утечкой учетных данных, совпадающих с IP-адресом с несколькими неудачными именами входа Microsoft Entra, успешно войдите в Vpn Palo Alto
Сбор учетных данных
(новая классификация угроз)
Запуск вредоносных инструментов для кражи учетных данных после подозрительного входа в систему
Тактика по MITRE ATT&CK: первоначальный доступ, доступ к учетным данным
Техники по MITRE ATT&CK: действительная учетная запись (T1078), дамп учетных данных ОС (T1003)
Источники соединителя данных: Защита идентификации Microsoft Entra, Microsoft Defender для конечной точки
Описание. Инциденты Fusion этого типа указывают, что известное средство кражи учетных данных было выполнено после подозрительного входа Microsoft Entra. Это с высокой степенью вероятности свидетельствует о том, что учетная запись пользователя, указанная в описании оповещения, была скомпрометирована и позволяет злоумышленнику успешно использовать такой инструмент, как Mimikatz, для сбора учетных данных, таких как ключи, пароли в виде открытого текста и (или) хэши паролей из системы. Собранные учетные данные могут позволить злоумышленнику получить доступ к конфиденциальным данным, повысить привилегии и (или) выполнить боковое смещение по сетевой инфраструктуре. Перемещения подозрительных оповещений входа Microsoft Entra с оповещением о краже вредоносных учетных данных:
Недопустимое перемещение в нетипичные расположения с последующим запуском вредоносного средства кражи учетных данных
Выполнение входа из незнакомого расположения с последующим запуском вредоносного средства кражи учетных данных
Выполнение входа с инфицированного устройства с последующим запуском вредоносного средства кражи учетных данных
Выполнение входа с анонимного IP-адреса с последующим запуском вредоносного средства кражи учетных данных
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим запуском вредоносного средства кражи учетных данных
Предполагаемая кража учетных данных после подозрительного входа
Тактика по MITRE ATT&CK: первоначальный доступ, доступ к учетным данным
Техники по MITRE ATT&CK: действительная учетная запись (T1078), учетные данные из хранилищ паролей (T1555), дамп учетных данных ОС (T1003)
Источники соединителя данных: Защита идентификации Microsoft Entra, Microsoft Defender для конечной точки
Описание: инциденты Fusion этого типа указывают на то, что действие, связанное с шаблонами кражи учетных данных, произошло после подозрительного входа Microsoft Entra. Это с высокой степенью вероятности свидетельствует о том, что учетная запись пользователя, указанная в описании предупреждения, была скомпрометирована и используется для кражи учетных данных, таких как ключи, пароли в простой текстовой форме, хэши паролей и т. д. Украденные учетные данные могут позволить злоумышленнику получить доступ к конфиденциальным данным, повысить привилегии и (или) выполнить боковое смещение по сетевой инфраструктуре. Ниже приведены перемутации подозрительных оповещений входа Microsoft Entra с оповещением о краже учетных данных.
Недопустимое перемещение в нетипичные расположения с последующими подозрительными действиями по краже учетных данных
Выполнение входа из незнакомого расположения с последующими подозрительными действиями по краже учетных данных
Выполнение входа с зараженного устройства с последующими подозрительными действиями по краже учетных данных
Выполнение входа с анонимного IP-адреса с последующими подозрительными действиями по краже учетных данных
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующими подозрительными действиями по краже учетных данных
Майнинг криптовалют
(новая классификация угроз)
Майнинг криптовалют после подозрительного входа в систему
Тактика по MITRE ATT&CK: первоначальный доступ, доступ к учетным данным
Техники по MITRE ATT&CK: действительная учетная запись (T1078), захват ресурса (T1496)
Источники соединителя данных: Защита идентификации Microsoft Entra, Microsoft Defender для облака
Описание: инциденты Fusion этого типа указывают на активность крипто-интеллектуального анализа данных, связанную с подозрительным входом в учетную запись Microsoft Entra. Это с высокой степенью вероятности свидетельствует о том, что учетная запись пользователя, указанная в описании оповещения, была скомпрометирована и использовалась для захвата ресурсов вашей среды с целью майнинга криптовалюты. Это может привести к истощению ресурсов вычислительных мощностей и (или) повлечь за собой значительное по сравнению с ожидаемым увеличение счетов за использование облачной среды. Ниже приведены перемутации подозрительных оповещений входа Microsoft Entra с оповещением о действиях крипто-интеллектуального анализа данных:
Недопустимое перемещение в нетипичные расположения с последующими действиями по майнингу криптовалюты
Выполнение входа из незнакомого расположения с последующими действиями по майнингу криптовалюты
Выполнение входа с зараженного устройства с последующими действиями по майнингу криптовалюты
Выполнение входа с анонимного IP-адреса с последующими действиями по майнингу криптовалюты
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующими действиями по майнингу криптовалюты
Уничтожение данных
Массовое удаление файлов после подозрительного входа в Microsoft Entra
Тактика по MITRE ATT&CK: первоначальный доступ, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), уничтожение данных (T1485)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание: инциденты Fusion этого типа указывают на то, что аномальное количество уникальных файлов было удалено после подозрительного входа в учетную запись Microsoft Entra. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для уничтожения данных с вредоносными целями. Перемещение подозрительных оповещений входа Microsoft Entra с оповещением о массовом удалении файлов:
Недопустимое перемещение в нетипичное расположение с последующим массовым удалением файлов
Выполнение входа из незнакомого расположения с последующим массовым удалением файлов
Выполнение входа с зараженного устройства с последующим массовым удалением файлов
Выполнение входа с анонимного IP-адреса с последующим массовым удалением файлов
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующим массовым удалением файлов
Массовое удаление файлов после успешного входа Microsoft Entra из IP-адреса, заблокированного брандмауэром Cisco (модуль)
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), уничтожение данных (T1485)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество уникальных файлов было удалено после успешного входа в Microsoft Entra, несмотря на блокировку IP-адреса пользователя брандмауэром Cisco (модуль). Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использована для уничтожения данных с вредоносными целями. Так как IP-адрес был заблокирован брандмауэром, этот же IP-вход успешно в microsoft Entra ID потенциально подозревается и может указывать на компрометацию учетных данных для учетной записи пользователя.
