Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Dokument werden die Arten von szenariobasierten mehrstufigen Angriffen aufgelistet, gruppiert nach Bedrohungsklassifizierung, die Microsoft Sentinel mithilfe der Fusion-Korrelations-Engine erkennt.
Da Fusion mehrere Signale von verschiedenen Produkten korreliert, um erweiterte mehrstufige Angriffe zu erkennen, werden erfolgreiche Fusion-Erkennungen als Fusion-Incidents auf der Seite Microsoft Sentinel Incidents und nicht als Warnungen angezeigt und in der Tabelle Incidents in Logs und nicht in der Tabelle SecurityAlerts gespeichert.
Um diese Fusion-gestützten Angriffserkennungsszenarien zu ermöglichen, müssen alle aufgeführten Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst werden. Befolgen Sie für Szenarien mit geplanten Analyseregeln die Anweisungen unter Konfigurieren geplanter Analyseregeln für Fusion-Erkennungen.
Hinweis
Einige dieser Szenarien befinden sich in der VORSCHAU. Sie werden so angegeben.
Missbrauch von Computeressourcen
Mehrere VM-Erstellungsaktivitäten nach verdächtiger Microsoft Entra Anmeldung
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Auswirkung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Ressourcenentführer (T1496)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto in einer einzelnen Sitzung eine anormale Anzahl von VMs erstellt wurde. Diese Art von Warnung weist mit einem hohen Maß an Zuverlässigkeit darauf hin, dass das in der Beschreibung des Fusion-Incidents notierte Konto kompromittiert und verwendet wurde, um neue VMs für nicht autorisierte Zwecke zu erstellen, z. B. das Ausführen von Kryptominingvorgängen. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zu mehreren VM-Erstellungsaktivitäten sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, was zu mehreren Vm-Erstellungsaktivitäten führt
Anmeldeereignis von einem unbekannten Ort, das zu mehreren Vm-Erstellungsaktivitäten führt
Anmeldeereignis von einem infizierten Gerät, das zu mehreren Vm-Erstellungsaktivitäten führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu mehreren VM-Erstellungsaktivitäten führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu mehreren VM-Erstellungsaktivitäten führt
Zugriff auf Anmeldeinformationen
(Neue Bedrohungsklassifizierung)
Zurücksetzen mehrerer Kennwörter durch Benutzer nach verdächtiger Anmeldung
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Brute Force (T1110)
Datenquellen für Datenconnector: Microsoft Sentinel (Geplante Analyseregel), Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein Benutzer mehrere Kennwörter nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto zurücksetzt. Dieser Beweis deutet darauf hin, dass das in der Beschreibung des Fusion-Incidents notierte Konto kompromittiert wurde und verwendet wurde, um mehrere Kennwortzurücksetzungen durchzuführen, um Zugriff auf mehrere Systeme und Ressourcen zu erhalten. Die Kontobearbeitung (einschließlich Kennwortzurücksetzung) kann Angreifern dabei helfen, den Zugriff auf Anmeldeinformationen und bestimmte Berechtigungsstufen innerhalb einer Umgebung aufrechtzuerhalten. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit mehreren Warnungen zum Zurücksetzen von Kennwörtern sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, was zur Zurücksetzung mehrerer Kennwörter führt
Anmeldeereignis von einem unbekannten Ort aus führt zur Zurücksetzung mehrerer Kennwörter
Anmeldeereignis von einem infizierten Gerät, das zum Zurücksetzen mehrerer Kennwörter führt
Anmeldeereignis von einer anonymen IP-Adresse, die zum Zurücksetzen mehrerer Kennwörter führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zur Zurücksetzung mehrerer Kennwörter führt
Verdächtige Anmeldung mit erfolgreicher Anmeldung bei Palo Alto VPN per IP mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Brute Force (T1110)
Datenquellen für Datenconnector: Microsoft Sentinel (Geplante Analyseregel), Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine verdächtige Anmeldung bei einem Microsoft Entra-Konto mit einer erfolgreichen Anmeldung über ein Palo Alto-VPN über eine IP-Adresse zusammenfällt, von der aus mehrere fehlgeschlagene Microsoft Entra Anmeldungen in einem ähnlichen Zeitrahmen aufgetreten sind. Obwohl kein Beweis für einen mehrstufigen Angriff, führt die Korrelation dieser beiden Warnungen mit niedrigerer Genauigkeit zu einem Vorfall mit hoher Genauigkeit, der böswilligen ersten Zugriff auf das Netzwerk des organization nahelegt. Alternativ kann dies ein Hinweis darauf sein, dass ein Angreifer versucht, Brute-Force-Techniken zu verwenden, um Zugriff auf ein Microsoft Entra-Konto zu erhalten. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit den Warnungen "IP mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen erfolgreich bei Palo Alto VPN angemeldet" lauten:
Unmöglicher Reise zu einem atypischen Standort, der mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen erfolgreich bei Palo Alto VPN angemeldet
Anmeldeereignis von einem unbekannten Standort, das mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen erfolgreich bei Palo Alto VPN angemeldet wird
Anmeldeereignis von einem infizierten Gerät, das mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen erfolgreich bei Palo Alto VPN angemeldet
Anmeldeereignis von einer anonymen IP-Adresse, die mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen erfolgreich bei Palo Alto VPN angemeldet
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das mit einer IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen erfolgreich bei Palo Alto VPN angemeldet
Sammeln von Anmeldeinformationen
(Neue Bedrohungsklassifizierung)
Ausführung des Tools zum Diebstahl von Anmeldeinformationen nach verdächtiger Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Dumping von Betriebssystemanmeldeinformationen (T1003)
Datenquellen für Datenconnector: Microsoft Entra ID Protection, Microsoft Defender for Endpoint
