Skenario yang terdeteksi oleh mesin Microsoft Sentinel Fusion
Dokumen ini mencantumkan jenis serangan multistage berbasis skenario, yang dikelompokkan berdasarkan klasifikasi ancaman, yang dideteksi Microsoft Sentinel menggunakan mesin korelasi Fusion.
Karena Fusion menghubungkan beberapa sinyal dari berbagai produk untuk mendeteksi serangan multistage tingkat lanjut, deteksi Fusion yang berhasil disajikan sebagai insiden Fusion pada halaman Insiden Microsoft Sentinel dan bukan sebagai peringatan, dan disimpan dalam tabel Insiden di Log dan bukan di tabel SecurityAlerts.
Untuk mengaktifkan skenario deteksi serangan bertenaga Fusion ini, setiap sumber data yang tercantum harus tertelan ke ruang kerja Log Analytics Anda. Untuk skenario dengan aturan analitik terjadwal, ikuti petunjuk di Mengonfigurasi aturan analitik terjadwal untuk deteksi Fusion.
Catatan
Beberapa skenario ini ada di PRATINJAU. Skenario akan ditunjukkan.
Menghitung penyalahgunaan sumber daya
Beberapa aktivitas pembuatan VM setelah masuk Microsoft Entra yang mencurigakan
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Dampak
Teknik MITRE ATT&CK: Akun Valid (T1078), Pembajakan Sumber Daya (T1496)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa jumlah anomali VM dibuat dalam satu sesi setelah masuk yang mencurigakan ke akun Microsoft Entra. Jenis pemberitahuan ini menunjukkan, dengan tingkat kepercayaan yang tinggi, bahwa akun yang tercantum dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk membuat VM baru untuk tujuan yang tidak sah, seperti menjalankan operasi penambangan kripto. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan beberapa pemberitahuan aktivitas pembuatan VM adalah:
Perjalanan yang memungkinkan ke lokasi atipikal yang mengarah ke beberapa aktivitas pembuatan VM
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke beberapa aktivitas pembuatan VM
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke beberapa aktivitas pembuatan VM
Peristiwa masuk dari alamat IP anonim yang mengarah ke beberapa aktivitas pembuatan VM
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke beberapa aktivitas pembuatan VM
Akses info masuk
(Klasifikasi ancaman baru)
Beberapa kata sandi diatur ulang oleh pengguna setelah masuk yang mencurigakan
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Akses Info Masuk
Teknik MITRE ATT&CK: Akun Valid (T1078), Brute Force (T1110)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa pengguna mengatur ulang beberapa kata sandi setelah masuk yang mencurigakan ke akun Microsoft Entra. Bukti ini menunjukkan bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk melakukan beberapa pengaturan ulang kata sandi untuk mendapatkan akses ke beberapa sistem dan sumber daya. Manipulasi akun (termasuk pengaturan ulang kata sandi) dapat membantu lawan dalam mempertahankan akses ke info masuk dan tingkat izin tertentu dalam lingkungan. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan beberapa pemberitahuan pengaturan ulang kata sandi adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke beberapa pengaturan ulang kata sandi
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke pengaturan ulang beberapa kata sandi
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke beberapa pengaturan ulang kata sandi
Peristiwa masuk dari IP anonim yang mengarah ke beberapa pengaturan ulang kata sandi
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke beberapa pengaturan ulang kata sandi
Masuk mencurigakan bertepatan dengan keberhasilan masuk ke Palo Alto VPN by IP dengan beberapa rincian masuk Microsoft Entra yang gagal
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Akses Info Masuk
Teknik MITRE ATT&CK: Akun Valid (T1078), Brute Force (T1110)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa masuk yang mencurigakan ke akun Microsoft Entra bertepatan dengan keberhasilan masuk melalui VPN Palo Alto dari alamat IP tempat beberapa proses masuk Microsoft Entra yang gagal terjadi dalam jangka waktu yang sama. Meskipun bukan bukti serangan multitahap, korelasi dari dua peringatan fidelitas yang lebih rendah ini menghasilkan insiden fidelitas tinggi yang menunjukkan akses awal berbahaya ke jaringan organisasi. Atau, ini bisa menjadi indikasi penyerang yang mencoba menggunakan teknik brute force untuk mendapatkan akses ke akun Microsoft Entra. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan "IP dengan beberapa login Microsoft Entra yang gagal berhasil masuk ke Palo Alto VPN" adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang bertepatan dengan IP dengan beberapa login Microsoft Entra yang gagal berhasil masuk ke Palo Alto VPN
Peristiwa masuk dari lokasi yang tidak dikenal bertepatan dengan IP dengan beberapa login Microsoft Entra yang gagal berhasil masuk ke Palo Alto VPN
Peristiwa masuk dari perangkat yang terinfeksi bertepatan dengan IP dengan beberapa login Microsoft Entra yang gagal berhasil masuk ke Palo Alto VPN
Peristiwa masuk dari IP anonim yang bertepatan dengan IP dengan beberapa login Microsoft Entra yang gagal berhasil masuk ke Palo Alto VPN
Peristiwa masuk dari pengguna dengan kredensial bocor yang bertepatan dengan IP dengan beberapa login Microsoft Entra yang gagal berhasil masuk ke Palo Alto VPN
Pengumpulan info masuk
(Klasifikasi ancaman baru)
Eksekusi alat pencurian info masuk berbahaya setelah rincian masuk yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Akses Info Masuk
Teknik MITRE ATT&CK: Akun Valid (T1078), OS Credential Dumping (T1003)
Sumber konektor data: Microsoft Entra ID Protection, Microsoft Defender untuk Titik Akhir