Массовое удаление файлов после успешного входа в Palo Alto VPN по IP-адресу с несколькими неудачными входами Microsoft Entra
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, доступ к учетным данным, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), метод подбора (T1110), уничтожение данных (T1485)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество уникальных файлов было удалено пользователем, успешно выполнившим вход через VPN Palo Alto из IP-адреса, из которого произошло несколько неудачных входов Microsoft Entra в аналогичный период времени. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована методом подбора и использована для уничтожения данных с вредоносными целями.
Подозрительные действия по удалению электронной почты после подозрительного входа в Microsoft Entra
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), уничтожение данных (T1485)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание: инциденты Fusion этого типа указывают на то, что аномальное количество сообщений электронной почты было удалено в одном сеансе после подозрительного входа в учетную запись Microsoft Entra. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использована для уничтожения данных с вредоносными целями, такими как причинение вреда организации или сокрытие действий, связанных с массовой рассылкой электронной почты. Перемещения подозрительных оповещений о входе в Систему Microsoft Entra с оповещением о подозрительных действиях по удалению электронной почты:
Недопустимое перемещение в нетипичное расположение с последующим подозрительным удалением сообщений электронной почты
Выполнение входа из незнакомого расположения с последующим подозрительным удалением сообщений электронной почты
Выполнение входа с зараженного устройства с последующим подозрительным удалением сообщений электронной почты
Выполнение входа с анонимного IP-адреса с последующим подозрительным удалением сообщений электронной почты
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим подозрительным удалением сообщений электронной почты
Кража данных
Действия перенаправления почты после новых действий в учетной записи администратора, которые ранее не наблюдались
Этот сценарий относится к двум перечисленным здесь классам угроз, а именно: кража данных и подозрительные действия по администрированию. Для обеспечения ясности этот сценарий указывается в обоих разделах.
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, сбор, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), сбор данных электронной почты (T1114), кража данных через веб-службу (T1567)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание: инциденты Fusion этого типа указывают на то, что новая (только что созданная) учетная запись администратора Exchange или существующая административная учетная запись Exchange впервые за последние две недели выполнила некоторые административные действия по пересылке почты, которые являются необычными для учетной записи администратора. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована или использована для кражи данных из сети вашей организации.
Массовая загрузка файла после подозрительного входа Microsoft Entra
Тактика по MITRE ATT&CK: первоначальный доступ, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество файлов было скачано пользователем после подозрительного входа в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для кражи данных из сети вашей организации. Ниже приведены перемутации подозрительных оповещений входа Microsoft Entra с оповещением о массовом скачивание файла:
Недопустимое перемещение в нетипичные расположения с последующей массовой загрузкой файлов
Выполнение входа из незнакомого расположения с последующей массовой загрузкой файлов
Выполнение входа с зараженного устройства с последующей массовой загрузкой файлов
Выполнение входа с анонимного IP-адреса с последующей массовой загрузкой файлов
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующей массовой загрузкой файлов
Массовая загрузка файла после успешного входа Microsoft Entra из IP-адреса, заблокированного брандмауэром Cisco (модуль)
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), кража данных через веб-службу (T1567)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество файлов было скачано пользователем после успешного входа Microsoft Entra, несмотря на блокировку IP-адреса пользователя брандмауэром Cisco (модуль). Это может быть попыткой злоумышленника по захвату данных из сети организации после компрометации учетной записи пользователя. Так как IP-адрес был заблокирован брандмауэром, этот же IP-вход успешно в microsoft Entra ID потенциально подозревается и может указывать на компрометацию учетных данных для учетной записи пользователя.
