السيناريوهات التي تم الكشف عنها من قِبل محرك Microsoft Sentinel Fusion
يسرد هذا المستند أنواع الهجمات متعددة المراحل المستندة إلى السيناريو، مجمعة حسب تصنيف التهديدات، التي يكتشفها Microsoft Azure Sentinel باستخدام محرك ارتباط الاندماج.
نظرا لأن Fusion يرتبط بإشارات متعددة من منتجات مختلفة للكشف عن الهجمات المتقدمة متعددة المراحل، يتم تقديم عمليات الكشف عن الاندماج الناجحة كحوادث دمج في صفحة أحداث Microsoft Azure Sentinel وليس كتنبيهات، ويتم تخزينها في جدول الحوادث في السجلات وليس في جدول SecurityAlerts.
لتمكين سيناريوهات الكشف عن الهجمات التي يتم تشغيلها باستخدام الاندماج، يجب استيعاب أي مصادر بيانات مدرجة في مساحة عمل تحليلات السجل. بالنسبة للسيناريوهات ذات قواعد التحليلات المجدولة، اتبع الإرشادات الواردة في تكوين قواعد التحليلات المجدولة لاكتشافات الاندماج.
إشعار
بعض هذه السيناريوهات في المعاينة. وسوف يشار إليها بذلك.
حساب إساءة استخدام الموارد
أنشطة إنشاء جهاز ظاهري متعددة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، اختطاف الموارد (T1496)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء عدد غير صحيح من الأجهزة الظاهرية في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. يشير هذا النوع من التنبيه، بدرجة عالية من الثقة، إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه لإنشاء أجهزة ظاهرية جديدة لأغراض غير مصرح بها، مثل تشغيل عمليات تعدين التشفير. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه أنشطة إنشاء الجهاز الظاهري المتعددة هي:
السفر في توقيت مستحيل إلى موقع غير نمطي يؤدي إلى أنشطة إنشاء أجهزة ظاهرية متعددة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى أنشطة إنشاء جهاز ظاهري متعددة
الوصول إلى بيانات الاعتماد
(تصنيف جديد للمخاطر)
إعادة تعيين كلمات مرور متعددة من قبل المستخدم بعد تسجيل الدخول المشبوه
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
تقنيات MITRE ATT CK: حساب صالح (T1078)، القوة الغاشمة (T1110)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أن المستخدم يعيد تعيين كلمات مرور متعددة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لإجراء عمليات إعادة تعيين متعددة لكلمة المرور من أجل الوصول إلى أنظمة وموارد متعددة. قد تساعد معالجة الحساب (بما في ذلك إعادة تعيين كلمة المرور) الخصوم في الحفاظ على الوصول إلى بيانات الاعتماد ومستويات أذونات معينة داخل بيئة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيهات إعادة تعيين كلمات المرور المتعددة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى إعادة تعيين كلمات مرور متعددة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى إعادة تعيين كلمات مرور متعددة
تسجيل الدخول المشبوه بالتزامن مع تسجيل الدخول الناجح إلى Palo Alto VPN بواسطة IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
تقنيات MITRE ATT CK: حساب صالح (T1078)، القوة الغاشمة (T1110)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أن تسجيل الدخول المشبوه إلى حساب Microsoft Entra تزامن مع تسجيل دخول ناجح من خلال Palo Alto VPN من عنوان IP الذي حدث منه العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra في إطار زمني مماثل. على الرغم من أنه ليس دليلاً على هجوم متعدد المراحل، فإن ارتباط هذين التنبيهين الأقل دقة يؤدي إلى حادث عالي الدقة يشير إلى وصول أولي ضار إلى شبكة المؤسسة. بدلا من ذلك، قد يكون هذا إشارة إلى مهاجم يحاول استخدام تقنيات القوة الغاشمة للوصول إلى حساب Microsoft Entra. تباديل تنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع "IP مع العديد من عمليات تسجيل دخول Microsoft Entra الفاشلة بنجاح في تسجيل الدخول إلى Palo Alto VPN" هي:
السفر المستحيل إلى موقع غير نمطي يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra يسجل الدخول بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من موقع غير مألوف يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra يسجل الدخول بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من جهاز مصاب يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra يسجل الدخول بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من IP مجهول يتزامن مع IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra بنجاح إلى Palo Alto VPN
حدث تسجيل الدخول من المستخدم الذي له بيانات اعتماد مسربة تزامنا مع IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra يسجل الدخول بنجاح إلى Palo Alto VPN
جمع معلومات تسجيل الدخول
(تصنيف جديد للمخاطر)
تنفيذ أداة سرقة البيانات الخاصة بالاعتماد الضار بعد تسجيل الدخول المثير للشك
تكتيكات MITRE ATT CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
تقنيات MITRE ATT CK: حساب صالح (T1078)، تفريغ بيانات اعتماد نظام التشغيل (T1003)
مصادر موصل البيانات: حماية معرف Microsoft Entra، Microsoft Defender لنقطة النهاية
