Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce document répertorie les types d’attaques multiphases basées sur un scénario, regroupées par classification des menaces, que Microsoft Sentinel détecte à l’aide du moteur de corrélation Fusion.
Étant donné que Fusion met en corrélation plusieurs signaux provenant de différents produits pour détecter les attaques multiphases avancées, les détections Fusion réussies sont présentées sous forme d’incidents Fusion sur la page Incidents Microsoft Sentinel et non sous forme d’alertes, et sont stockées dans la table Incidents dans les journaux et non dans la table SecurityAlerts.
Pour activer ces scénarios de détection d’attaque avec Fusion, toutes les sources de données répertoriées doivent être ingérées dans votre espace de travail Log Analytics. Pour les scénarios avec des règles d’analytique planifiée, suivez les instructions fournies dans Configurer des règles d’analyse planifiées pour les détections Fusion.
Remarque
Certains de ces scénarios sont en PRÉVERSION. Ils seront ainsi indiqués.
Utilisation abusive des ressources de calcul
Activités de création de machines virtuelles multiples suite à une connexion Microsoft Entra suspecte
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, impact
Techniques MITRE ATT&CK : Compte valide (T1078), détournement de ressources (T1496)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent qu’un nombre anormal de machines virtuelles ont été créées dans une seule session à la suite d’une connexion suspecte à un compte Microsoft Entra. Ce type d’alerte indique, avec un degré élevé de confiance, que le compte indiqué dans la description de l’incident Fusion a été compromis et utilisé pour créer de nouvelles machines virtuelles à des fins non autorisées, telles que l’exécution d’opérations d’exploration de données de chiffrement. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’activités de création de machines virtuelles multiples sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant plusieurs activités de création de machines virtuelles
Événement de connexion à partir d’un emplacement inconnu entraînant plusieurs activités de création de machine virtuelle
Événement de connexion à partir d’un appareil infecté entraînant plusieurs activités de création de machine virtuelle
Événement de connexion à partir d’une adresse IP anonyme entraînant plusieurs activités de création de machine virtuelle
Événement de connexion d’un utilisateur avec des informations d’identification divulguées entraînant plusieurs activités de création de machine virtuelle
Accès aux informations d’identification
(Nouvelle classification des menaces)
Réinitialisation de plusieurs mots de passe par l’utilisateur suite à une connexion suspecte
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, accès aux informations d’identification
Techniques MITRE ATT&CK : Compte valide (T1078), Force brute (T1110)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Entra ID Protection
Description: Les incidents fusion de ce type indiquent qu’un utilisateur réinitialise plusieurs mots de passe après une connexion suspecte à un compte Microsoft Entra. Cette preuve suggère que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour effectuer plusieurs réinitialisations de mot de passe afin d’accéder à plusieurs systèmes et ressources. La manipulation de compte (y compris la réinitialisation du mot de passe) peut aider les adversaires à maintenir l’accès aux informations d’identification et à certains niveaux d’autorisation au sein d’un environnement. Les permutations des alertes de connexion suspectes Microsoft Entra avec plusieurs alertes de réinitialisation de mot de passe sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant la réinitialisation de plusieurs mots de passe
Événement de connexion à partir d’un emplacement inconnu entraînant la réinitialisation de plusieurs mots de passe
Événement de connexion à partir d’un appareil infecté entraînant la réinitialisation de plusieurs mots de passe
Événement de connexion à partir d’une adresse IP anonyme entraînant la réinitialisation de plusieurs mots de passe
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant la réinitialisation de plusieurs mots de passe
Connexion suspecte coïncidant avec une connexion réussie à Palo Alto VPN par IP avec plusieurs échecs de connexion Microsoft Entra
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, accès aux informations d’identification
Techniques MITRE ATT&CK : Compte valide (T1078), Force brute (T1110)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Entra ID Protection
Description: Les incidents fusion de ce type indiquent qu’une connexion suspecte à un compte Microsoft Entra a coïncidé avec une connexion réussie via un VPN Palo Alto à partir d’une adresse IP à partir de laquelle plusieurs connexions Microsoft Entra ont échoué dans un laps de temps similaire. Bien qu’il ne s’agit pas de la preuve d’une attaque multiphase, la corrélation de ces deux alertes de fidélité inférieure entraîne un incident de haute fidélité suggérant un accès initial malveillant au réseau de l’organization. Cela peut également indiquer qu’un attaquant tente d’utiliser des techniques de force brute pour accéder à un compte Microsoft Entra. Les permutations des alertes de connexion suspectes Microsoft Entra avec des alertes « IP avec plusieurs échecs de connexion Microsoft Entra se connectent correctement à Palo Alto VPN » sont les suivantes :
Voyage impossible vers un emplacement atypique coïncidant avec l’adresse IP avec plusieurs échecs de connexion Microsoft Entra se connectent correctement à Palo Alto VPN
Événement de connexion à partir d’un emplacement inconnu coïncidant avec l’adresse IP avec plusieurs échecs de connexion Microsoft Entra se connectent correctement à Palo Alto VPN
Événement de connexion à partir d’un appareil infecté coïncidant avec l’adresse IP avec plusieurs échecs de connexion Microsoft Entra se connectent correctement à Palo Alto VPN
Événement de connexion à partir d’une adresse IP anonyme coïncidant avec l’adresse IP avec plusieurs échecs de connexion Microsoft Entra se connectent correctement à Palo Alto VPN
Événement de connexion de l’utilisateur avec des informations d’identification divulguées coïncidant avec l’adresse IP avec plusieurs échecs de connexion Microsoft Entra se connecte correctement à Palo Alto VPN
Collecte des informations d’identification
(Nouvelle classification des menaces)
Exécution d’un outil de vol d’informations d’identification malveillante après une connexion suspecte
MITRE ATT&tactiques CK : Accès initial, accès aux informations d’identification
Techniques MITRE ATT&CK : Compte valide (T1078), authentification des informations d’identification du système d’exploitation (T1003)
Sources du connecteur de données : protection Microsoft Entra ID, Microsoft Defender pour point de terminaison