Массовое скачивание файлов, совпадающие по времени с операцией с файлами SharePoint, с ранее не зафиксированного IP-адреса
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: кража
Техники по MITRE ATT&CK: кража данных через веб-службу (T1567), ограничения на размер передаваемых данных (T1030)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание: инциденты Fusion этого типа указывают на скачивание пользователем аномального количества файлов после подключения с ранее не зафиксированного IP-адреса. Хотя это и не свидетельствует о многоэтапной атаке, корреляция этих двух оповещений с низким уровнем точности приводит к созданию инцидента с высоким уровнем точности, указывающего на попытку злоумышленника украсть данные из сети вашей организации с помощью скомпрометированной учетной записи пользователя. В стабильных средах такие подключения c ранее не зафиксированных IP-адресов могут быть несанкционированными, особенно если они совпадают с пиковыми нагрузками в томе, которые могут быть связаны с крупномасштабной кражей документов.
Массовый общий доступ к файлам после подозрительного входа в Microsoft Entra
Тактика по MITRE ATT&CK: первоначальный доступ, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), кража данных через веб-службу (T1567)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание: инциденты Fusion этого типа указывают на то, что ряд файлов, превышающих определенное пороговое значение, были переданы другим пользователям после подозрительного входа в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для кражи данных из сети вашей организации путем предоставления общего доступа к таким файлам, как документы, электронные таблицы и т. д. неавторизованным пользователям с вредоносными целями. Ниже перечислены перемутации подозрительных оповещений входа Microsoft Entra с оповещением о массовом совместном доступе к файлам:
Недопустимое перемещение в нетипичные расположения с последующим массовым обменом файлами
Выполнение входа из незнакомого расположения с последующим массовым обменом файлами
Выполнение входа с зараженного устройства с последующим массовым обменом файлами
Выполнение входа с анонимного IP-адреса с последующим массовым обменом файлами
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующим массовым обменом файлами
Несколько действий совместного доступа к отчету Power BI после подозрительного входа в Microsoft Entra
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), кража данных через веб-службу (T1567)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество отчетов Power BI было предоставлено в одном сеансе после подозрительного входа в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для кражи данных из сети вашей организации путем обмена отчетами Power BI с неавторизованным пользователям с вредоносными целями. Ниже приведены перемутации подозрительных оповещений входа Microsoft Entra с несколькими действиями по совместному использованию отчетов Power BI:
Недопустимое перемещение в нетипичные расположения с последующими многочисленными действиями по обмену отчетами Power BI
Выполнение входа из незнакомого расположения с последующими многочисленными действиями по обмену отчетами Power BI
Выполнение входа с зараженного устройства с последующими многочисленными действиями по обмену отчетами Power BI
Выполнение входа с анонимного IP-адреса с последующими многочисленными действиями по обмену отчетами Power BI
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующими многочисленными действиями по обмену отчетами Power BI
Удаление почтового ящика Office 365 после подозрительного входа в Microsoft Entra
Тактика по MITRE ATT&CK: первоначальный доступ, кража, сбор
Техники по MITRE ATT&CK: действительная учетная запись (T1078), сбор данных электронной почты (T1114), автоматизированная кража (T1020)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что в папке "Входящие" пользователя был установлен подозрительный вход в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись пользователя (указанная в описании инцидента Fusion) была скомпрометирована и использовалась для захвата данных из сети вашей организации посредством задействования в почтовом ящике правила переадресации без фактического обладания данными о пользователе. Ниже перечислены перемутации подозрительных оповещений входа Microsoft Entra с оповещением о краже почтового ящика Office 365:
Недопустимое перемещение в нетипичные расположения с последующей кражей учетных данных почтового ящика Office 365
Выполнение входа из незнакомого расположения с последующей кражей учетных данных почтового ящика Office 365
Выполнение входа с зараженного устройства с последующей кражей учетных данных почтового ящика Office 365
Выполнение входа с анонимного IP-адреса с последующей кражей учетных данных почтового ящика Office 365
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующей кражей учетных данных почтового ящика Office 365
Операция с файлом SharePoint с ранее не зафиксированного IP-адреса после обнаружения вредоносных программ
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: кража, обход средств защиты
Техники по MITRE ATT&CK: ограничения на размер передаваемых данных (T1030)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание: инциденты Fusion этого типа указывают на то, что злоумышленник попытался украсть большие объемы данных путем скачивания или публикации через SharePoint с помощью вредоносных программ. В стабильных средах такие подключения c ранее не зафиксированных IP-адресов могут быть несанкционированными, особенно если они совпадают с пиковыми нагрузками в томе, которые могут быть связаны с крупномасштабной кражей документов.