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ أداة سرقة بيانات اعتماد معروفة بعد تسجيل دخول Microsoft Entra مريب. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المذكور في وصف التنبيه قد تم اختراقه وربما استخدم بنجاح أداة مثل Mimikatz لجمع بيانات الاعتماد مثل المفاتيح وكلمات المرور ذات النص العادي و/أو تجزئة كلمة المرور من النظام. قد تسمح بيانات الاعتماد المقطوعة للمهاجم بالوصول إلى البيانات الحساسة، وتصعيد الامتيازات، و/أو التنقل أفقيا عبر الشبكة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه أداة سرقة بيانات الاعتماد الضارة هي:
السفر المستحيل إلى مواقع غير نمطية ما يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى تنفيذ أداة سرقة بيانات الاعتماد الضارة
نشاط سرقة بيانات الاعتماد المشتبه به بعد تسجيل الدخول المثير للشك
تكتيكات MITRE ATT CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
تقنيات MITRE ATT CK: حساب صالح (T1078)، بيانات الاعتماد من مخازن كلمات المرور (T1555)، تفريغ بيانات اعتماد نظام التشغيل (T1003)
مصادر موصل البيانات: حماية معرف Microsoft Entra، Microsoft Defender لنقطة النهاية
الوصف: تشير حوادث الاندماج من هذا النوع إلى أن النشاط المقترن بأنماط سرقة بيانات الاعتماد حدث بعد تسجيل دخول Microsoft Entra مريب. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المذكور في وصف التنبيه قد تم اختراقه واستخدامه لسرقة بيانات الاعتماد مثل المفاتيح وكلمات المرور ذات النص العادي وتجزئة كلمة المرور وما إلى ذلك. قد تسمح بيانات الاعتماد المسروقة للمهاجم بالوصول إلى البيانات الحساسة، وتصعيد الامتيازات، و/أو التنقل أفقيا عبر الشبكة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه نشاط سرقة بيانات الاعتماد هي:
السفر المستحيل إلى مواقع غير نمطية ما يؤدي إلى نشاط يشتبه في سرقة بيانات الاعتماد
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
حدث تسجيل الدخول من مستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط سرقة بيانات الاعتماد المشتبه به
التعدين المشفر
(تصنيف جديد للمخاطر)
نشاط التعدين المشفر بعد تسجيل الدخول المثير للشك
تكتيكات MITRE ATT CK: الوصول الأولي، الوصول إلى بيانات الاعتماد
تقنيات MITRE ATT CK: حساب صالح (T1078)، اختطاف الموارد (T1496)
مصادر موصل البيانات: Microsoft Entra ID Protection، Microsoft Defender for Cloud
الوصف: تشير حوادث الاندماج من هذا النوع إلى نشاط تعدين التشفير المرتبط بتسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة بثقة عالية إلى أن حساب المستخدم المذكور في وصف التنبيه قد تم اختراقه وتم استخدامه لخطف الموارد في بيئتك لاستخراج عملة التشفير. يمكن أن يؤدي هذا إلى تجويع مواردك من قوة الحوسبة و/أو يؤدي إلى فواتير استخدام سحابة أعلى بكثير من المتوقع. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه نشاط استخراج التشفير هي:
السفر المستحيل إلى مواقع غير نمطية تؤدي إلى نشاط استخراج التشفير
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط استخراج التشفير
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط استخراج التشفير
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط استخراج التشفير
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط استخراج التشفير
تدمير البيانات
حذف الملفات الجماعية بعد تسجيل الدخول المشبوه إلى Microsoft Entra
تكتيكات MITRE ATT CK: الوصول الأولي، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير صحيح من الملفات الفريدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه لتدمير البيانات لأغراض ضارة. التباديل الخاصة بتنبيهات تسجيل الدخول إلى Microsoft Entra المشبوهة مع تنبيه حذف الملف الشامل هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى حذف الملفات بشكل جماعي
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى حذف ملف جماعي
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى حذف ملف جماعي
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى حذف ملف جماعي
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى حذف ملف جماعي
حذف الملفات الجماعية بعد تسجيل الدخول الناجح من Microsoft Entra من IP المحظور بواسطة جهاز جدار حماية Cisco
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير صحيح من الملفات الفريدة بعد تسجيل دخول Microsoft Entra ناجح على الرغم من حظر عنوان IP الخاص بالمستخدم بواسطة جهاز جدار حماية Cisco. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لتدمير البيانات لأغراض ضارة. نظرا لحظر IP بواسطة جدار الحماية، فإن تسجيل الدخول نفسه عبر IP بنجاح إلى معرف Microsoft Entra من المحتمل أن يكون مشتبها به ويمكن أن يشير إلى اختراق بيانات الاعتماد لحساب المستخدم.
حذف الملفات الجماعية بعد تسجيل الدخول الناجح إلى Palo Alto VPN بواسطة IP مع العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، الوصول إلى بيانات الاعتماد، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، القوة الغاشمة (T1110)، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير مألوف من الملفات الفريدة من قبل مستخدم قام بتسجيل الدخول بنجاح من خلال Palo Alto VPN من عنوان IP الذي حدث منه العديد من عمليات تسجيل الدخول الفاشلة من Microsoft Entra في إطار زمني مماثل. تشير هذه الأدلة إلى أن حساب المستخدم المذكور في حادث الاندماج ربما تم اختراقه باستخدام تقنيات القوة الغاشمة، وتم استخدامه لتدمير البيانات لأغراض ضارة.
