Teilen über

Vom Microsoft Sentinel Fusion Modul erkannte Szenarien

  • Artikel

In diesem Dokument werden die Arten von szenariobasierten mehrstufigen Angriffen nach Bedrohungsklassifizierung aufgelistet, die Microsoft Sentinel mit dem Fusion-Korrelations-Modul erkennt.

Da Fusion mehrere Signale von verschiedenen Produkten korreliert, um erweiterte mehrstufige Angriffe zu erkennen, werden erfolgreiche Erkennungen von Fusion als Fusion-Vorfälle auf der Seite Microsoft Sentinel Vorfälle und nicht als Warnungen angezeigt und in der Tabelle Vorfälle in Protokollen und nicht in der Tabelle Sicherheitswarnungen gespeichert.

Um diese von Fusion gestützten Angriffserkennungsszenarien zu ermöglichen, müssen alle aufgeführten Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst werden. Befolgen Sie für Szenarien mit geplanten Analyseregeln die Anweisungen unter Konfigurieren geplanter Analyseregeln für Fusion-Erkennungen.

Hinweis

Einige dieser Szenarios befinden sich in der VORSCHAU. Diese sind entsprechend gekennzeichnet.

Missbrauch von Computeressourcen

Mehrere VM-Erstellungsaktivitäten nach verdächtiger Microsoft Entra-Anmeldung

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Auswirkung

MITRE ATT&CK Techniken: Valid Account (T1078), Resource Hijacking (T1496)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass VMs in ungewöhnlicher Anzahl in einer einzelnen Sitzung im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto erstellt wurden. Diese Art von Benachrichtigung zeigt mit einem hohen Grad an Vertrauenswürdigkeit an, dass das in der Fusion-Vorfallsbeschreibung genannte Konto beschädigt und zum Erstellen neuer VMs für nicht autorisierte Zwecke verwendet wurde, etwa zum Ausführen von Vorgängen zum Kryptografiemining. Die Permutationen zu Warnungen verdächtiger Microsoft Entra-Anmeldungen mit der Warnung für die Erstellung mehrerer VMs sind:

  • Unmöglicher Ortswechsel an einen atypischen Speicherort führt zu mehreren Aktivitäten zur VM-Erstellung

  • Anmeldeereignis von einem unbekannten Ort führt zu mehreren Aktivitäten zur VM-Erstellung

  • Anmeldeereignis von einem infizierten Gerät führt zu mehreren Aktivitäten zur VM-Erstellung

  • Anmeldeereignis von einer anonymen IP-Adresse führt zu mehreren Aktivitäten zur VM-Erstellung

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen führt zu mehreren Aktivitäten zur VM-Erstellung

Zugriff über Anmeldeinformationen

(Neue Bedrohungsklassifizierung)

Zurücksetzen mehrerer Kennwörter durch Benutzer nach verdächtiger Anmeldung

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Anmeldeinformationszugriff

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Brute Force (T1110)

Quellen für Datenconnector: Microsoft Sentinel (geplante Analyseregel), Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass ein Benutzer nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto mehrere Kennwörter zurückgesetzt hat. Dies ist ein Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto kompromittiert und dazu verwendet wurde, mehrere Kennwörter zurückzusetzen, um Zugriff auf mehrere Systeme und Ressourcen zu erhalten. Die Manipulation von Konten (einschließlich Zurücksetzung von Kennwörtern) kann Angreifern dabei helfen, den Zugriff auf Anmeldeinformationen und bestimmte Berechtigungsebenen innerhalb einer Umgebung aufrechtzuerhalten. Die Permutationen von Warnungen zu verdächtigen Microsoft Entra-Anmeldungen mit Warnungen zum Zurücksetzen mehrerer Kennwörter sind:

  • Unmöglicher Ortswechsel an einen atypischen Ort, der zu mehreren Kennwortzurücksetzungen führt

  • Anmeldeereignis von einem unbekannten Ort, das zu mehreren Kennwortzurücksetzungen führt

  • Anmeldeereignis von einem infizierten Gerät, das zu mehreren Kennwortzurücksetzungen führt

  • Anmeldeereignis mit einer anonymen IP-Adresse, das zu mehreren Kennwortzurücksetzungen führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu mehreren Kennwortzurücksetzungen führt

Verdächtige Anmeldung, die mit einer erfolgreichen Anmeldung bei Palo Alto VPN über IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen einhergeht

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Anmeldeinformationszugriff

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Brute Force (T1110)

Quellen für Datenconnector: Microsoft Sentinel (geplante Analyseregel), Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eine verdächtige Anmeldung bei einem Microsoft Entra-Konto mit einer erfolgreichen Anmeldung über ein Palo Alto VPN über eine IP-Adresse einherging, von der aus mehrere fehlgeschlagene Microsoft Entra-Anmeldungen in einem ähnlichen Zeitrahmen erfolgt sind. Obwohl dies kein Hinweis auf einen mehrstufigen Angriff ist, ergibt die Korrelation dieser beiden Warnungen mit geringerer Zuverlässigkeit einen Vorfall mit hoher Zuverlässigkeit, der auf einen ersten böswilligen Zugriff auf das Netzwerk der Organisation schließen lässt. Alternativ kann dies ein Hinweis darauf sein, dass ein Angreifer versucht, sich mit Brute-Force-Techniken Zugriff auf ein Microsoft Entra-Konto zu verschaffen. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit Warnungen des Typs „IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen meldet sich erfolgreich bei Palo Alto VPN an“ sind:

  • Unmöglicher Ortswechsel an einen atypischen Ort, der mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen einhergeht, die sich erfolgreich bei Palo Alto VPN anmeldet

  • Anmeldeereignis von einem nicht vertrauten Ort aus, das mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen einhergeht, die sich erfolgreich bei Palo Alto VPN anmeldet

  • Anmeldeereignis von einem infizierten Gerät aus, das mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen einhergeht, die sich erfolgreich bei Palo Alto VPN anmeldet

  • Anmeldeereignis mit einer anonymen IP-Adresse, die mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen einhergeht, die sich erfolgreich bei Palo Alto VPN anmeldet

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen einhergeht, die sich erfolgreich bei Palo Alto VPN anmeldet

Abgreifen von Anmeldeinformation

(Neue Bedrohungsklassifizierung)

Ausführung eines Tools für den Diebstahl von Anmeldeinformationen nach einer verdächtigen Anmeldung

MITRE ATT&CK-Taktiken: Erstzugriff, Anmeldeinformationszugriff

MITRE ATT&CK-Techniken: Valid Account (T1078), OS Credential Dumping (T1003)