Description: Les incidents de fusion de ce type indiquent qu’un outil connu de vol d’informations d’identification a été exécuté à la suite d’une connexion Microsoft Entra suspecte. Cette preuve suggère avec une confiance élevée que le compte d’utilisateur indiqué dans la description de l’alerte a été compromis et peut avoir utilisé un outil comme Mimikatz pour collecter des informations d’identification telles que des clés, des mots de passe en texte clair et/ou des hachages de mot de passe à partir du système. Les informations d’identification collectées peuvent permettre à un attaquant d’accéder à des données sensibles, d’élever des privilèges et/ou de se déplacer latéralement sur le réseau. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’outil de vol d’informations d’identification malveillantes sont les suivantes :
Déplacement impossible vers des emplacements atypiques entraînant l’exécution d’un outil malveillant de vol d’informations d’identification
Événement de connexion à partir d’un emplacement inconnu entraînant l’exécution d’un outil de vol d’informations d’identification malveillant
Événement de connexion à partir d’un appareil infecté entraînant l’exécution d’un outil de vol d’informations d’identification malveillant
Événement de connexion à partir d’une adresse IP anonyme entraînant l’exécution d’un outil de vol d’informations d’identification malveillant
Événement de connexion d’un utilisateur avec fuite d’informations d’identification entraînant l’exécution d’un outil malveillant de vol d’informations d’identification
Suspicion d’activité de vol d’informations d’identification suite à une connexion suspecte
MITRE ATT&tactiques CK : Accès initial, accès aux informations d’identification
Techniques MITRE ATT&CK : Compte valide (T1078), Informations d’identification des magasins de mots de passe (T1555), Authentification des informations d’identification du système d’exploitation (T1003)
Sources du connecteur de données : protection Microsoft Entra ID, Microsoft Defender pour point de terminaison
Description: Les incidents de fusion de ce type indiquent que l’activité associée à des modèles de vol d’informations d’identification s’est produite à la suite d’une connexion suspecte Microsoft Entra. Cette preuve suggère avec une grande certitude que le compte d’utilisateur indiqué dans la description de l’alerte a été compromis et utilisé pour voler des informations d’identification telles que des clés, des mots de passe en texte brut, des hachages de mot de passe, etc. Les informations d’identification volées peuvent permettre à un attaquant d’accéder à des données sensibles, d’élever des privilèges et/ou de se déplacer latéralement sur le réseau. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’activité de vol d’informations d’identification sont les suivantes :
Déplacement impossible vers des emplacements atypiques entraînant une activité suspecte de vol d’informations d’identification
Événement de connexion à partir d’un emplacement inconnu entraînant une activité suspecte de vol d’informations d’identification
Événement de connexion à partir d’un appareil infecté entraînant une activité suspecte de vol d’informations d’identification
Événement de connexion à partir d’une adresse IP anonyme entraînant une activité suspecte de vol d’informations d’identification
Événement de connexion d’un utilisateur avec fuite d’informations d’identification entraînant une activité suspecte de vol d’informations d’identification
Exploration de chiffrement
(Nouvelle classification des menaces)
Activité d’exploration de chiffrement après une connexion suspecte
MITRE ATT&tactiques CK : Accès initial, accès aux informations d’identification
Techniques MITRE ATT&CK : Compte valide (T1078), détournement de ressources (T1496)
Sources du connecteur de données : protection Microsoft Entra ID, Microsoft Defender pour le cloud
Description: Les incidents fusion de ce type indiquent une activité d’exploration de chiffrement associée à une connexion suspecte à un compte Microsoft Entra. Cette preuve suggère avec une confiance élevée que le compte d’utilisateur indiqué dans la description de l’alerte a été compromis et a été utilisé pour détourner des ressources dans votre environnement pour exploiter la crypto-monnaie. Cela peut priver vos ressources de puissance de calcul et/ou entraîner des factures d’utilisation du cloud beaucoup plus élevées que prévu. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’activité d’exploration de chiffrement sont les suivantes :
Voyage impossible vers des emplacements atypiques menant à l’activité de crypto-mining
Événement de connexion à partir d’un emplacement inconnu menant à une activité d’exploration de chiffrement
Événement de connexion à partir d’un appareil infecté entraînant une activité d’exploration de chiffrement
Événement de connexion à partir d’une adresse IP anonyme menant à une activité d’exploration de chiffrement
Événement de connexion de l’utilisateur avec fuite d’informations d’identification menant à une activité d’exploration de chiffrement
Destruction des données
Suppression de fichiers en masse suite à une connexion suspecte Microsoft Entra
MITRE ATT&tactiques CK : Accès initial, impact
Techniques MITRE ATT&CK : Compte valide (T1078), Destruction de données (T1485)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents de fusion de ce type indiquent qu’un nombre anormal de fichiers uniques ont été supprimés à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette preuve suggère que le compte mentionné dans la description de l’incident Fusion a peut-être été compromis et a été utilisé pour détruire des données à des fins malveillantes. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte de suppression de fichier en masse sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant la suppression de fichiers en masse
Événement de connexion à partir d’un emplacement inconnu entraînant la suppression de fichiers en masse
Événement de connexion à partir d’un appareil infecté entraînant la suppression de fichiers en masse
Événement de connexion à partir d’une adresse IP anonyme entraînant la suppression de fichiers en masse
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant la suppression de fichiers en masse
Suppression de fichiers en masse après Microsoft Entra connexion réussie à une adresse IP bloquée par un pare-feu Cisco Appliance
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, impact
Techniques MITRE ATT&CK : Compte valide (T1078), Destruction de données (T1485)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents fusion de ce type indiquent qu’un nombre anormal de fichiers uniques ont été supprimés à la suite d’une connexion Microsoft Entra réussie, malgré le blocage de l’adresse IP de l’utilisateur par un Appliance de pare-feu Cisco. Cette preuve suggère que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour détruire des données à des fins malveillantes. Étant donné que l’adresse IP a été bloquée par le pare-feu, cette même connexion IP à Microsoft Entra ID est potentiellement suspecte et peut indiquer une compromission des informations d’identification pour le compte d’utilisateur.