نشاط حذف البريد الإلكتروني المشبوه بعد تسجيل الدخول المشبوه إلى Microsoft Entra
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، تدمير البيانات (T1485)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير صحيح من رسائل البريد الإلكتروني في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لتدمير البيانات لأغراض ضارة، مثل إلحاق الضرر بالمؤسسة أو إخفاء نشاط البريد الإلكتروني المرتبط بالبريد العشوائي. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه نشاط حذف البريد الإلكتروني المشبوه هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى نشاط مريب لحذف البريد الإلكتروني
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط حذف البريد الإلكتروني المشبوه
حدث تسجيل الدخول من مستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط حذف البريد الإلكتروني المشبوه
تسرب البيانات
أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا
ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: النقل غير المصرح للبيانات والنشاط الإداري الضار. من أجل الوضوح، يظهر في كلا القسمين.
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، المجموعة، النقل غير المصرح به
تقنيات MITRE ATT CK: حساب صالح (T1078)، مجموعة البريد الإلكتروني (T1114)، النقل غير المصرح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه إما تم إنشاء حساب مسؤول Exchange جديد، أو أن حساب مسؤول Exchange موجود اتخذ بعض الإجراءات الإدارية لأول مرة، في الأسبوعين الماضيين، وأن الحساب قام بعد ذلك ببعض إجراءات إعادة توجيه البريد، وهي غير عادية لحساب مسؤول. تشير هذه الأدلة إلى أن حساب المستخدم المذكور في وصف حدث Fusion قد تم اختراقه أو التلاعب به، وأنه تم استخدامه لتصفية البيانات من شبكة مؤسستك.
تنزيل الملفات الجماعية بعد تسجيل الدخول المشبوه إلى Microsoft Entra
تكتيكات MITRE ATT CK: الوصول الأولي، النقل غير المصرح به
تقنيات MITRE ATT CK: حساب صالح (T1078)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنزيل عدد غير صحيح من الملفات بواسطة مستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. يوفر هذا المؤشر ثقة عالية في أن الحساب المذكور في وصف حدث الاندماج قد تم اختراقه وتم استخدامه لتصفية البيانات من شبكة مؤسستك. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه تنزيل الملف الشامل هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى تنزيل الملفات بشكل جماعي
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى تنزيل ملف جماعي
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى تنزيل ملف جماعي
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى تنزيل ملف جماعي
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى تنزيل ملف جماعي
تنزيل الملفات الجماعية بعد تسجيل الدخول الناجح من Microsoft Entra من IP المحظور بواسطة جهاز جدار حماية Cisco
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، النقل غير المصرح به
تقنيات MITRE ATT CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنزيل عدد غير صحيح من الملفات بواسطة مستخدم بعد تسجيل دخول Microsoft Entra ناجح على الرغم من حظر عنوان IP الخاص بالمستخدم بواسطة جهاز جدار حماية Cisco. قد تكون هذه محاولة من قبل مهاجم لتصفية البيانات من شبكة المؤسسة بعد المساس بحساب مستخدم. نظرا لحظر IP بواسطة جدار الحماية، فإن تسجيل الدخول نفسه عبر IP بنجاح إلى معرف Microsoft Entra من المحتمل أن يكون مشتبها به ويمكن أن يشير إلى اختراق بيانات الاعتماد لحساب المستخدم.
تنزيل الملفات بشكل جماعي بالتزامن مع عملية ملف SharePoint من IP غير مرئي مسبقا
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: النقل غير المصرح به
تقنيات MITRE ATT CK: النقل غير المصرح عبر خدمة الويب (T1567)، حدود حجم نقل البيانات (T1030)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنزيل عدد غير صحيح من الملفات من قبل مستخدم متصل من عنوان IP غير مرئي مسبقا. على الرغم من أنه ليس دليلاً على هجوم متعدد المراحل، فإن ارتباط هذين التنبيهين الأقل دقة يؤدي إلى حادث عالي الدقة يشير إلى محاولة المهاجم لتصفية البيانات من شبكة المؤسسة من حساب مستخدم ربما تم اختراقه. في البيئات المستقرة، قد تكون هذه الاتصالات بواسطة عناوين IP غير المرئية سابقاً غير مصرح بها، خاصة إذا كانت مقترنة بالزيادة في الحجم التي يمكن أن تكون مقترنة باختراق المستند على نطاق واسع.