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa alat pencurian kredensial yang diketahui dijalankan setelah masuk Microsoft Entra yang mencurigakan. Bukti ini menunjukkan dengan keyakinan tinggi bahwa akun pengguna yang mencatat dalam deskripsi peringatan telah disusupi dan mungkin telah berhasil menggunakan alat seperti Mimikatz untuk mengumpulkan info masuk seperti kunci, kata sandi teks biasa, dan/atau hash kata sandi dari sistem. Info masuk yang dikumpulkan dapat memungkinkan penyerang mengakses data sensitif, meningkatkan hak istimewa, dan/atau bergerak secara lateral di seluruh jaringan. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan alat pencurian kredensial berbahaya adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke eksekusi alat pencurian info masuk berbahaya
Peristiwa masuk dari lokasi asing yang mengarah ke eksekusi alat pencurian info masuk berbahaya
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke eksekusi alat pencurian info masuk berbahaya
Peristiwa masuk dari alamat IP anonim yang mengarah ke eksekusi alat pencurian info masuk berbahaya
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke eksekusi alat pencurian info masuk berbahaya
Dugaan aktivitas pencurian info masuk setelah rincian masuk yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Akses Info Masuk
Teknik MITRE ATT&CK: Akun Valid (T1078), Info Masuk dari Penyimpanan Kata Sandi (T1555), OS Credential Dumping (T1003)
Sumber konektor data: Microsoft Entra ID Protection, Microsoft Defender untuk Titik Akhir
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa aktivitas yang terkait dengan pola pencurian kredensial terjadi setelah masuk Microsoft Entra yang mencurigakan. Bukti ini menunjukkan dengan keyakinan tinggi bahwa akun pengguna yang mencatat dalam deskripsi pemberitahuan telah disusupi dan digunakan untuk mencuri info masuk seperti kunci, kata sandi teks biasa, hash kata sandi, dan sebagainya. Info masuk yang dicuri dapat memungkinkan penyerang untuk mengakses data sensitif, meningkatkan hak istimewa, dan/atau bergerak secara lateral di seluruh jaringan. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan aktivitas pencurian kredensial adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke dugaan aktivitas pencurian info masuk
Peristiwa masuk dari lokasi asing yang mengarah ke dugaan aktivitas pencurian info masuk
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke dugaan aktivitas pencurian info masuk
Peristiwa masuk dari alamat IP anonim yang mengarah ke dugaan aktivitas pencurian info masuk
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke dugaan aktivitas pencurian info masuk
Penambangan kripto
(Klasifikasi ancaman baru)
Aktivitas penambangan kripto setelah rincian masuk yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Akses Info Masuk
Teknik MITRE ATT&CK: Akun Valid (T1078), Pembajakan Sumber Daya (T1496)
Sumber konektor data: Microsoft Entra ID Protection, Microsoft Defender untuk Cloud
Deskripsi: Insiden Fusion jenis ini menunjukkan aktivitas penambangan kripto yang terkait dengan masuk yang mencurigakan ke akun Microsoft Entra. Bukti ini menunjukkan dengan keyakinan tinggi bahwa akun pengguna yang mencatat dalam deskripsi pemberitahuan telah disusupi dan digunakan untuk membajak sumber daya di lingkungan Anda guna menambang mata uang kripto. Hal ini dapat menghabiskan sumber daya untuk daya komputasi Anda dan/atau menghasilkan tagihan penggunaan cloud yang jauh lebih tinggi dari yang diharapkan. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan aktivitas penambangan kripto adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke aktivitas penambangan kripto
Peristiwa masuk dari lokasi asing yang mengarah ke aktivitas penambangan kripto
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke aktivitas penambangan kripto
Peristiwa masuk dari alamat IP anonim yang mengarah ke aktivitas penambangan kripto
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke aktivitas penambangan kripto
Penghancuran data
Penghapusan file massal setelah masuk Microsoft Entra yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Dampak
MITRE ATT&teknik CK: Akun Valid (T1078), Penghancuran Data (T1485)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali file unik dihapus setelah masuk yang mencurigakan ke akun Microsoft Entra. Bukti ini menunjukkan bahwa akun yang dicatat dalam deskripsi insiden Fusion mungkin telah disusupi dan digunakan untuk menghancurkan data untuk tujuan jahat. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan penghapusan file massal adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke penghapusan file massal
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke penghapusan file massal
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke penghapusan file massal
Peristiwa masuk dari alamat IP anonim yang mengarah ke penghapusan file massal
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke penghapusan file massal
Penghapusan file massal setelah berhasil masuk Microsoft Entra dari IP yang diblokir oleh appliance firewall Cisco
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Dampak
MITRE ATT&teknik CK: Akun Valid (T1078), Penghancuran Data (T1485)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali file unik dihapus setelah masuk Microsoft Entra yang berhasil meskipun alamat IP pengguna diblokir oleh appliance firewall Cisco. Bukti ini menunjukkan bahwa akun yang dicatat dalam deskripsi insiden Fusion mungkin telah disusupi dan digunakan untuk menghancurkan data untuk tujuan jahat. Karena IP diblokir oleh firewall, pengelogan IP yang sama berhasil masuk ke ID Microsoft Entra berpotensi dicurigai dan dapat menunjukkan penyusupan kredensial untuk akun pengguna.