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein bekanntes Tool zum Diebstahl von Anmeldeinformationen nach einer verdächtigen Microsoft Entra Anmeldung ausgeführt wurde. Dieser Beweis deutet mit hoher Sicherheit darauf hin, dass das in der Warnungsbeschreibung angegebene Benutzerkonto kompromittiert wurde und möglicherweise erfolgreich ein Tool wie Mimikatz verwendet hat, um Anmeldeinformationen wie Schlüssel, Klartextkennwörter und/oder Kennworthashes aus dem System zu sammeln. Die gewonnenen Anmeldeinformationen können es einem Angreifer ermöglichen, auf vertrauliche Daten zuzugreifen, Berechtigungen zu eskalieren und/oder sich seitlich über das Netzwerk zu bewegen. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit dem Tool zum Diebstahl bösartiger Anmeldeinformationen sind:
Unmöglicher Ortswechsel zu atypischen Speicherorten, was zur Ausführung des Tools zum Diebstahl von Anmeldeinformationen führt
Anmeldeereignis von einem unbekannten Ort aus führt zur Ausführung des Tools zum Diebstahl von Anmeldeinformationen
Anmeldeereignis von einem infizierten Gerät, das zur Ausführung des Tools zum Diebstahl von Anmeldeinformationen führt
Anmeldeereignis von einer anonymen IP-Adresse, die zur Ausführung des Tools zum Diebstahl von Anmeldeinformationen führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zur Ausführung des Tools zum Diebstahl von Anmeldeinformationen führt
Mutmaßlicher Diebstahl von Anmeldeinformationen nach verdächtiger Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Anmeldeinformationen aus Kennwortspeichern (T1555), Dumping von Betriebssystemanmeldeinformationen (T1003)
Datenquellen für Datenconnector: Microsoft Entra ID Protection, Microsoft Defender for Endpoint
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass aktivitäten im Zusammenhang mit Mustern des Diebstahls von Anmeldeinformationen nach einer verdächtigen Microsoft Entra Anmeldung aufgetreten sind. Dieser Beweis deutet mit hoher Sicherheit darauf hin, dass das in der Warnungsbeschreibung notierte Benutzerkonto kompromittiert und verwendet wurde, um Anmeldeinformationen wie Schlüssel, Nur-Text-Kennwörter, Kennworthashes usw. zu stehlen. Die gestohlenen Anmeldeinformationen können es einem Angreifer ermöglichen, auf vertrauliche Daten zuzugreifen, Berechtigungen zu eskalieren und/oder sich seitlich über das Netzwerk zu bewegen. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zum Diebstahl von Anmeldeinformationen sind:
Unmöglicher Ortswechsel zu atypischen Orten führt zu mutmaßlichen Anmeldeinformationendiebstahl-Aktivitäten
Anmeldeereignis von einem unbekannten Ort, das zu einer mutmaßlichen Aktivität zum Diebstahl von Anmeldeinformationen führt
Anmeldeereignis von einem infizierten Gerät, das zu einer mutmaßlichen Aktivität zum Diebstahl von Anmeldeinformationen führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu einer mutmaßlichen Aktivität zum Diebstahl von Anmeldeinformationen führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer mutmaßlichen Aktivität zum Diebstahl von Anmeldeinformationen führt
Crypto-Mining
(Neue Bedrohungsklassifizierung)
Kryptominingaktivität nach verdächtiger Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Zugriff auf Anmeldeinformationen
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Ressourcenentführer (T1496)
Datenquellen für Datenconnector: Microsoft Entra ID Protection, Microsoft Defender for Cloud
Beschreibung: Fusion-Vorfälle dieses Typs deuten auf kryptografische Miningaktivitäten hin, die mit einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto verbunden sind. Dieser Beweis deutet mit hoher Sicherheit darauf hin, dass das in der Warnungsbeschreibung notierte Benutzerkonto kompromittiert wurde und verwendet wurde, um Ressourcen in Ihrer Umgebung zu entführen, um Kryptowährungen zu minen. Dies kann dazu führen, dass Ihre Ressourcen an Rechenleistung ausgehungern und/oder zu deutlich höheren Cloudnutzungsrechnungen führen als erwartet. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Crypto-Mining-Aktivitätswarnung sind:
Unmögliche Reise zu atypischen Orten, die zu Krypto-Mining-Aktivitäten führen
Anmeldeereignis von einem unbekannten Ort, das zu Kryptominingaktivitäten führt
Anmeldeereignis von einem infizierten Gerät, das zu kryptografischen Miningaktivitäten führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu Kryptominingaktivitäten führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu kryptografischen Miningaktivitäten führt
Vernichtung von Daten
Massenlöschung von Dateien nach verdächtiger Microsoft Entra Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Auswirkung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Datenvernichtung (T1485)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine anomale Anzahl eindeutiger Dateien nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto gelöscht wurde. Dieser Beweis deutet darauf hin, dass das in der Fusion-Vorfallsbeschreibung notierte Konto möglicherweise kompromittiert wurde und verwendet wurde, um Daten für böswillige Zwecke zu zerstören. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zum Massenlöschen von Dateien sind:
Unmöglicher Pfad zu einem atypischen Speicherort, der zum Massenlöschen von Dateien führt
Anmeldeereignis von einem unbekannten Ort, der zum Massenlöschen von Dateien führt
Anmeldeereignis von einem infizierten Gerät, das zum Massenlöschen von Dateien führt
Anmeldeereignis von einer anonymen IP-Adresse, die zum Massenlöschen von Dateien führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zum Massenlöschen von Dateien führt
Massenlöschung von Dateien nach erfolgreicher Microsoft Entra Anmeldung von einer IP-Adresse, die von einer Cisco-Firewall-Anwendung blockiert wurde
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Auswirkung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Datenvernichtung (T1485)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine anomale Anzahl eindeutiger Dateien nach einer erfolgreichen Microsoft Entra Anmeldung gelöscht wurde, obwohl die IP-Adresse des Benutzers von einer Cisco-Firewall Anwendung blockiert wurde. Dieser Beweis deutet darauf hin, dass das in der Fusion-Vorfallsbeschreibung notierte Konto kompromittiert wurde und verwendet wurde, um Daten für böswillige Zwecke zu zerstören. Da die IP-Adresse von der Firewall blockiert wurde, ist dieselbe IP-Anmeldung bei Microsoft Entra ID potenziell verdächtig und könnte auf eine Kompromittierung von Anmeldeinformationen für das Benutzerkonto hindeuten.