مشاركة الملفات الجماعية بعد تسجيل الدخول المشبوه إلى Microsoft Entra
تكتيكات MITRE ATT CK: الوصول الأولي، النقل غير المصرح به
تقنيات MITRE ATT CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تمت مشاركة عدد من الملفات فوق حد معين مع الآخرين بعد تسجيل دخول مريب إلى حساب Microsoft Entra. يوفر هذا المؤشر ثقة كبيرة في أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه لتصفية البيانات من شبكة مؤسستك من خلال مشاركة ملفات مثل المستندات وجداول البيانات وما إلى ذلك، مع مستخدمين غير مصرح لهم لأغراض ضارة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه مشاركة الملفات الجماعية هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى مشاركة الملفات بشكل جماعي
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى مشاركة الملفات بشكل جماعي
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى مشاركة الملفات بشكل جماعي
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى مشاركة الملفات بشكل جماعي
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى مشاركة الملفات بشكل جماعي
أنشطة مشاركة تقارير Power BI المتعددة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، النقل غير المصرح به
تقنيات MITRE ATT CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تمت مشاركة عدد غير مألوف من تقارير Power BI في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة كبيرة في أن الحساب المذكور في وصف حدث Fusion قد تم اختراقه وتم استخدامه لتسريب البيانات من شبكة مؤسستك من خلال مشاركة تقارير Power BI مع مستخدمين غير مصرح لهم لأغراض ضارة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع أنشطة مشاركة تقارير Power BI المتعددة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى أنشطة مشاركة تقارير Power BI المتعددة
النقل غير المصرح لعلبة بريد Office 365 بعد تسجيل دخول Microsoft Entra مريب
تكتيكات MITRE ATT CK: الوصول الأولي، النقل غير المصرح به، المجموعة
تقنيات MITRE ATT CK: حساب صالح (T1078)، مجموعة البريد الإلكتروني (T1114)، التصفية التلقائية (T1020)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قاعدة إعادة توجيه علبة وارد مريبة على علبة وارد المستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة كبيرة في أن حساب المستخدم (المذكور في وصف حدث الاندماج) قد تم اختراقه، وأنه تم استخدامه لتسريب البيانات من شبكة مؤسستك عن طريق تمكين قاعدة إعادة توجيه علبة البريد دون معرفة المستخدم الحقيقي. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة إلى Microsoft Entra مع تنبيه النقل غير المصرح لعلبة بريد Office 365 هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى Office 365 تسرب علبة البريد
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى Office 365 تسرب علبة البريد
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى Office 365 تسرب علبة البريد
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى Office 365 تسرب علبة البريد
حدث تسجيل الدخول من مستخدم مع بيانات اعتماد مسربة تؤدي إلى Office 365 تسرب علبة البريد
عملية ملف SharePoint من IP غير مرئي مسبقا بعد الكشف عن البرامج الضارة
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
MITRE ATT CK tactics: Exfiltration, Defense Evasion
تقنيات MITRE ATT CK: حدود حجم نقل البيانات (T1030)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أن مهاجماً حاول اختراق كميات كبيرة من البيانات عن طريق تنزيلها أو مشاركتها من خلال SharePoint من خلال استخدام البرامج الضارة. في البيئات المستقرة، قد تكون هذه الاتصالات بواسطة عناوين IP غير المرئية سابقاً غير مصرح بها، خاصة إذا كانت مقترنة بالزيادة في الحجم التي يمكن أن تكون مقترنة باختراق المستند على نطاق واسع.
تم تعيين قواعد معالجة علبة الوارد المشبوهة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: النقل غير المصرح للبيانات والحركة الجانبية. من أجل الوضوح، يظهر في كلا القسمين.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، الحركة الجانبية، النقل غير المصرح
تقنيات MITRE ATT CK: حساب صالح (T1078)، التصيد الاحتيالي الداخلي للرمح (T1534)، الاختراق التلقائي (T1020)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قواعد علبة وارد شاذة على علبة وارد المستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. يوفر هذا الدليل إشارة عالية الثقة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه من أجل معالجة قواعد علبة الوارد للبريد الإلكتروني للمستخدم لأغراض ضارة، ربما لتسريب البيانات من شبكة المؤسسة. بدلاً من ذلك، قد يحاول المهاجم إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي من داخل المؤسسة (تجاوز آليات الكشف عن التصيد الاحتيالي المستهدفة بالبريد الإلكتروني من مصادر خارجية) لغرض الانتقال أفقيا عن طريق الوصول إلى حسابات إضافية للمستخدمين و/أو الحسابات المميزة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه قواعد معالجة علبة الوارد المشبوهة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
مشاركة تقرير Power BI المشبوهة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، النقل غير المصرح به
تقنيات MITRE ATT CK: حساب صالح (T1078)، النقل غير المصرح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى حدوث نشاط مشاركة تقرير Power BI مريب بعد تسجيل دخول مريب إلى حساب Microsoft Entra. تم تحديد نشاط المشاركة على أنه مريب لأن تقرير Power BI يحتوي على معلومات حساسة تم تحديدها باستخدام معالجة اللغة الطبيعية، ولأنه تمت مشاركته مع عنوان بريد إلكتروني خارجي، أو تم نشره على الويب، أو تم تسليمه كقطة إلى عنوان بريد إلكتروني مشترك خارجيا. يشير هذا التنبيه بثقة عالية إلى أن الحساب المذكور في وصف حدث Fusion قد تم اختراقه وتم استخدامه لتسريب البيانات الحساسة من مؤسستك عن طريق مشاركة تقارير Power BI مع مستخدمين غير مصرح لهم لأغراض ضارة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع مشاركة تقرير Power BI المشبوهة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى مشاركة تقارير Power BI المشبوهة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى مشاركة تقرير Power BI المشبوهة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى مشاركة تقارير Power BI المشبوهة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى مشاركة تقرير Power BI المشبوهة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى مشاركة تقرير Power BI المشبوهة