Penghapusan file massal setelah berhasil masuk ke Palo Alto VPN by IP dengan beberapa rincian masuk Microsoft Entra yang gagal
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Akses Info Masuk, Dampak
Teknik MITRE ATT&CK: Akun Valid (T1078), Brute Force (T1110), Penghancuran Data (T1485)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali file unik dihapus oleh pengguna yang berhasil masuk melalui VPN Palo Alto dari alamat IP tempat beberapa masuk Microsoft Entra yang gagal terjadi dalam jangka waktu yang sama. Bukti ini menunjukkan bahwa akun pengguna yang dicatat dalam insiden Fusion mungkin telah disusupi menggunakan teknik brute force, dan digunakan untuk menghancurkan data untuk tujuan jahat.
Aktivitas penghapusan email yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Dampak
MITRE ATT&teknik CK: Akun Valid (T1078), Penghancuran Data (T1485)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa jumlah email anomali dihapus dalam satu sesi setelah masuk yang mencurigakan ke akun Microsoft Entra. Bukti ini menunjukkan bahwa akun yang dicatat dalam deskripsi insiden Fusion mungkin telah disusupi dan digunakan untuk menghancurkan data untuk tujuan jahat, seperti membahayakan organisasi atau menyembunyikan aktivitas email terkait spam. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan aktivitas penghapusan email yang mencurigakan adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke aktivitas penghapusan email yang mencurigakan
Peristiwa masuk dari lokasi asing yang mengarah ke aktivitas penghapusan email yang mencurigakan
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke aktivitas penghapusan email yang mencurigakan
Peristiwa masuk dari alamat IP anonim yang mengarah ke aktivitas penghapusan email yang mencurigakan
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke aktivitas penghapusan email yang mencurigakan
Penyelundupan data
Aktivitas penerusan email setelah aktivitas akun admin baru tidak terlihat baru-baru ini
Skenario ini termasuk dalam dua klasifikasi ancaman dalam daftar ini: penyelundupan data dan aktivitas administratif berbahaya. Agar lebih jelas, skenario akan muncul di kedua bagian.
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Kumpulan, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Pengumpulan Email (T1114), Penyelundupan Melalui Layanan Web (T1567)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden fusi jenis ini menunjukkan bahwa akun Administrator Exchange baru telah dibuat, atau akun admin Exchange yang sudah ada mengambil beberapa tindakan administratif untuk pertama kalinya, dalam dua minggu terakhir, dan bahwa akun tersebut kemudian melakukan beberapa tindakan penerusan email, yang tidak biasa untuk akun administrator. Bukti ini menunjukkan bahwa akun pengguna yang dicatat dalam deskripsi insiden Fusion telah disusupi atau dimanipulasi, dan digunakan untuk menyelundupkan data dari jaringan organisasi Anda.
Unduhan file massal setelah masuk Microsoft Entra yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Penyelundupan
Teknik MITRE ATT&CK: Akun Yang Valid (T1078)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali file diunduh oleh pengguna setelah masuk yang mencurigakan ke akun Microsoft Entra. Indikasi ini memberikan kepercayaan tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk menyelundupkan data dari jaringan organisasi Anda. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan unduhan file massal adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke unduhan file massal
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke unduhan file massal
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke unduhan file massal
Peristiwa masuk dari alamat IP anonim yang mengarah ke unduhan file massal
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke unduhan file massal
Unduhan file massal setelah berhasil masuk Microsoft Entra dari IP yang diblokir oleh appliance firewall Cisco
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Penyusupan Melalui Layanan Web (T1567)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali file diunduh oleh pengguna setelah masuk Microsoft Entra yang berhasil meskipun alamat IP pengguna diblokir oleh appliance firewall Cisco. Hal ini mungkin bisa menjadi upaya penyerang untuk menyelundupkan data dari jaringan organisasi setelah menyusupi akun pengguna. Karena IP diblokir oleh firewall, pengelogan IP yang sama berhasil masuk ke ID Microsoft Entra berpotensi dicurigai dan dapat menunjukkan penyusupan kredensial untuk akun pengguna.
Unduhan file massal bertepatan dengan operasi file SharePoint dari IP yang sebelumnya tidak terlihat
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Penyelundupan
Teknik MITRE ATT&CK: Penyelundupan Melalui Layanan Web (T1567), Batas Ukuran Transfer Data (T1030)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa jumlah anomali file diunduh oleh pengguna yang terhubung dari alamat IP yang sebelumnya tidak terlihat. Meskipun bukan bukti serangan multitahap, korelasi dari dua pemberitahuan fidelitas yang lebih rendah ini menghasilkan insiden fidelitas tinggi yang menyarankan upaya penyerang untuk menyelundupkan data dari jaringan organisasi dari akun pengguna yang mungkin disusupi. Di lingkungan yang stabil, koneksi tersebut oleh IP yang sebelumnya tidak terlihat mungkin tidak sah, terutama jika dikaitkan dengan lonjakan volume yang dapat dikaitkan dengan penyelundupan dokumen skala besar.
