السيناريوهات التي اكتشفها محرك Microsoft Sentinel Fusion

يسرد هذا المستند أنواع الهجمات متعددة المراحل المستندة إلى السيناريو، مجمعة حسب تصنيف التهديدات، التي Microsoft Sentinel تكتشفها باستخدام محرك ارتباط Fusion.

نظرا لأن Fusion يربط إشارات متعددة من منتجات مختلفة للكشف عن الهجمات المتقدمة متعددة المراحل، يتم تقديم اكتشافات Fusion الناجحة كحوادث الاندماج في صفحة Microsoft Sentinel Incidents وليس كتنبيهات، ويتم تخزينها في جدول Incidents في السجلات وليس في جدول SecurityAlerts.

لتمكين سيناريوهات الكشف عن الهجمات التي تعمل ب Fusion، يجب استيعاب أي مصادر بيانات مدرجة في مساحة عمل Log Analytics. بالنسبة للسيناريوهات ذات قواعد التحليلات المجدولة، اتبع الإرشادات الواردة في تكوين قواعد التحليلات المجدولة لاكتشافات Fusion.

ملاحظة

بعض هذه السيناريوهات قيد المعاينة. وسوف يشار إليها بذلك.

حساب إساءة استخدام الموارد

أنشطة إنشاء جهاز ظاهري متعددة بعد تسجيل الدخول Microsoft Entra المشبوه

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، اختطاف الموارد (T1496)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء عدد غير مألوف من الأجهزة الظاهرية في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. يشير هذا النوع من التنبيه، بدرجة عالية من الثقة، إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه لإنشاء أجهزة ظاهرية جديدة لأغراض غير مصرح بها، مثل تشغيل عمليات استخراج التشفير. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه أنشطة إنشاء الجهاز الظاهري المتعددة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى أنشطة إنشاء أجهزة ظاهرية متعددة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة

الوصول إلى بيانات الاعتماد

(تصنيف جديد للمخاطر)

إعادة تعيين كلمات مرور متعددة من قبل المستخدم بعد تسجيل الدخول المشبوه

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد

MITRE ATT&تقنيات CK: حساب صالح (T1078)، القوة الغاشمة (T1110)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة) وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أن المستخدم يعيد تعيين كلمات مرور متعددة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لإجراء عمليات إعادة تعيين متعددة لكلمة المرور من أجل الوصول إلى أنظمة وموارد متعددة. قد تساعد معالجة الحساب (بما في ذلك إعادة تعيين كلمة المرور) الخصوم في الحفاظ على الوصول إلى بيانات الاعتماد ومستويات أذونات معينة داخل بيئة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيهات إعادة تعيين كلمات المرور المتعددة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى إعادة تعيين كلمات مرور متعددة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى إعادة تعيين كلمات مرور متعددة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى إعادة تعيين كلمات مرور متعددة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى إعادة تعيين كلمات مرور متعددة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى إعادة تعيين كلمات مرور متعددة

تسجيل الدخول المشبوه بالتزامن مع تسجيل الدخول الناجح إلى Palo Alto VPN بواسطة IP مع العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد

MITRE ATT&تقنيات CK: حساب صالح (T1078)، القوة الغاشمة (T1110)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة) وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أن تسجيل الدخول المشبوه إلى حساب Microsoft Entra تزامن مع تسجيل دخول ناجح من خلال Palo Alto VPN من عنوان IP الذي حدث منه العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra في إطار زمني مماثل. على الرغم من أنه ليس دليلا على هجوم متعدد المراحل، فإن ارتباط هذين التنبيهين الأقل دقة يؤدي إلى حادث عالي الدقة يشير إلى وصول أولي ضار إلى شبكة المؤسسة. بدلا من ذلك، قد يكون هذا مؤشرا على مهاجم يحاول استخدام تقنيات القوة الغاشمة للوصول إلى حساب Microsoft Entra. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة باستخدام تنبيهات "IP مع العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra بنجاح إلى Palo Alto VPN" هي:

  • السفر المستحيل إلى موقع غير نمطي يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra بنجاح في Palo Alto VPN

  • حدث تسجيل الدخول من موقع غير مألوف يتزامن مع IP مع العديد من عمليات تسجيل الدخول Microsoft Entra الفاشلة بنجاح في Palo Alto VPN

  • حدث تسجيل الدخول من جهاز مصاب يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra بنجاح في Palo Alto VPN

  • حدث تسجيل الدخول من عنوان IP مجهول يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra بنجاح في Palo Alto VPN

  • حدث تسجيل الدخول من مستخدم مع بيانات اعتماد مسربة تتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra بنجاح في Palo Alto VPN