رفض الخدمة
أنشطة حذف أجهزة ظاهرية متعددة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، رفض الخدمة لنقطة النهاية (T1499)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم حذف عدد غير صحيح من الأجهزة الظاهرية في جلسة واحدة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة عالية في أن الحساب المذكور في وصف حدث الاندماج قد تم اختراقه واستخدامه لمحاولة تعطيل أو تدمير بيئة السحابة الخاصة بالمؤسسة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه أنشطة حذف الجهاز الظاهري المتعددة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى أنشطة حذف متعددة للجهاز الظاهري
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى أنشطة حذف متعددة للجهاز الظاهري
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى أنشطة حذف متعددة للجهاز الظاهري
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى أنشطة حذف متعددة للجهاز الظاهري
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى أنشطة حذف متعددة للجهاز الظاهري
الحركة الجانبية
انتحال شخصية Office 365 بعد تسجيل الدخول المشبوه إلى Microsoft Entra
تكتيكات MITRE ATT CK: الوصول الأولي، الحركة الجانبية
تقنيات MITRE ATT CK: حساب صالح (T1078)، التصيد الاحتيالي الداخلي للرمح (T1534)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى حدوث عدد غير صحيح من إجراءات انتحال الهوية بعد تسجيل دخول مريب من حساب Microsoft Entra. في بعض البرامج، هناك خيارات للسماح للمستخدمين بانتحال شخصية مستخدمين آخرين. على سبيل المثال، تسمح خدمات البريد الإلكتروني للمستخدمين بتخويل مستخدمين آخرين لإرسال بريد إلكتروني نيابة عنهم. يشير هذا التنبيه بثقة أكبر إلى أن الحساب المذكور في وصف حادث Fusion قد تم اختراقه وتم استخدامه لإجراء أنشطة انتحال لأغراض ضارة، مثل إرسال رسائل البريد الإلكتروني للتصيد الاحتيالي لتوزيع البرامج الضارة أو الحركة الجانبية. التباديل الخاصة بتنبيهات تسجيل الدخول إلى Microsoft Entra المشبوهة مع تنبيه انتحال Office 365 هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى انتحالOffice 365
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى انتحال Office 365
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى انتحال Office 365
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى انتحال Office 365
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى انتحال Office 365
تم تعيين قواعد معالجة علبة الوارد المشبوهة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: الحركة الجانبية ونقل غير مصرّح للبيانات. من أجل الوضوح، يظهر في كلا القسمين.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، الحركة الجانبية، النقل غير المصرح
تقنيات MITRE ATT CK: حساب صالح (T1078)، التصيد الاحتيالي الداخلي للرمح (T1534)، الاختراق التلقائي (T1020)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تعيين قواعد علبة وارد شاذة على علبة وارد المستخدم بعد تسجيل دخول مريب إلى حساب Microsoft Entra. يوفر هذا الدليل إشارة عالية الثقة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه من أجل معالجة قواعد علبة الوارد للبريد الإلكتروني للمستخدم لأغراض ضارة، ربما لتسريب البيانات من شبكة المؤسسة. بدلاً من ذلك، قد يحاول المهاجم إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي من داخل المؤسسة (تجاوز آليات الكشف عن التصيد الاحتيالي المستهدفة بالبريد الإلكتروني من مصادر خارجية) لغرض الانتقال أفقيا عن طريق الوصول إلى حسابات إضافية للمستخدمين و/أو الحسابات المميزة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه قواعد معالجة علبة الوارد المشبوهة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى قاعدة معالجة علبة الوارد المشبوهة
نشاط إداري ضار
نشاط إداري مريب لتطبيق السحابة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
تكتيكات MITRE ATT CK: الوصول الأولي، والمثابرة، والتهرب الدفاعي، والحركة الجانبية، والمجموعة، والاختراق، والتأثير
تقنيات MITRE ATT CK: N/A
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ عدد غير صحيح من الأنشطة الإدارية في جلسة واحدة بعد تسجيل دخول Microsoft Entra مريب من نفس الحساب. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لإجراء أي عدد من الإجراءات الإدارية غير المصرح بها بهدف ضار. يشير هذا أيضاً إلى أنه قد تم اختراق حساب له امتيازات إدارية. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه النشاط الإداري لتطبيق السحابة المشبوه هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى نشاط إداري مشبوه لتطبيق السحابة
أنشطة إعادة توجيه البريد بعد نشاط حساب المسؤول الجديد الذي لم يظهر مؤخرا
ينتمي هذا السيناريو إلى تصنيفين للمخاطر في هذه القائمة: النشاط الإداري الضار ونقل غير مصرّح للبيانات. من أجل الوضوح، يظهر في كلا القسمين.
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، المجموعة، النقل غير المصرح به
تقنيات MITRE ATT CK: حساب صالح (T1078)، مجموعة البريد الإلكتروني (T1114)، النقل غير المصرح عبر خدمة الويب (T1567)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه إما تم إنشاء حساب مسؤول Exchange جديد، أو أن حساب مسؤول Exchange موجود اتخذ بعض الإجراءات الإدارية لأول مرة، في الأسبوعين الماضيين، وأن الحساب قام بعد ذلك ببعض إجراءات إعادة توجيه البريد، وهي غير عادية لحساب مسؤول. تشير هذه الأدلة إلى أن حساب المستخدم المذكور في وصف حدث Fusion قد تم اختراقه أو التلاعب به، وأنه تم استخدامه لتصفية البيانات من شبكة مؤسستك.