Berbagi file massal setelah masuk Microsoft Entra yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Penyusupan Melalui Layanan Web (T1567)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah file di atas ambang batas tertentu dibagikan kepada orang lain setelah masuk yang mencurigakan ke akun Microsoft Entra. Indikasi ini memberikan kepercayaan tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk menyelundupkan data dari jaringan organisasi Anda dengan berbagi file seperti dokumen, spreadsheet, dll., dengan pengguna yang tidak sah untuk tujuan jahat. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan berbagi file massal adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke berbagi file massal
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke berbagi file massal
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke berbagi file massal
Peristiwa masuk dari alamat IP anonim yang mengarah ke berbagi file massal
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke berbagi file massal
Beberapa aktivitas berbagi laporan Power BI setelah masuk Microsoft Entra yang mencurigakan
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Penyusupan Melalui Layanan Web (T1567)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali laporan Power BI dibagikan dalam satu sesi setelah masuk yang mencurigakan ke akun Microsoft Entra. Indikasi ini memberikan kepercayaan tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk menyelundupkan data dari jaringan organisasi Anda dengan berbagi laporan Power BI dengan pengguna yang tidak sah untuk tujuan jahat. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan beberapa aktivitas berbagi laporan Power BI adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke beberapa aktivitas berbagi laporan Power BI
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke beberapa aktivitas berbagi laporan Power BI
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke beberapa aktivitas berbagi laporan Power BI
Peristiwa masuk dari alamat IP anonim yang mengarah ke beberapa aktivitas berbagi laporan Power BI
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke beberapa aktivitas berbagi laporan Power BI
Penyelundupan kotak surat Office 365 setelah masuk Microsoft Entra yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Koleksi, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Pengumpulan Email (T1114), Penyelundupan Otomatis (T1020)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa aturan penerusan kotak masuk yang mencurigakan diatur pada kotak masuk pengguna setelah masuk yang mencurigakan ke akun Microsoft Entra. Indikasi ini memberikan kepercayaan tinggi bahwa akun pengguna (yang dicatat dalam deskripsi insiden Fusion) telah disusupi, dan digunakan untuk menyelundupan data dari jaringan organisasi Anda dengan mengaktifkan aturan penerusan kotak email tanpa sepengetahuan pengguna aslinya. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan eksfiltrasi kotak surat Office 365 adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke penyelundupan kotak email Office 365
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke penyelundupan kotak email Office 365
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke penyelundupan kotak email Office 365
Peristiwa masuk dari alamat IP anonim yang mengarah ke penyelundupan kotak email Office 365
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke penyelundupan kotak email Office 365
Operasi file SharePoint dari IP yang sebelumnya tidak terlihat setelah deteksi malware
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Penyelundupan, Penghindaran Pertahanan
Teknik MITRE ATT&CK: Batas Ukuran Transfer Data (T1030)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa penyerang berusaha menyelundupkan data dalam jumlah besar dengan mengunduh atau berbagi melalui SharePoint melalui penggunaan malware. Di lingkungan yang stabil, koneksi tersebut oleh IP yang sebelumnya tidak terlihat mungkin tidak sah, terutama jika dikaitkan dengan lonjakan volume yang dapat dikaitkan dengan penyelundupan dokumen skala besar.
Aturan manipulasi kotak masuk mencurigakan yang ditetapkan setelah masuk Microsoft Entra yang mencurigakan
Skenario ini termasuk dalam dua klasifikasi ancaman dalam daftar ini: penyelundupan data dan gerakan lateral. Agar lebih jelas, skenario akan muncul di kedua bagian.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Gerakan Lateral, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Internal Spear Phishing (T1534), Penyelundupan Otomatis (T1020)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa aturan kotak masuk anomali ditetapkan pada kotak masuk pengguna setelah masuk yang mencurigakan ke akun Microsoft Entra. Bukti ini memberikan indikasi kepercayaan diri tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk memanipulasi aturan kotak masuk email pengguna untuk tujuan jahat, mungkin untuk menyelundupkan data dari jaringan organisasi. Atau, penyerang dapat mencoba menghasilkan email phishing dari dalam organisasi (melewati mekanisme deteksi phishing yang ditargetkan pada email dari sumber eksternal) untuk tujuan bergerak secara lateral dengan mendapatkan akses ke pengguna tambahan dan/atau akun hak istimewa. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan aturan manipulasi kotak masuk yang mencurigakan adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari lokasi asing yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari alamat IP anonim yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Berbagi laporan Power BI yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Penyusupan Melalui Layanan Web (T1567)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa aktivitas berbagi laporan Power BI yang mencurigakan terjadi setelah masuk yang mencurigakan ke akun Microsoft Entra. Aktivitas berbagi diidentifikasi sebagai mencurigakan karena laporan Power BI berisi informasi sensitif yang diidentifikasi menggunakan Pemrosesan bahasa alami, dan karena dibagikan dengan alamat email eksternal, yang diterbitkan ke web, atau dikirim sebagai rekam jepret ke alamat email langganan eksternal. Indikasi ini memberikan kepercayaan tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk menyelundupkan data sensitif dari organisasi Anda dengan membagikan laporan Power BI dengan pengguna yang tidak sah untuk tujuan jahat. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan berbagi laporan Power BI yang mencurigakan adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke berbagi laporan Power BI yang mencurigakan
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke berbagi laporan Power BI yang mencurigakan