Правила обработки подозрительных почтовых ящиков, заданные после подозрительного входа в Систему Microsoft Entra
Этот сценарий относится к двум перечисленным здесь классам угроз, а именно: утечка данных и боковое перемещение. Для обеспечения ясности этот сценарий указывается в обоих разделах.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, боковое перемещение, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), внутренний целевой фишинг (T1534), автоматизированная кража (T1020)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что правила папки "Входящие" были установлены в папке "Входящие" пользователя после подозрительного входа в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для управления правилами входящих сообщений электронной почты пользователя с вредоносными целями, возможно для кражи данных из сети организации. Кроме того, злоумышленник может попытаться создать фишинговые сообщения электронной почты на уровне внутренней инфраструктуры организации (обход механизмов обнаружения фишинга, нацеленных на электронную почту из внешних источников) для последующего бокового смещения путем получения доступа к дополнительным учетным записям обычных или привилегированных пользователей. Перемещания подозрительных оповещений входа Microsoft Entra с оповещением о подозрительных правилах манипуляции в папке "Входящие":
Недопустимое перемещение в нетипичные расположения с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа из незнакомого расположения с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа с зараженного устройства с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа с анонимного IP-адреса с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующим заданием подозрительного правила для управления папкой входящих сообщений
Подозрительный общий доступ к отчету Power BI после подозрительного входа в Microsoft Entra
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), кража данных через веб-службу (T1567)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что подозрительное действие совместного доступа к отчету Power BI произошло после подозрительного входа в учетную запись Microsoft Entra. Действия по обмену были квалифицированы как подозрительные, так как отчет Power BI содержал конфиденциальную информацию, выявленную с помощью обработки естественного языка, а также потому что он был отправлен на внешний адрес электронной почты, опубликован в Интернете или отправлен как моментальный снимок на адрес электронной почты, подписка для которого была оформлена с внешнего ресурса. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для кражи конфиденциальных данных из вашей организации путем обмена отчетами Power BI с неавторизованным пользователям с вредоносными целями. Ниже приведены перемутации подозрительных оповещений входа Microsoft Entra с подозрительным общим доступом к отчетам Power BI:
Недопустимое перемещение в нетипичное расположение с последующим подозрительным обменом отчетами Power BI
Выполнение входа из незнакомого расположения с последующим подозрительным обменом отчетами Power BI
Выполнение входа с зараженного устройства с последующим подозрительным обменом отчетами Power BI
Выполнение входа с анонимного IP-адреса с последующим подозрительным обменом отчетами Power BI
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим подозрительным обменом отчетами Power BI
Отказ в обслуживании
Несколько действий по удалению виртуальных машин после подозрительного входа в Microsoft Entra
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), отказ в обслуживании для конечной точки (T1499)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество виртуальных машин было удалено в одном сеансе после подозрительного входа в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для осуществления попыток нарушить или уничтожить облачную среду организации. Для перемещений подозрительных оповещений входа Microsoft Entra с оповещением о нескольких действиях по удалению виртуальных машин являются следующие:
Неосуществимое перемещение в нетипичное расположение с последующим удалением нескольких виртуальных машин
Выполнение входа из незнакомого расположения с последующим удалением нескольких виртуальных машин
Выполнение входа с зараженного устройства с последующим удалением нескольких виртуальных машин
Выполнение входа с анонимного IP-адреса с последующим удалением нескольких виртуальных машин
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим удалением нескольких виртуальных машин
Перемещение внутри периметра
Олицетворение Office 365 после подозрительного входа Microsoft Entra
Тактика по MITRE ATT&CK: первоначальный доступ, боковое смещение
Техники по MITRE ATT&CK: действительная учетная запись (T1078), адресный фишинг на внутреннем уровне (T1534)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание: инциденты Fusion этого типа указывают на то, что аномальное количество действий олицетворения произошло после подозрительного входа из учетной записи Microsoft Entra. В некоторых программах существуют параметры, позволяющие пользователям действовать от лица других пользователей. Например, службы электронной почты позволяют пользователям предоставлять другим пользователям права на отправку электронной почты от своего имени. Это оповещение с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для выполнения действий под видом другого пользователя с вредоносными целями, такими как отправка фишинговых сообщений электронной почты для распространения вредоносных программ или боковое смещение. Перемещения подозрительных оповещений входа Microsoft Entra с оповещением олицетворения Office 365:
Недопустимое перемещение в нетипичные расположение с последующими действиями под видом Office 365
Выполнение входа из незнакомого расположения с последующими действиями под видом Office 365
Выполнение входа с зараженного устройства с последующими действиями под видом Office 365
Выполнение входа с анонимного IP-адреса с последующими действиями под видом Office 365
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующими действиями под видом Office 365
Правила обработки подозрительных почтовых ящиков, заданные после подозрительного входа в Систему Microsoft Entra