التنفيذ الضار مع عملية مشروعة
أجرى PowerShell اتصال شبكة مشبوهة، متبوعا بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: التنفيذ
تقنيات MITRE ATT CK: مترجم الأوامر والبرمجة النصية (T1059)
مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (المعروف سابقا بـ الحماية المتقدمة من التهديدات من Microsoft Defender، أو MDATP)، أو Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إجراء طلب اتصال صادر عبر أمر PowerShell، وبعد ذلك، تم الكشف عن نشاط وارد شاذ بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أن المهاجم قد تمكن على الأرجح من الوصول إلى شبكتك ويحاول تنفيذ إجراءات ضارة. قد تكون محاولات الاتصال التي يقوم بها PowerShell التي تتبع هذا النمط مؤشراً على نشاط التحكم في الأوامر والبرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو مهاجم ينشئ وصولا تفاعليا عن بعد. كما هو الحال مع جميع هجمات "العيش خارج الأرض"، يمكن أن يكون هذا النشاط استخداماً شرعياً لـ PowerShell. ومع ذلك، فإن تنفيذ أمر PowerShell متبوعا بنشاط جدار الحماية الوارد المشبوه يزيد من الثقة في استخدام PowerShell بطريقة ضارة ويجب التحقيق فيه بشكل أكبر. في سجلات Palo Alto، يركز Microsoft Azure Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضاً سجل التهديد Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حدث الاندماج للحصول على تفاصيل تنبيه إضافية.
تنفيذ WMI عن بعد مريب متبوعا بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: التنفيذ، الاكتشاف
تقنيات MITRE ATT CK: Windows Management Instrumentation (T1047)
مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (المعروف سابقا بـ MDATP)، Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم تنفيذ أوامر واجهة إدارة Windows (WMI) عن بعد على نظام، وبعد ذلك، تم الكشف عن نشاط وارد مشبوه بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أن المهاجم ربما يكون قد تمكن من الوصول إلى شبكتك ويحاول التنقل أفقيا، وتصعيد الامتيازات، و/أو تنفيذ حمولات ضارة. وكما هو الحال مع جميع هجمات "العيش خارج الأرض"، يمكن أن يكون هذا النشاط استخداماً شرعياً لـ WMI. ومع ذلك، فإن تنفيذ أمر WMI البعيد متبوعا بنشاط جدار الحماية الوارد المشبوه يزيد من الثقة في استخدام WMI بطريقة ضارة ويجب التحقيق فيه بشكل أكبر. في سجلات Palo Alto، يركز Microsoft Azure Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضاً سجل التهديد Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حدث الاندماج للحصول على تفاصيل تنبيه إضافية.
سطر أوامر PowerShell المشتبه بهبعد تسجيل الدخول المشبوه
تكتيكات MITRE ATT CK: الوصول الأولي والتنفيذ
تقنيات MITRE ATT CK: حساب صالح (T1078)، مترجم الأوامر والبرمجة النصية (T1059)
مصادر موصل البيانات: حماية معرف Microsoft Entra، Microsoft Defender لنقطة النهاية (المعروف سابقا باسم MDATP)
الوصف: تشير حوادث الاندماج من هذا النوع إلى أن مستخدما نفذ أوامر PowerShell يحتمل أن تكون ضارة بعد تسجيل دخول مريب إلى حساب Microsoft Entra. وتشير هذه الأدلة بثقة عالية إلى أن الحساب المذكور في وصف التنبيه قد تعرض للخطر وأنه تم اتخاذ المزيد من الإجراءات الضارة. غالبا ما يستخدم المهاجمون PowerShell لتنفيذ حمولات ضارة في الذاكرة دون ترك البيانات الاصطناعية على القرص، لتجنب الكشف عن طريق آليات الأمان المستندة إلى القرص مثل الماسحات الضوئية للفيروسات. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه أمر PowerShell المشبوه هي:
السفر المستحيل إلى مواقع غير نمطية تؤدي إلى سطر أوامر PowerShell مريب
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى سطر أوامر PowerShell مريب
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى سطر أوامر PowerShell مريب
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى سطر أوامر PowerShell مريب
حدث تسجيل الدخول من المستخدم الذي يحتوي على بيانات اعتماد مسربة تؤدي إلى سطر أوامر PowerShell مريب
البرامج الضارة C2 أو تحميل
تم الكشف عن نمط Beacon بواسطة Fortinet بعد العديد من عمليات تسجيل دخول المستخدم الفاشلة إلى خدمة
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، الأمر والتحكم
تقنيات MITRE ATT CK: حساب صالح (T1078)، منفذ غير قياسي (T1571)، T1065 (متوقف)
مصادر موصل البيانات: Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)، Microsoft Defender for Cloud Apps
وصف: تشير حوادث الاندماج من هذا النوع إلى أنماط اتصال، من عنوان IP داخلي إلى عنوان خارجي، تتسق مع التتبع، بعد العديد من عمليات تسجيل دخول المستخدم الفاشلة إلى خدمة من كيان داخلي ذي صلة. يمكن أن يكون الجمع بين هذين الحدثين مؤشراً على الإصابة بالبرامج الضارة أو لمضيف معرض للخطر يقوم باختراق البيانات.
