Scenari rilevati dal motore Fusion di Microsoft Sentinel
Questo documento elenca i tipi di attacchi multistage basati su scenari, raggruppati per classificazione delle minacce, rilevati da Microsoft Sentinel tramite il motore di correlazione Fusion.
Poiché Fusion mette in correlazione più segnali provenienti da vari prodotti per rilevare attacchi a più fasi avanzati, i rilevamenti Fusion riusciti vengono presentati come eventi imprevisti Fusion nella pagina Eventi imprevisti di Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella Eventi imprevisti in Log e non nella tabella SecurityAlerts .
Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, tutte le origini dati elencate devono essere inserite nell'area di lavoro Log Analytics. Per gli scenari con regole di analisi pianificate, seguire le istruzioni in Configurare le regole di analisi pianificate per i rilevamenti Fusion.
Nota
Alcuni di questi scenari sono disponibili in ANTEPRIMA. Saranno così indicati.
Uso improprio delle risorse di calcolo
Più attività di creazione di macchine virtuali dopo l'accesso sospetto ad Azure Active Directory
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, Impatto
MITRE ATT& Tecniche CK: Valid Account (T1078), Resource Hijacking (T1496)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di macchine virtuali è stato creato in una singola sessione dopo un accesso sospetto a un account Azure AD. Questo tipo di avviso indica, con un livello elevato di attendibilità, che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso e usato per creare nuove macchine virtuali per scopi non autorizzati, ad esempio l'esecuzione di operazioni di crypto mining. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di creazione di più macchine virtuali sono:
Spostamento impossibile in una posizione atipica che porta a più attività di creazione di macchine virtuali
Evento di accesso da una posizione non familiare che porta a più attività di creazione di macchine virtuali
Evento di accesso da un dispositivo infetto che porta a più attività di creazione di macchine virtuali
Evento di accesso da un indirizzo IP anonimo che porta a più attività di creazione di macchine virtuali
Evento di accesso da parte dell'utente con credenziali perse che portano a più attività di creazione di macchine virtuali
Accesso credenziali
(Nuova classificazione delle minacce)
Reimpostazione di più password da parte dell'utente dopo l'accesso sospetto
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, accesso alle credenziali
MITRE ATT& Tecniche CK: Account valido (T1078), Forza bruta (T1110)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un utente reimposta più password dopo un accesso sospetto a un account Azure AD. Questa evidenza suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per eseguire più reimpostazioni della password per ottenere l'accesso a più sistemi e risorse. La manipolazione dell'account (inclusa la reimpostazione della password) può aiutare gli avversari a mantenere l'accesso alle credenziali e a determinati livelli di autorizzazione all'interno di un ambiente. Le permutazioni degli avvisi di accesso di Azure AD sospetti con più avvisi di reimpostazione delle password sono:
Spostamento impossibile in una posizione atipica che porta alla reimpostazione di più password
Evento di accesso da una posizione non familiare che porta alla reimpostazione di più password
Evento di accesso da un dispositivo infetto che porta alla reimpostazione di più password
Evento di accesso da un indirizzo IP anonimo che porta alla reimpostazione di più password
Evento di accesso da parte dell'utente con credenziali perse che causano la reimpostazione di più password
Accesso sospetto che coincide con l'accesso riuscito a Palo Alto VPN tramite IP con più accessi di Azure AD non riusciti
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, accesso alle credenziali
MITRE ATT& Tecniche CK: Account valido (T1078), Forza bruta (T1110)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un accesso sospetto a un account Azure AD coincide con un accesso riuscito tramite palo Alto VPN da un indirizzo IP da cui si sono verificati più accessi di Azure AD non riusciti in un intervallo di tempo simile. Anche se non si verificano prove di un attacco a più passaggi, la correlazione di questi due avvisi con fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce l'accesso iniziale dannoso alla rete dell'organizzazione. In alternativa, potrebbe trattarsi di un'indicazione di un utente malintenzionato che tenta di usare tecniche di forza bruta per ottenere l'accesso a un account Azure AD. Le permutazioni degli avvisi di accesso di Azure AD sospetti con "IP con più account di accesso di Azure AD non riusciti eseguono correttamente l'accesso a Palo Alto VPN" sono:
Spostamento impossibile in una posizione atipica che coincide con l'INDIRIZZO IP con più account di accesso di Azure AD non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da una posizione non familiare che coincide con l'indirizzo IP con più account di accesso di Azure AD non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da un dispositivo infetto che coincide con l'INDIRIZZO IP con più account di accesso di Azure AD non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da un indirizzo IP anonimo che coincide con l'indirizzo IP con più account di accesso di Azure AD non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da parte dell'utente con credenziali perse che coincidono con l'indirizzo IP con più account di accesso di Azure AD non riusciti accedono correttamente a Palo Alto VPN
Raccolta delle credenziali
(Nuova classificazione delle minacce)
Esecuzione dello strumento di furto di credenziali dannose dopo l'accesso sospetto
MITRE ATT& Tattiche CK: accesso iniziale, accesso alle credenziali
MITRE ATT& Tecniche CK: Account valido (T1078), Dump delle credenziali del sistema operativo (T1003)
Origini connettore dati: Azure Active Directory Identity Protection, Microsoft Defender per endpoint
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che uno strumento di furto di credenziali noto è stato eseguito dopo un accesso sospetto di Azure AD. Questa evidenza suggerisce con alta sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso e potrebbe aver usato correttamente uno strumento come Mimikatz per raccogliere credenziali come chiavi, password in testo non crittografato e/o hash delle password dal sistema. Le credenziali raccolte possono consentire a un utente malintenzionato di accedere ai dati sensibili, inoltrare i privilegi e/o spostarsi in modo successivo attraverso la rete. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso dello strumento di furto di credenziali dannose sono:
Spostamento impossibile in posizioni atipiche che portano all'esecuzione di strumenti di furto di credenziali dannose
Evento di accesso da una posizione non familiare che comporta l'esecuzione di strumenti di furto di credenziali dannose
Evento di accesso da un dispositivo infetto che comporta l'esecuzione di strumenti di furto di credenziali dannose
Evento di accesso da un indirizzo IP anonimo che porta all'esecuzione di strumenti di furto di credenziali dannose
Evento di accesso da parte dell'utente con credenziali perse che causano l'esecuzione di strumenti di furto di credenziali dannose
Sospetta attività di furto di credenziali dopo l'accesso sospetto
MITRE ATT& Tattiche CK: accesso iniziale, accesso alle credenziali
MITRE ATT& Tecniche CK: Valid Account (T1078), Credentials from Password Stores (T1555), OS Credential Dump (T1003)
Origini connettore dati: Azure Active Directory Identity Protection, Microsoft Defender per endpoint
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che l'attività associata ai modelli di furto di credenziali si è verificata dopo un accesso sospetto di Azure AD. Questa evidenza suggerisce con alta sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso e usato per rubare credenziali come chiavi, password in testo normale, hash delle password e così via. Le credenziali rubate possono consentire a un utente malintenzionato di accedere ai dati sensibili, inoltrare i privilegi e/o spostarsi successivamente attraverso la rete. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di attività di furto delle credenziali sono:
Spostamento impossibile in posizioni atipiche che portano a sospetta attività di furto di credenziali
Evento di accesso da una posizione non familiare che porta a sospetta attività di furto di credenziali
Evento di accesso da un dispositivo infetto che porta a sospetta attività di furto delle credenziali
Evento di accesso da un indirizzo IP anonimo che porta a sospetta attività di furto di credenziali
Evento di accesso dell'utente con credenziali perse che causano il sospetto furto di credenziali
Crypto mining
(Nuova classificazione delle minacce)
Attività di crypto mining dopo l'accesso sospetto
MITRE ATT& Tattiche CK: accesso iniziale, accesso alle credenziali
MITRE ATT& Tecniche CK: Valid Account (T1078), Resource Hijacking (T1496)
Origini connettore dati: Azure Active Directory Identity Protection, Microsoft Defender for Cloud
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano l'attività di crypto mining associata a un accesso sospetto a un account Azure AD. Questa evidenza suggerisce con alta sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso ed è stato usato per dirottare le risorse nell'ambiente per estrarre crypto-currency. Ciò può ridurre le risorse di potenza di calcolo e/o comportare costi di utilizzo del cloud significativamente superiori al previsto. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di attività di crypto mining sono:
Spostamento impossibile in posizioni atipiche che portano all'attività di crypto mining
Evento di accesso da una posizione non familiare che porta all'attività di crypto mining
Evento di accesso da un dispositivo infetto che conduce all'attività di crypto mining
Evento di accesso da un indirizzo IP anonimo che porta all'attività di crypto mining
Evento di accesso da parte dell'utente con credenziali perse che causano attività di crypto mining
Eliminazione definitiva di dati
Eliminazione di file di massa dopo l'accesso sospetto ad Azure AD
MITRE ATT& Tattiche CK: Accesso iniziale, Impatto
MITRE ATT& Tecniche CK: Valid Account (T1078), Data Destruction (T1485)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato dopo un accesso sospetto a un account Azure AD. Questa prova suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati a scopo dannoso. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di eliminazione di file di massa sono:
Spostamento impossibile in una posizione atipica che porta all'eliminazione di file di massa
Evento di accesso da una posizione non familiare che comporta l'eliminazione di file di massa
Evento di accesso da un dispositivo infetto che porta all'eliminazione di file di massa
Evento di accesso da un indirizzo IP anonimo che porta all'eliminazione di file di massa
Evento di accesso da parte dell'utente con credenziali perse che causano l'eliminazione di file di massa
Eliminazione di massa dei file dopo l'accesso riuscito di Azure AD dall'indirizzo IP bloccato da un'appliance firewall Cisco
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, Impatto
MITRE ATT& Tecniche CK: Valid Account (T1078), Data Destruction (T1485)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato dopo un accesso di Azure AD riuscito nonostante l'indirizzo IP dell'utente sia bloccato da un'appliance firewall Cisco. Questa prova suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per distruggere i dati a scopo dannoso. Poiché l'indirizzo IP è stato bloccato dal firewall, la stessa accesso IP ad Azure AD è potenzialmente sospetto e potrebbe indicare una compromissione delle credenziali per l'account utente.
Eliminazione di massa dei file dopo l'accesso riuscito a Palo Alto VPN tramite IP con più accessi di Azure AD non riusciti
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, accesso alle credenziali, impatto
MITRE ATT& Tecniche CK: Valid Account (T1078), Brute Force (T1110), Data Destruction (T1485)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato da un utente che ha eseguito l'accesso tramite palo Alto VPN da un indirizzo IP da cui si sono verificati più accessi di Azure AD non riusciti in un intervallo di tempo simile. Questa evidenza suggerisce che l'account utente indicato nell'evento imprevisto Fusion potrebbe essere stato compromesso usando tecniche di forza bruta ed è stato usato per distruggere i dati a scopo dannoso.
Attività di eliminazione di posta elettronica sospetta dopo l'accesso sospetto ad Azure AD
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, Impatto
MITRE ATT& Tecniche CK: Valid Account (T1078), Data Destruction (T1485)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di messaggi di posta elettronica è stato eliminato in una singola sessione dopo un accesso sospetto a un account Azure AD. Questa prova suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati per scopi dannosi, ad esempio danneggiare l'organizzazione o nascondere attività di posta elettronica correlate alla posta indesiderata. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di attività di eliminazione di posta elettronica sospetta sono:
Spostamento impossibile in una posizione atipica che porta a attività sospette di eliminazione della posta elettronica
Evento di accesso da una posizione non familiare che porta a attività di eliminazione di posta elettronica sospette
Evento di accesso da un dispositivo infetto che porta a attività sospette di eliminazione della posta elettronica
Evento di accesso da un indirizzo IP anonimo che porta a attività di eliminazione di posta elettronica sospette
Evento di accesso da parte dell'utente con credenziali perse che causano un'attività di eliminazione sospetta della posta elettronica
Esfiltrazione di dati
Attività di inoltro della posta dopo la nuova attività dell'account amministratore non rilevata di recente
Questo scenario appartiene a due classificazioni delle minacce in questo elenco: esfiltrazione dei dati e attività amministrative dannose. Per maggiore chiarezza, appare in entrambe le sezioni.