Suppression de fichiers en masse après une connexion réussie à Palo Alto VPN par IP avec plusieurs échecs de connexion Microsoft Entra
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, accès aux informations d’identification, impact
Techniques MITRE ATT&CK : Compte valide (T1078), force brute (T1110), destruction de données (T1485)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents de fusion de ce type indiquent qu’un nombre anormal de fichiers uniques ont été supprimés par un utilisateur qui s’est connecté avec succès via un VPN Palo Alto à partir d’une adresse IP à partir de laquelle plusieurs échecs de connexion Microsoft Entra se sont produits dans un laps de temps similaire. Cette preuve suggère que le compte d’utilisateur noté dans l’incident Fusion peut avoir été compromis à l’aide de techniques de force brute et a été utilisé pour détruire des données à des fins malveillantes.
Activité suspecte de suppression d’e-mails suite à une connexion Microsoft Entra suspecte
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, impact
Techniques MITRE ATT&CK : Compte valide (T1078), Destruction de données (T1485)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent qu’un nombre anormal d’e-mails ont été supprimés dans une seule session à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette preuve suggère que le compte indiqué dans la description de l’incident Fusion a peut-être été compromis et a été utilisé pour détruire des données à des fins malveillantes, telles que nuire à l’organization ou masquer l’activité de courrier indésirable. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’activité de suppression d’e-mail suspecte sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant une activité suspecte de suppression d’e-mail
Événement de connexion à partir d’un emplacement inconnu entraînant une activité suspecte de suppression d’e-mails
Événement de connexion à partir d’un appareil infecté entraînant une activité suspecte de suppression d’e-mails
Événement de connexion à partir d’une adresse IP anonyme entraînant une activité suspecte de suppression d’e-mail
Événement de connexion d’un utilisateur avec des informations d’identification divulguées entraînant une activité suspecte de suppression d’e-mails
Data exfiltration
Activités de transfert de courrier suite à une nouvelle activité admin-account qui n’a pas été vue récemment
Ce scénario appartient à deux classifications de menaces de cette liste : exfiltration de données et activité administrative malveillante. Par souci de clarté, il apparaît dans les deux sections.
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, collection, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), collection Email (T1114), exfiltration sur le service web (T1567)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents de fusion de ce type indiquent qu’un compte d’administrateur Exchange a été créé ou qu’un compte d’administrateur Exchange existant a effectué une action administrative pour la première fois, au cours des deux dernières semaines, et que le compte a ensuite effectué des actions de transfert de courrier, qui sont inhabituelles pour un compte administrateur. Cette preuve suggère que le compte d’utilisateur indiqué dans la description de l’incident Fusion a été compromis ou manipulé, et qu’il a été utilisé pour exfiltrer des données du réseau de votre organization.
Téléchargement de fichiers en masse suite à une connexion suspecte Microsoft Entra
MITRE ATT&tactiques CK : Accès initial, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent qu’un nombre anormal de fichiers ont été téléchargés par un utilisateur à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette indication fournit une confiance élevée que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour exfiltrer des données du réseau de votre organization. Les permutations des alertes de connexion Microsoft Entra suspectes avec l’alerte de téléchargement de fichiers en masse sont les suivantes :
Voyage impossible vers un emplacement atypique entraînant le téléchargement de fichiers en masse
Événement de connexion à partir d’un emplacement inconnu menant au téléchargement de fichiers en masse
Événement de connexion à partir d’un appareil infecté entraînant le téléchargement de fichiers en masse
Événement de connexion à partir d’une adresse IP anonyme menant au téléchargement de fichiers en masse
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant le téléchargement de fichiers en masse
Téléchargement de fichiers en masse après Microsoft Entra connexion réussie à partir d’une adresse IP bloquée par un pare-feu Cisco Appliance
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), exfiltration sur le service web (T1567)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents fusion de ce type indiquent qu’un nombre anormal de fichiers ont été téléchargés par un utilisateur à la suite d’une connexion Microsoft Entra réussie, bien que l’adresse IP de l’utilisateur soit bloquée par un Appliance de pare-feu Cisco. Il peut s’agir d’une tentative d’une personne malveillante d’exfiltrer des données du réseau de l’organization après avoir compromis un compte d’utilisateur. Étant donné que l’adresse IP a été bloquée par le pare-feu, cette même connexion IP à Microsoft Entra ID est potentiellement suspecte et peut indiquer une compromission des informations d’identification pour le compte d’utilisateur.
Téléchargement de fichiers en masse coïncidant avec l’opération de fichier SharePoint à partir d’une adresse IP précédemment invisible
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Exfiltration
Techniques MITRE ATT&CK : Exfiltration sur le service web (T1567), limites de taille de transfert de données (T1030)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents de fusion de ce type indiquent qu’un nombre anormal de fichiers ont été téléchargés par un utilisateur connecté à partir d’une adresse IP auparavant invisible. Bien qu’il ne s’agit pas de la preuve d’une attaque multiphase, la corrélation de ces deux alertes de fidélité inférieure entraîne un incident de haute fidélité suggérant une tentative par un attaquant d’exfiltrer des données du réseau de l’organization à partir d’un compte d’utilisateur potentiellement compromis. Dans les environnements stables, ces connexions par adresses IP invisibles peuvent ne pas être autorisées, en particulier si elles sont associées à des pics de volume qui pourraient être associés à l’exfiltration de documents à grande échelle.