Quellen für den Datenconnector: Microsoft Entra ID-Schutz, Microsoft Defender for Endpoint

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass ein bekanntes Tool zum Diebstahl von Anmeldeinformationen nach einer verdächtigen Microsoft Entra-Anmeldung ausgeführt wurde. Dies bedeutet mit hoher Zuverlässigkeit, dass das in der Warnungsbeschreibung genannte Benutzerkonto kompromittiert wurde und unter diesem möglicherweise ein Tool wie Mimikatz verwendet wurde, um Anmeldeinformationen wie Schlüssel, unverschlüsselte Kennwörter oder Kennworthashes aus dem System abzugreifen. Mithilfe der gesammelten Anmeldeinformationen kann ein Angreifer auf vertrauliche Daten zugreifen, Berechtigungen erhöhen und im gesamten Netzwerk navigieren. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung des Tools zum Diebstahl von Anmeldeinformationen sind:

  • Unmöglicher Ortswechsel zu atypischen Orten, der zur Ausführung eines böswilligen Tools zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis von einem unbekannten Ort, das zur Ausführung eines böswilligen Tools zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis von einem infizierten Gerät, das zur Ausführung eines böswilligen Tools zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zur Ausführung eines böswilligen Tools zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zur Ausführung eines böswilligen Tools zum Diebstahl von Anmeldeinformationen führt

Möglicher Diebstahl von Anmeldeinformationen nach einer verdächtigen Anmeldung

MITRE ATT&CK-Taktiken: Erstzugriff, Anmeldeinformationszugriff

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Anmeldeinformationen aus Kennwortspeichern (T1555), OS Credential Dumping (T1003)

Quellen für den Datenconnector: Microsoft Entra ID-Schutz, Microsoft Defender for Endpoint

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass nach einer verdächtigen Microsoft Entra-Anmeldung eine Aktivität ausgeführt wurde, die Muster des Diebstahls von Anmeldeinformationen aufweist. Dies bedeutet mit hoher Zuverlässigkeit, dass das in der Warnungsbeschreibung genannte Benutzerkonto kompromittiert wurde, um unter diesem Anmeldeinformationen wie Schlüssel, unverschlüsselte Kennwörter, Kennworthashes usw. zu stehlen. Mithilfe der gestohlenen Anmeldeinformationen kann ein Angreifer auf vertrauliche Daten zugreifen, Berechtigungen erhöhen und im gesamten Netzwerk navigieren. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zum Diebstahl von Anmeldeinformationen sind:

  • Unmöglicher Ortswechsel zu atypischen Orten, der zu einer Aktivität zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis von einem unbekannten Ort, das zu einer Aktivität zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis von einem infizierten Gerät, das zu einer Aktivität zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu einer Aktivität zum Diebstahl von Anmeldeinformationen führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu einer Aktivität zum Diebstahl von Anmeldeinformationen führt

Crypto Mining

(Neue Bedrohungsklassifizierung)

Aktivität zum Crypto Mining nach verdächtiger Anmeldung

MITRE ATT&CK-Taktiken: Erstzugriff, Anmeldeinformationszugriff

MITRE ATT&CK Techniken: Valid Account (T1078), Resource Hijacking (T1496)

Quellen für den Datenconnector: Microsoft Entra ID-Schutz, Microsoft Defender for Cloud

Beschreibung: Fusionsvorfälle dieser Art deuten auf eine Aktivität zum Krypto-Mining hin, die einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto zugeordnet ist. Dies bedeutet mit hoher Zuverlässigkeit, dass das in der Warnungsbeschreibung genannte Benutzerkonto kompromittiert und zum Übernehmen von Ressourcen in Ihrer Umgebung verwendet wurde, um mit diesen das Mining einer Kryptowährung zu betreiben. Dies kann Ihre Computeressourcen und damit die Computingleistung beeinträchtigen und zu deutlich höheren als den erwarteten Cloudnutzungsgebühren führen. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zum Krypto-Mining sind:

  • Unmöglicher Ortswechsel zu atypischen Orten, der zu Crypto Mining führt

  • Anmeldeereignis von einem unbekannten Ort, das zu Crypto Mining führt

  • Anmeldeereignis von einem infizierten Gerät, das zu Crypto Mining führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu Crypto Mining führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu Crypto Mining führt

Datenvernichtung

Massendateilöschung nach verdächtiger Microsoft Entra-Anmeldung

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Auswirkung

MITRE ATT&CK Techniken: Valid Account (T1078), Data Destruction (T1485)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eindeutige Dateien in ungewöhnlicher Anzahl von einem Benutzer im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto gelöscht wurden. Dies ist ein Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto möglicherweise kompromittiert und zu böswilligen Zwecken zur Vernichtung von Daten verwendet wurde. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zur Massenlöschung von Dateien sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zur Massenlöschung von Dateien führt

  • Anmeldeereignis von einem unbekannten Ort, das zur Massenlöschung von Dateien führt

  • Anmeldeereignis mit einem infizierten Gerät, das zur Massenlöschung von Dateien führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zur Massenlöschung von Dateien führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zur Massenlöschung von Dateien führt

Massenlöschung von Dateien nach einer erfolgreichen Microsoft Entra-Anmeldung über eine IP-Adresse, die von einer Cisco Firewall-Appliance blockiert wurde

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Auswirkung

MITRE ATT&CK Techniken: Valid Account (T1078), Data Destruction (T1485)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eindeutige Dateien in ungewöhnlicher Anzahl im Anschluss an eine erfolgreiche Microsoft Entra-Anmeldung gelöscht wurde, obwohl die IP-Adresse des Benutzers von einer Cisco Firewall-Appliance blockiert wurde. Die ist ein Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto kompromittiert und zu böswilligen Zwecken zur Vernichtung von Daten verwendet wurde. Da die IP-Adresse von der Firewall blockiert war, ist dieselbe IP-Adresse, die sich erfolgreich bei Microsoft Entra anmeldet, potenziell verdächtig und könnte auf eine Kompromittierung der Anmeldeinformationen für das Benutzerkonto hindeuten.

Massenlöschung von Dateien nach erfolgreicher Anmeldung bei Palo Alto VPN mit IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Zugriff auf Anmeldeinformationen, Beeinträchtigung

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Brute Force (T1110), Datenvernichtung (T1485)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eindeutige Dateien in ungewöhnlicher Anzahl von einem Benutzer gelöscht wurden, der sich erfolgreich über ein Palo Alto VPN mit einer IP-Adresse angemeldet hat, von der aus in einem ähnlichen Zeitrahmen mehrere fehlgeschlagene Microsoft Entra-Anmeldungen erfolgt sind. Dies ist ein Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto möglicherweise kompromittiert und zu böswilligen Zwecken zur Vernichtung von Daten verwendet wurde.