Massenlöschung von Dateien nach erfolgreicher Anmeldung bei Palo Alto VPN per IP mit mehreren fehlgeschlagenen Microsoft Entra Anmeldungen
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Zugriff auf Anmeldeinformationen, Auswirkungen
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Brute Force (T1110), Datenvernichtung (T1485)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine anomale Anzahl eindeutiger Dateien von einem Benutzer gelöscht wurde, der sich erfolgreich über ein Palo Alto-VPN über eine IP-Adresse angemeldet hat, von der aus mehrere fehlgeschlagene Microsoft Entra Anmeldungen in einem ähnlichen Zeitrahmen aufgetreten sind. Dieser Beweis deutet darauf hin, dass das im Fusion-Vorfall notierte Benutzerkonto möglicherweise mithilfe von Brute-Force-Techniken kompromittiert wurde und verwendet wurde, um Daten für böswillige Zwecke zu zerstören.
Verdächtige E-Mail-Löschaktivität nach verdächtiger Microsoft Entra Anmeldung
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Auswirkung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Datenvernichtung (T1485)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine anomale Anzahl von E-Mails in einer einzigen Sitzung nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto gelöscht wurde. Dieser Beweis deutet darauf hin, dass das in der Beschreibung des Fusion-Vorfalls notierte Konto möglicherweise kompromittiert wurde und verwendet wurde, um Daten für böswillige Zwecke zu zerstören, z. B. um die organization zu beschädigen oder spambezogene E-Mail-Aktivitäten zu verbergen. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zu verdächtigen E-Mail-Löschaktivitäten sind:
Unmöglicher Ortswechsel an einen atypischen Ort führt zu verdächtigen E-Mail-Löschaktivitäten
Anmeldeereignis von einem unbekannten Ort, was zu verdächtigen E-Mail-Löschaktivitäten führt
Anmeldeereignis von einem infizierten Gerät führt zu verdächtiger E-Mail-Löschaktivität
Anmeldeereignis von einer anonymen IP-Adresse, die zu einer verdächtigen E-Mail-Löschaktivität führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer verdächtigen E-Mail-Löschaktivität führt
Datenexfiltration
E-Mail-Weiterleitungsaktivitäten nach einer neuen Administratorkontoaktivität, die kürzlich nicht angezeigt wurde
Dieses Szenario gehört zu zwei Bedrohungsklassifizierungen in dieser Liste: Datenexfiltration und böswillige Administrative Aktivitäten. Der Übersichtlichkeit halber wird sie in beiden Abschnitten angezeigt.
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Sammlung, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Email sammlung (T1114), Exfiltration über Webdienst (T1567)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass entweder ein neues Exchange-Administratorkonto erstellt wurde oder dass ein vorhandenes Exchange-Administratorkonto in den letzten zwei Wochen zum ersten Mal administrative Aktionen ausgeführt hat und dass das Konto dann einige E-Mail-Weiterleitungsaktionen ausgeführt hat, die für ein Administratorkonto ungewöhnlich sind. Dieser Beweis deutet darauf hin, dass das in der Fusion-Vorfallbeschreibung notierte Benutzerkonto kompromittiert oder manipuliert wurde und zum Exfiltrieren von Daten aus dem Netzwerk Ihres organization verwendet wurde.
Massendownload von Dateien nach verdächtiger Microsoft Entra Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein Benutzer nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto eine anormale Anzahl von Dateien heruntergeladen hat. Dieser Hinweis sorgt für hohe Sicherheit, dass das in der Fusion-Vorfallbeschreibung notierte Konto kompromittiert wurde und verwendet wurde, um Daten aus dem Netzwerk Ihres organization zu exfiltrieren. Die Permutationen verdächtiger Microsoft Entra-Anmeldewarnungen mit der Warnung zum Massendownload von Dateien sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zum Massendownload von Dateien führt
Anmeldeereignis von einem unbekannten Ort, der zum Massendownload von Dateien führt
Anmeldeereignis von einem infizierten Gerät, das zum Massendownload von Dateien führt
Anmeldeereignis von einer anonymen IP-Adresse, die zum Massendownload von Dateien führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zum Massendownload von Dateien führt
Massendownload von Dateien nach erfolgreicher Microsoft Entra Anmeldung von einer IP-Adresse, die von einer Cisco-Firewall-Anwendung
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Exfiltration über Webdienst (T1567)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein Benutzer nach einer erfolgreichen Microsoft Entra Anmeldung eine anomale Anzahl von Dateien heruntergeladen hat, obwohl die IP-Adresse des Benutzers von einer Cisco-Firewall Anwendung blockiert wurde. Dies kann möglicherweise ein Versuch eines Angreifers sein, Daten aus dem Netzwerk des organization zu exfiltrieren, nachdem ein Benutzerkonto kompromittiert wurde. Da die IP-Adresse von der Firewall blockiert wurde, ist dieselbe IP-Anmeldung bei Microsoft Entra ID potenziell verdächtig und könnte auf eine Kompromittierung von Anmeldeinformationen für das Benutzerkonto hindeuten.
Massendownload von Dateien, die mit dem SharePoint-Dateivorgang von einer zuvor unbekannten IP-Adresse zusammenhingen
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Exfiltration
MITRE ATT&CK-Techniken: Exfiltration über Webdienst (T1567), Größenbeschränkungen für Datenübertragungen (T1030)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine anomale Anzahl von Dateien von einem Benutzer heruntergeladen wurde, der von einer zuvor unbekannten IP-Adresse verbunden ist. Obwohl kein Beweis für einen mehrstufigen Angriff, führt die Korrelation dieser beiden Warnungen mit niedrigerer Genauigkeit zu einem Vorfall mit hoher Genauigkeit, der auf einen Versuch eines Angreifers hindeutet, Daten aus dem Netzwerk des organization aus einem möglicherweise kompromittierten Benutzerkonto zu exfiltrieren. In stabilen Umgebungen können solche Verbindungen von bisher unbekannten IP-Adressen nicht autorisiert sein, insbesondere wenn sie mit Volumenspitzen verbunden sind, die mit einer umfangreichen Dokumentexfiltration verbunden sein könnten.