Partage de fichiers en masse suite à une connexion Microsoft Entra suspecte
MITRE ATT&tactiques CK : Accès initial, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), exfiltration sur le service web (T1567)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents de fusion de ce type indiquent qu’un certain nombre de fichiers au-dessus d’un seuil particulier ont été partagés avec d’autres personnes à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette indication garantit que le compte indiqué dans la description de l’incident Fusion a été compromis et utilisé pour exfiltrer des données du réseau de votre organization en partageant des fichiers tels que des documents, des feuilles de calcul, etc., avec des utilisateurs non autorisés à des fins malveillantes. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte de partage de fichiers en masse sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant le partage de fichiers en masse
Événement de connexion à partir d’un emplacement inconnu entraînant un partage de fichiers en masse
Événement de connexion à partir d’un appareil infecté entraînant un partage de fichiers en masse
Événement de connexion à partir d’une adresse IP anonyme menant au partage de fichiers en masse
Événement de connexion d’un utilisateur avec des informations d’identification divulguées entraînant un partage de fichiers en masse
Activités de partage de rapports Power BI multiples suite à une connexion Microsoft Entra suspecte
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), exfiltration sur le service web (T1567)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents Fusion de ce type indiquent qu’un nombre anormal de rapports Power BI ont été partagés en une seule session à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette indication garantit que le compte indiqué dans la description de l’incident Fusion a été compromis et utilisé pour exfiltrer des données du réseau de votre organization en partageant des rapports Power BI avec des utilisateurs non autorisés à des fins malveillantes. Les permutations des alertes de connexion suspectes Microsoft Entra avec les activités de partage de rapports Power BI multiples sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant plusieurs activités de partage de rapports Power BI
Événement de connexion à partir d’un emplacement inconnu entraînant plusieurs activités de partage de rapports Power BI
Événement de connexion à partir d’un appareil infecté entraînant plusieurs activités de partage de rapports Power BI
Événement de connexion à partir d’une adresse IP anonyme menant à plusieurs activités de partage de rapports Power BI
Événement de connexion d’un utilisateur avec fuite d’informations d’identification entraînant plusieurs activités de partage de rapports Power BI
Office 365 exfiltration de boîte aux lettres suite à une connexion Microsoft Entra suspecte
MITRE ATT&tactiques CK : Accès initial, exfiltration, collection
Techniques MITRE ATT&CK : Compte valide (T1078), collecte d’e-mails (T1114), exfiltration automatisée (T1020)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent qu’une règle de transfert de boîte de réception suspecte a été définie sur la boîte de réception d’un utilisateur à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette indication garantit que le compte de l’utilisateur (indiqué dans la description de l’incident Fusion) a été compromis et qu’il a été utilisé pour exfiltrer des données du réseau de votre organization en activant une règle de transfert de boîte aux lettres à l’insu de l’utilisateur réel. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’exfiltration de boîte aux lettres Office 365 sont les suivantes :
Déplacement impossible vers un lieu atypique entraînant Office 365 exfiltration de boîte aux lettres
Événement de connexion à partir d’un emplacement inconnu entraînant Office 365 exfiltration de boîte aux lettres
Événement de connexion à partir d’un appareil infecté entraînant Office 365 exfiltration de boîte aux lettres
Événement de connexion à partir d’une adresse IP anonyme menant à Office 365 exfiltration de boîte aux lettres
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant Office 365 exfiltration de boîte aux lettres
Opération de fichier SharePoint à partir d’une adresse IP précédemment invisible suite à la détection de programmes malveillants
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Exfiltration, évasion de défense
Techniques MITRE ATT&CK : Limites de taille de transfert de données (T1030)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents de fusion de ce type indiquent qu’un attaquant a tenté d’exfiltrer de grandes quantités de données en téléchargeant ou en partageant via SharePoint via l’utilisation de programmes malveillants. Dans les environnements stables, ces connexions par adresses IP invisibles peuvent ne pas être autorisées, en particulier si elles sont associées à des pics de volume qui pourraient être associés à l’exfiltration de documents à grande échelle.
Règles de manipulation de boîte de réception suspectes définies après une connexion Microsoft Entra suspecte
Ce scénario appartient à deux classifications de menaces dans cette liste : l’exfiltration des données et lemouvement latéral. Par souci de clarté, il apparaît dans les deux sections.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, mouvement latéral, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), hameçonnage interne (T1534), exfiltration automatisée (T1020)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent que des règles de boîte de réception anormales ont été définies sur la boîte de réception d’un utilisateur à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette preuve fournit une indication à haut niveau de confiance que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour manipuler les règles de boîte de réception de courrier de l’utilisateur à des fins malveillantes, éventuellement pour exfiltrer des données du réseau de l’organization. L’attaquant peut également essayer de générer des e-mails de hameçonnage à partir de l’organization (en contournant les mécanismes de détection de hameçonnage ciblant les e-mails provenant de sources externes) dans le but de se déplacer latéralement en obtenant l’accès à d’autres comptes d’utilisateur et/ou privilégiés. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte de règles de manipulation de boîte de réception suspecte sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant une règle suspecte de manipulation de boîte de réception
Événement de connexion à partir d’un emplacement inconnu entraînant une règle de manipulation de boîte de réception suspecte
Événement de connexion à partir d’un appareil infecté entraînant une règle de manipulation de boîte de réception suspecte
Événement de connexion à partir d’une adresse IP anonyme entraînant une règle de manipulation de boîte de réception suspecte
Événement de connexion d’un utilisateur avec fuite d’informations d’identification entraînant une règle de manipulation de boîte de réception suspecte
Partage de rapports Power BI suspects après une connexion Microsoft Entra suspecte
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), exfiltration sur le service web (T1567)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent qu’une activité de partage de rapport Power BI suspecte s’est produite à la suite d’une connexion suspecte à un compte Microsoft Entra. L’activité de partage a été identifiée comme suspecte, car le rapport Power BI contenait des informations sensibles identifiées à l’aide du traitement en langage naturel, et parce qu’elle a été partagée avec une adresse e-mail externe, publiée sur le web ou remise en tant que instantané à une adresse e-mail souscrite en externe. Cette alerte indique avec une confiance élevée que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour exfiltrer des données sensibles de votre organization en partageant des rapports Power BI avec des utilisateurs non autorisés à des fins malveillantes. Les permutations des alertes de connexion suspectes Microsoft Entra avec le partage de rapports Power BI suspects sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant un partage de rapports Power BI suspect