جمع بيانات الاعتماد

(تصنيف جديد للمخاطر)

تنفيذ أداة سرقة بيانات الاعتماد الضارة بعد تسجيل الدخول المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد

MITRE ATT&تقنيات CK: حساب صالح (T1078)، تفريغ بيانات اعتماد نظام التشغيل (T1003)

مصادر موصل البيانات: حماية Microsoft Entra ID، Microsoft Defender لنقطة النهاية

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ أداة سرقة بيانات اعتماد معروفة بعد تسجيل دخول Microsoft Entra مريب. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المذكور في وصف التنبيه قد تم اختراقه وربما استخدم بنجاح أداة مثل Mimikatz لجمع بيانات الاعتماد مثل المفاتيح وكلمات المرور ذات النص العادي و/أو تجزئة كلمة المرور من النظام. قد تسمح بيانات الاعتماد التي تم جمعها للمهاجم بالوصول إلى البيانات الحساسة، وتصعيد الامتيازات، و/أو التنقل أفقيا عبر الشبكة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة باستخدام تنبيه أداة سرقة بيانات الاعتماد الضارة هي:

  • السفر المستحيل إلى مواقع غير نمطية تؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة

نشاط سرقة بيانات الاعتماد المشتبه به بعد تسجيل الدخول المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد

MITRE ATT&تقنيات CK: حساب صالح (T1078)، بيانات الاعتماد من مخازن كلمات المرور (T1555)، تفريغ بيانات اعتماد نظام التشغيل (T1003)

مصادر موصل البيانات: حماية Microsoft Entra ID، Microsoft Defender لنقطة النهاية

وصف: تشير حوادث الاندماج من هذا النوع إلى أن النشاط المرتبط بأنماط سرقة بيانات الاعتماد حدث بعد تسجيل دخول Microsoft Entra مريب. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المذكور في وصف التنبيه قد تم اختراقه واستخدامه لسرقة بيانات الاعتماد مثل المفاتيح وكلمات المرور ذات النص العادي وتجزئة كلمة المرور وما إلى ذلك. قد تسمح بيانات الاعتماد المسروقة للمهاجم بالوصول إلى البيانات الحساسة، وتصعيد الامتيازات، و/أو التنقل أفقيا عبر الشبكة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه نشاط سرقة بيانات الاعتماد هي:

  • السفر المستحيل إلى مواقع غير نمطية تؤدي إلى نشاط يشتبه في سرقة بيانات الاعتماد

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به

استخراج التشفير

(تصنيف جديد للمخاطر)

نشاط استخراج التشفير بعد تسجيل الدخول المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد

MITRE ATT&تقنيات CK: حساب صالح (T1078)، اختطاف الموارد (T1496)

مصادر موصل البيانات: حماية Microsoft Entra ID، Microsoft Defender للسحابة

وصف: تشير حوادث الاندماج من هذا النوع إلى نشاط استخراج التشفير المرتبط بتسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المذكور في وصف التنبيه قد تم اختراقه وتم استخدامه لاختطاف الموارد في بيئتك لاستخراج عملة التشفير. يمكن أن يؤدي هذا إلى تجويع مواردك من قوة الحوسبة و/أو يؤدي إلى فواتير استخدام سحابية أعلى بكثير من المتوقع. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه نشاط استخراج التشفير هي:

  • السفر المستحيل إلى مواقع غير نمطية تؤدي إلى نشاط استخراج التشفير

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط استخراج التشفير

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط استخراج التشفير

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط استخراج التشفير

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط استخراج التشفير

تدمير البيانات

حذف الملف الجماعي بعد تسجيل الدخول Microsoft Entra المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، تدمير البيانات (T1485)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير مألوف من الملفات الفريدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه لتدمير البيانات لأغراض ضارة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه حذف الملف الجماعي هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى حذف الملفات بشكل جماعي

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى حذف ملف جماعي

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى حذف ملف جماعي

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى حذف ملف جماعي

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى حذف ملف جماعي

حذف الملفات الجماعية بعد تسجيل الدخول الناجح Microsoft Entra من IP محظور بواسطة جهاز جدار حماية Cisco

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، تدمير البيانات (T1485)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير صحيح من الملفات الفريدة بعد تسجيل دخول ناجح Microsoft Entra على الرغم من حظر عنوان IP الخاص بالمستخدم بواسطة جهاز جدار حماية Cisco. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لتدمير البيانات لأغراض ضارة. نظرا لحظر عنوان IP بواسطة جدار الحماية، فمن المحتمل أن يكون تسجيل دخول IP نفسه بنجاح إلى Microsoft Entra ID مشتبها به ويمكن أن يشير إلى اختراق بيانات الاعتماد لحساب المستخدم.