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, Raccolta, Esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), raccolta Email (T1114), esfiltrazione su servizio Web (T1567)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, nelle ultime due settimane, e che l'account ha quindi eseguito alcune azioni di inoltro della posta elettronica, insolite per un account amministratore. Questa evidenza suggerisce che l'account utente indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso o modificato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.
Download di file di massa dopo l'accesso sospetto ad Azure AD
MITRE ATT& Tattiche CK: accesso iniziale, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente che segue un accesso sospetto a un account Azure AD. Questa indicazione garantisce un'elevata attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di download di file di massa sono:
Spostamento impossibile in una posizione atipica che porta al download di file di massa
Evento di accesso da una posizione non familiare che porta al download di file di massa
Evento di accesso da un dispositivo infetto che porta al download di file di massa
Evento di accesso da un indirizzo IP anonimo che porta al download di file di massa
Evento di accesso da parte dell'utente con credenziali perse che causano il download di file di massa
Download di file di massa dopo l'accesso riuscito ad Azure AD dall'indirizzo IP bloccato da un'appliance firewall Cisco
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), esfiltrazione sul servizio Web (T1567)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente dopo un accesso di Azure AD riuscito nonostante l'indirizzo IP dell'utente sia bloccato da un'appliance firewall Cisco. Potrebbe trattarsi di un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione dopo aver compromesso un account utente. Poiché l'indirizzo IP è stato bloccato dal firewall, la stessa accesso IP ad Azure AD è potenzialmente sospetto e potrebbe indicare una compromissione delle credenziali per l'account utente.
Download di file di massa in coincidenza con l'operazione file di SharePoint dall'indirizzo IP precedentemente non visualizzato
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: esfiltrazione
MITRE ATT& Tecniche CK: esfiltrazione su servizio Web (T1567), limiti delle dimensioni del trasferimento dei dati (T1030)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente connesso da un indirizzo IP precedentemente non visualizzato. Anche se non si verifica un attacco a più passaggi, la correlazione di questi due avvisi con fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione da un account utente potenzialmente compromesso. Negli ambienti stabili, tali connessioni da indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.
Condivisione di file di massa dopo l'accesso sospetto ad Azure AD
MITRE ATT& Tattiche CK: accesso iniziale, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), esfiltrazione sul servizio Web (T1567)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che diversi file al di sopra di una determinata soglia sono stati condivisi ad altri utenti che seguono un accesso sospetto a un account Azure AD. Questa indicazione garantisce un'elevata attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso e usato per esfiltrare i dati dalla rete dell'organizzazione condividendo file come documenti, fogli di calcolo e così via, con utenti non autorizzati a scopo dannoso. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di condivisione di file di massa sono:
Spostamento impossibile in una posizione atipica che porta alla condivisione di file di massa
Evento di accesso da una posizione non familiare che porta alla condivisione di file di massa
Evento di accesso da un dispositivo infetto che porta alla condivisione di file di massa
Evento di accesso da un indirizzo IP anonimo che porta alla condivisione di file di massa
Evento di accesso da parte dell'utente con credenziali perse che causano la condivisione di file di massa
Più attività di condivisione di report di Power BI dopo l'accesso sospetto ad Azure AD
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), esfiltrazione sul servizio Web (T1567)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di report di Power BI è stato condiviso in una singola sessione dopo un accesso sospetto a un account Azure AD. Questa indicazione garantisce un'elevata attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione condividendo i report di Power BI con utenti non autorizzati a scopo dannoso. Le permutazioni degli avvisi di accesso di Azure AD sospetti con più attività di condivisione report di Power BI sono:
Spostamento impossibile in una posizione atipica che porta a più attività di condivisione di report di Power BI