Événement de connexion à partir d’un emplacement inconnu entraînant un partage de rapports Power BI suspect
Événement de connexion à partir d’un appareil infecté entraînant un partage de rapport Power BI suspect
Événement de connexion à partir d’une adresse IP anonyme entraînant un partage de rapport Power BI suspect
Événement de connexion d’un utilisateur avec des informations d’identification divulguées entraînant un partage de rapport Power BI suspect
Déni de service
Activités de suppression de machines virtuelles multiples suite à une connexion Microsoft Entra suspecte
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, impact
Techniques MITRE ATT&CK : Compte valide (T1078), déni de service de point de terminaison (T1499)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent qu’un nombre anormal de machines virtuelles ont été supprimées dans une seule session à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette indication fournit une confiance élevée que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour tenter de perturber ou de détruire l’environnement cloud de l’organization. Les permutations des alertes de connexion Microsoft Entra suspectes avec l’alerte d’activités de suppression de plusieurs machines virtuelles sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant plusieurs activités de suppression de machine virtuelle
Événement de connexion à partir d’un emplacement inconnu entraînant plusieurs activités de suppression de machine virtuelle
Événement de connexion à partir d’un appareil infecté entraînant plusieurs activités de suppression de machine virtuelle
Événement de connexion à partir d’une adresse IP anonyme entraînant plusieurs activités de suppression de machine virtuelle
Événement de connexion de l’utilisateur avec fuite d’informations d’identification entraînant plusieurs activités de suppression de machine virtuelle
Déplacement latéral
Office 365 emprunt d’identité suite à une connexion suspecte Microsoft Entra
MITRE ATT&tactiques CK : Accès initial, mouvement latéral
Techniques MITRE ATT&CK : Compte valide (T1078), Hameçonnage interne (T1534)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents de fusion de ce type indiquent qu’un nombre anormal d’actions d’emprunt d’identité se sont produites à la suite d’une connexion suspecte à partir d’un compte Microsoft Entra. Dans certains logiciels, il existe des options permettant aux utilisateurs d’emprunter l’identité d’autres utilisateurs. Par exemple, les services de messagerie permettent aux utilisateurs d’autoriser d’autres utilisateurs à envoyer des e-mails en leur nom. Cette alerte indique avec plus de confiance que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour effectuer des activités d’emprunt d’identité à des fins malveillantes, telles que l’envoi d’e-mails de hameçonnage pour la distribution de programmes malveillants ou le mouvement latéral. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’emprunt d’identité Office 365 sont les suivantes :
Voyage impossible vers un lieu atypique entraînant Office 365 emprunt d’identité
Événement de connexion à partir d’un emplacement inconnu entraînant Office 365 emprunt d’identité
Événement de connexion à partir d’un appareil infecté entraînant Office 365 emprunt d’identité
Événement de connexion à partir d’une adresse IP anonyme entraînant Office 365 emprunt d’identité
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant Office 365 l’emprunt d’identité
Règles de manipulation de boîte de réception suspectes définies après une connexion Microsoft Entra suspecte
Ce scénario appartient à deux classifications de menaces dans cette liste : le mouvement latéral et l’exfiltration des données. Par souci de clarté, il apparaît dans les deux sections.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, mouvement latéral, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), hameçonnage interne (T1534), exfiltration automatisée (T1020)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent que des règles de boîte de réception anormales ont été définies sur la boîte de réception d’un utilisateur à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette preuve fournit une indication à haut niveau de confiance que le compte indiqué dans la description de l’incident Fusion a été compromis et a été utilisé pour manipuler les règles de boîte de réception de courrier de l’utilisateur à des fins malveillantes, éventuellement pour exfiltrer des données du réseau de l’organization. L’attaquant peut également essayer de générer des e-mails de hameçonnage à partir de l’organization (en contournant les mécanismes de détection de hameçonnage ciblant les e-mails provenant de sources externes) dans le but de se déplacer latéralement en obtenant l’accès à d’autres comptes d’utilisateur et/ou privilégiés. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte de règles de manipulation de boîte de réception suspecte sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant une règle suspecte de manipulation de boîte de réception
Événement de connexion à partir d’un emplacement inconnu entraînant une règle de manipulation de boîte de réception suspecte
Événement de connexion à partir d’un appareil infecté entraînant une règle de manipulation de boîte de réception suspecte
Événement de connexion à partir d’une adresse IP anonyme entraînant une règle de manipulation de boîte de réception suspecte
Événement de connexion d’un utilisateur avec fuite d’informations d’identification entraînant une règle de manipulation de boîte de réception suspecte
Activité d’administration malveillante
Activité d’administration d’application cloud suspecte suite à une connexion Microsoft Entra suspecte
MITRE ATT&tactiques CK : Accès initial, persistance, évasion de défense, mouvement latéral, collecte, exfiltration et impact
Techniques MITRE ATT&CK : N/A
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent qu’un nombre anormal d’activités administratives ont été effectuées dans une seule session à la suite d’une connexion suspecte Microsoft Entra à partir du même compte. Cette preuve suggère que le compte mentionné dans la description de l’incident Fusion a peut-être été compromis et a été utilisé pour effectuer un certain nombre d’actions administratives non autorisées avec une intention malveillante. Cela indique également qu’un compte disposant de privilèges administratifs a peut-être été compromis. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’activité administrative d’application cloud suspecte sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant une activité administrative suspecte d’application cloud
Événement de connexion à partir d’un emplacement inconnu entraînant une activité d’administration d’application cloud suspecte
Événement de connexion à partir d’un appareil infecté entraînant une activité d’administration d’application cloud suspecte
Événement de connexion à partir d’une adresse IP anonyme entraînant une activité d’administration d’application cloud suspecte
Événement de connexion d’un utilisateur avec fuite d’informations d’identification entraînant une activité d’administration d’application cloud suspecte
Activités de transfert de courrier suite à une nouvelle activité admin-account qui n’a pas été vue récemment
Ce scénario appartient à deux classifications de menaces dans cette liste : l’activité administrative malveillante et l’exfiltration de données. Par souci de clarté, il apparaît dans les deux sections.