حذف الملفات الجماعية بعد تسجيل الدخول الناجح إلى Palo Alto VPN بواسطة IP مع العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، الوصول إلى بيانات الاعتماد، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، القوة الغاشمة (T1110)، تدمير البيانات (T1485)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير مألوف من الملفات الفريدة من قبل مستخدم قام بتسجيل الدخول بنجاح من خلال Palo Alto VPN من عنوان IP الذي حدث منه العديد من عمليات تسجيل الدخول الفاشلة Microsoft Entra في إطار زمني مماثل. تشير هذه الأدلة إلى أن حساب المستخدم المذكور في حادث الاندماج ربما تم اختراقه باستخدام تقنيات القوة الغاشمة، وتم استخدامه لتدمير البيانات لأغراض ضارة.

نشاط حذف البريد الإلكتروني المشبوه بعد تسجيل الدخول Microsoft Entra المشبوه

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، تدمير البيانات (T1485)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير مألوف من رسائل البريد الإلكتروني في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتدمير البيانات لأغراض ضارة، مثل إلحاق الضرر بالمؤسسة أو إخفاء نشاط البريد الإلكتروني المرتبط بالبريد العشوائي. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه نشاط حذف البريد الإلكتروني المشبوه هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط حذف البريد الإلكتروني المشبوه

النقل غير المصرح للبيانات

أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا

ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: النقل غير المصرح للبياناتوالنشاط الإداري الضار. من أجل الوضوح، يظهر في كلا القسمين.

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، المجموعة، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، مجموعة البريد الإلكتروني (T1114)، النقل غير المصرح عبر خدمة الويب (T1567)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء حساب مسؤول Exchange جديد، أو أن حساب مسؤول Exchange الحالي اتخذ بعض الإجراءات الإدارية للمرة الأولى، في الأسبوعين الماضيين، وأن الحساب قام بعد ذلك ببعض إجراءات إعادة توجيه البريد، وهي غير عادية لحساب المسؤول. تشير هذه الأدلة إلى أن حساب المستخدم المذكور في وصف حادث Fusion قد تم اختراقه أو التلاعب به، وأنه تم استخدامه لتصفية البيانات من شبكة مؤسستك.

تنزيل ملف جماعي بعد تسجيل الدخول Microsoft Entra المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنزيل عدد غير مألوف من الملفات من قبل مستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة عالية في أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتصفية البيانات من شبكة مؤسستك. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه تنزيل الملف الجماعي هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى تنزيل الملفات بشكل جماعي

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى تنزيل ملف جماعي

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى تنزيل ملف جماعي

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى تنزيل ملف جماعي

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى تنزيل ملف جماعي

تنزيل ملف جماعي بعد تسجيل الدخول Microsoft Entra الناجح من IP محظور بواسطة جهاز جدار حماية Cisco

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنزيل عدد غير مألوف من الملفات من قبل مستخدم بعد تسجيل دخول ناجح Microsoft Entra على الرغم من حظر عنوان IP الخاص بالمستخدم بواسطة جهاز جدار حماية Cisco. قد تكون هذه محاولة من قبل مهاجم لتصفية البيانات من شبكة المؤسسة بعد المساس بحساب مستخدم. نظرا لحظر عنوان IP بواسطة جدار الحماية، فمن المحتمل أن يكون تسجيل دخول IP نفسه بنجاح إلى Microsoft Entra ID مشتبها به ويمكن أن يشير إلى اختراق بيانات الاعتماد لحساب المستخدم.

تنزيل ملف جماعي يتزامن مع عملية ملف SharePoint من IP غير مرئي مسبقا

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: النقل غير المصرح به

MITRE ATT&تقنيات CK: النقل غير المصرح عبر خدمة الويب (T1567)، حدود حجم نقل البيانات (T1030)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنزيل عدد غير مألوف من الملفات بواسطة مستخدم متصل من عنوان IP غير مرئي مسبقا. على الرغم من أنه ليس دليلا على هجوم متعدد المستويات، فإن ارتباط هذين التنبيهين الأقل دقة يؤدي إلى حادث عالي الدقة يشير إلى محاولة المهاجم لتصفية البيانات من شبكة المؤسسة من حساب مستخدم ربما تم اختراقه. في البيئات المستقرة، قد تكون هذه الاتصالات بواسطة عناوين IP غير المرئية سابقا غير مصرح بها، خاصة إذا كانت مقترنة بالزيادة في الحجم التي يمكن أن ترتبط باختراق المستند على نطاق واسع.