Evento di accesso da una posizione non familiare che porta a più attività di condivisione di report di Power BI
Evento di accesso da un dispositivo infetto che porta a più attività di condivisione di report di Power BI
Evento di accesso da un indirizzo IP anonimo che porta a più attività di condivisione di report di Power BI
Evento di accesso da parte dell'utente con credenziali perse che portano a più attività di condivisione di report di Power BI
Office 365'esfiltrazione delle cassette postali dopo un accesso sospetto ad Azure AD
MITRE ATT& Tattiche CK: accesso iniziale, esfiltrazione, raccolta
MITRE ATT& Tecniche CK: Valid Account (T1078), E-mail collection (T1114), Automated Exfiltration (T1020)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che una regola di inoltro della posta in arrivo sospetta è stata impostata nella posta in arrivo di un utente dopo un accesso sospetto a un account Azure AD. Questa indicazione garantisce un'elevata attendibilità che l'account dell'utente (indicato nella descrizione dell'evento imprevisto Fusion) è stato compromesso e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione abilitando una regola di inoltro delle cassette postali senza la conoscenza dell'utente reale. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di esfiltrazione della cassetta postale di Office 365 sono:
Spostamento impossibile in una posizione atipica che porta a Office 365'esfiltrazione delle cassette postali
Evento di accesso da una posizione non familiare che porta a Office 365'esfiltrazione delle cassette postali
Evento di accesso da un dispositivo infetto che porta a Office 365'esfiltrazione delle cassette postali
Evento di accesso da un indirizzo IP anonimo che porta a Office 365'esfiltrazione delle cassette postali
Evento di accesso da parte dell'utente con credenziali perse che portano a Office 365'esfiltrazione delle cassette postali
Operazione file di SharePoint da ip non visualizzato in precedenza dopo il rilevamento di malware
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: esfiltrazione, evasione della difesa
MITRE ATT& Tecniche CK: Limiti delle dimensioni del trasferimento dei dati (T1030)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un utente malintenzionato ha tentato di esfiltrare grandi quantità di dati scaricando o condividendo tramite SharePoint tramite l'uso di malware. Negli ambienti stabili, tali connessioni da indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.
Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto ad Azure AD
Questo scenario appartiene a due classificazioni di minacce in questo elenco: esfiltrazione dei dati e spostamento laterale. Per maggiore chiarezza, appare in entrambe le sezioni.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, spostamento laterale, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), Spear Phishing interno (T1534), esfiltrazione automatica (T1020)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente dopo un accesso sospetto a un account Azure AD. Questa evidenza fornisce un'indicazione di attendibilità elevata che indica che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi in un secondo momento ottenendo l'accesso ad altri account utente e/o con privilegi. Le permutazioni degli avvisi di accesso sospetti di Azure AD con l'avviso sospetto delle regole di manipolazione delle cartelle posta in arrivo sono:
Spostamento impossibile in una posizione atipica che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da una posizione sconosciuta che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un dispositivo infetto che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da parte dell'utente con credenziali perse che causano una regola di manipolazione della posta in arrivo sospetta
Condivisione sospetta di report di Power BI dopo l'accesso sospetto ad Azure AD
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), esfiltrazione sul servizio Web (T1567)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che si è verificata un'attività sospetta di condivisione di report di Power BI dopo un accesso sospetto a un account Azure AD. L'attività di condivisione è stata identificata come sospetta perché il report di Power BI contiene informazioni riservate identificate usando l'elaborazione del linguaggio naturale e perché è stato condiviso con un indirizzo di posta elettronica esterno, pubblicato sul Web o recapitato come snapshot a un indirizzo di posta elettronica sottoscritto esternamente. Questo avviso indica che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per esfiltrare i dati sensibili dall'organizzazione condividendo i report di Power BI con utenti non autorizzati a scopo dannoso. Le permutazioni degli avvisi di accesso di Azure AD sospetti con la condivisione di report sospetta di Power BI sono:
Spostamento impossibile in una posizione atipica che porta alla condivisione sospetta di report di Power BI
Evento di accesso da una posizione non familiare che comporta la condivisione sospetta di report di Power BI
Evento di accesso da un dispositivo infetto che porta alla condivisione sospetta di report di Power BI
Evento di accesso da un indirizzo IP anonimo che porta alla condivisione sospetta di report di Power BI
Evento di accesso da parte dell'utente con credenziali perse che causano la condivisione sospetta di report di Power BI
Denial of Service
Più attività di eliminazione delle macchine virtuali dopo l'accesso sospetto ad Azure AD
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, Impatto
MITRE ATT& Tecniche CK: Account valido (T1078), Endpoint Denial of Service (T1499)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di macchine virtuali è stato eliminato in una singola sessione dopo un accesso sospetto a un account Azure AD. Questa indicazione garantisce un'elevata attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per tentare di interrompere o distruggere l'ambiente cloud dell'organizzazione. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di eliminazione di più macchine virtuali sono:
Spostamento impossibile in una posizione atipica che porta a più attività di eliminazione delle macchine virtuali
Evento di accesso da una posizione non familiare che porta a più attività di eliminazione della macchina virtuale
Evento di accesso da un dispositivo infetto che porta a più attività di eliminazione della macchina virtuale
Evento di accesso da un indirizzo IP anonimo che porta a più attività di eliminazione della macchina virtuale
Evento di accesso da parte dell'utente con credenziali perse che causano più attività di eliminazione della macchina virtuale
Spostamento laterale
Office 365 rappresentazione dopo l'accesso sospetto ad Azure AD
MITRE ATT& Tattiche CK: Accesso iniziale, Spostamento laterale
MITRE ATT& Tecniche CK: Valid Account (T1078), Internal Spear Phishing (T1534)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che si è verificato un numero anomalo di azioni di rappresentazione in seguito a un accesso sospetto da un account Azure AD. In alcuni software sono disponibili opzioni per consentire agli utenti di rappresentare altri utenti. Ad esempio, i servizi di posta elettronica consentono agli utenti di autorizzare altri utenti a inviare messaggi di posta elettronica per loro conto. Questo avviso indica con maggiore attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per condurre attività di rappresentazione per scopi dannosi, ad esempio l'invio di messaggi di posta elettronica di phishing per la distribuzione di malware o lo spostamento laterale. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di rappresentazione Office 365 sono:
Spostamento impossibile in una posizione atipica che porta a Office 365 rappresentazione
Evento di accesso da una posizione non familiare che porta a Office 365 rappresentazione
Evento di accesso da un dispositivo infetto che porta a Office 365 rappresentazione
Evento di accesso da un indirizzo IP anonimo che porta a Office 365 rappresentazione
Evento di accesso da parte dell'utente con credenziali perse che portano a Office 365 rappresentazione
Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto ad Azure AD
Questo scenario appartiene a due classificazioni di minacce in questo elenco: spostamento laterale ed esfiltrazione dei dati. Per maggiore chiarezza, appare in entrambe le sezioni.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, spostamento laterale, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), Spear Phishing interno (T1534), esfiltrazione automatica (T1020)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente dopo un accesso sospetto a un account Azure AD. Questa evidenza fornisce un'indicazione di attendibilità elevata che indica che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi in un secondo momento ottenendo l'accesso ad altri account utente e/o con privilegi. Le permutazioni degli avvisi di accesso sospetti di Azure AD con l'avviso sospetto delle regole di manipolazione delle cartelle posta in arrivo sono:
Spostamento impossibile in una posizione atipica che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da una posizione sconosciuta che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un dispositivo infettato che comporta una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso dall'utente con credenziali perse che comportano una regola di manipolazione della posta in arrivo sospetta
Attività amministrativa dannosa