Этот сценарий относится к двум перечисленным здесь классам угроз, а именно: боковое смещение и кража данных. Для обеспечения ясности этот сценарий указывается в обоих разделах.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, боковое перемещение, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), внутренний целевой фишинг (T1534), автоматизированная кража (T1020)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что правила папки "Входящие" были установлены в папке "Входящие" пользователя после подозрительного входа в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для управления правилами входящих сообщений электронной почты пользователя с вредоносными целями, возможно для кражи данных из сети организации. Кроме того, злоумышленник может попытаться создать фишинговые сообщения электронной почты на уровне внутренней инфраструктуры организации (обход механизмов обнаружения фишинга, нацеленных на электронную почту из внешних источников) для последующего бокового смещения путем получения доступа к дополнительным учетным записям обычных или привилегированных пользователей. Перемещания подозрительных оповещений входа Microsoft Entra с оповещением о подозрительных правилах манипуляции в папке "Входящие":
Недопустимое перемещение в нетипичные расположения с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа из незнакомого расположения с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа с зараженного устройства с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа с анонимного IP-адреса с последующим заданием подозрительного правила для управления папкой входящих сообщений
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующим заданием подозрительного правила для управления папкой входящих сообщений
Подозрительные действия по администрированию
Подозрительные действия администратора облачного приложения после подозрительного входа в Microsoft Entra
Тактика по MITRE ATT&CK: первоначальный доступ, закрепление, обход средств защиты, боковое смещение, сбор, кража и воздействие
Техники по MITRE ATT&CK: Н/Д
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что аномальное количество административных действий выполнялось в одном сеансе после подозрительного входа Microsoft Entra из той же учетной записи. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, могла быть скомпрометирована и использована для выполнения различных неавторизованных административных действий с вредоносными намерениями. Это означает, что учетная запись с правами администратора также могла быть скомпрометирована. Перемечания подозрительных оповещений входа Microsoft Entra с оповещением о подозрительных действиях администратора облачного приложения:
Недопустимое перемещение в нетипичное расположение с последующим подозрительным администрированием облачного приложения
Выполнение входа из незнакомого расположения с последующим подозрительным администрированием облачного приложения
Выполнение входа с зараженного устройства с последующим подозрительным администрированием облачного приложения
Выполнение входа с анонимного IP-адреса с последующим подозрительным администрированием облачного приложения
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующим подозрительным администрированием облачного приложения
Действия перенаправления почты после новых действий в учетной записи администратора, которые ранее не наблюдались
Этот сценарий относится к двум перечисленным здесь классам угроз, а именно: подозрительные действия по администрированию и кража данных. Для обеспечения ясности этот сценарий указывается в обоих разделах.
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, сбор, кража
Техники по MITRE ATT&CK: действительная учетная запись (T1078), сбор данных электронной почты (T1114), кража данных через веб-службу (T1567)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание: инциденты Fusion этого типа указывают на то, что новая (только что созданная) учетная запись администратора Exchange или существующая административная учетная запись Exchange впервые за последние две недели выполнила некоторые административные действия по пересылке почты, которые являются необычными для учетной записи администратора. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована или использована для кражи данных из сети вашей организации.
Выполнение вредоносного кода с помощью легального процесса
PowerShell выполняет подозрительное сетевое подключение, после чего аномальный трафик отмечается брандмауэром Palo Alto Networks.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: выполнение
Техники по MITRE ATT&CK: интерпретатор команд или командных сценариев (скриптов) (T1059)
Источники соединителя данных: Microsoft Defender для конечной точки (прежнее название — Microsoft Defender Advanced Threat Protection, или MDATP), Microsoft Sentinel (правило аналитики по расписанию)
Описание: инциденты Fusion этого типа указывают на то, что исходящий запрос на подключение был выполнен с помощью оболочки PowerShell, и после этого в брандмауэре Palo Alto Networks была обнаружена аномальная входящая активность. Это свидетельствует о возможности того, что злоумышленник с большой вероятностью получил доступ к вашей сети и пытается выполнить вредоносные действия. Попытки организации подключений с помощью PowerShell, которые соответствуют этому шаблону, могут свидетельствовать о выполнении вредоносных команд и операций управления, о запросах на скачивание дополнительных вредоносных программ или же о злоумышленнике, устанавливающем удаленный интерактивный доступ. Как и все атаки на основе использования локальных ресурсов, эти действия могут быть законным использованием командной оболочки PowerShell. Однако выполнение команд PowerShell, после которых следует подозрительное возрастание входящего трафика, регистрируемое брандмауэром, повышает уверенность в том, что PowerShell используется вредоносным способом, и эту ситуацию нужно исследовать подробнее. Среди всех журналов событий брандмауэра Palo Alto основное внимание Microsoft Sentinel уделяет журналам угроз, и трафик считается подозрительным, если он допускает реализацию угроз (подозрительные данные, файлы, переполнения, пакеты, сканирования, шпионские программы, URL-адреса, вирусы, уязвимости, быстро распространяющиеся вирусы, быстро распространяющиеся вирусные атаки). Кроме того, для получения дополнительных сведений по оповещениям следует обращаться к журналу угроз Palo Alto с соответствующим типом угрозы или содержимого, который указан в описании инцидента Fusion.