تم الكشف عن نمط منارة من قبل Fortinet بعد تسجيل الدخول المشبوه إلى Microsoft Entra
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، الأمر والتحكم
تقنيات MITRE ATT CK: حساب صالح (T1078)، منفذ غير قياسي (T1571)، T1065 (متوقف)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنماط اتصال، من عنوان IP داخلي إلى عنوان خارجي، تتسق مع التتبع، بعد تسجيل دخول مستخدم ذي طبيعة مريبة إلى معرف Microsoft Entra. يمكن أن يكون الجمع بين هذين الحدثين مؤشراً على الإصابة بالبرامج الضارة أو لمضيف معرض للخطر يقوم باختراق البيانات. التباديل الخاصة بنمط الملحق الملحق التي تم الكشف عنها بواسطة تنبيهات Fortinet مع تنبيهات تسجيل الدخول المشبوهة من Microsoft Entra هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نمط منارة تم اكتشافه بواسطة Fortinet
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نمط ملحق تم اكتشافه بواسطة Fortinet
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى اكتشاف نمط الملحق بواسطة Fortinet
طلب الشبكة إلى خدمة الكشف عن هوية TOR متبوعا بنسبة استخدام الشبكة الشاذة التي تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: القيادة والتحكم
تقنيات MITRE ATT CK: قناة مشفرة (T1573)، وكيل (T1090)
مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (المعروف سابقا بـ MDATP)، Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إجراء طلب اتصال صادر إلى خدمة تصغير هوية TOR، وبعد ذلك، تم الكشف عن نشاط وارد شاذ بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أن المهاجم قد تمكن على الأرجح من الوصول إلى شبكتك ويحاول إخفاء أفعاله وهدفه. قد تكون الاتصالات بشبكة TOR التي تتبع هذا النمط مؤشراً على نشاط الأوامر والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو مهاجم ينشئ وصولا تفاعليا عن بعد. في سجلات Palo Alto، يركز Microsoft Azure Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضاً سجل التهديد Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حدث الاندماج للحصول على تفاصيل تنبيه إضافية.
الاتصال الصادر بـ IP مع محفوظات محاولات الوصول غير المصرح بها متبوعة بحركة مرور شاذة تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: القيادة والتحكم
تقنيات MITRE ATT CK: غير قابل للتطبيق
مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (المعروف سابقا بـ MDATP)، Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم إنشاء اتصال صادر بعنوان IP مع محفوظات محاولات الوصول غير المصرح بها، وبعد ذلك، تم الكشف عن نشاط شاذ بواسطة جدار حماية شبكات Palo Alto. تشير هذه الأدلة إلى أنه من المحتمل أن يكون المهاجم قد تمكن من الوصول إلى شبكتك. يمكن أن تكون محاولات الاتصال التي تتبع هذا النمط مؤشراً على نشاط الأوامر والتحكم في البرامج الضارة أو طلبات تنزيل برامج ضارة إضافية أو مهاجم ينشئ وصولا تفاعليا عن بعد. في سجلات Palo Alto، يركز Microsoft Azure Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضاً سجل التهديد Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حدث الاندماج للحصول على تفاصيل تنبيه إضافية.
استمرار
(تصنيف جديد للمخاطر)
الموافقة النادرة على التطبيق بعد تسجيل الدخول المشبوه
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الثبات والوصول الأولي
تقنيات MITRE ATT CK: إنشاء حساب (T1136)، حساب صالح (T1078)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أن أحد التطبيقات قد تم منحه موافقة مستخدم لم يقم بذلك أو نادرا ما قام بذلك، بعد تسجيل دخول مريب ذي صلة إلى حساب Microsoft Entra. تشير هذه الأدلة إلى أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه واستخدامه للوصول إلى التطبيق أو معالجته لأغراض ضارة. يجب أن تكون الموافقة على التطبيق وإضافة كيان الخدمة وإضافة OAuth2PermissionGrant عادة أحداثا نادرة. قد يستخدم المهاجمون هذا النوع من تغيير التكوين لإنشاء موطئ قدمهم أو الاحتفاظ به على الأنظمة. التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع تنبيه الموافقة على التطبيق النادر هي:
السفر المستحيل إلى موقع غير نمطي ما يؤدي إلى الحصول على موافقة نادرة على الطلب
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى موافقة نادرة على التطبيق
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى موافقة نادرة على التطبيق
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى موافقة نادرة على التطبيق
حدث تسجيل الدخول من مستخدم مع بيانات اعتماد مسربة ما يؤدي إلى موافقة نادرة على التطبيق
برامج الفدية الضارة
تنفيذ برامج الفدية الضارة بعد تسجيل الدخول المشبوه إلى Microsoft Entra
تكتيكات MITRE ATT CK: الوصول الأولي، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، بيانات مشفرة للتأثير (T1486)