Massenfreigabe von Dateien nach verdächtiger Microsoft Entra Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Exfiltration über Webdienst (T1567)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine Reihe von Dateien über einem bestimmten Schwellenwert nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto für andere freigegeben wurden. Diese Angabe bietet hohe Sicherheit, dass das in der Fusion-Vorfallsbeschreibung angegebene Konto kompromittiert und verwendet wurde, um Daten aus dem Netzwerk Ihres organization zu exfiltrieren, indem Dateien wie Dokumente, Kalkulationstabellen usw. für nicht autorisierte Benutzer für böswillige Zwecke freigegeben werden. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Massenwarnung für dateifreigaben sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zu massenhafter Dateifreigabe führt
Anmeldeereignis von einem unbekannten Ort aus, der zu massenhaftem Teilen von Dateien führt
Anmeldeereignis von einem infizierten Gerät, das zur massenbasierten Dateifreigabe führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu massenhaftem Teilen von Dateien führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer massenbasierten Dateifreigabe führt
Freigabeaktivitäten mehrerer Power BI-Berichte nach verdächtiger Microsoft Entra Anmeldung
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Exfiltration über Webdienst (T1567)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine anomale Anzahl von Power BI-Berichten in einer einzelnen Sitzung nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto freigegeben wurde. Dieser Hinweis bietet hohe Sicherheit, dass das in der Beschreibung des Fusion-Incidents angegebene Konto kompromittiert wurde und verwendet wurde, um Daten aus dem Netzwerk Ihrer organization zu exfiltrieren, indem Power BI-Berichte für nicht autorisierte Benutzer für böswillige Zwecke freigegeben wurden. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit mehreren Power BI-Berichtsfreigabeaktivitäten sind:
Unmögliches Reisen zu einem atypischen Ort, was zu mehreren Power BI-Berichtsfreigabeaktivitäten führt
Anmeldeereignis von einem unbekannten Ort aus führt zu mehreren Power BI-Berichtsfreigabeaktivitäten
Anmeldeereignis von einem infizierten Gerät, das zu mehreren Power BI-Berichtsfreigabeaktivitäten führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu mehreren Power BI-Berichtsfreigabeaktivitäten führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu mehreren Power BI-Berichtsfreigabeaktivitäten führt
Office 365 Postfachexfiltration nach einer verdächtigen Microsoft Entra Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Exfiltration, Sammlung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), E-Mail-Sammlung (T1114), Automatisierte Exfiltration (T1020)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto eine verdächtige Posteingangsweiterleitungsregel im Posteingang eines Benutzers festgelegt wurde. Diese Angabe bietet hohe Sicherheit, dass das Konto des Benutzers (in der Beschreibung des Fusion-Incidents angegeben) kompromittiert wurde und dass es verwendet wurde, um Daten aus dem Netzwerk Ihrer organization zu exfiltrieren, indem eine Postfachweiterleitungsregel ohne das Wissen des echten Benutzers aktiviert wurde. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Office 365 Postfachexfiltrationswarnung sind:
Unmöglicher Ortswechsel an einen atypischen Ort, der zu Office 365 Postfachexfiltration führt
Anmeldeereignis von einem unbekannten Ort, das zu Office 365 Postfachexfiltration führt
Anmeldeereignis von einem infizierten Gerät, das zu Office 365 Postfachexfiltration führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu Office 365 Postfachexfiltration führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu Office 365 Postfachexfiltration führt
SharePoint-Dateivorgang von zuvor nicht erkannter IP-Adresse nach Schadsoftwareerkennung
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Exfiltration, Verteidigungsumgehung
MITRE ATT&CK-Techniken: Größenbeschränkungen für Datenübertragungen (T1030)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein Angreifer versucht hat, große Datenmengen zu exfiltrieren, indem er mithilfe von Schadsoftware sharePoint herunter- oder freigegeben hat. In stabilen Umgebungen können solche Verbindungen von bisher unbekannten IP-Adressen nicht autorisiert sein, insbesondere wenn sie mit Volumenspitzen verbunden sind, die mit einer umfangreichen Dokumentexfiltration verbunden sein könnten.
Regeln für verdächtige Posteingangsbearbeitung, die nach verdächtiger Microsoft Entra Anmeldung festgelegt wurden
Dieses Szenario gehört zu zwei Bedrohungsklassifizierungen in dieser Liste: Datenexfiltration und Lateral Movement. Der Übersichtlichkeit halber wird sie in beiden Abschnitten angezeigt.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Lateral Movement, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Internal Spear Phishing (T1534), Automatisierte Exfiltration (T1020)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto anormale Posteingangsregeln für den Posteingang eines Benutzers festgelegt wurden. Dieser Beweis ist ein sehr vertrauenswürdiger Hinweis darauf, dass das in der Fusion-Vorfallsbeschreibung notierte Konto kompromittiert wurde und verwendet wurde, um die E-Mail-Posteingangsregeln des Benutzers für böswillige Zwecke zu manipulieren, möglicherweise um Daten aus dem Netzwerk des organization zu exfiltrieren. Alternativ könnte der Angreifer versuchen, Phishing-E-Mails aus dem organization zu generieren (um Phishing-Erkennungsmechanismen zu umgehen, die auf E-Mails aus externen Quellen abzielen), um sich seitlich zu bewegen, indem er Zugriff auf zusätzliche Benutzer und/oder privilegierte Konten erhält. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zu verdächtigen Posteingangsbearbeitungsregeln sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einer verdächtigen Posteingangsbearbeitungsregel führt
Anmeldeereignis von einem unbekannten Ort, das zu einer verdächtigen Posteingangsbearbeitungsregel führt
Anmeldeereignis von einem infizierten Gerät führt zu einer verdächtigen Posteingangsbearbeitungsregel
Anmeldeereignis von einer anonymen IP-Adresse, die zu einer verdächtigen Posteingangsbearbeitungsregel führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer verdächtigen Posteingangsbearbeitungsregel führt
Verdächtige Power BI-Berichtsfreigabe nach verdächtiger Microsoft Entra Anmeldung
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Exfiltration über Webdienst (T1567)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto eine verdächtige Power BI-Berichtsfreigabeaktivität aufgetreten ist. Die Freigabeaktivität wurde als verdächtig identifiziert, da der Power BI-Bericht vertrauliche Informationen enthielt, die mithilfe der Verarbeitung natürlicher Sprache identifiziert wurden, und weil sie für eine externe E-Mail-Adresse freigegeben, im Web veröffentlicht oder als Momentaufnahme an eine extern abonnierte E-Mail-Adresse übermittelt wurden. Diese Warnung weist mit hoher Zuverlässigkeit darauf hin, dass das in der Fusion-Vorfallsbeschreibung notierte Konto kompromittiert wurde und verwendet wurde, um vertrauliche Daten aus Ihrem organization zu exfiltrieren, indem Power BI-Berichte für nicht autorisierte Benutzer für böswillige Zwecke freigegeben wurden. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der verdächtigen Power BI-Berichtsfreigabe sind:
Unmöglicher Ortswechsel an einen atypischen Ort führt zu verdächtiger Freigabe von Power BI-Berichten
Anmeldeereignis von einem unbekannten Ort aus führt zu verdächtiger Power BI-Berichtsfreigabe
Anmeldeereignis von einem infizierten Gerät führt zu verdächtiger Power BI-Berichtsfreigabe
Anmeldeereignis von einer anonymen IP-Adresse führt zu verdächtiger Power BI-Berichtsfreigabe
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu verdächtiger Freigabe von Power BI-Berichten führt
Denial of Service
Mehrere VM-Löschaktivitäten nach verdächtiger Microsoft Entra Anmeldung
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Auswirkung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Denial-of-Service-Endpunkt (T1499)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass eine anomale Anzahl von VMs in einer einzelnen Sitzung nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto gelöscht wurde. Dieser Hinweis bietet hohe Sicherheit, dass das in der Beschreibung des Fusion-Incidents notierte Konto kompromittiert wurde und verwendet wurde, um die Cloudumgebung des organization zu stören oder zu zerstören. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zu mehreren VM-Löschaktivitäten sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, was zu mehreren Löschaktivitäten für virtuelle Computer führt
Anmeldeereignis von einem unbekannten Ort, was zu mehreren Löschaktivitäten für virtuelle Computer führt
Anmeldeereignis von einem infizierten Gerät, das zu mehreren VM-Löschaktivitäten führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu mehreren Löschaktivitäten für virtuelle Computer führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu mehreren Löschaktivitäten für virtuelle Computer führt
Laterale Bewegung
Office 365 Identitätswechsel nach verdächtiger Microsoft Entra Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Lateral Movement
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Internal Spear Phishing (T1534)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass nach einer verdächtigen Anmeldung von einem Microsoft Entra-Konto eine anomale Anzahl von Identitätswechselaktionen aufgetreten ist. In einigen Software gibt es Optionen, mit denen Benutzer die Identität anderer Benutzer annehmen können. E-Mail-Dienste ermöglichen es Benutzern beispielsweise, andere Benutzer zum Senden von E-Mails in ihrem Namen zu autorisieren. Diese Warnung weist mit höherer Zuverlässigkeit darauf hin, dass das in der Fusion-Vorfallsbeschreibung notierte Konto kompromittiert wurde und verwendet wurde, um Identitätswechselaktivitäten für böswillige Zwecke durchzuführen, z. B. das Senden von Phishing-E-Mails für die Verteilung von Schadsoftware oder Lateral Movement. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Office 365 Identitätswechselwarnung sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zu Office 365 Identitätswechsel führt
Anmeldeereignis von einem unbekannten Ort, der zu Office 365 Identitätswechsel führt
Anmeldeereignis von einem infizierten Gerät, das zu Office 365 Identitätswechsel führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu Office 365 Identitätswechsel führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, das zu Office 365 Identitätswechsel führt
Regeln für verdächtige Posteingangsbearbeitung, die nach verdächtiger Microsoft Entra Anmeldung festgelegt wurden
Dieses Szenario gehört zu zwei Bedrohungsklassifizierungen in dieser Liste: laterale Verschiebung und Datenexfiltration. Der Übersichtlichkeit halber wird sie in beiden Abschnitten angezeigt.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Lateral Movement, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Internal Spear Phishing (T1534), Automatisierte Exfiltration (T1020)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto anormale Posteingangsregeln für den Posteingang eines Benutzers festgelegt wurden. Dieser Beweis ist ein sehr vertrauenswürdiger Hinweis darauf, dass das in der Fusion-Vorfallsbeschreibung notierte Konto kompromittiert wurde und verwendet wurde, um die E-Mail-Posteingangsregeln des Benutzers für böswillige Zwecke zu manipulieren, möglicherweise um Daten aus dem Netzwerk des organization zu exfiltrieren. Alternativ könnte der Angreifer versuchen, Phishing-E-Mails aus dem organization zu generieren (um Phishing-Erkennungsmechanismen zu umgehen, die auf E-Mails aus externen Quellen abzielen), um sich seitlich zu bewegen, indem er Zugriff auf zusätzliche Benutzer und/oder privilegierte Konten erhält. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zu verdächtigen Posteingangsbearbeitungsregeln sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einer verdächtigen Posteingangsbearbeitungsregel führt
Anmeldeereignis von einem unbekannten Ort, das zu einer verdächtigen Posteingangsbearbeitungsregel führt
Anmeldeereignis von einem infizierten Gerät führt zu einer verdächtigen Posteingangsbearbeitungsregel
Anmeldeereignis von einer anonymen IP-Adresse, die zu einer verdächtigen Posteingangsbearbeitungsregel führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer verdächtigen Posteingangsbearbeitungsregel führt
Böswillige administrative Aktivität
Verdächtige Administrative Aktivität der Cloud-App nach verdächtiger Microsoft Entra Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Persistenz, Verteidigungsumgehung, Lateral Movement, Sammlung, Exfiltration und Auswirkung
MITRE ATT&CK-Techniken: N/A
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass in einer einzelnen Sitzung nach einer verdächtigen Microsoft Entra Anmeldung über dasselbe Konto eine anomale Anzahl von Verwaltungsaktivitäten ausgeführt wurde. Dieser Beweis deutet darauf hin, dass das in der Fusion-Vorfallsbeschreibung notierte Konto möglicherweise kompromittiert wurde und verwendet wurde, um eine beliebige Anzahl von nicht autorisierten administrativen Aktionen mit böswilliger Absicht durchzuführen. Dies weist auch darauf hin, dass ein Konto mit Administratorrechten möglicherweise kompromittiert wurde. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Warnung zur verdächtigen Cloud-App-Administratoraktivität sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, was zu verdächtigen Administrativen Aktivitäten der Cloud-App führt
Anmeldeereignis von einem unbekannten Ort, was zu verdächtigen Administrativen Aktivitäten in der Cloud-App führt
Anmeldeereignis von einem infizierten Gerät führt zu verdächtiger Verwaltungsaktivität für Cloud-Apps
Anmeldeereignis von einer anonymen IP-Adresse, die zu verdächtigen Administrativen Aktivitäten der Cloud-App führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu verdächtigen Administrativen Aktivitäten der Cloud-App führt
E-Mail-Weiterleitungsaktivitäten nach einer neuen Administratorkontoaktivität, die kürzlich nicht angezeigt wurde
Dieses Szenario gehört zu zwei Bedrohungsklassifizierungen in dieser Liste: schädliche administrative Aktivitäten und Datenexfiltration. Der Übersichtlichkeit halber wird sie in beiden Abschnitten angezeigt.