Подозрительный удаленный запуск инструментария WMI, за которым следует аномальный трафик, отмеченный брандмауэром Palo Alto Networks
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: выполнение, обнаружение
Техники по MITRE ATT&CK: инструментарий управления Windows (T1047)
Источники соединителя данных: Microsoft Defender для конечной точки (ранее — MDATP), Microsoft Sentinel (правило аналитики по расписанию)
Описание: инциденты Fusion этого типа указывают на удаленное выполнение в системе команд интерфейса управления Windows (WMI), после чего брандмауэром Palo Alto Networks регистрируется активизация подозрительного входящего трафика. Это свидетельствует о возможности того, что злоумышленник мог получить доступ к вашей сети и пытается выполнить боковое смещение, повысить привилегии и (или) выполнить целевые рабочие нагрузки вредоносного характера. Как и все атаки на основе использования локальных ресурсов, эти действия могут быть законным использованием инструментария WMI. Однако удаленное выполнение команд WMI, после чего следует подозрительное возрастание входящего трафика, регистрируемое брандмауэром, повышает уверенность в том, что WMI используется вредоносным способом, и эту ситуацию нужно исследовать подробнее. Среди всех журналов событий брандмауэра Palo Alto основное внимание Microsoft Sentinel уделяет журналам угроз, и трафик считается подозрительным, если он допускает реализацию угроз (подозрительные данные, файлы, переполнения, пакеты, сканирования, шпионские программы, URL-адреса, вирусы, уязвимости, быстро распространяющиеся вирусы, быстро распространяющиеся вирусные атаки). Кроме того, для получения дополнительных сведений по оповещениям следует обращаться к журналу угроз Palo Alto с соответствующим типом угрозы или содержимого, который указан в описании инцидента Fusion.
Подозрительная командная строка в PowerShell после подозрительного входа в систему
Тактика по MITRE ATT&CK: первоначальный доступ, выполнение
Техники по MITRE ATT&CK: действительная учетная запись (T1078), интерпретатор команд и командных сценариев (скриптов) (T1059)
Источники соединителя данных: Защита идентификации Microsoft Entra, Microsoft Defender для конечной точки (ранее — MDATP)
Описание. Инциденты Fusion этого типа указывают на то, что пользователь выполнил потенциально вредоносные команды PowerShell после подозрительного входа в учетную запись Microsoft Entra. Это с высокой степенью вероятности свидетельствует о том, что учетная запись, указанная в описании оповещения, была скомпрометирована и были выполнены другие вредоносные действия. Злоумышленники часто используют PowerShell для выполнения вредоносных целевых рабочих нагрузок в оперативной памяти, не оставляя на диске никаких следов, чтобы избежать обнаружения с помощью механизмов безопасности, основанных на использовании диска, таких как антивирусные сканирующие программы. Перемещания подозрительных оповещений входа Microsoft Entra с подозрительным оповещением команды PowerShell:
Недопустимое перемещение в нетипичные расположения с последующим появлением подозрительной командной строки PowerShell
Выполнение входа из незнакомого расположения с последующим появлением подозрительной командной строки PowerShell
Выполнение входа с зараженного устройства с последующим появлением подозрительной командной строки PowerShell
Выполнение входа с анонимного IP-адреса с последующим появлением подозрительной командной строки PowerShell
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим появлением подозрительной командной строки PowerShell
Вредоносная программа C2 или загрузка
Fortinet обнаружен шаблон маяка после нескольких неудачных попыток входа пользователя в службу
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, выполнение команд и управление
Техники по MITRE ATT&CK: действительная учетная запись (T1078), нестандартный порт (T1571), T1065 (больше не используется)
Источники соединителя данных: Microsoft Sentinel (правило аналитики по расписанию), Microsoft Defender для облачных приложений
Описание: инциденты Fusion этого типа указывают на модель связи с внутреннего IP-адреса на внешний, совпадающую по времени с маяками, после нескольких неудачных попыток входа пользователя в службу из связанной внутренней сущности. Сочетание этих двух событий может указывать на заражение вредоносными программами или на кражу данных на скомпрометированном узле.