Peristiwa masuk dari perangkat terinfeksi yang mengarah ke berbagi laporan Power BI yang mencurigakan
Peristiwa masuk dari alamat IP anonim yang mengarah ke berbagi laporan Power BI yang mencurigakan
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke berbagi laporan Power BI yang mencurigakan
Penolakan layanan
Beberapa aktivitas penghapusan VM setelah masuk Microsoft Entra yang mencurigakan
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Dampak
Teknik MITRE ATT&CK: Akun Valid (T1078), Titik Akhir Penolakan Layanan (T1499)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa jumlah anomali VM dihapus dalam satu sesi setelah masuk yang mencurigakan ke akun Microsoft Entra. Indikasi ini memberikan kepercayaan tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk mencoba mengganggu atau menghancurkan lingkungan cloud organisasi. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan beberapa pemberitahuan aktivitas penghapusan VM adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke beberapa aktivitas penghapusan VM
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke beberapa aktivitas penghapusan VM
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke beberapa aktivitas penghapusan VM
Peristiwa masuk dari alamat IP anonim yang mengarah ke beberapa aktivitas penghapusan VM
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke beberapa aktivitas penghapusan VM
Gerakan lateral
Peniruan identitas Office 365 setelah masuk Microsoft Entra yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Gerakan Lateral
Teknik MITRE ATT&CK: Akun Valid (T1078), Internal Spear Phishing (T1534)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali tindakan peniruan terjadi setelah masuk yang mencurigakan dari akun Microsoft Entra. Dalam beberapa perangkat lunak, ada opsi untuk memungkinkan pengguna meniru pengguna lain. Misalnya, layanan email memungkinkan pengguna memberi izin kepada pengguna lain untuk mengirim email atas nama mereka. Peringatan ini menunjukkan dengan keyakinan yang lebih tinggi bahwa akun yang mencatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk melakukan aktivitas peniruan untuk tujuan jahat, seperti mengirim email phishing untuk distribusi malware atau gerakan lateral. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan peniruan office 365 adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke peniruan Office 365
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke peniruan Office 365
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke peniruan Office 365
Peristiwa masuk dari alamat IP anonim yang mengarah ke peniruan Office 365
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke peniruan Office 365
Aturan manipulasi kotak masuk mencurigakan yang ditetapkan setelah masuk Microsoft Entra yang mencurigakan
Skenario ini termasuk dalam dua klasifikasi ancaman dalam daftar ini: gerakan lateral dan penyelundupan data. Agar lebih jelas, skenario akan muncul di kedua bagian.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Gerakan Lateral, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Internal Spear Phishing (T1534), Penyelundupan Otomatis (T1020)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa aturan kotak masuk anomali ditetapkan pada kotak masuk pengguna setelah masuk yang mencurigakan ke akun Microsoft Entra. Bukti ini memberikan indikasi kepercayaan diri tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk memanipulasi aturan kotak masuk email pengguna untuk tujuan jahat, mungkin untuk menyelundupkan data dari jaringan organisasi. Atau, penyerang dapat mencoba menghasilkan email phishing dari dalam organisasi (melewati mekanisme deteksi phishing yang ditargetkan pada email dari sumber eksternal) untuk tujuan bergerak secara lateral dengan mendapatkan akses ke pengguna tambahan dan/atau akun hak istimewa. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan aturan manipulasi kotak masuk yang mencurigakan adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari lokasi asing yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari alamat IP anonim yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke aturan manipulasi kotak masuk yang mencurigakan
Aktifitas administratif yang mencurigakan
Aktivitas administratif aplikasi cloud yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Persistensi, Penghindaran Pertahanan, Gerakan Lateral, Kumpulan, Penyelundupan, dan Dampak
Teknik MITRE ATT&CK: T/A
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa sejumlah anomali aktivitas administratif dilakukan dalam satu sesi setelah masuk Microsoft Entra yang mencurigakan dari akun yang sama. Bukti ini menunjukkan bahwa akun yang dicatat dalam deskripsi insiden Fusion mungkin telah disusupi dan digunakan untuk membuat sejumlah tindakan administratif yang tidak sah dengan niat jahat. Hal ini juga menunjukkan bahwa akun dengan hak administratif mungkin telah disusupi. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan aktivitas administratif aplikasi cloud yang mencurigakan adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke aktivitas administratif aplikasi cloud yang mencurigakan
Peristiwa masuk dari lokasi asing yang mengarah ke aktivitas administratif aplikasi cloud yang mencurigakan
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke aktivitas administratif aplikasi cloud yang mencurigakan
Peristiwa masuk dari alamat IP anonim yang mengarah ke aktivitas administratif aplikasi cloud yang mencurigakan
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke aktivitas administratif aplikasi cloud yang mencurigakan
Aktivitas penerusan email setelah aktivitas akun admin baru tidak terlihat baru-baru ini
Skenario ini termasuk dalam dua klasifikasi ancaman dalam daftar ini: aktivitas administratif yang mencurigakan dan penyelundupan data. Agar lebih jelas, skenario akan muncul di kedua bagian.
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Kumpulan, Penyelundupan
Teknik MITRE ATT&CK: Akun Valid (T1078), Pengumpulan Email (T1114), Penyelundupan Melalui Layanan Web (T1567)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden fusi jenis ini menunjukkan bahwa akun Administrator Exchange baru telah dibuat, atau akun admin Exchange yang sudah ada mengambil beberapa tindakan administratif untuk pertama kalinya, dalam dua minggu terakhir, dan bahwa akun tersebut kemudian melakukan beberapa tindakan penerusan email, yang tidak biasa untuk akun administrator. Bukti ini menunjukkan bahwa akun pengguna yang dicatat dalam deskripsi insiden Fusion telah disusupi atau dimanipulasi, dan digunakan untuk menyelundupkan data dari jaringan organisasi Anda.