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Sammlung, Exfiltration
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Email sammlung (T1114), Exfiltration über Webdienst (T1567)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass entweder ein neues Exchange-Administratorkonto erstellt wurde oder dass ein vorhandenes Exchange-Administratorkonto in den letzten zwei Wochen zum ersten Mal administrative Aktionen ausgeführt hat und dass das Konto dann einige E-Mail-Weiterleitungsaktionen ausgeführt hat, die für ein Administratorkonto ungewöhnlich sind. Dieser Beweis deutet darauf hin, dass das in der Fusion-Vorfallbeschreibung notierte Benutzerkonto kompromittiert oder manipuliert wurde und zum Exfiltrieren von Daten aus dem Netzwerk Ihres organization verwendet wurde.
Böswillige Ausführung mit legitimem Prozess
PowerShell hat eine verdächtige Netzwerkverbindung hergestellt, gefolgt von anomalem Datenverkehr, der von der Palo Alto Networks-Firewall gekennzeichnet wurde.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Ausführung
MITRE ATT&CK-Techniken: Befehls- und Skriptinterpreter (T1059)
Datenquellen für Datenconnector: Microsoft Defender for Endpoint (früher Microsoft Defender Advanced Threat Protection oder MDATP), Microsoft Sentinel (geplante Analyseregel)
Beschreibung: Fusion-Incidents dieses Typs deuten darauf hin, dass eine ausgehende Verbindungsanforderung über einen PowerShell-Befehl gestellt wurde. Anschließend wurde von der Palo Alto Networks-Firewall eine anormale eingehende Aktivität erkannt. Dieser Beweis deutet darauf hin, dass ein Angreifer wahrscheinlich Zugriff auf Ihr Netzwerk erlangt hat und versucht, schädliche Aktionen auszuführen. Verbindungsversuche von PowerShell, die diesem Muster folgen, können ein Hinweis auf Die Befehls- und Steuerungsaktivität von Schadsoftware, Anforderungen zum Herunterladen zusätzlicher Schadsoftware oder ein Angreifer sein, der interaktiven Remotezugriff herstellt. Wie bei allen "Vom Land leben"-Angriffen kann auch diese Aktivität eine legitime Verwendung von PowerShell sein. Die Ausführung von PowerShell-Befehlen gefolgt von verdächtigen eingehenden Firewallaktivitäten erhöht jedoch die Zuverlässigkeit, dass PowerShell in böswilliger Weise verwendet wird und weiter untersucht werden sollte. In Palo Alto-Protokollen konzentriert sich Microsoft Sentinel auf Bedrohungsprotokolle, und Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen zulässig sind (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfire-Viren, Waldbrände). Verweisen Sie außerdem auf das Palo Alto-Bedrohungsprotokoll, das dem in der Beschreibung des Fusion-Incidents aufgeführten Bedrohungs-/Inhaltstyp entspricht, um weitere Warnungsdetails zu erhalten.
Verdächtige WMI-Remoteausführung, gefolgt von anomalem Datenverkehr, der von der Palo Alto Networks-Firewall gekennzeichnet wird
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Ausführung, Ermittlung
MITRE ATT&CK-Techniken: Windows-Verwaltungsinstrumentation (T1047)
Datenquellen für Datenconnector: Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)
Beschreibung: Fusion-Incidents dieses Typs deuten darauf hin, dass WMI-Befehle (Windows Management Interface) remote auf einem System ausgeführt wurden und anschließend verdächtige eingehende Aktivitäten von der Palo Alto Networks Firewall erkannt wurden. Dieser Beweis deutet darauf hin, dass ein Angreifer möglicherweise Zugriff auf Ihr Netzwerk erlangt hat und versucht, sich seitlich zu bewegen, Berechtigungen zu eskalieren und/oder schädliche Nutzlasten auszuführen. Wie bei allen "Vom Land leben"-Angriffen kann diese Aktivität eine legitime Verwendung von WMI sein. Die Ausführung von Remote-WMI-Befehlen gefolgt von verdächtigen eingehenden Firewallaktivitäten erhöht jedoch die Zuverlässigkeit, dass WMI in böswilliger Weise verwendet wird und weiter untersucht werden sollte. In Palo Alto-Protokollen konzentriert sich Microsoft Sentinel auf Bedrohungsprotokolle, und Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen zulässig sind (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfire-Viren, Waldbrände). Verweisen Sie außerdem auf das Palo Alto-Bedrohungsprotokoll, das dem in der Beschreibung des Fusion-Incidents aufgeführten Bedrohungs-/Inhaltstyp entspricht, um weitere Warnungsdetails zu erhalten.
Verdächtige PowerShell-Befehlszeile nach verdächtiger Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Ausführung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Befehls- und Skriptinterpreter (T1059)
Datenquellen für Datenconnector: Microsoft Entra ID Protection, Microsoft Defender for Endpoint (früher MDATP)
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein Benutzer nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto potenziell schädliche PowerShell-Befehle ausgeführt hat. Dieser Beweis deutet mit hoher Sicherheit darauf hin, dass das in der Warnungsbeschreibung notierte Konto kompromittiert wurde und weitere böswillige Maßnahmen ergriffen wurden. Angreifer verwenden häufig PowerShell, um schädliche Nutzlasten im Arbeitsspeicher auszuführen, ohne Artefakte auf dem Datenträger zu hinterlassen, um die Erkennung durch datenträgerbasierte Sicherheitsmechanismen wie Virenscanner zu vermeiden. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der verdächtigen PowerShell-Befehlswarnung sind:
Unmöglicher Ortswechsel zu atypischen Speicherorten führt zu verdächtiger PowerShell-Befehlszeile
Anmeldeereignis von einem unbekannten Ort führt zu verdächtiger PowerShell-Befehlszeile
Anmeldeereignis von einem infizierten Gerät führt zu verdächtiger PowerShell-Befehlszeile
Anmeldeereignis von einer anonymen IP-Adresse, die zu einer verdächtigen PowerShell-Befehlszeile führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer verdächtigen PowerShell-Befehlszeile führt
Malware C2 oder Download
Beaconmuster, das von Fortinet nach mehreren fehlgeschlagenen Benutzeranmeldungen bei einem Dienst erkannt wurde
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Befehl und Steuerung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), nicht Standard Port (T1571), T1065 (eingestellt)
Datenquellen des Datenconnectors: Microsoft Sentinel (geplante Analyseregel), Microsoft Defender for Cloud Apps
Beschreibung: Fusion-Vorfälle dieses Typs weisen auf Kommunikationsmuster hin, von einer internen IP-Adresse bis zu einer externen, die mit Beaconing konsistent sind, nachdem mehrere fehlgeschlagene Benutzeranmeldungen bei einem Dienst von einer verwandten internen Entität aus aufgetreten sind. Die Kombination dieser beiden Ereignisse könnte ein Hinweis auf eine Malware-Infektion oder einen kompromittierten Host sein, der Datenexfiltration durchführt.