مشاركة الملفات الجماعية بعد تسجيل الدخول Microsoft Entra المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تمت مشاركة عدد من الملفات فوق حد معين مع الآخرين بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة عالية في أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه واستخدامه لتصفية البيانات من شبكة مؤسستك عن طريق مشاركة ملفات مثل المستندات وجداول البيانات وما إلى ذلك، مع مستخدمين غير مصرح لهم لأغراض ضارة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه مشاركة الملفات الجماعية هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى مشاركة الملفات بشكل جماعي

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى مشاركة الملفات الجماعية

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى مشاركة الملفات الجماعية

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى مشاركة الملفات بشكل جماعي

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى مشاركة الملفات الجماعية

أنشطة مشاركة تقارير Power BI المتعددة بعد تسجيل الدخول Microsoft Entra المشبوه

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تمت مشاركة عدد غير مألوف من تقارير Power BI في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة عالية في أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتصفية البيانات من شبكة مؤسستك من خلال مشاركة تقارير Power BI مع مستخدمين غير مصرح لهم لأغراض ضارة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع أنشطة مشاركة تقارير Power BI المتعددة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة مشاركة تقارير Power BI متعددة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة

Office 365 النقل غير المصرح به لعلبة البريد بعد تسجيل دخول Microsoft Entra مريب

MITRE ATT&تكتيكات CK: الوصول الأولي، النقل غير المصرح به، المجموعة

MITRE ATT&تقنيات CK: حساب صالح (T1078)، مجموعة بريد إلكتروني (T1114)، النقل غير المصرح التلقائي (T1020)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قاعدة إعادة توجيه علبة وارد مشبوهة على علبة وارد المستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة عالية في أن حساب المستخدم (المذكور في وصف حادث الاندماج) قد تم اختراقه، وأنه تم استخدامه لتصفية البيانات من شبكة مؤسستك عن طريق تمكين قاعدة إعادة توجيه علبة البريد دون معرفة المستخدم الحقيقي. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه النقل غير المصرح لعلبة بريد Office 365 هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى Office 365 تسرب علبة البريد

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى Office 365 النقل غير المصرح لعلبة البريد

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى Office 365 تسرب علبة البريد

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى Office 365 تسرب علبة البريد

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى Office 365 تسرب علبة البريد

عملية ملف SharePoint من عنوان IP غير مرئي مسبقا بعد الكشف عن البرامج الضارة

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الاختراق، التهرب الدفاعي

MITRE ATT&تقنيات CK: حدود حجم نقل البيانات (T1030)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أن مهاجما حاول تسرب كميات كبيرة من البيانات عن طريق التنزيل أو المشاركة من خلال SharePoint من خلال استخدام البرامج الضارة. في البيئات المستقرة، قد تكون هذه الاتصالات بواسطة عناوين IP غير المرئية سابقا غير مصرح بها، خاصة إذا كانت مقترنة بالزيادة في الحجم التي يمكن أن ترتبط باختراق المستند على نطاق واسع.

تم تعيين قواعد معالجة علبة الوارد المشبوهة بعد تسجيل الدخول Microsoft Entra المشبوه

ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: النقل غير المصرح للبياناتوالحركة الجانبية. من أجل الوضوح، يظهر في كلا القسمين.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، الحركة الجانبية، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، التصيد الاحتيالي الداخلي للرمح (T1534)، النقل غير المصرح التلقائي (T1020)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قواعد علبة الوارد الشاذة على علبة وارد المستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الأدلة إشارة عالية الثقة إلى أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لمعالجة قواعد علبة الوارد للبريد الإلكتروني للمستخدم لأغراض ضارة، ربما لتصفية البيانات من شبكة المؤسسة. بدلا من ذلك، قد يحاول المهاجم إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي من داخل المؤسسة (تجاوز آليات الكشف عن التصيد الاحتيالي التي تستهدف البريد الإلكتروني من مصادر خارجية) لغرض الانتقال أفقيا عن طريق الوصول إلى حسابات إضافية للمستخدمين و/أو الحسابات المميزة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه قواعد معالجة علبة الوارد المشبوهة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

مشاركة تقرير Power BI المشبوهة بعد تسجيل الدخول Microsoft Entra المشبوه

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى حدوث نشاط مشاركة تقرير Power BI مريب بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تم تحديد نشاط المشاركة على أنه مريب لأن تقرير Power BI يحتوي على معلومات حساسة تم تحديدها باستخدام معالجة اللغة الطبيعية، ولأنه تمت مشاركته مع عنوان بريد إلكتروني خارجي، أو نشره على الويب، أو تسليمه كقطة إلى عنوان بريد إلكتروني مشترك خارجيا. يشير هذا التنبيه بثقة عالية إلى أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتصفية البيانات الحساسة من مؤسستك عن طريق مشاركة تقارير Power BI مع مستخدمين غير مصرح لهم لأغراض ضارة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع مشاركة تقرير Power BI المشبوهة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى مشاركة تقارير Power BI المشبوهة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى مشاركة تقرير Power BI المشبوهة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى مشاركة تقرير Power BI المشبوهة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى مشاركة تقرير Power BI المشبوهة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى مشاركة تقرير Power BI المشبوهة