Шаблон маяка, обнаруженный Fortinet после подозрительного входа Microsoft Entra
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, выполнение команд и управление
Техники по MITRE ATT&CK: действительная учетная запись (T1078), нестандартный порт (T1571), T1065 (больше не используется)
Источники соединителя данных: Microsoft Sentinel (правило запланированной аналитики), Защита идентификации Microsoft Entra
Описание: инциденты Fusion этого типа указывают на шаблоны связи, от внутреннего IP-адреса к внешнему, которые соответствуют маякам, после входа пользователя в подозрительный характер в Идентификатор Microsoft Entra. Сочетание этих двух событий может указывать на заражение вредоносными программами или на кражу данных на скомпрометированном узле. Перемычки шаблона маяка, обнаруженные оповещениями Fortinet с подозрительными оповещениями входа Microsoft Entra:
Неосуществимое перемещение в нетипичное расположение с последующим обнаружением Fortinet шаблона маяка
Выполнение входа из незнакомого расположения с последующим обнаружением Fortinet шаблона маяка
Выполнение входа с зараженного устройства с последующим обнаружением Fortinet шаблона маяка
Выполнение входа с анонимного IP-адреса с последующим обнаружением Fortinet шаблона маяка
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующим обнаружением Fortinet шаблона маяка
Сетевой запрос к службе анонимизации TOR, после чего брандмауэром Palo Alto Networks регистрируется аномальный трафик.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: выполнение команд и управления
Техники по MITRE ATT&CK: зашифрованный канал (T1573), прокси-сервер (T1090)
Источники соединителя данных: Microsoft Defender для конечной точки (ранее — MDATP), Microsoft Sentinel (правило аналитики по расписанию)
Описание: инциденты Fusion этого типа указывают на отправку исходящего запроса на подключение с помощью оболочки PowerShell, после чего брандмауэром Palo Alto Networks регистрируется аномальная активизация входящего трафика. Это свидетельствует о возможности того, что злоумышленник с большой вероятностью получил доступ к вашей сети и пытается скрыть свои действия и намерения. Подключения к сети TOR, соответствующие этому шаблону, могут свидетельствовать о выполнении вредоносных команд и операций управления, о запросах на скачивание дополнительных вредоносных программ или же о злоумышленнике, организующем удаленный интерактивный доступ. Среди всех журналов событий брандмауэра Palo Alto основное внимание Microsoft Sentinel уделяет журналам угроз, и трафик считается подозрительным, если он допускает реализацию угроз (подозрительные данные, файлы, переполнения, пакеты, сканирования, шпионские программы, URL-адреса, вирусы, уязвимости, быстро распространяющиеся вирусы, быстро распространяющиеся вирусные атаки). Кроме того, для получения дополнительных сведений по оповещениям следует обращаться к журналу угроз Palo Alto с соответствующим типом угрозы или содержимого, который указан в описании инцидента Fusion.
Исходящее подключение к IP-адресу с историей несанкционированных попыток доступа, после чего аномальный трафик регистрируется брандмауэром Palo Alto Networks
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: выполнение команд и управления
Техники по MITRE ATT&CK: не доступно
Источники соединителя данных: Microsoft Defender для конечной точки (ранее — MDATP), Microsoft Sentinel (правило аналитики по расписанию)
Описание: инциденты Fusion этого типа указывают на организацию исходящего подключения к IP-адресу с историей несанкционированных попыток доступа, после чего в брандмауэре Palo Alto Networks регистрируется аномальная активность. Это свидетельствует о возможности того, что злоумышленник с большой вероятностью получил доступ к вашей сети. Попытки подключения, соответствующие этому шаблону, могут свидетельствовать о выполнении вредоносных команд и операций управления, о запросах на скачивание дополнительных вредоносных программ или же о злоумышленнике, организующем удаленный интерактивный доступ. Среди всех журналов событий брандмауэра Palo Alto основное внимание Microsoft Sentinel уделяет журналам угроз, и трафик считается подозрительным, если он допускает реализацию угроз (подозрительные данные, файлы, переполнения, пакеты, сканирования, шпионские программы, URL-адреса, вирусы, уязвимости, быстро распространяющиеся вирусы, быстро распространяющиеся вирусные атаки). Кроме того, для получения дополнительных сведений по оповещениям следует обращаться к журналу угроз Palo Alto с соответствующим типом угрозы или содержимого, который указан в описании инцидента Fusion.
Сохраняемость
(новая классификация угроз)
Редкое согласие в приложении после подозрительного входа
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: закрепление, первоначальный доступ
Техники по MITRE ATT&CK: создание учетной записи (T1136), действительная учетная запись (T1078)
Источники соединителя данных: Microsoft Sentinel (правило запланированной аналитики), Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают, что приложение было предоставлено согласие пользователем, который никогда или редко делал это, после связанного подозрительного входа в учетную запись Microsoft Entra. Это свидетельствует о возможности того, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использована для доступа к приложению или манипулирования им с вредоносными целями. Согласие для приложения, добавление субъекта-службы и добавление OAuth2PermissionGrant обычно являются редкими событиями. Злоумышленники могут использовать такое изменение конфигурации для проникновения в систему или закрепления в ней. Перемечания подозрительных оповещений входа Microsoft Entra с редким оповещением согласия приложения:
Неосуществимое перемещение в нетипичное расположение с последующим редким согласием для приложения
Выполнение входа из незнакомого расположения с последующим редким согласием для приложения
Выполнение входа с зараженного устройства с последующим редким согласием для приложения