Von Fortinet erkanntes Beaconmuster nach verdächtiger Microsoft Entra Anmeldung
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Befehl und Steuerung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), nicht Standard Port (T1571), T1065 (eingestellt)
Datenquellen für Datenconnector: Microsoft Sentinel (Geplante Analyseregel), Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs weisen auf Kommunikationsmuster hin, von einer internen ip-Adresse bis hin zu einer externen, die mit Beaconing konsistent sind, nachdem sich ein Benutzer angemeldet hat, der verdächtiger Natur ist, um Microsoft Entra ID. Die Kombination dieser beiden Ereignisse könnte ein Hinweis auf eine Malware-Infektion oder einen kompromittierten Host sein, der Datenexfiltration durchführt. Die Permutationen des Beaconmusters, die von Fortinet-Warnungen mit verdächtigen Microsoft Entra Anmeldewarnungen erkannt werden, sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einem von Fortinet erkannten Beaconmuster führt
Anmeldeereignis von einem unbekannten Ort, was zu einem von Fortinet erkannten Beaconmuster führt
Anmeldeereignis von einem infizierten Gerät, das zu einem von Fortinet erkannten Beaconmuster führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu einem von Fortinet erkannten Beaconmuster führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einem von Fortinet erkannten Beaconmuster führt
Netzwerkanforderung an den TOR-Anonymisierungsdienst gefolgt von anomalem Datenverkehr, der von der Palo Alto Networks-Firewall gekennzeichnet wird.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Befehl und Steuerung
MITRE ATT&CK-Techniken: Verschlüsselter Kanal (T1573), Proxy (T1090)
Datenquellen für Datenconnector: Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)
Beschreibung: Fusion-Incidents dieses Typs deuten darauf hin, dass eine ausgehende Verbindungsanforderung an den TOR-Anonymisierungsdienst gestellt wurde. Anschließend wurde von der Palo Alto Networks Firewall eine anormale eingehende Aktivität erkannt. Dieser Beweis deutet darauf hin, dass ein Angreifer wahrscheinlich Zugriff auf Ihr Netzwerk erlangt hat und versucht, seine Aktionen und Absichten zu verbergen. Verbindungen mit dem TOR-Netzwerk, die diesem Muster folgen, können ein Hinweis auf Eine Malware-Befehls- und -Steuerungsaktivität, Anforderungen zum Herunterladen zusätzlicher Schadsoftware oder ein Angreifer sein, der interaktiven Remotezugriff einrichtigt. In Palo Alto-Protokollen konzentriert sich Microsoft Sentinel auf Bedrohungsprotokolle, und Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen zulässig sind (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfire-Viren, Waldbrände). Verweisen Sie außerdem auf das Palo Alto-Bedrohungsprotokoll, das dem in der Beschreibung des Fusion-Incidents aufgeführten Bedrohungs-/Inhaltstyp entspricht, um weitere Warnungsdetails zu erhalten.
Ausgehende Verbindung mit ip-Adresse mit einem Verlauf nicht autorisierter Zugriffsversuche, gefolgt von anomalem Datenverkehr, der von der Palo Alto Networks-Firewall gekennzeichnet wurde
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Befehl und Steuerung
MITRE ATT&CK-Techniken: Nicht zutreffend
Datenquellen für Datenconnector: Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)
Beschreibung: Fusion-Incidents dieses Typs deuten darauf hin, dass eine ausgehende Verbindung mit einer IP-Adresse mit einem Verlauf nicht autorisierter Zugriffsversuche hergestellt wurde und im Anschluss an diese anomale Aktivität von der Palo Alto Networks Firewall erkannt wurde. Dieser Beweis deutet darauf hin, dass ein Angreifer wahrscheinlich Zugriff auf Ihr Netzwerk erlangt hat. Verbindungsversuche, die diesem Muster folgen, können ein Hinweis auf eine Befehls- und Steuerungsaktivität von Schadsoftware, Anforderungen zum Herunterladen zusätzlicher Schadsoftware oder ein Angreifer sein, der interaktiven Remotezugriff herstellt. In Palo Alto-Protokollen konzentriert sich Microsoft Sentinel auf Bedrohungsprotokolle, und Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen zulässig sind (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfire-Viren, Waldbrände). Verweisen Sie außerdem auf das Palo Alto-Bedrohungsprotokoll, das dem in der Beschreibung des Fusion-Incidents aufgeführten Bedrohungs-/Inhaltstyp entspricht, um weitere Warnungsdetails zu erhalten.