Verdächtige E-Mail-Löschaktivität nach verdächtiger Microsoft Entra-Anmeldung

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Auswirkung

MITRE ATT&CK Techniken: Valid Account (T1078), Data Destruction (T1485)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass E-Mails in ungewöhnlicher Anzahl in einer einzelnen Sitzung im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto gelöscht wurden. Dies ist ein Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto möglicherweise kompromittiert und zu böswilligen Zwecken zur Vernichtung von Daten verwendet wurde, etwa um die Organisation zu schädigen oder E-Mail-Aktivität im Zusammenhang mit Spam zu verbergen. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung über verdächtige Aktivitäten zur E-Mail-Löschung sind:

  • Unmöglicher Ortswechsel an einen atypischen Speicherort führt zu verdächtiger Aktivität zur E-Mail-Löschung

  • Anmeldeereignis von einem unbekannten Ort führt zu verdächtiger Aktivität zur E-Mail-Löschung

  • Anmeldeereignis von einem infizierten Gerät führt zu verdächtiger Aktivität zur E-Mail-Löschung

  • Anmeldeereignis von einer anonymen IP-Adresse führt zu verdächtiger Aktivität zur E-Mail-Löschung

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen führt zu verdächtiger Aktivität zur E-Mail-Löschung

Datenexfiltration

E-Mail-Weiterleitungsaktivitäten nach Einrichtung eines neuen Administratorkontos, das bisher nicht bekannt war

Dieses Szenario ist zwei Klassifikationen in dieser Liste zuzuordnen: Datenexfiltration und böswillige administrative Aktivität. Aus Gründen der Klarheit wird es in beiden Abschnitten aufgeführt.

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Sammlung, Exfiltration

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), E-Mail-Sammlung (T1114), Exfiltration über einen Webdienst (T1567)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusion-Vorfälle dieser Art sind ein Hinweis, dass entweder ein neues Exchange-Administratorkonto erstellt wurde oder ein bestehendes Exchange-Administratorkonto in den letzten zwei Wochen zum ersten Mal eine administrative Aktion durchgeführt hat, und dass das Konto dann einige E-Mail-Weiterleitungsaktionen durchgeführt hat, die für ein Administratorkonto ungewöhnlich sind. Dies deutet darauf hin, dass das in der Beschreibung des Fusion-Vorfalls angegebene Benutzerkonto kompromittiert bzw. manipuliert und verwendet wurde, um Daten aus dem Netzwerk Ihrer Organisation zu exfiltrieren.

Massendateidownload nach verdächtiger Microsoft Entra-Anmeldung

MITRE ATT&CK-Taktiken: Initial Access, Exfiltration

MITRE ATT&CK-Techniken: Gültiges Konto (T1078)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass Dateien in ungewöhnlicher Anzahl von einem Benutzer im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto heruntergeladen wurden. Diese Indikation bietet hohe Vertrauenswürdigkeit für die Annahme, dass das in der Fusion-Vorfallsbeschreibung angegebene Konto kompromittiert und zur Exfiltration von Daten aus dem Netzwerk Ihrer Organisation verwendet wurde. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zum Massendownload von Dateien sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort mit Massendownload von Dateien

  • Anmeldeereignis von einem unbekannten Ort, das zum Massendownload von Dateien führt

  • Anmeldeereignis mit einem infizierten Gerät, das zum Massendownload von Dateien führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zum Massendownload von Dateien führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zum Massendownload von Dateien führt

Massendownload von Dateien nach erfolgreicher Microsoft Entra-Anmeldung über eine IP-Adresse, die von einer Cisco Firewall-Appliance blockiert wurde

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Initial Access, Exfiltration

MITRE ATT&CK-Techniken: Valid Account (T1078), Exfiltration over Web Service (T1567)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass Dateien in ungewöhnlicher Anzahl von einem Benutzer heruntergeladen wurden, obwohl die IP-Adresse des Benutzers von einer Cisco Firewall-Appliance blockiert wurde. Dies kann ein möglicher Versuch eines Angreifers sein, Daten aus dem Netzwerk der Organisation zu exfiltrieren, nachdem ein Benutzerkonto kompromittiert wurde. Da die IP-Adresse von der Firewall blockiert war, ist dieselbe IP-Adresse, die sich erfolgreich bei Microsoft Entra anmeldet, potenziell verdächtig und könnte auf eine Kompromittierung der Anmeldeinformationen für das Benutzerkonto hindeuten.

Massendownload von Dateien bei gleichzeitigem SharePoint-Dateivorgang von zuvor unbekannter IP-Adresse

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktik: Exfiltration

MITRE ATT&CK-Techniken: Exfiltration über Webdienst (T1567), Größenbeschränkungen für Datenübertragungen (T1030)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusion-Vorfälle dieses Typs sind ein Hinweis, dass eine anomale Anzahl von Dateien von einem Benutzer heruntergeladen wurde, der über eine zuvor nicht verwendete IP-Adresse verbunden war. Obwohl dies kein Beweis für einen mehrstufigen Angriff ist, ergibt die Korrelation dieser beiden Warnungen mit geringerer Zuverlässigkeit einen Vorfall mit hoher Zuverlässigkeit, der auf den Versuch eines Angreifers hindeutet, Daten aus dem Netzwerk der Organisation über ein möglicherweise kompromittiertes Benutzerkonto zu exfiltrieren. In stabilen Umgebungen können solche Verbindungen über bislang nicht bekannte IP-Adressen unzulässig sein, insbesondere wenn sie mit Volumenspitzen verbunden sind, die mit einer groß angelegten Exfiltration von Dokumenten in Verbindung gebracht werden könnten.