رفض الخدمة

أنشطة حذف أجهزة ظاهرية متعددة بعد تسجيل الدخول Microsoft Entra المشبوه

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، رفض الخدمة لنقطة النهاية (T1499)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير مألوف من الأجهزة الظاهرية في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. يوفر هذا المؤشر ثقة عالية في أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لمحاولة تعطيل أو تدمير بيئة السحابة للمؤسسة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه أنشطة حذف الجهاز الظاهري المتعددة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى أنشطة حذف أجهزة ظاهرية متعددة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة حذف متعددة للجهاز الظاهري

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة حذف متعددة للجهاز الظاهري

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة حذف متعددة للجهاز الظاهري

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى أنشطة حذف متعددة للجهاز الظاهري

الحركة الجانبية

Office 365 انتحال الهوية بعد تسجيل الدخول Microsoft Entra المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، الحركة الجانبية

MITRE ATT&تقنيات CK: حساب صالح (T1078)، التصيد الاحتيالي الداخلي (T1534)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى حدوث عدد غير مألوف من إجراءات انتحال الهوية بعد تسجيل دخول مريب من حساب Microsoft Entra. في بعض البرامج، هناك خيارات للسماح للمستخدمين بانتحال شخصية مستخدمين آخرين. على سبيل المثال، تسمح خدمات البريد الإلكتروني للمستخدمين بتخويل مستخدمين آخرين لإرسال بريد إلكتروني نيابة عنهم. يشير هذا التنبيه بثقة أعلى إلى أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لإجراء أنشطة انتحال لأغراض ضارة، مثل إرسال رسائل البريد الإلكتروني للتصيد الاحتيالي لتوزيع البرامج الضارة أو الحركة الجانبية. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه انتحال Office 365 هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى انتحال Office 365

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى انتحال Office 365

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى انتحال Office 365

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى انتحال Office 365

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى انتحال Office 365

تم تعيين قواعد معالجة علبة الوارد المشبوهة بعد تسجيل الدخول Microsoft Entra المشبوه

ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: الحركة الجانبيةواختراق البيانات. من أجل الوضوح، يظهر في كلا القسمين.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، الحركة الجانبية، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، التصيد الاحتيالي الداخلي للرمح (T1534)، النقل غير المصرح التلقائي (T1020)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قواعد علبة الوارد الشاذة على علبة وارد المستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الأدلة إشارة عالية الثقة إلى أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لمعالجة قواعد علبة الوارد للبريد الإلكتروني للمستخدم لأغراض ضارة، ربما لتصفية البيانات من شبكة المؤسسة. بدلا من ذلك، قد يحاول المهاجم إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي من داخل المؤسسة (تجاوز آليات الكشف عن التصيد الاحتيالي التي تستهدف البريد الإلكتروني من مصادر خارجية) لغرض الانتقال أفقيا عن طريق الوصول إلى حسابات إضافية للمستخدمين و/أو الحسابات المميزة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه قواعد معالجة علبة الوارد المشبوهة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى قاعدة معالجة علبة الوارد المشبوهة

النشاط الإداري الضار

نشاط إداري مشبوه لتطبيق السحابة بعد تسجيل الدخول Microsoft Entra المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي والمثابرة والتهرب الدفاعي والحركة الجانبية والمجموعة والاختراق والتأثير

MITRE ATT&تقنيات CK: N/A

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ عدد غير صحيح من الأنشطة الإدارية في جلسة واحدة بعد تسجيل دخول Microsoft Entra مريب من نفس الحساب. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه لإجراء أي عدد من الإجراءات الإدارية غير المصرح بها بهدف ضار. يشير هذا أيضا إلى أنه قد تم اختراق حساب له امتيازات إدارية. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه النشاط الإداري لتطبيق السحابة المشبوه هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط إداري مشبوه لتطبيق السحابة

أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا

ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: النشاط الإداري الضارواختراق البيانات. من أجل الوضوح، يظهر في كلا القسمين.