Eksekusi berbahaya dengan proses yang sah
PowerShell membuat koneksi jaringan yang mencurigakan, diikuti oleh lalu lintas anomali yang ditandai oleh firewall Palo Alto Networks.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Eksekusi
Teknik MITRE ATT&CK: Penerjemah Perintah dan Skrip (T1059)
Sumber konektor data: Pertahanan Microsoft untuk Titik Akhir (sebelumnya Microsoft Defender Advanced Threat Protection, atau MDATP), Microsoft Sentinel (aturan analitik terjadwal)
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa permintaan koneksi keluar dibuat melalui perintah PowerShell, dan setelah itu, aktivitas masuk anomali terdeteksi oleh Palo Alto Networks Firewall. Bukti ini menunjukkan bahwa penyerang kemungkinan telah mendapatkan akses ke jaringan Anda dan mencoba melakukan tindakan berbahaya. Upaya koneksi oleh PowerShell yang mengikuti pola ini bisa menjadi indikasi perintah malware dan aktivitas kontrol, permintaan untuk mengunduh malware tambahan, atau penyerang yang membangun akses interaktif jarak jauh. Seperti semua serangan “living off the land”, aktivitas ini bisa menjadi penggunaan PowerShell yang sah. Namun, eksekusi perintah PowerShell diikuti oleh aktivitas Firewall masuk yang mencurigakan meningkatkan keyakinan bahwa PowerShell digunakan dengan cara yang berbahaya dan harus diselidiki lebih lanjut. Dalam log Palo Alto, Microsoft Sentinel berfokus pada log ancaman, dan lalu lintas dianggap mencurigakan ketika ancaman diizinkan (data, file, banjir, paket, pemindaian, spyware, URL, virus, kerentanan, virus wildfire, wildfire yang mencurigakan). Selain itu, referensikan Log Ancaman Palo Alto yang sesuai dengan Jenis Ancaman/Konten yang tercantum dalam deskripsi insiden Fusion untuk detail pemberitahuan tambahan.
Eksekusi WMI jarak jauh yang mencurigakan diikuti oleh lalu lintas anomali yang ditandai oleh firewall Palo Alto Networks
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Eksekusi, Penemuan
Teknik MITRE ATT&CK: Instrumentasi Manajemen Windows (T1047)
Sumber konektor data: Pertahanan Microsoft untuk Titik Akhir (sebelumnya MDATP), Microsoft Sentinel (aturan analitik terjadwal)
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa perintah Windows Management Interface (WMI) dijalankan dari jarak jauh pada sistem, dan setelah itu, aktivitas masuk yang mencurigakan terdeteksi oleh Palo Alto Networks Firewall. Bukti ini menunjukkan bahwa penyerang mungkin telah mendapatkan akses ke jaringan Anda dan berusaha untuk bergerak secara lateral, meningkatkan hak istimewa, dan/atau mengeksekusi payload berbahaya. Seperti semua serangan “living off the land”, aktivitas ini bisa menjadi penggunaan WMI yang sah. Namun, eksekusi perintah diikuti oleh aktivitas Firewall masuk yang mencurigakan meningkatkan keyakinan bahwa WMI digunakan dengan cara yang berbahaya dan harus diselidiki lebih lanjut. Dalam log Palo Alto, Microsoft Sentinel berfokus pada log ancaman, dan lalu lintas dianggap mencurigakan ketika ancaman diizinkan (data, file, banjir, paket, pemindaian, spyware, URL, virus, kerentanan, virus wildfire, wildfire yang mencurigakan). Selain itu, referensikan Log Ancaman Palo Alto yang sesuai dengan Jenis Ancaman/Konten yang tercantum dalam deskripsi insiden Fusion untuk detail pemberitahuan tambahan.
Baris perintah PowerShell yang mencurigakan setelah rincian masuk yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Eksekusi
Teknik MITRE ATT&CK: Akun Valid (T1078), Penerjemah Perintah dan Skrip (T1059)
Sumber konektor data: Microsoft Entra ID Protection, Microsoft Defender untuk Titik Akhir (sebelumnya MDATP)
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa pengguna menjalankan perintah PowerShell yang berpotensi berbahaya setelah masuk yang mencurigakan ke akun Microsoft Entra. Bukti ini menunjukkan dengan keyakinan tinggi bahwa akun yang dicatat dalam deskripsi pemberitahuan telah disusupi dan tindakan jahat lebih lanjut diambil. Penyerang sering menggunakan PowerShell untuk mengeksekusi payload berbahaya dalam memori tanpa meninggalkan artefak pada disk, untuk menghindari deteksi oleh mekanisme keamanan berbasis disk seperti pemindai virus. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan perintah PowerShell yang mencurigakan adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke baris perintah PowerShell yang mencurigakan
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke baris perintah PowerShell yang mencurigakan
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke baris perintah PowerShell yang mencurigakan
Peristiwa masuk dari lokasi yang tidak dikenal yang mengarah ke baris perintah PowerShell yang mencurigakan
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke baris perintah PowerShell yang mencurigakan
Malware C2 atau unduhan
Pola beacon yang terdeteksi oleh Fortinet setelah beberapa pengguna gagal masuk ke layanan
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Perintah, dan Kontrol
Teknik MITRE ATT&CK: Akun Valid (T1078), Port Non-Standar (T1571), T1065 (dihentikan)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Cloud App Security
Deskripsi: Insiden Fusion jenis ini menunjukkan pola komunikasi, dari alamat IP internal ke alamat eksternal, yang konsisten dengan beaconing, setelah beberapa rincian masuk pengguna yang gagal ke layanan dari entitas internal terkait. Kombinasi kedua peristiwa ini bisa menjadi indikasi infeksi malware atau host yang disusupi melakukan penyelundupan data.