Massendateifreigabe nach verdächtiger Microsoft Entra-Anmeldung

MITRE ATT&CK-Taktiken: Initial Access, Exfiltration

MITRE ATT&CK-Techniken: Valid Account (T1078), Exfiltration over Web Service (T1567)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eine Anzahl von Dateien oberhalb eines bestimmten Schwellenwerts im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto für andere freigegeben wurden. Diese Indikation bietet hohe Vertrauenswürdigkeit für die Annahme, dass das in der Fusion-Vorfallsbeschreibung angegebene Konto kompromittiert und zur Exfiltration von Daten aus dem Netzwerk Ihrer Organisation verwendet wurde, indem Dateien wie Dokumente, Kalkulationstabellen usw. mit böswilliger Absicht für unberechtigte Benutzer freigegeben wurden. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zur Massenfreigabe von Dateien sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort mit Massenfreigabe von Dateien

  • Anmeldeereignis von einem unbekannten Ort, das zur Massenfreigabe von Dateien führt

  • Anmeldeereignis mit einem infizierten Gerät, das zur Massenfreigabe von Dateien führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zur Massenfreigabe von Dateien führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zur Massenfreigabe von Dateien führt

Mehrere Aktivitäten zur Power BI-Berichtsfreigabe nach verdächtiger Microsoft Entra-Anmeldung

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Initial Access, Exfiltration

MITRE ATT&CK-Techniken: Valid Account (T1078), Exfiltration over Web Service (T1567)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass Power BI-Berichte in ungewöhnlicher Anzahl in einer einzelnen Sitzung im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto freigegeben wurden. Diese Indikation bietet hohe Vertrauenswürdigkeit für die Annahme, dass das in der Fusion-Vorfallsbeschreibung angegebene Konto kompromittiert und zur Exfiltration von Daten aus dem Netzwerk Ihrer Organisation verwendet wurde, indem Power BI-Berichte in böswilliger Absicht für unberechtigte Benutzer freigegeben wurden. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung über mehrere Aktivitäten zur Freigabe von Power BI-Berichten sind:

  • Unmöglicher Ortswechsel an einen atypischen Speicherort führt zu mehreren Aktivitäten zur Freigabe von Power BI-Berichten

  • Anmeldeereignis von einem unbekannten Ort führt zu mehreren Aktivitäten zur Freigabe von Power BI-Berichten

  • Anmeldeereignis von einem infizierten Gerät führt zu mehreren Aktivitäten zur Freigabe von Power BI-Berichten

  • Anmeldeereignis von einer anonymen IP-Adresse führt zu mehreren Aktivitäten zur Freigabe von Power BI-Berichten

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen führt zu mehreren Aktivitäten zur Freigabe von Power BI-Berichten

Office 365-Postfachexfiltration nach einer verdächtigen Microsoft Entra-Anmeldung

MITRE ATT&CK-Taktiken: Erstzugriff, Exfiltration, Sammlung

MITRE ATT&CK-Techniken: Valid Account (T1078), E-Mail Collection (T1114), Automated Exfiltration (T1020)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eine verdächtige Posteingangsweiterleitungsregel für den Posteingang eines Benutzers im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto festgelegt wurde. Diese Indikation bietet hohe Vertrauenswürdigkeit für die Annahme, dass das Konto des Benutzers (das in der Fusion-Vorfallsbeschreibung angegeben ist) kompromittiert und zur Exfiltration von Daten aus dem Netzwerk Ihrer Organisation verwendet wurde, indem ohne Wissen des wahren Benutzers eine Weiterleitungsregel für ein Postfach aktiviert wurde. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zur Office 365-Postfachexfiltration sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einer Exfiltration des Office 365-Postfachs führt

  • Anmeldeereignis von einem unbekannten Ort, das zu einer Exfiltration des Office 365-Postfachs führt

  • Anmeldeereignis mit einem infizierten Gerät, das zu einer Exfiltration des Office 365-Postfachs führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu einer Exfiltration des Office 365-Postfachs führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zur Exfiltration des Office 365-Postfachs führt

SharePoint-Dateivorgang von zuvor unbekannter IP-Adresse nach Schadsoftwareerkennung

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktik: Exfiltration, Umgehen von Verteidigungsmaßnahmen

MITRE ATT&CK-Techniken: Größenbeschränkungen für die Datenübertragung (T1030)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusion-Vorfälle dieser Art deuten darauf hin, dass ein Angreifer mithilfe von Schadsoftware versucht hat, große Datenmengen durch Herunterladen oder Freigeben über SharePoint zu exfiltrieren. In stabilen Umgebungen können solche Verbindungen über bislang nicht bekannte IP-Adressen unzulässig sein, insbesondere wenn sie mit Volumenspitzen verbunden sind, die mit einer groß angelegten Exfiltration von Dokumenten in Verbindung gebracht werden könnten.

Verdächtige Regeln zur Posteingangsänderung im Anschluss an verdächtige Microsoft Entra-Anmeldung festgelegt

Dieses Szenario ist zwei Klassifikationen in dieser Liste zuzuordnen: Datenexfiltration und Lateral Movement. Aus Gründen der Klarheit wird es in beiden Abschnitten aufgeführt.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Lateralbewegung, Exfiltration

MITRE ATT&CK-Techniken: Valid Account (T1078), Internal Spear Phishing (T1534), Automated Exfiltration (T1020)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass anomale Posteingangsregeln für den Posteingang eines Benutzers im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto festgelegt wurden. Dies gibt einen sehr zuverlässigen Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto kompromittiert und zu böswilligen Zwecken zur Manipulation der Regeln des Benutzerposteingangs verwendet wurde, um möglicherweise Daten aus dem Netzwerk der Organisation zu exfiltrieren. Alternativ könnte der Angreifer versuchen, Phishing-E-Mails aus dem Innern der Organisation zu erstellen (durch Umgehen der Mechanismen zur Erkennung von Phishing, die auf E-Mails aus externen Quellen gerichtet sind), um ihm durch Erwerb des Zugriffs auf weitere Benutzerkonten und/oder bevorrechtigte Konten eine Seitwärtsbewegung zu ermöglichen. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung über verdächtige Regeln zur Posteingangsänderung sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einer verdächtigen Regel zur Posteingangs-Änderung führt

  • Anmeldeereignis von einem unbekannten Ort, das zu verdächtiger Regel zur Posteingangsänderung führt

  • Anmeldeereignis von einem infizierten Gerät, das zu verdächtiger Regel zur Posteingangsänderung führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu verdächtiger Regel zur Posteingangsänderung führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu verdächtiger Regel zur Posteingangsänderung führt

Verdächtige Power BI-Berichtfreigabe nach verdächtiger Microsoft Entra-Anmeldung

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Initial Access, Exfiltration

MITRE ATT&CK-Techniken: Valid Account (T1078), Exfiltration over Web Service (T1567)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eine verdächtige Aktivität zur Power BI-Berichtsfreigabe im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto auftrat. Die Freigabeaktivität wurde als verdächtig identifiziert, weil der Power BI-Bericht vertrauliche Informationen enthielt, wie mithilfe der natürlichsprachlichen Verarbeitung festgestellt wurde, und weil er mit einer externen E-Mail-Adresse geteilt, im Web veröffentlicht oder als Momentaufnahme an eine extern abonnierte E-Mail-Adresse übermittelt wurde. Diese Benachrichtigung deutet mit hoher Vertrauenswürdigkeit darauf hin, dass das in der Fusion-Vorfallsbeschreibung angegebene Konto kompromittiert und zur Exfiltration vertraulicher Daten aus Ihrer Organisation verwendet wurde, indem Power BI-Berichte in böswilliger Absicht für unberechtigte Benutzer freigegeben wurden. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der verdächtigen Power BI-Berichtsfreigabe sind:

  • Unmöglicher Ortswechsel an einen atypischen Speicherort führt zu verdächtiger Freigabe von Power BI-Berichten

  • Anmeldeereignis von einem unbekannten Ort führt zu verdächtiger Freigabe von Power BI-Berichten

  • Anmeldeereignis von einem infizierten Gerät führt zu verdächtiger Freigabe von Power BI-Berichten

  • Anmeldeereignis von einer anonymen IP-Adresse führt zu verdächtiger Freigabe von Power BI-Berichten

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen führt zu verdächtiger Freigabe von Power BI-Berichten

Denial of Service

Mehrere VM-Löschaktivitäten nach verdächtiger Microsoft Entra-Anmeldung

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Auswirkung

MITRE ATT&CK-Techniken: Valid Account (T1078), Endpoint Denial of Service (T1499)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass VMs in ungewöhnlicher Anzahl in einer einzelnen Sitzung im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto gelöscht wurden. Diese Indikation bietet hohe Vertrauenswürdigkeit für die Annahme, dass das in der Fusion-Vorfallsbeschreibung genannte Konto kompromittiert und zum Versuch der Betriebsunterbrechung oder Vernichtung der Cloudumgebung der Organisation verwendet wurde. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung über Aktivitäten zur Löschung mehrerer VMs sind:

  • Unmöglicher Ortswechsel an einen atypischen Speicherort, der zu mehreren Aktivitäten zur Löschung von VMs führt

  • Anmeldeereignis von einem unbekannten Ort, das zu mehreren Aktivitäten zur Löschung von VMs führt

  • Anmeldeereignis von einem infizierten Gerät, das zu mehreren Aktivitäten zur Löschung von VMs führt

  • Anmeldeereignis mit einer anonymen IP-Adresse, das zu mehreren Aktivitäten zur Löschung von VMs führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu mehreren Aktivitäten zur Löschung von VMs führt

Seitwärtsbewegung

Office 365-Identitätswechsel nach verdächtiger Microsoft Entra-Anmeldung

MITRE ATT&CK-Taktiken: Erstzugriff, Lateralbewegung

MITRE ATT&CK Techniken: Valid Account (T1078), Internal Spear Phishing (T1534)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass Identitätswechselaktionen in ungewöhnlicher Anzahl im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto aufgetreten sind. Einige Softwareanwendungen bieten Optionen, mit denen Benutzer die Identität anderer Benutzer annehmen können. Beispielsweise geben E-Mail-Dienste ihren Benutzern die Möglichkeit, andere Benutzer zum Senden von E-Mails in ihrem Auftrag zu ermächtigen. Diese Benachrichtigung gibt einen ziemlich vertrauenswürdigen Hinweis darauf, dass das in der Fusion-Vorfallsbeschreibung genannte Konto kompromittiert und dazu verwendet wurde, Identitätswechselaktivitäten zu böswilligen Zwecken durchzuführen, etwa um Phishing-E-Mails zur Verteilung von Malware oder zur Seitwärtsbewegung zu senden. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zum Office 365-Identitätswechsel sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einem Office 365-Identitätswechsel führt

  • Anmeldeereignis von einem unbekannten Ort, das zu einem Office 365-Identitätswechsel führt

  • Anmeldeereignis mit einem infizierten Gerät, das zu einem Office 365-Identitätswechsel führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu einem Office 365-Identitätswechsel führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu einem Office 365-Identitätswechsel führt

Verdächtige Regeln zur Posteingangsänderung im Anschluss an verdächtige Microsoft Entra-Anmeldung festgelegt

Dieses Szenario ist zwei Klassifikationen in dieser Liste zuzuordnen: Seitwärtsbewegung und Datenexfiltration. Aus Gründen der Klarheit wird es in beiden Abschnitten aufgeführt.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Lateralbewegung, Exfiltration

MITRE ATT&CK-Techniken: Valid Account (T1078), Internal Spear Phishing (T1534), Automated Exfiltration (T1020)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass anomale Posteingangsregeln für den Posteingang eines Benutzers im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto festgelegt wurden. Dies gibt einen sehr zuverlässigen Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto kompromittiert und zu böswilligen Zwecken zur Manipulation der Regeln des Benutzerposteingangs verwendet wurde, um möglicherweise Daten aus dem Netzwerk der Organisation zu exfiltrieren. Alternativ könnte der Angreifer versuchen, Phishing-E-Mails aus dem Innern der Organisation zu erstellen (durch Umgehen der Mechanismen zur Erkennung von Phishing, die auf E-Mails aus externen Quellen gerichtet sind), um ihm durch Erwerb des Zugriffs auf weitere Benutzerkonten und/oder bevorrechtigte Konten eine Seitwärtsbewegung zu ermöglichen. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung über verdächtige Regeln zur Posteingangsänderung sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einer verdächtigen Regel zur Posteingangs-Änderung führt

  • Anmeldeereignis von einem unbekannten Ort, das zu verdächtiger Regel zur Posteingangsänderung führt

  • Anmeldeereignis von einem infizierten Gerät, das zu verdächtiger Regel zur Posteingangsänderung führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu verdächtiger Regel zur Posteingangsänderung führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu verdächtiger Regel zur Posteingangsänderung führt

Böswillige administrative Aktivität

Verdächtige administrative Aktivität in der Cloud-App im Anschluss an eine verdächtige Microsoft Entra-Anmeldung

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Persistenz, Verteidigungshinterziehung, Laterale Bewegung, Sammlung, Exfiltration und Auswirkungen

MITRE ATT&CK-Techniken: N/A

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass administrative Aktivitäten in ungewöhnlicher Anzahl in einer einzelnen Sitzung im Anschluss an eine verdächtige Microsoft Entra-Anmeldung vom gleichen Konto durchgeführt wurden. Dies ist ein Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto möglicherweise kompromittiert und in böswilliger Absicht zum Ausführen einer beliebigen Anzahl nicht autorisierter administrativer Aktionen verwendet wurde. Dies ist zugleich ein Hinweis darauf, dass möglicherweise ein Konto mit Administratorberechtigungen kompromittiert wurde. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung über verdächtige administrative Aktivitäten in der Cloud-App sind:

  • Unmöglicher Ortswechsel zu einem typischen Ort, der zu verdächtiger Verwaltungsaktivität für die Cloud-App führt

  • Anmeldeereignis von einem unbekannten Ort, das zu verdächtiger Verwaltungsaktivität für die Cloud-App führt

  • Anmeldeereignis mit einem infizierten Gerät, das zu verdächtiger Verwaltungsaktivität für die Cloud-App führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu verdächtiger Verwaltungsaktivität für die Cloud-App führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu verdächtiger Verwaltungsaktivität für die Cloud-App führt

E-Mail-Weiterleitungsaktivitäten nach Einrichtung eines neuen Administratorkontos, das bisher nicht bekannt war

Dieses Szenario ist zwei Klassifikationen in dieser Liste zuzuordnen: böswillige administrative Aktivität und Datenexfiltration. Aus Gründen der Klarheit wird es in beiden Abschnitten aufgeführt.