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، المجموعة، النقل غير المصرح به

MITRE ATT&تقنيات CK: حساب صالح (T1078)، مجموعة البريد الإلكتروني (T1114)، النقل غير المصرح عبر خدمة الويب (T1567)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء حساب مسؤول Exchange جديد، أو أن حساب مسؤول Exchange الحالي اتخذ بعض الإجراءات الإدارية للمرة الأولى، في الأسبوعين الماضيين، وأن الحساب قام بعد ذلك ببعض إجراءات إعادة توجيه البريد، وهي غير عادية لحساب المسؤول. تشير هذه الأدلة إلى أن حساب المستخدم المذكور في وصف حادث Fusion قد تم اختراقه أو التلاعب به، وأنه تم استخدامه لتصفية البيانات من شبكة مؤسستك.

التنفيذ الضار مع عملية شرعية

قام PowerShell بإجراء اتصال شبكة مشبوه، متبوعا بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: تنفيذ

MITRE ATT&تقنيات CK: مترجم الأوامر والبرمجة النصية (T1059)

مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (Microsoft Defender سابقا الحماية المتقدمة من التهديدات أو MDATP)، Microsoft Sentinel (قاعدة التحليلات المجدولة)

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إجراء طلب اتصال صادر عبر أمر PowerShell، وبعد ذلك، تم الكشف عن نشاط وارد شاذ بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أنه من المحتمل أن يكون المهاجم قد تمكن من الوصول إلى شبكتك ويحاول تنفيذ إجراءات ضارة. يمكن أن تكون محاولات الاتصال من قبل PowerShell التي تتبع هذا النمط مؤشرا على نشاط الأوامر والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو مهاجم ينشئ وصولا تفاعليا عن بعد. كما هو الحال مع جميع هجمات "العيش خارج الأرض"، يمكن أن يكون هذا النشاط استخداما شرعيا ل PowerShell. ومع ذلك، فإن تنفيذ أمر PowerShell متبوعا بنشاط جدار الحماية الوارد المشبوه يزيد من الثقة في استخدام PowerShell بطريقة ضارة ويجب التحقيق فيه بشكل أكبر. في سجلات Palo Alto، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضا سجل تهديدات Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حادث الاندماج للحصول على تفاصيل تنبيه إضافية.

تنفيذ WMI البعيد المشبوه متبوعا بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: التنفيذ، الاكتشاف

MITRE ATT&تقنيات CK: Windows Management Instrumentation (T1047)

مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (MDATP سابقا)، Microsoft Sentinel (قاعدة التحليلات المجدولة)

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ أوامر واجهة إدارة Windows (WMI) عن بعد على نظام، وبعد ذلك، تم الكشف عن نشاط وارد مشبوه بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أن المهاجم ربما تمكن من الوصول إلى شبكتك ويحاول التحرك أفقيا، وتصعيد الامتيازات، و/أو تنفيذ حمولات ضارة. كما هو الحال مع جميع هجمات "العيش خارج الأرض"، يمكن أن يكون هذا النشاط استخداما شرعيا ل WMI. ومع ذلك، فإن تنفيذ أمر WMI البعيد متبوعا بنشاط جدار الحماية الوارد المشبوه يزيد من الثقة في استخدام WMI بطريقة ضارة ويجب التحقيق فيه بشكل أكبر. في سجلات Palo Alto، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضا سجل تهديدات Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حادث الاندماج للحصول على تفاصيل تنبيه إضافية.

سطر أوامر PowerShell المشبوه بعد تسجيل الدخول المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي والتنفيذ

MITRE ATT&تقنيات CK: حساب صالح (T1078)، مترجم الأوامر والبرمجة النصية (T1059)

مصادر موصل البيانات: Microsoft Entra ID Protection، Microsoft Defender لنقطة النهاية (المعروف سابقا ب MDATP)

وصف: تشير حوادث الاندماج من هذا النوع إلى أن مستخدما نفذ أوامر PowerShell ضارة محتملة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة بثقة عالية إلى أن الحساب المذكور في وصف التنبيه قد تم اختراقه وتم اتخاذ المزيد من الإجراءات الضارة. غالبا ما يستخدم المهاجمون PowerShell لتنفيذ حمولات ضارة في الذاكرة دون ترك البيانات الاصطناعية على القرص، لتجنب الكشف عن طريق آليات الأمان المستندة إلى القرص مثل الماسحات الضوئية للفيروسات. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه أمر PowerShell المشبوه هي:

  • السفر المستحيل إلى مواقع غير نمطية تؤدي إلى سطر أوامر PowerShell مريب

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى سطر أوامر PowerShell مريب

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى سطر أوامر PowerShell مريب

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى سطر أوامر PowerShell مريب

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى سطر أوامر PowerShell مريب

البرامج الضارة C2 أو التنزيل

تم الكشف عن نمط الملحق من قبل Fortinet بعد العديد من عمليات تسجيل دخول المستخدم الفاشلة إلى خدمة