Persistenz
(Neue Bedrohungsklassifizierung)
Seltene Anwendungsgenehmigung nach verdächtiger Anmeldung
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Persistenz, Erstzugriff
MITRE ATT&CK-Techniken: Konto erstellen (T1136), Gültiges Konto (T1078)
Datenquellen für Datenconnector: Microsoft Sentinel (Geplante Analyseregel), Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass einer Anwendung nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto die Zustimmung eines Benutzers erteilt wurde, der dies noch nie oder selten getan hat. Dieser Beweis deutet darauf hin, dass das in der Beschreibung des Fusion-Incidents notierte Konto möglicherweise kompromittiert und verwendet wurde, um auf die Anwendung zuzugreifen oder diese für böswillige Zwecke zu manipulieren. Zustimmung zur Anwendung, Dienstprinzipal hinzufügen und OAuth2PermissionGrant hinzufügen sollten in der Regel seltene Ereignisse sein. Angreifer können diese Art von Konfigurationsänderung verwenden, um auf Systemen Fuß zu fassen oder zu erhalten. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der seltenen Warnung zur Anwendungswilligung sind:
Unmöglicher Ortswechsel an einen atypischen Ort führt zu einer seltenen Anwendungszustimmung
Anmeldeereignis von einem unbekannten Ort führt zu einer seltenen Anwendungseinwilligung
Anmeldeereignis von einem infizierten Gerät führt zu einer seltenen Anwendungseinwilligung
Anmeldeereignis von einer anonymen IP-Adresse, die zu einer seltenen Anwendungszustimmung führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer seltenen Anwendungszustimmung führt
Ransomware
Ransomware-Ausführung nach verdächtiger Microsoft Entra Anmeldung
MITRE ATT&CK-Taktiken: Erstzugriff, Auswirkung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Data Encrypted for Impact (T1486)
Datenquellen für Datenconnector: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein anomales Benutzerverhalten, das darauf hinweist, dass ein Ransomware-Angriff nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto erkannt wurde. Diese Angabe bietet hohe Sicherheit, dass das in der Fusion-Vorfallsbeschreibung notierte Konto kompromittiert wurde und verwendet wurde, um Daten zu verschlüsseln, um den Datenbesitzer zu erpressen oder dem Datenbesitzer den Zugriff auf seine Daten zu verweigern. Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der Ransomware-Ausführungswarnung sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zu Ransomware in der Cloud-App führt
Anmeldeereignis von einem unbekannten Ort führt zu Ransomware in der Cloud-App
Anmeldeereignis von einem infizierten Gerät führt zu Ransomware in der Cloud-App
Anmeldeereignis von einer anonymen IP-Adresse, die zu Ransomware in der Cloud-App führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu Ransomware in der Cloud-App führt
Remoteausnutzung
Vermutete Verwendung des Angriffsframeworks, gefolgt von anomalem Datenverkehr, der von der Palo Alto Networks-Firewall gekennzeichnet wird
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Ausführung, Lateral Movement, Rechteausweitung
MITRE ATT&CK-Techniken: Exploit Public-Facing Anwendung (T1190), Ausnutzung für Clientausführung (T1203), Ausnutzung von Remotediensten (T1210), Ausnutzung für Rechteausweitung (T1068)
Datenquellen für Datenconnector: Microsoft Defender for Endpoint (früher MDATP), Microsoft Sentinel (geplante Analyseregel)
Beschreibung: Fusion-Incidents dieses Typs deuten darauf hin, dass nicht standardmäßige Verwendungen von Protokollen, die der Verwendung von Angriffsframeworks wie Metasploit ähneln, erkannt wurden und anschließend verdächtige eingehende Aktivitäten von der Palo Alto Networks Firewall erkannt wurden. Dies kann ein erster Hinweis darauf sein, dass ein Angreifer einen Dienst ausgenutzt hat, um Zugriff auf Ihre Netzwerkressourcen zu erhalten, oder dass ein Angreifer bereits Zugriff erlangt hat und versucht, verfügbare Systeme/Dienste weiter auszunutzen, um seitlich zu wechseln und/oder Berechtigungen zu eskalieren. In Palo Alto-Protokollen konzentriert sich Microsoft Sentinel auf Bedrohungsprotokolle, und Datenverkehr wird als verdächtig eingestuft, wenn Bedrohungen zulässig sind (verdächtige Daten, Dateien, Überflutungen, Pakete, Scans, Spyware, URLs, Viren, Sicherheitsrisiken, Wildfire-Viren, Waldbrände). Verweisen Sie außerdem auf das Palo Alto-Bedrohungsprotokoll, das dem in der Beschreibung des Fusion-Incidents aufgeführten Bedrohungs-/Inhaltstyp entspricht, um weitere Warnungsdetails zu erhalten.
Ressourcenentführung
(Neue Bedrohungsklassifizierung)
Verdächtige Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer nach verdächtiger Microsoft Entra Anmeldung
In diesem Szenario werden Warnungen verwendet, die von geplanten Analyseregeln generiert werden.
Dieses Szenario befindet sich derzeit in der VORSCHAU.
MITRE ATT&CK-Taktiken: Erstzugriff, Auswirkung
MITRE ATT&CK-Techniken: Gültiges Konto (T1078), Ressourcenentführer (T1496)
Datenquellen für Datenconnector: Microsoft Sentinel (Geplante Analyseregel), Microsoft Entra ID Protection
Beschreibung: Fusion-Vorfälle dieses Typs deuten darauf hin, dass ein Benutzer eine Azure Ressource oder Ressourcengruppe – eine seltene Aktivität – nach einer verdächtigen Anmeldung bei einem Microsoft Entra-Konto bereitgestellt hat. Dies kann möglicherweise ein Versuch eines Angreifers sein, Ressourcen oder Ressourcengruppen für böswillige Zwecke bereitzustellen, nachdem das Benutzerkonto in der Beschreibung des Fusion-Incidents kompromittiert wurde.
Die Permutationen verdächtiger Microsoft Entra Anmeldewarnungen mit der verdächtigen Ressourcen-/Ressourcengruppenbereitstellung durch eine zuvor nicht angezeigte Aufruferwarnung sind:
Unmöglicher Ortswechsel zu einem atypischen Ort, der zu einer verdächtigen Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer führt
Anmeldeereignis von einem unbekannten Ort, das zu einer verdächtigen Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer führt
Anmeldeereignis von einem infizierten Gerät, das zu einer verdächtigen Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer führt
Anmeldeereignis von einer anonymen IP-Adresse, die zu einer verdächtigen Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer führt
Anmeldeereignis eines Benutzers mit kompromittierten Anmeldeinformationen, was zu einer verdächtigen Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer führt
Nächste Schritte
Nachdem Sie mehr über die erweiterte Erkennung von mehrstufigen Angriffen erfahren haben, interessieren Sie sich möglicherweise für die folgende Schnellstartanleitung, um zu erfahren, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten: Erste Schritte mit Microsoft Sentinel.
Wenn Sie bereit sind, die für Sie erstellten Vorfälle zu untersuchen, lesen Sie das folgende Tutorial: Untersuchen von Vorfällen mit Microsoft Sentinel.