Pola suar terdeteksi oleh Fortinet setelah masuk Microsoft Entra yang mencurigakan
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Perintah, dan Kontrol
Teknik MITRE ATT&CK: Akun Valid (T1078), Port Non-Standar (T1571), T1065 (dihentikan)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan pola komunikasi, dari alamat IP internal ke alamat eksternal, yang konsisten dengan suar, setelah pengguna masuk dengan sifat yang mencurigakan ke ID Microsoft Entra. Kombinasi kedua peristiwa ini bisa menjadi indikasi infeksi malware atau host yang disusupi melakukan penyelundupan data. Permutasi pola suar yang terdeteksi oleh pemberitahuan Fortinet dengan pemberitahuan masuk Microsoft Entra yang mencurigakan adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke pola beacon yang terdeteksi oleh Fortinet
Peristiwa masuk dari lokasi asing yang mengarah ke pola beacon yang terdeteksi oleh Fortinet
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke pola beacon yang terdeteksi oleh Fortinet
Peristiwa masuk dari alamat IP anonim yang mengarah ke pola beacon yang terdeteksi oleh Fortinet
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke pola beacon yang terdeteksi oleh Fortinet
Permintaan jaringan ke layanan anonimisasi TOR yang diikuti oleh lalu lintas anomali yang ditandai oleh firewall Palo Alto Networks.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: Saluran Terenkripsi (T1573), Proksi (T1090)
Sumber konektor data: Pertahanan Microsoft untuk Titik Akhir (sebelumnya MDATP), Microsoft Sentinel (aturan analitik terjadwal)
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa permintaan koneksi keluar dibuat ke layanan anonimisasi TOR, dan setelah itu, aktivitas masuk anomali terdeteksi oleh Firewall Palo Alto Networks. Bukti ini menunjukkan bahwa penyerang kemungkinan telah mendapatkan akses ke jaringan Anda dan mencoba menyembunyikan tindakan dan niat mereka. Koneksi ke jaringan TOR yang mengikuti pola ini bisa menjadi indikasi perintah malware dan aktivitas kontrol, permintaan untuk mengunduh malware tambahan, atau penyerang yang membangun akses interaktif jarak jauh. Dalam log Palo Alto, Microsoft Sentinel berfokus pada log ancaman, dan lalu lintas dianggap mencurigakan ketika ancaman diizinkan (data, file, banjir, paket, pemindaian, spyware, URL, virus, kerentanan, virus wildfire, wildfire yang mencurigakan). Selain itu, referensikan Log Ancaman Palo Alto yang sesuai dengan Jenis Ancaman/Konten yang tercantum dalam deskripsi insiden Fusion untuk detail pemberitahuan tambahan.
Koneksi keluar ke IP dengan riwayat upaya akses tidak sah diikuti oleh lalu lintas anomali yang ditandai oleh firewall Palo Alto Networks
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Perintah dan Kontrol
Teknik MITRE ATT&CK: Tidak tersedia
Sumber konektor data: Pertahanan Microsoft untuk Titik Akhir (sebelumnya MDATP), Microsoft Sentinel (aturan analitik terjadwal)
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa koneksi keluar ke alamat IP dengan riwayat upaya akses tidak sah ditetapkan, dan setelah itu, aktivitas anomali terdeteksi oleh Firewall Palo Alto Networks. Bukti ini menunjukkan bahwa penyerang kemungkinan telah mendapatkan akses ke jaringan Anda. Upaya koneksi yang mengikuti pola ini bisa menjadi indikasi perintah malware dan aktivitas kontrol, permintaan untuk mengunduh malware tambahan, atau penyerang yang membangun akses interaktif jarak jauh. Dalam log Palo Alto, Microsoft Sentinel berfokus pada log ancaman, dan lalu lintas dianggap mencurigakan ketika ancaman diizinkan (data, file, banjir, paket, pemindaian, spyware, URL, virus, kerentanan, virus wildfire, wildfire yang mencurigakan). Selain itu, referensikan Log Ancaman Palo Alto yang sesuai dengan Jenis Ancaman/Konten yang tercantum dalam deskripsi insiden Fusion untuk detail pemberitahuan tambahan.