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي والأوامر والتحكم

MITRE ATT&تقنيات CK: حساب صالح (T1078)، منفذ غير Standard (T1571)، T1065 (متوقف)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps

وصف: تشير حوادث الاندماج من هذا النوع إلى أنماط اتصال، من عنوان IP داخلي إلى عنوان خارجي، تتوافق مع التتبع، بعد العديد من عمليات تسجيل دخول المستخدم الفاشلة إلى خدمة من كيان داخلي ذي صلة. يمكن أن يكون الجمع بين هذين الحدثين مؤشرا على الإصابة بالبرامج الضارة أو لمضيف مخترق يقوم باختراق البيانات.

تم الكشف عن نمط الملحق من قبل Fortinet بعد تسجيل الدخول Microsoft Entra المشبوه

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي والأوامر والتحكم

MITRE ATT&تقنيات CK: حساب صالح (T1078)، منفذ غير Standard (T1571)، T1065 (متوقف)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة) وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنماط اتصال، من عنوان IP داخلي إلى عنوان خارجي، تتوافق مع التتبع، بعد تسجيل دخول المستخدم ذي الطبيعة المشبوهة إلى Microsoft Entra ID. يمكن أن يكون الجمع بين هذين الحدثين مؤشرا على الإصابة بالبرامج الضارة أو لمضيف مخترق يقوم باختراق البيانات. تباديل نمط الملحق الذي تم اكتشافه بواسطة تنبيهات Fortinet مع تنبيهات تسجيل الدخول Microsoft Entra المشبوهة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى نمط منارة اكتشفه Fortinet

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet

طلب الشبكة إلى خدمة الكشف عن هوية TOR متبوعا بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الأمر والتحكم

MITRE ATT&تقنيات CK: قناة مشفرة (T1573)، وكيل (T1090)

مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (MDATP سابقا)، Microsoft Sentinel (قاعدة التحليلات المجدولة)

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إجراء طلب اتصال صادر إلى خدمة الكشف عن هوية TOR، وبعد ذلك، تم الكشف عن نشاط وارد شاذ بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أنه من المحتمل أن يكون المهاجم قد تمكن من الوصول إلى شبكتك ويحاول إخفاء أفعاله وهدفه. قد تكون الاتصالات بشبكة TOR التي تتبع هذا النمط مؤشرا على نشاط الأوامر والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو مهاجم ينشئ وصولا تفاعليا عن بعد. في سجلات Palo Alto، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضا سجل تهديدات Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حادث الاندماج للحصول على تفاصيل تنبيه إضافية.

الاتصال الصادر ب IP مع محفوظات محاولات الوصول غير المصرح بها متبوعة بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الأمر والتحكم

MITRE ATT&تقنيات CK: غير قابل للتطبيق

مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (MDATP سابقا)، Microsoft Sentinel (قاعدة التحليلات المجدولة)

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء اتصال صادر بعنوان IP مع محفوظات محاولات الوصول غير المصرح بها، وبعد ذلك، تم الكشف عن نشاط شاذ بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أنه من المحتمل أن يكون المهاجم قد تمكن من الوصول إلى شبكتك. يمكن أن تكون محاولات الاتصال التي تتبع هذا النمط مؤشرا على نشاط الأوامر والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو مهاجم ينشئ وصولا تفاعليا عن بعد. في سجلات Palo Alto، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضا سجل تهديدات Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حادث الاندماج للحصول على تفاصيل تنبيه إضافية.

استمرار

(تصنيف جديد للمخاطر)

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الاستمرارية، الوصول الأولي

MITRE ATT&تقنيات CK: إنشاء حساب (T1136)، حساب صالح (T1078)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة) وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم منح طلب موافقة من قبل مستخدم لم يقم بذلك أبدا أو نادرا ما قام بذلك، بعد تسجيل الدخول المشبوه ذي الصلة إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه للوصول إلى التطبيق أو معالجته لأغراض ضارة. يجب أن تكون الموافقة على التطبيق وإضافة كيان الخدمة وإضافة OAuth2PermissionGrant عادة أحداثا نادرة. قد يستخدم المهاجمون هذا النوع من تغيير التكوين لإنشاء موطئ قدمهم أو الاحتفاظ به على الأنظمة. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه الموافقة على التطبيق النادر هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى موافقة نادرة على الطلب

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى موافقة نادرة على التطبيق

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى موافقة نادرة على التطبيق

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى موافقة نادرة على التطبيق

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى موافقة نادرة على التطبيق

برامج الفدية الضارة

تنفيذ برامج الفدية الضارة بعد تسجيل الدخول Microsoft Entra المشبوه

MITRE ATT&تكتيكات CK: الوصول الأولي، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، بيانات مشفرة للتأثير (T1486)