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, collection, exfiltration
Techniques MITRE ATT&CK : Compte valide (T1078), collection Email (T1114), exfiltration sur le service web (T1567)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents de fusion de ce type indiquent qu’un compte d’administrateur Exchange a été créé ou qu’un compte d’administrateur Exchange existant a effectué une action administrative pour la première fois, au cours des deux dernières semaines, et que le compte a ensuite effectué des actions de transfert de courrier, qui sont inhabituelles pour un compte administrateur. Cette preuve suggère que le compte d’utilisateur indiqué dans la description de l’incident Fusion a été compromis ou manipulé, et qu’il a été utilisé pour exfiltrer des données du réseau de votre organization.
Exécution malveillante avec processus légitime
PowerShell a créé une connexion réseau suspecte, suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Exécution
Techniques MITRE ATT&CK : Interpréteur de commandes et de scripts (T1059)
Sources de connecteur de données : Microsoft Defender pour point de terminaison (anciennement Microsoft Defender Advanced Threat Protection ou MDATP), Microsoft Sentinel (règle d’analytique planifiée)
Description: Les incidents de fusion de ce type indiquent qu’une demande de connexion sortante a été effectuée via une commande PowerShell et, par la suite, une activité entrante anormale a été détectée par le pare-feu Palo Alto Networks. Cette preuve suggère qu’un attaquant a probablement obtenu l’accès à votre réseau et tente d’effectuer des actions malveillantes. Les tentatives de connexion effectuées par PowerShell qui suivent ce modèle peuvent indiquer l’activité de commande et de contrôle des programmes malveillants, les demandes de téléchargement de programmes malveillants supplémentaires ou l’établissement d’un accès interactif à distance. Comme pour toutes les attaques « vivant hors de la terre », cette activité pourrait être une utilisation légitime de PowerShell. Toutefois, l’exécution de la commande PowerShell suivie d’une activité pare-feu entrante suspecte augmente la confiance que PowerShell est utilisé de manière malveillante et qu’il doit faire l’objet d’une investigation plus approfondie. Dans les journaux Palo Alto, Microsoft Sentinel se concentre sur les journaux des menaces, et le trafic est considéré comme suspect lorsque des menaces sont autorisées (données suspectes, fichiers, inondations, paquets, analyses, logiciels espions, URL, virus, vulnérabilités, virus d’incendies de forêt). Reportez-vous également au journal des menaces Palo Alto correspondant au type de menace/contenu répertorié dans la description de l’incident Fusion pour obtenir des détails supplémentaires sur l’alerte.
Exécution WMI distante suspecte suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Exécution, découverte
Techniques MITRE ATT&CK : Windows Management Instrumentation (T1047)
Sources du connecteur de données : Microsoft Defender pour point de terminaison (anciennement MDATP), Microsoft Sentinel (règle d’analytique planifiée)
Description: Les incidents de fusion de ce type indiquent que les commandes WMI (Windows Management Interface) ont été exécutées à distance sur un système, puis qu’une activité entrante suspecte a été détectée par le pare-feu Palo Alto Networks. Cette preuve suggère qu’un attaquant peut avoir obtenu l’accès à votre réseau et tente de se déplacer latéralement, de faire remonter les privilèges et/ou d’exécuter des charges utiles malveillantes. Comme pour toutes les attaques « vivant hors de la terre », cette activité pourrait être une utilisation légitime de WMI. Toutefois, l’exécution de la commande WMI distante suivie d’une activité pare-feu entrante suspecte augmente la confiance que WMI est utilisé de manière malveillante et qu’il doit être examiné plus en détail. Dans les journaux Palo Alto, Microsoft Sentinel se concentre sur les journaux des menaces, et le trafic est considéré comme suspect lorsque des menaces sont autorisées (données suspectes, fichiers, inondations, paquets, analyses, logiciels espions, URL, virus, vulnérabilités, virus d’incendies de forêt). Reportez-vous également au journal des menaces Palo Alto correspondant au type de menace/contenu répertorié dans la description de l’incident Fusion pour obtenir des détails supplémentaires sur l’alerte.
Ligne de commande PowerShell suspecte après une connexion suspecte
MITRE ATT&tactiques CK : Accès initial, exécution
Techniques MITRE ATT&CK : Compte valide (T1078), interpréteur de commandes et de scripts (T1059)
Sources du connecteur de données : Microsoft Entra ID Protection, Microsoft Defender pour point de terminaison (anciennement MDATP)
Description: Les incidents Fusion de ce type indiquent qu’un utilisateur a exécuté des commandes PowerShell potentiellement malveillantes à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette preuve suggère avec une confiance élevée que le compte indiqué dans la description de l’alerte a été compromis et que d’autres actions malveillantes ont été prises. Les attaquants utilisent souvent PowerShell pour exécuter des charges utiles malveillantes en mémoire sans laisser d’artefacts sur le disque, afin d’éviter la détection par des mécanismes de sécurité sur disque tels que les antivirus. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte de commande PowerShell suspecte sont les suivantes :
Déplacement impossible vers des emplacements atypiques entraînant une ligne de commande PowerShell suspecte
Événement de connexion à partir d’un emplacement inconnu entraînant une ligne de commande PowerShell suspecte
Événement de connexion à partir d’un appareil infecté entraînant une ligne de commande PowerShell suspecte
Événement de connexion à partir d’une adresse IP anonyme entraînant une ligne de commande PowerShell suspecte
Événement de connexion d’un utilisateur avec des informations d’identification divulguées entraînant une ligne de commande PowerShell suspecte
Programme malveillant C2 ou téléchargement
Modèle de balise détecté par Fortinet après plusieurs échecs de connexion utilisateur à un service
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, commande et contrôle
Techniques MITRE ATT&CK : Compte valide (T1078), port non Standard (T1571), T1065 (mis hors service)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Defender for Cloud Apps
Description: Les incidents fusion de ce type indiquent des modèles de communication, d’une adresse IP interne à une adresse IP externe, qui sont cohérents avec le balisage, après plusieurs échecs de connexion utilisateur à un service à partir d’une entité interne associée. La combinaison de ces deux événements peut être une indication d’une infection par un programme malveillant ou d’un hôte compromis effectuant une exfiltration de données.