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Sammlung, Exfiltration

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), E-Mail-Sammlung (T1114), Exfiltration über einen Webdienst (T1567)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusion-Vorfälle dieser Art sind ein Hinweis, dass entweder ein neues Exchange-Administratorkonto erstellt wurde oder ein bestehendes Exchange-Administratorkonto in den letzten zwei Wochen zum ersten Mal eine administrative Aktion durchgeführt hat, und dass das Konto dann einige E-Mail-Weiterleitungsaktionen durchgeführt hat, die für ein Administratorkonto ungewöhnlich sind. Dies deutet darauf hin, dass das in der Beschreibung des Fusion-Vorfalls angegebene Benutzerkonto kompromittiert bzw. manipuliert und verwendet wurde, um Daten aus dem Netzwerk Ihrer Organisation zu exfiltrieren.

Böswillige Ausführung mit legitimem Prozess

PowerShell hat eine verdächtige Netzwerkverbindung hergestellt, auf die anomaler, durch die Palo Alto Networks-Firewall gekennzeichneter Datenverkehr folgte.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK Taktiken: Ausführung

MITRE ATT&CK-Techniken: Command and Scripting Interpreter (T1059)

Datenconnector-Quellen: Microsoft Defender for Endpoint (früher Microsoft Defender Advanced Threat Protection oder MDATP), Microsoft Sentinel (geplante Analyseregel)

Beschreibung: Fusion-Vorfälle dieses Typs zeigen an, dass eine ausgehende Verbindungsanforderung mithilfe eines PowerShell-Befehls durchgeführt wurde. Im Anschluss daran wurde von der Palo Alto Networks-Firewall eine ungewöhnliche eingehende Aktivität erkannt. Dies ist ein Hinweis darauf, dass ein Angreifer sich wahrscheinlich Zugriff auf Ihr Netzwerk verschafft hat und versucht, böswillige Aktionen auszuführen. Verbindungsversuche von PowerShell, die diesem Muster folgen, können einen Hinweis auf Command-and-Control-Aktivitäten von Malware, Anforderungen für den Download zusätzlicher Malware oder einen Angreifer darstellen, der interaktiven Remotezugriff einrichtet. Wie bei allen Living-off-the-Land-Angriffen könnte diese Aktivität auch eine legitime Verwendung von PowerShell darstellen. Die Ausführung eines PowerShell-Befehls, auf die verdächtige eingehende Firewall-Aktivitäten folgen, steigert aber die Glaubwürdigkeit der Annahme, dass PowerShell in böswilliger Weise verwendet wird und der Vorfall genauer untersucht werden sollte. In Palo Alto-Protokollen sucht Microsoft Sentinel hauptsächlich nach Bedrohungen, und der Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen durchgelassen werden (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfireviren, Wildfires). Konsultieren Sie außerdem das Palo Alto-Bedrohungsprotokoll, das dem in der Fusion-Vorfallsbeschreibung aufgelisteten Bedrohungs-/Inhaltstyp entspricht, um weitere Details zur Benachrichtigung zu erhalten.

Verdächtige WMI-Remoteausführung, auf die anomaler, durch die Palo Alto Networks-Firewall gekennzeichneter Datenverkehr folgte.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Ausführung, Ermittlung

MITRE ATT&CK-Techniken: Windows-Verwaltungsinstrumentation (T1047)

Datenconnector-Quellen:Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)

Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass WMI-Befehle (Windows Management Interface) remote auf einem System ausgeführt wurden. Im Anschluss daran wurden von der Palo Alto Networks-Firewall verdächtige eingehende Aktivitäten erkannt. Dies ist ein Hinweis darauf, dass sich ein Angreifer möglicherweise Zugriff auf Ihr Netzwerk verschafft hat und Lateral Movement, das Heraufstufen von Berechtigungen und/oder Ausführen schädlicher Nutzdaten versucht. Wie bei allen Living-off-the-Land-Angriffen könnte diese Aktivität auch eine legitime Verwendung von WMI darstellen. Die Remoteausführung eines WMI-Befehls, auf die verdächtige eingehende Firewall-Aktivitäten folgen, steigert aber die Glaubwürdigkeit der Annahme, dass WMI in böswilliger Weise verwendet wird und der Vorfall genauer untersucht werden sollte. In Palo Alto-Protokollen sucht Microsoft Sentinel hauptsächlich nach Bedrohungen, und der Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen durchgelassen werden (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfireviren, Wildfires). Konsultieren Sie außerdem das Palo Alto-Bedrohungsprotokoll, das dem in der Fusion-Vorfallsbeschreibung aufgelisteten Bedrohungs-/Inhaltstyp entspricht, um weitere Details zur Benachrichtigung zu erhalten.

Verdächtige PowerShell-Befehlszeile nach verdächtiger Anmeldung

MITRE ATT&CK-Taktiken: Erstzugriff, Ausführung

MITRE ATT&CK-Techniken: Valid Account (T1078), Command and Scripting Interpreter (T1059)

Quellen für den Datenconnector: Microsoft Entra ID-Schutz, Microsoft Defender for Endpoint (früher MDATP)

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass ein Benutzer im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto potenziell böswillige PowerShell-Befehle ausgeführt hat. Dies bedeutet mit hoher Zuverlässigkeit, dass das in der Warnungsbeschreibung genannte Konto kompromittiert wurde und weitere schädliche Aktionen durchgeführt wurden. Angreifer nutzen häufig PowerShell, um schädliche Nutzdaten im Arbeitsspeicher auszuführen, ohne Artefakte auf dem Datenträger zu hinterlassen. Dadurch wird die Erkennung durch datenträgerbasierte Sicherheitsmechanismen wie Virenscanner vermieden. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung über einen verdächtigen PowerShell-Befehle sind:

  • Unmöglicher Ortswechsel zu atypischen Orten, der zu einer verdächtigen PowerShell-Befehlszeile führt

  • Anmeldeereignis von einem unbekannten Ort, das zu einer verdächtigen PowerShell-Befehlszeile führt

  • Anmeldeereignis von einem infizierten Gerät, das zu einer verdächtigen PowerShell-Befehlszeile führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zu einer verdächtigen PowerShell-Befehlszeile führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu einer verdächtigen PowerShell-Befehlszeile führt

Malware C2 oder Download

Von Fortinet erkanntes Beaconmuster nach mehreren fehlgeschlagenen Benutzeranmeldungen bei einem Dienst

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Command-and-Control

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Kein Standardport (T1571), T1065 (eingestellt)

Datenconnector-Quellen: Microsoft Sentinel (Regel für geplante Analysen), Microsoft Defender für Cloud Apps

Beschreibung: Fusion-Vorfälle dieser Art deuten auf Kommunikationsmuster von einer internen zu einer externen IP-Adresse hin, die mit Beaconing übereinstimmen, nachdem die Anmeldung eines Benutzers bei einem Dienst von einer zugehörigen internen Entität mehrfach fehlgeschlagen ist. Die Kombination dieser beiden Ereignisse könnte ein Hinweis auf eine Infektion mit Schadsoftware oder auf einen kompromittierten Host sein, der Daten exfiltriert.

Beacon-Muster, das von Fortinet nach verdächtiger Microsoft Entra-Anmeldung erkannt wurde

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Command-and-Control

MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Kein Standardport (T1571), T1065 (eingestellt)

Quellen für Datenconnector: Microsoft Sentinel (geplante Analyseregel), Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten auf Kommunikationsmuster von einer internen zu einer externen IP-Adresse hin, die mit Beaconing übereinstimmen, im Anschluss an eine verdächtige Benutzeranmeldung bei Microsoft Entra ID erfolgt ist. Die Kombination dieser beiden Ereignisse könnte ein Hinweis auf eine Infektion mit Schadsoftware oder auf einen kompromittierten Host sein, der Daten exfiltriert. Die Permutationen der von Fortinet erkannten Beacon-Muster mit Warnungen zu verdächtigen Microsoft Entra-Anmeldungen sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einem von Fortinet erkannten Beaconmuster führt

  • Anmeldeereignis von einem nicht bekannten Ort, das zu einem von Fortinet erkannten Beaconmuster führt

  • Anmeldeereignis von einem infizierten Gerät, das zu einem von Fortinet erkannten Beaconmuster führt

  • Anmeldeereignis mit einer anonymen IP-Adresse, das zu einem von Fortinet erkannten Beaconmuster führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu einem von Fortinet erkannten Beaconmuster führt

Netzwerkanforderung an den TOR-Anonymisierungsdienst gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK Taktiken: Befehl und Kontrolle

MITRE ATT&CK-Techniken: Verschlüsselter Kanal (T1573), Proxy (T1090)

Datenconnector-Quellen:Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)

Beschreibung: Fusion-Vorfälle dieses Typs zeigen an, dass eine ausgehende Verbindungsanforderung an den TOR-Anonymisierungsdienst durchgeführt wurde. Im Anschluss daran wurde dann von der Palo Alto Networks-Firewall eine ungewöhnliche eingehende Aktivität erkannt. Dies ist einen Hinweis darauf, dass ein Angreifer sich wahrscheinlich Zugriff auf Ihr Netzwerk verschafft hat und versucht, seine Aktionen und Absichten zu verbergen. Verbindungsversuche mit dem TOR-Netzwerk, die diesem Muster folgen, können einen Hinweis auf Command-and-Control-Aktivitäten von Malware, Anforderungen für den Download zusätzlicher Malware oder einen Angreifer darstellen, der interaktiven Remotezugriff einrichtet. In Palo Alto-Protokollen sucht Microsoft Sentinel hauptsächlich nach Bedrohungen, und der Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen durchgelassen werden (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfireviren, Wildfires). Konsultieren Sie außerdem das Palo Alto-Bedrohungsprotokoll, das dem in der Fusion-Vorfallsbeschreibung aufgelisteten Bedrohungs-/Inhaltstyp entspricht, um weitere Details zur Benachrichtigung zu erhalten.

Ausgehende Verbindung mit IP mit einem Verlauf nicht autorisierter Zugriffsversuche, gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK Taktiken: Befehl und Kontrolle

MITRE ATT&CK-Techniken: Nicht zutreffend

Datenconnector-Quellen:Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)

Beschreibung: Fusion-Vorfälle dieses Typs zeigen an, dass eine ausgehende Verbindung mit einer IP-Adresse mit einem Backlog unberechtigter Zugriffsversuche hergestellt wurde. Im Anschluss daran wurde von der Palo Alto Networks-Firewall eine ungewöhnliche Aktivität erkannt. Dies deutet darauf hin, dass ein Angreifer sich wahrscheinlich Zugriff auf Ihr Netzwerk verschafft hat. Verbindungsversuche, die diesem Muster folgen, können einen Hinweis auf Command-and-Control-Aktivitäten von Malware, Anforderungen für den Download zusätzlicher Malware oder einen Angreifer darstellen, der interaktiven Remotezugriff einrichtet. In Palo Alto-Protokollen sucht Microsoft Sentinel hauptsächlich nach Bedrohungen, und der Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen durchgelassen werden (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfireviren, Wildfires). Konsultieren Sie außerdem das Palo Alto-Bedrohungsprotokoll, das dem in der Fusion-Vorfallsbeschreibung aufgelisteten Bedrohungs-/Inhaltstyp entspricht, um weitere Details zur Benachrichtigung zu erhalten.