Persistensi
(Klasifikasi ancaman baru)
Persetujuan aplikasi langka setelah masuk mencurigakan
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Persistensi, Akses Awal
Teknik MITRE ATT&CK: Buat Akun (T1136), Akun Valid (T1078)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa aplikasi diberikan persetujuan oleh pengguna yang belum pernah atau jarang melakukannya, setelah masuk mencurigakan terkait ke akun Microsoft Entra. Bukti ini menunjukkan bahwa akun yang dicatat dalam deskripsi insiden Fusion mungkin telah disusupi dan digunakan untuk mengakses atau memanipulasi aplikasi untuk tujuan jahat. Persetujuan untuk aplikasi, Tambahkan perwakilan layanan, dan Tambahkan OAuth2PermissionGrant biasanya akan menjadi peristiwa langka. Penyerang dapat menggunakan jenis perubahan konfigurasi ini untuk membangun atau mempertahankan pijakan mereka pada sistem. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan persetujuan aplikasi yang jarang terjadi adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke persetujuan aplikasi langka
Peristiwa masuk dari lokasi asing yang mengarah ke persetujuan aplikasi langka
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke persetujuan aplikasi langka
Peristiwa masuk dari IP anonim yang mengarah ke persetujuan aplikasi langka
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke persetujuan aplikasi langka
Ransomware
Eksekusi ransomware setelah masuk Microsoft Entra yang mencurigakan
Taktik MITRE ATT&CK: Akses Awal, Dampak
Teknik MITRE ATT&CK: Akun Valid (T1078), Data Dienkripsi untuk Dampak (T1486)
Sumber konektor data: Microsoft Defender untuk Cloud Apps, Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa perilaku pengguna anomali yang menunjukkan serangan ransomware terdeteksi setelah masuk mencurigakan ke akun Microsoft Entra. Indikasi ini memberikan kepercayaan tinggi bahwa akun yang dicatat dalam deskripsi insiden Fusion telah disusupi dan digunakan untuk mengenkripsi data untuk tujuan memeras pemilik data atau menolak akses pemilik data ke data mereka. Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan pemberitahuan eksekusi ransomware adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke ransomware di aplikasi cloud
Peristiwa masuk dari lokasi asing yang mengarah ke ransomware di aplikasi cloud
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke ransomware di aplikasi cloud
Peristiwa masuk dari alamat IP anonim yang mengarah ke ransomware di aplikasi cloud
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke ransomware di aplikasi cloud
Eksploitasi jarak jauh
Dugaan penggunaan kerangka kerja serangan yang diikuti oleh lalu lintas anomali yang ditandai oleh firewall Palo Alto Networks
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Eksekusi, Gerakan Lateral, Eskalasi Hak Istimewa
Teknik MITRE ATT&CK: Mengeksploitasi Aplikasi yang dapat Diakses Publik (T1190), Eksploitasi untuk Eksekusi Klien (T1203), Eksploitasi Layanan Jarak Jauh (T1210), Eksploitasi untuk Eskalasi Hak Istimewa (T1068)
Sumber konektor data: Pertahanan Microsoft untuk Titik Akhir (sebelumnya MDATP), Microsoft Sentinel (aturan analitik terjadwal)
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa penggunaan protokol non-standar, menyerupai penggunaan kerangka kerja serangan seperti Metasploit, terdeteksi, dan setelah itu, aktivitas masuk yang mencurigakan terdeteksi Firewall oleh Palo Alto Networks. Hal ini mungkin menjadi indikasi awal bahwa penyerang telah mengeksploitasi layanan untuk mendapatkan akses ke sumber daya jaringan Anda atau bahwa penyerang telah mendapatkan akses dan mencoba untuk lebih mengeksploitasi sistem/layanan yang tersedia untuk bergerak secara lateral dan/atau mengeskalasikan hak istimewa. Dalam log Palo Alto, Microsoft Sentinel berfokus pada log ancaman, dan lalu lintas dianggap mencurigakan ketika ancaman diizinkan (data, file, banjir, paket, pemindaian, spyware, URL, virus, kerentanan, virus wildfire, wildfire yang mencurigakan). Selain itu, referensikan Log Ancaman Palo Alto yang sesuai dengan Jenis Ancaman/Konten yang tercantum dalam deskripsi insiden Fusion untuk detail pemberitahuan tambahan.
Pembajakan sumber daya
(Klasifikasi ancaman baru)
Penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak diketahui setelah masuk Microsoft Entra yang mencurigakan
Skenario ini menggunakan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal.
Skenario ini sekarang dalam PRATINJAU.
Taktik MITRE ATT&CK: Akses Awal, Dampak
Teknik MITRE ATT&CK: Akun Valid (T1078), Pembajakan Sumber Daya (T1496)
Sumber konektor data: Microsoft Sentinel (aturan analitik terjadwal), Microsoft Entra ID Protection
Deskripsi: Insiden Fusion jenis ini menunjukkan bahwa pengguna telah menyebarkan grup sumber daya atau sumber daya Azure - aktivitas langka - setelah masuk yang mencurigakan, dengan properti yang baru-baru ini tidak terlihat, ke akun Microsoft Entra. Hal ini mungkin bisa menjadi upaya penyerang untuk menyebarkan sumber daya atau grup sumber daya untuk tujuan jahat setelah mengorbankan akun pengguna yang dicatat dalam deskripsi insiden Fusion.
Permutasi pemberitahuan masuk Microsoft Entra yang mencurigakan dengan penyebaran grup sumber daya/sumber daya yang mencurigakan oleh pemberitahuan penelepon yang sebelumnya tidak diketahui adalah:
Perjalanan tidak memungkinkan ke lokasi atipikal yang mengarah ke penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak terlihat
Peristiwa masuk dari lokasi asing yang mengarah ke penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak terlihat
Peristiwa masuk dari perangkat yang terinfeksi yang mengarah ke penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak terlihat
Peristiwa masuk dari IP anonim yang mengarah ke penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak terlihat
Peristiwa masuk dari pengguna dengan info masuk bocor yang mengarah ke penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak terlihat
Langkah berikutnya
Setelah mempelajari lebih lanjut deteksi serangan multi-tahap tingkat lanjut, Anda mungkin tertarik pada mulai cepat berikut untuk mempelajari cara mendapatkan visibilitas ke dalam data Anda dan ancaman potensial: Mulai menggunakan Microsoft Azure Sentinel.
Jika Anda siap untuk menyelidiki insiden yang dibuat untuk Anda, lihat tutorial berikut: Menyelidiki insiden dengan Microsoft Sentinel.