Modèle de balise détecté par Fortinet suite à une connexion suspecte Microsoft Entra
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, commande et contrôle
Techniques MITRE ATT&CK : Compte valide (T1078), port non Standard (T1571), T1065 (mis hors service)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Entra ID Protection
Description: Les incidents de fusion de ce type indiquent des modèles de communication, d’une adresse IP interne à une adresse EXTERNE, qui sont cohérents avec le balisage, à la suite d’une connexion de l’utilisateur de nature suspecte à Microsoft Entra ID. La combinaison de ces deux événements peut être une indication d’une infection par un programme malveillant ou d’un hôte compromis effectuant une exfiltration de données. Les permutations du modèle de balise détectées par les alertes Fortinet avec des alertes de connexion suspectes Microsoft Entra sont les suivantes :
Voyage impossible vers un lieu atypique conduisant au modèle de balise détecté par Fortinet
Événement de connexion à partir d’un emplacement inconnu entraînant un modèle de balise détecté par Fortinet
Événement de connexion à partir d’un appareil infecté entraînant un modèle de balise détecté par Fortinet
Événement de connexion à partir d’une adresse IP anonyme menant au modèle de balise détecté par Fortinet
Événement de connexion de l’utilisateur avec fuite d’informations d’identification conduisant au modèle de balise détecté par Fortinet
Demande réseau au service d’anonymisation TOR suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Commande et contrôle
Techniques MITRE ATT&CK : Canal chiffré (T1573), Proxy (T1090)
Sources du connecteur de données : Microsoft Defender pour point de terminaison (anciennement MDATP), Microsoft Sentinel (règle d’analytique planifiée)
Description: Les incidents de fusion de ce type indiquent qu’une demande de connexion sortante a été effectuée au service d’anonymisation TOR, puis qu’une activité entrante anormale a été détectée par le pare-feu Palo Alto Networks. Cette preuve suggère qu’un attaquant a probablement obtenu l’accès à votre réseau et tente de cacher ses actions et son intention. Les connexions au réseau TOR suivant ce modèle peuvent être une indication de l’activité de commande et de contrôle des programmes malveillants, des demandes de téléchargement de programmes malveillants supplémentaires ou d’un attaquant qui établit un accès interactif à distance. Dans les journaux Palo Alto, Microsoft Sentinel se concentre sur les journaux des menaces, et le trafic est considéré comme suspect lorsque des menaces sont autorisées (données suspectes, fichiers, inondations, paquets, analyses, logiciels espions, URL, virus, vulnérabilités, virus d’incendies de forêt). Reportez-vous également au journal des menaces Palo Alto correspondant au type de menace/contenu répertorié dans la description de l’incident Fusion pour obtenir des détails supplémentaires sur l’alerte.
Connexion sortante à l’adresse IP avec un historique des tentatives d’accès non autorisées suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Commande et contrôle
Techniques MITRE ATT&CK : Non applicable
Sources du connecteur de données : Microsoft Defender pour point de terminaison (anciennement MDATP), Microsoft Sentinel (règle d’analytique planifiée)
Description: Les incidents de fusion de ce type indiquent qu’une connexion sortante vers une adresse IP avec un historique de tentatives d’accès non autorisées a été établie et, par la suite, une activité anormale a été détectée par le pare-feu Palo Alto Networks. Cette preuve suggère qu’un attaquant a probablement obtenu l’accès à votre réseau. Les tentatives de connexion suivant ce modèle peuvent être une indication de l’activité de commande et de contrôle des programmes malveillants, des demandes de téléchargement de programmes malveillants supplémentaires ou d’un attaquant qui établit un accès interactif à distance. Dans les journaux Palo Alto, Microsoft Sentinel se concentre sur les journaux des menaces, et le trafic est considéré comme suspect lorsque des menaces sont autorisées (données suspectes, fichiers, inondations, paquets, analyses, logiciels espions, URL, virus, vulnérabilités, virus d’incendies de forêt). Reportez-vous également au journal des menaces Palo Alto correspondant au type de menace/contenu répertorié dans la description de l’incident Fusion pour obtenir des détails supplémentaires sur l’alerte.