مصادر موصل البيانات: Microsoft Defender for Cloud Apps وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم الكشف عن سلوك المستخدم الشاذ الذي يشير إلى هجوم برامج الفدية الضارة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة عالية في أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لتشفير البيانات لأغراض ابتزاز مالك البيانات أو رفض وصول مالك البيانات إلى بياناته. تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة مع تنبيه تنفيذ برامج الفدية الضارة هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى برامج الفدية الضارة في تطبيق السحابة

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى برامج الفدية الضارة في تطبيق السحابة

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى برامج الفدية الضارة في تطبيق السحابة

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى برامج الفدية الضارة في تطبيق السحابة

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى برامج الفدية الضارة في تطبيق السحابة

الاستغلال عن بعد

يشتبه في استخدام إطار عمل الهجوم متبوعا بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي والتنفيذ والحركة الجانبية وتصعيد الامتياز

MITRE ATT&تقنيات CK: استغلال تطبيق Public-Facing (T1190)، واستغلال تنفيذ العميل (T1203)، واستغلال الخدمات عن بعد (T1210)، واستغلال تصعيد الامتيازات (T1068)

مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (MDATP سابقا)، Microsoft Sentinel (قاعدة التحليلات المجدولة)

وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم الكشف عن استخدامات غير قياسية للبروتوكولات، تشبه استخدام أطر الهجوم مثل Metasploit، وبعد ذلك، تم الكشف عن نشاط وارد مشبوه بواسطة جدار حماية شبكات Palo Alto. قد يكون هذا مؤشرا أوليا على أن المهاجم قد استغل خدمة للوصول إلى موارد الشبكة الخاصة بك أو أن المهاجم قد حصل بالفعل على حق الوصول ويحاول استغلال الأنظمة/الخدمات المتوفرة بشكل أكبر للتنقل أفقيا و/أو تصعيد الامتيازات. في سجلات Palo Alto، يركز Microsoft Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضا سجل تهديدات Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حادث الاندماج للحصول على تفاصيل تنبيه إضافية.

اختطاف الموارد

(تصنيف جديد للمخاطر)

المورد المشبوه / توزيع مجموعة الموارد بواسطة المتصل غير المرئي مسبقا بعد تسجيل الدخول Microsoft Entra المشبوه

يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.

هذا السيناريو قيد المعاينة حاليا.

MITRE ATT&تكتيكات CK: الوصول الأولي، التأثير

MITRE ATT&تقنيات CK: حساب صالح (T1078)، اختطاف الموارد (T1496)

مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة) وحماية Microsoft Entra ID

وصف: تشير حوادث الاندماج من هذا النوع إلى أن المستخدم قام بنشر مورد Azure أو مجموعة موارد - نشاط نادر - بعد تسجيل دخول مريب، مع خصائص لم يتم عرضها مؤخرا، إلى حساب Microsoft Entra. قد يكون هذا محاولة من قبل مهاجم لنشر الموارد أو مجموعات الموارد لأغراض ضارة بعد المساس بحساب المستخدم المذكور في وصف حادث Fusion.

تباديل تنبيهات تسجيل الدخول Microsoft Entra المشبوهة باستخدام المورد المشبوه / توزيع مجموعة الموارد بواسطة تنبيه المتصل غير المرئي مسبقا هي:

  • السفر المستحيل إلى موقع غير نمطي يؤدي إلى توزيع الموارد / مجموعة الموارد المشبوهة من قبل المتصل غير المرئي مسبقا

  • حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى توزيع الموارد / مجموعة الموارد المشبوهة من قبل المتصل غير المرئي مسبقا

  • حدث تسجيل الدخول من جهاز مصاب يؤدي إلى توزيع الموارد / مجموعة الموارد المشبوهة من قبل المتصل غير المرئي مسبقا

  • حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى توزيع الموارد / مجموعة الموارد المشبوهة بواسطة المتصل غير المرئي مسبقا

  • حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى توزيع الموارد / مجموعة الموارد المشبوهة من قبل المتصل غير المرئي مسبقا

الخطوات التالية

الآن لقد تعرفت على المزيد حول الكشف المتقدم عن الهجمات متعددة المراحل، قد تكون مهتما بالتشغيل السريع التالي لمعرفة كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة: ابدأ مع Microsoft Sentinel.

إذا كنت مستعدا للتحقيق في الحوادث التي تم إنشاؤها لك، فشاهد البرنامج التعليمي التالي: التحقيق في الحوادث باستخدام Microsoft Sentinel.

  • Last updated on