Выполнение входа с анонимного IP-адреса с последующим редким согласием для приложения
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим редким согласием для приложения
Программа-шантажист
Выполнение программ-шантажистов после подозрительного входа Microsoft Entra
Тактика по MITRE ATT&CK: первоначальный доступ, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), шифрование данных для воздействия (T1486)
Источники соединителя данных: приложения Microsoft Defender для облака, Защита идентификации Microsoft Entra
Описание: инциденты Fusion этого типа указывают на то, что аномальное поведение пользователя, указывающее на атаку программы-шантажиста, было обнаружено после подозрительного входа в учетную запись Microsoft Entra. Это с высокой достоверностью свидетельствует о том, что учетная запись, указанная в описании инцидента Fusion, была скомпрометирована и использовалась для шифрования данных с целью совершения вымогательства у владельца данных или блокирования доступа владельца данных к его данным. Перемечания подозрительных оповещений входа Microsoft Entra с оповещением о выполнении программ-шантажистов:
Недопустимое перемещение в нетипичное расположение с последующим появлением программы-шантажиста в облачном приложении
Выполнение входа из незнакомого расположения с последующим появлением программы-шантажиста в облачном приложении
Выполнение входа с зараженного устройства с последующим появлением программы-шантажиста в облачном приложении
Выполнение входа с анонимного IP-адреса с последующим появлением программы-шантажиста в облачном приложении
Выполнение входа в качестве пользователя, у которого произошла утечка учетных данных, с последующим появлением программы-шантажиста в облачном приложении
Удаленное использование эксплойта
Подозрительное использование инфраструктуры атак, после чего брандмауэром Palo Alto Networks регистрируется аномальный трафик
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, выполнение, боковое смещение, повышение привилегий
Техники по MITRE ATT&CK: использование эксплойта для общедоступного приложения (T1190), использование эксплойта для запуска клиентского приложения (T1203), использование эксплойта для удаленных служб (T1210), использование эксплойта для повышения привилегий (T1068)
Источники соединителя данных: Microsoft Defender для конечной точки (ранее — MDATP), Microsoft Sentinel (правило аналитики по расписанию)
Описание: инциденты Fusion этого типа указывают на обнаружение нестандартных вариантов применения протоколов, что похоже на использование таких платформ атак, как Metasploit, после чего брандмауэром Palo Alto Networks регистрируется подозрительная активизация входящего трафика. Это может быть первоначальным свидетельством того, что злоумышленник неправомерно использовал некоторую службу для получения доступа к сетевым ресурсам или что злоумышленник уже получил доступ и дальше пытается неправомерно использовать доступные системы и службы для бокового смещения и (или) для повышения привилегий. Среди всех журналов событий брандмауэра Palo Alto основное внимание Microsoft Sentinel уделяет журналам угроз, и трафик считается подозрительным, если он допускает реализацию угроз (подозрительные данные, файлы, переполнения, пакеты, сканирования, шпионские программы, URL-адреса, вирусы, уязвимости, быстро распространяющиеся вирусы, быстро распространяющиеся вирусные атаки). Кроме того, для получения дополнительных сведений по оповещениям следует обращаться к журналу угроз Palo Alto с соответствующим типом угрозы или содержимого, который указан в описании инцидента Fusion.
Захват ресурсов
(новая классификация угроз)
Подозрительный ресурс или развертывание группы ресурсов с помощью ранее невидимого вызывающего средства после подозрительного входа в Microsoft Entra
В этом сценарии используются оповещения, созданные правилами аналитики по расписанию.
Сейчас этот сценарий находится на ЭТАПЕ ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.
Тактика по MITRE ATT&CK: первоначальный доступ, влияние
Техники по MITRE ATT&CK: действительная учетная запись (T1078), захват ресурса (T1496)
Источники соединителя данных: Microsoft Sentinel (правило запланированной аналитики), Защита идентификации Microsoft Entra
Описание. Инциденты Fusion этого типа указывают на то, что пользователь развернул ресурс Или группу ресурсов Azure — редкое действие, следующее за подозрительным входом, с свойствами, которые недавно не были замечены, в учетную запись Microsoft Entra. Возможно, злоумышленник пытается развернуть ресурсы или группы ресурсов с вредоносными целями после компрометации учетной записи пользователя, указанной в описании инцидента Fusion.
Перемещание подозрительных оповещений входа Microsoft Entra с подозрительным ресурсом или развертыванием группы ресурсов ранее невидимым оповещением вызывающего объекта:
Неосуществимое перемещение в нетипичное расположение с последующим подозрительным развертыванием ресурсов или групп ресурсов ранее не зафиксированным актором
Выполнение входа из незнакомого расположения с последующим подозрительным развертыванием ресурсов или групп ресурсов ранее не зафиксированным актором
Выполнение входа с зараженного устройства с последующим подозрительным развертыванием ресурсов или групп ресурсов ранее не зафиксированным актором
Выполнение входа с анонимного IP-адреса с последующим подозрительным развертыванием ресурсов или групп ресурсов ранее не зафиксированным актором
Выполнение входа от имени пользователя, у которого произошла утечка учетных данных, с последующим подозрительным развертыванием ресурсов или групп ресурсов ранее не зафиксированным актором
Следующие шаги
Теперь, когда вы узнали больше об обнаружении расширенных многоэтапных атак, вас может заинтересовать следующее краткое руководство, позволяющее узнать, как получить контроль над данными и потенциальными угрозами: Начало работы с Microsoft Sentinel.
Сведения о готовых инцидентах см. в руководстве Исследование инцидентов с помощью Microsoft Sentinel.