Persistance
(Nouvelle classification des menaces)
Consentement d’application rare après une connexion suspecte
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Persistance, accès initial
Techniques MITRE ATT&CK : Créer un compte (T1136), Compte valide (T1078)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Entra ID Protection
Description: Les incidents fusion de ce type indiquent qu’une application a obtenu le consentement d’un utilisateur qui ne l’a jamais ou rarement fait, à la suite d’une connexion suspecte associée à un compte Microsoft Entra. Cette preuve suggère que le compte indiqué dans la description de l’incident Fusion peut avoir été compromis et utilisé pour accéder à l’application ou manipuler à des fins malveillantes. Le consentement à l’application, Ajouter un principal de service et Ajouter OAuth2PermissionGrant doivent généralement être des événements rares. Les attaquants peuvent utiliser ce type de modification de configuration pour établir ou maintenir leur emprise sur les systèmes. Les permutations des alertes de connexion Microsoft Entra suspectes avec l’alerte de consentement d’application rare sont les suivantes :
Voyage impossible vers un lieu atypique entraînant un consentement de demande rare
Événement de connexion à partir d’un emplacement inconnu entraînant un consentement d’application rare
Événement de connexion à partir d’un appareil infecté entraînant un consentement d’application rare
Événement de connexion à partir d’une adresse IP anonyme entraînant un consentement d’application rare
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant un consentement d’application rare
Rançongiciel
Exécution d’un ransomware suite à une connexion Microsoft Entra suspecte
MITRE ATT&tactiques CK : Accès initial, impact
Techniques MITRE ATT&CK : Compte valide (T1078), Données chiffrées pour impact (T1486)
Sources du connecteur de données : Microsoft Defender for Cloud Apps, protection Microsoft Entra ID
Description: Les incidents fusion de ce type indiquent que le comportement anormal de l’utilisateur indiquant une attaque par ransomware a été détecté à la suite d’une connexion suspecte à un compte Microsoft Entra. Cette indication fournit une confiance élevée que le compte noté dans la description de l’incident Fusion a été compromis et a été utilisé pour chiffrer des données à des fins d’extorsion du propriétaire des données ou de refus de l’accès du propriétaire des données à ses données. Les permutations des alertes de connexion suspectes Microsoft Entra avec l’alerte d’exécution de ransomware sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant un ransomware dans l’application cloud
Événement de connexion à partir d’un emplacement inconnu entraînant un ransomware dans l’application cloud
Événement de connexion à partir d’un appareil infecté entraînant un ransomware dans l’application cloud
Événement de connexion à partir d’une adresse IP anonyme entraînant un ransomware dans l’application cloud
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant un ransomware dans l’application cloud
Exploitation à distance
Suspicion d’utilisation de l’infrastructure d’attaque suivie d’un trafic anormal signalé par le pare-feu Palo Alto Networks
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, exécution, mouvement latéral, élévation de privilèges
Techniques MITRE ATT&CK : Exploit Public-Facing Application (T1190), Exploitation pour l’exécution du client (T1203), Exploitation des services distants (T1210), Exploitation pour l’escalade des privilèges (T1068)
Sources du connecteur de données : Microsoft Defender pour point de terminaison (anciennement MDATP), Microsoft Sentinel (règle d’analytique planifiée)
Description: Les incidents de fusion de ce type indiquent que des utilisations non standard de protocoles, semblables à l’utilisation de frameworks d’attaque tels que Metasploit, ont été détectées et, par la suite, une activité entrante suspecte a été détectée par le pare-feu Palo Alto Networks. Il peut s’agir d’une indication initiale qu’un attaquant a exploité un service pour accéder à vos ressources réseau ou qu’un attaquant a déjà obtenu l’accès et tente d’exploiter davantage les systèmes/services disponibles pour déplacer latéralement et/ou escalader les privilèges. Dans les journaux Palo Alto, Microsoft Sentinel se concentre sur les journaux des menaces, et le trafic est considéré comme suspect lorsque des menaces sont autorisées (données suspectes, fichiers, inondations, paquets, analyses, logiciels espions, URL, virus, vulnérabilités, virus d’incendies de forêt). Reportez-vous également au journal des menaces Palo Alto correspondant au type de menace/contenu répertorié dans la description de l’incident Fusion pour obtenir des détails supplémentaires sur l’alerte.
Détournement de ressources
(Nouvelle classification des menaces)
Déploiement suspect d’une ressource ou d’un groupe de ressources par un appelant précédemment invisible à la suite d’une connexion Microsoft Entra suspecte
Ce scénario utilise des alertes produites par des règles d’analyse planifiées.
Ce scénario est actuellement en préversion.
MITRE ATT&tactiques CK : Accès initial, impact
Techniques MITRE ATT&CK : Compte valide (T1078), détournement de ressources (T1496)
Sources du connecteur de données : Microsoft Sentinel (règle d’analytique planifiée), Microsoft Entra ID Protection
Description: Les incidents fusion de ce type indiquent qu’un utilisateur a déployé une ressource ou un groupe de ressources Azure ( une activité rare) à la suite d’une connexion suspecte, avec des propriétés qui n’ont pas été récemment vues, sur un compte Microsoft Entra. Il peut s’agir d’une tentative par un attaquant de déployer des ressources ou des groupes de ressources à des fins malveillantes après avoir compromis le compte d’utilisateur indiqué dans la description de l’incident Fusion.
Les permutations des alertes de connexion suspectes Microsoft Entra avec le déploiement de ressource/groupe de ressources suspect par une alerte d’appelant précédemment invisible sont les suivantes :
Déplacement impossible vers un emplacement atypique entraînant un déploiement suspect de ressources/groupe de ressources par un appelant précédemment invisible
Événement de connexion à partir d’un emplacement inconnu entraînant un déploiement suspect de ressources/groupe de ressources par un appelant précédemment invisible
Événement de connexion à partir d’un appareil infecté entraînant un déploiement suspect de ressources/groupe de ressources par un appelant précédemment invisible
Événement de connexion à partir d’une adresse IP anonyme entraînant un déploiement suspect de ressource/groupe de ressources par un appelant précédemment invisible
Événement de connexion de l’utilisateur avec des informations d’identification divulguées entraînant un déploiement suspect de ressource/groupe de ressources par un appelant précédemment invisible
Étapes suivantes
Maintenant que vous en avez appris davantage sur la détection avancée des attaques multiphases, vous pouvez être intéressé par le guide de démarrage rapide suivant pour savoir comment obtenir une visibilité sur vos données et les menaces potentielles : Bien démarrer avec Microsoft Sentinel.
Si vous êtes prêt à examiner les incidents créés pour vous, consultez le tutoriel suivant : Examiner les incidents avec Microsoft Sentinel.