Persistenz

(Neue Bedrohungsklassifizierung)

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Persistenz, Erstzugriff

MITRE ATT&CK-Techniken: Konto erstellen (T1136), gültiges Konto (T1078)

Quellen für Datenconnector: Microsoft Sentinel (geplante Analyseregel), Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass eine Anwendung die Einwilligung eines Benutzers erhalten hat, der dies noch nie oder nur selten getan hat, im Anschluss an eine zugehörige verdächtige Anmeldung bei einem Microsoft Entra-Konto. Dies ist ein Hinweis darauf, dass das in der Beschreibung des Fusion-Vorfalls genannte Konto möglicherweise kompromittiert und zu böswilligen Zwecken für den Zugriff auf oder die Manipulation der Anwendung verwendet wurde. Einwilligen in eine Anwendung, Hinzufügen eines Dienstprinzipals und Hinzufügen von OAuth2PermissionGrant sollten in der Regel seltene Ereignisse sein. Angreifer können diese Art der Konfigurationsänderung nutzen, um sich in Systemen dauerhaft festzusetzen. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zur seltenen Einwilligung in Anwendungen sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zur seltenen Einwilligung in Anwendung führt

  • Anmeldeereignis von einem unbekannten Ort, das zur seltenen Einwilligung in Anwendung führt

  • Anmeldeereignis von einem infizierten Gerät, das zur seltenen Einwilligung in Anwendung führt

  • Anmeldeereignis mit einer anonymen IP-Adresse, das zur seltenen Einwilligung in Anwendung führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zur seltenen Einwilligung in Anwendung führt

Ransomware

Ransomware-Ausführung nach verdächtiger Microsoft Entra-Anmeldung

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Auswirkung

MITRE ATT&CK-Techniken: Valid Account (T1078), Data Encrypted for Impact (T1486)

Quellen für den Datenconnector: Microsoft Defender for Cloud-Apps, Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass anomales Benutzerverhalten, das auf einen Ransomware-Angriff hinweist, im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto entdeckt wurden. Dieser Hinweis weist mit hoher Vertrauenswürdigkeit darauf hin, dass das in der Fusion-Vorfallsbeschreibung genannte Konto kompromittiert und dazu verwendet wurde, Daten zum Zweck der Erpressung des Datenbesitzers oder zur Hinderung des Datenbesitzers am Zugriff auf seine Daten zu verschlüsseln. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zur Ausführung von Ransomware sind:

  • Unmöglicher Ortswechsel zu einem typischen Ort, der zum Vorhandensein von Ransomware in der Cloud-App führt

  • Anmeldeereignis von einem unbekannten Ort, das zum Vorhandensein von Ransomware in der Cloud-App führt

  • Anmeldeereignis mit einem infizierten Gerät, das zum Vorhandensein von Ransomware in der Cloud-App führt

  • Anmeldeereignis von einer anonymen IP-Adresse, das zum Vorhandensein von Ransomware in der Cloud-App führt

  • Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zum Vorhandensein von Ransomware in der Cloud-App führt

Remoteausnutzung

Verdacht der Nutzung eines Angriffs-Frameworks, auf den anomaler, durch die Palo Alto Networks-Firewall gekennzeichneter Datenverkehr folgt.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Erstzugriff, Ausführung, Laterale Bewegung, Berechtigungseskalation

MITRE ATT&CK-Techniken: Exploit Public-Facing Application (T1190), Exploit for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Eskalation (T1068)

Datenconnector-Quellen:Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)

Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass die nicht standardmäßige Verwendung von Protokollen, die der Verwendung von Angriffs-Frameworks wie z. B. Metasploit ähnelt, erkannt wurde. Im Anschluss daran wurden von der Palo Alto Networks-Firewall verdächtige eingehende Aktivitäten erkannt. Dies kann ein früher Hinweis darauf, sein, dass ein Angreifer einen Dienst ausgenutzt hat, um Zugriff auf Ihre Netzwerkressourcen zu erlangen, oder den Zugriff bereits erlangt hat und versucht, verfügbare Systeme/Dienste weiter für Seitwärtsbewegung und/oder Rechteausweitung auszunutzen. In Palo Alto-Protokollen sucht Microsoft Sentinel hauptsächlich nach Bedrohungen, und der Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen durchgelassen werden (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfireviren, Wildfires). Konsultieren Sie außerdem das Palo Alto-Bedrohungsprotokoll, das dem in der Fusion-Vorfallsbeschreibung aufgelisteten Bedrohungs-/Inhaltstyp entspricht, um weitere Details zur Benachrichtigung zu erhalten.

Ressourcenübernahme

(Neue Bedrohungsklassifizierung)

Verdächtige Ressourcen-/Ressourcengruppenbereitstellung durch eine zuvor unbekannte aufrufende Funktion nach verdächtiger Microsoft Entra-Anmeldung

In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.

Dieses Szenario befindet sich derzeit in der VORSCHAU.

MITRE ATT&CK-Taktiken: Anfänglicher Zugriff, Auswirkung

MITRE ATT&CK Techniken: Valid Account (T1078), Resource Hijacking (T1496)

Quellen für Datenconnector: Microsoft Sentinel (geplante Analyseregel), Microsoft Entra ID-Schutz

Beschreibung: Fusionsvorfälle dieser Art deuten darauf hin, dass ein Benutzer eine Azure-Ressource oder -Ressourcengruppe mit in letzter Zeit nicht gesehenen Eigenschaften bereitgestellt hat (eine seltene Aktivität), im Anschluss an eine verdächtige Anmeldung bei einem Microsoft Entra-Konto. Dies könnte möglicherweise ein Versuch eines Angreifers sein, Ressourcen oder Ressourcengruppen für böswillige Zwecke bereitzustellen, nachdem er das in der Beschreibung des Fusion-Vorfalls genannte Konto des Benutzers kompromittiert hat.

Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zur Bereitstellung einer verdächtigen Ressource/Ressourcengruppe durch eine bislang nicht bekannte aufrufende Funktion sind:

  • Unmöglicher Ortswechsel zu einem atypischen Ort, der zu verdächtiger Bereitstellung von Ressourcen-/Ressourcengruppen durch einen bislang nicht bekannten Aufrufer führt

  • Anmeldeereignis von einem atypischen Ort, das zu verdächtiger Bereitstellung von Ressourcen-/Ressourcengruppen durch einen bislang nicht bekannten Aufrufer führt

  • Anmeldeereignis von einem infizierten Gerät, das zu verdächtiger Ressourcen-/Ressourcengruppenbereitstellung durch einen bislang nicht bekannten Aufrufer führt

  • Anmeldeereignis mit einer anonymen IP-Adresse, das zu verdächtiger Bereitstellung von Ressourcen-/Ressourcengruppen durch einen bislang nicht bekannten Aufrufer führt

  • Anmeldeereignis mit einer anonymen IP-Adresse, das zu verdächtiger Bereitstellung von Ressourcen-/Ressourcengruppen durch einen bislang nicht bekannten Aufrufer führt

Nächste Schritte

Nachdem Sie nun mehr über die erweiterte Erkennung von mehrstufigen Angriffen erfahren haben, ist für Sie ggf. die folgende Schnellstartanleitung interessant. Darin wird veranschaulicht, wie Sie Einblicke in Ihre Daten und potenzielle Bedrohungen erhalten: Erste Schritte mit Microsoft Sentinel.

Wenn Sie bereit sind, die Vorfälle zu untersuchen, die für Sie erstellt werden, lesen Sie das folgende Tutorial: Untersuchen von Vorfällen mit Microsoft Sentinel.