مصادر موصل البيانات: Microsoft Defender for Cloud Apps، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم الكشف عن سلوك المستخدم الشاذ الذي يشير إلى هجوم برامج الفدية الضارة بعد تسجيل دخول مشبوه إلى حساب Microsoft Entra. توفر هذه الإشارة ثقة كبيرة في أن الحساب المذكور في وصف حادث الاندماج قد تم اختراقه وتم استخدامه لتشفير البيانات لأغراض ابتزاز مالك البيانات أو رفض وصول مالك البيانات إلى بياناته. التباديل الخاصة بتنبيهات تسجيل الدخول إلى Microsoft Entra المشبوهة مع تنبيه تنفيذ برامج الفدية الضارة هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى برامج الفدية الضارة في تطبيق السحابة
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى برامج الفدية الضارة في تطبيق السحابة
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى برامج الفدية الضارة في تطبيق السحابة
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى برامج الفدية الضارة في تطبيق السحابة
حدث تسجيل الدخول من المستخدم مع بيانات اعتماد مسربة تؤدي إلى برامج الفدية الضارة في تطبيق السحابة
الاستغلال عن بعد
يشتبه في استخدام إطار عمل الهجوم متبوعا بحركة مرور شاذة تم وضع علامة عليها بواسطة جدار حماية Palo Alto Networks
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي والتنفيذ والحركة الجانبية وتصعيد الامتياز
تقنيات MITRE ATT CK: استغلال التطبيق العام (T1190)، استغلال تنفيذ العميل (T1203)، استغلال الخدمات عن بعد (T1210)، استغلال تصعيد الامتيازات (T1068)
مصادر موصل البيانات: Microsoft Defender لنقطة النهاية (المعروف سابقا بـ MDATP)، Microsoft Azure Sentinel (قاعدة التحليلات المجدولة)
وصف: تشير حوادث الاندماج من هذا النوع إلى أنه تم الكشف عن استخدامات غير قياسية للبروتوكولات، تشبه استخدام أطر الهجوم مثل Metasploit، وبعد ذلك، تم الكشف عن نشاط وارد مشبوه بواسطة جدار حماية شبكات Palo Alto. قد يكون هذا مؤشراً أوليا على أن المهاجم قد استغل خدمة للوصول إلى موارد الشبكة الخاصة بك أو أن المهاجم قد حصل بالفعل على حق الوصول ويحاول استغلال الأنظمة/الخدمات المتوفرة بشكل أكبر للتنقل أفقيا و/أو تصعيد الامتيازات. في سجلات Palo Alto، يركز Microsoft Azure Sentinel على سجلات التهديدات، وتعتبر نسبة استخدام الشبكة مريبة عند السماح بالتهديدات (البيانات المشبوهة والملفات والفيضانات والحزم والمسح الضوئي وبرامج التجسس وعناوين URL والفيروسات والثغرات الأمنية وفيروسات حرائق الغابات وحرائق الغابات). راجع أيضاً سجل التهديد Palo Alto المطابق لنوع التهديد/المحتوى المدرج في وصف حدث الاندماج للحصول على تفاصيل تنبيه إضافية.
اختطاف الموارد
(تصنيف جديد للمخاطر)
المورد المشبوه / توزيع مجموعة الموارد من قبل المتصل غير المرئي مسبقا بعد تسجيل الدخول المشبوه ل Microsoft Entra
يستخدم هذا السيناريو التنبيهات التي تنتجها قواعد التحليلات المجدولة.
هذا السيناريو قيد المعاينة حالياً.
تكتيكات MITRE ATT CK: الوصول الأولي، التأثير
تقنيات MITRE ATT CK: حساب صالح (T1078)، اختطاف الموارد (T1496)
مصادر موصل البيانات: Microsoft Sentinel (قاعدة التحليلات المجدولة)، حماية معرف Microsoft Entra
الوصف: تشير حوادث الاندماج من هذا النوع إلى أن المستخدم قد نشر مورد Azure أو مجموعة موارد - نشاط نادر - بعد تسجيل دخول مريب، مع خصائص لم يتم رؤيتها مؤخرا، إلى حساب Microsoft Entra. قد يكون هذا محاولة من قبل مهاجم لنشر الموارد أو مجموعات الموارد لأغراض ضارة بعد المساس بحساب المستخدم المذكور في وصف حدث Fusion.
التباديل الخاصة بتنبيهات تسجيل الدخول المشبوهة من Microsoft Entra مع المورد المشبوه / توزيع مجموعة الموارد بواسطة تنبيه متصل غير مرئي مسبقا هي:
السفر المستحيل إلى موقع غير نمطي يؤدي إلى نشر الموارد / مجموعة الموارد المشبوهة من قبل المتصل غير المرئي مسبقا
حدث تسجيل الدخول من موقع غير مألوف يؤدي إلى نشر الموارد / مجموعة الموارد المشبوهة من قبل المتصل غير المرئي مسبقا
حدث تسجيل الدخول من جهاز مصاب يؤدي إلى نشر الموارد / مجموعة الموارد المشبوهة من قبل المتصل غير المرئي مسبقا
حدث تسجيل الدخول من عنوان IP مجهول يؤدي إلى نشر مورد / مجموعة موارد مريبة من قبل المتصل غير المرئي مسبقا
حدث تسجيل الدخول من مستخدم لديه بيانات اعتماد مسربة تؤدي إلى نشر مجموعة الموارد / الموارد المشبوهة من قبل المتصل غير المرئي مسبقا
الخطوات التالية
الآن لقد تعرفت على المزيد حول الكشف المتقدم عن الهجمات متعددة المراحل، قد تكون مهتما بالتشغيل السريع التالي لمعرفة كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة: بدء استخدام Microsoft Sentinel.
إذا كنت مستعداً للتحقيق في الحوادث التي تم إنشاؤها لك، فراجع البرنامج التعليمي التالي: التحقيق في الحوادث باستخدام Microsoft Sentinel.