Attività amministrativa dell'app cloud sospetta dopo l'accesso di Azure AD sospetto
MITRE ATT& Tattiche CK: accesso iniziale, persistenza, evasione della difesa, movimento laterale, raccolta, esfiltrazione e impatto
MITRE ATT& Tecniche di CK: N/A
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano che un numero anomalo di attività amministrative è stato eseguito in una singola sessione seguendo un accesso sospetto di Azure AD dallo stesso account. Questa evidenza suggerisce che l'account indicato nella descrizione degli eventi imprevisti fusion potrebbe essere stato compromesso ed è stato usato per effettuare qualsiasi numero di azioni amministrative non autorizzate con finalità dannose. Ciò indica anche che un account con privilegi amministrativi potrebbe essere stato compromesso. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di attività amministrativa dell'app cloud sospetta sono:
Impossibile viaggiare in una posizione atipica che comporta attività amministrative di app cloud sospette
Evento di accesso da una posizione non familiare che porta ad attività amministrative di app cloud sospette
Evento di accesso da un dispositivo infettato che porta all'attività amministrativa dell'app cloud sospetta
Evento di accesso da un indirizzo IP anonimo che porta all'attività amministrativa dell'app cloud sospetta
Evento di accesso dall'utente con credenziali perse che comportano attività amministrative di app cloud sospette
Attività di inoltro della posta in seguito alla nuova attività dell'account amministratore non vista di recente
Questo scenario appartiene a due classificazioni delle minacce in questo elenco: attività amministrative dannose ed esfiltrazione dei dati. Per motivi di chiarezza, appare in entrambe le sezioni.
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, raccolta, esfiltrazione
MITRE ATT& Tecniche CK: Account valido (T1078), Email Collection (T1114), Exfiltration Over Web Service (T1567)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, negli ultimi due settimane e che l'account ha quindi eseguito alcune azioni di inoltro di posta elettronica, insolite per un account amministratore. Questa evidenza suggerisce che l'account utente indicato nella descrizione degli eventi imprevisti fusion è stato compromesso o modificato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.
Esecuzione dannosa con processo legittimo
PowerShell ha effettuato una connessione di rete sospetta, seguita da un traffico anomalo contrassegnato dal firewall Palo Alto Networks.
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: Esecuzione
MITRE ATT& Tecniche CK: Interprete comando e scripting (T1059)
Origini del connettore dati: Microsoft Defender per endpoint (in precedenza Microsoft Defender Advanced Threat Protection o MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita tramite un comando di PowerShell e, in seguito, è stata rilevata un'attività in ingresso anomalia da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta tentando di eseguire azioni dannose. I tentativi di connessione da PowerShell che seguono questo modello potrebbero essere un'indicazione dell'attività di comando e controllo del malware, delle richieste per il download di malware aggiuntivi o di un utente malintenzionato che stabilisce l'accesso interattivo remoto. Come per tutti gli attacchi "vivi fuori terra", questa attività potrebbe essere un uso legittimo di PowerShell. Tuttavia, l'esecuzione dei comandi di PowerShell seguita dall'attività firewall in ingresso sospetta aumenta la sicurezza che PowerShell viene usata in modo dannoso e deve essere analizzata ulteriormente. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando le minacce sono consentite (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus in incendio, incendi selvaggi, incendi). Fare riferimento anche al log delle minacce Palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per ulteriori dettagli sull'avviso.
Esecuzione WMI remota sospetta seguita da un traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: esecuzione, individuazione
MITRE ATT& Tecniche CK: Strumentazione gestione Windows (T1047)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano che i comandi di Windows Management Interface (WMI) sono stati eseguiti in remoto in un sistema e, in seguito, l'attività in ingresso sospetta è stata rilevata da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato potrebbe avere ottenuto l'accesso alla rete e sta tentando di spostare in un secondo momento, aumentare i privilegi e/o eseguire payload dannosi. Come per tutti gli attacchi "vivi fuori terra", questa attività potrebbe essere un uso legittimo di WMI. Tuttavia, l'esecuzione remota dei comandi WMI seguita dall'attività firewall in ingresso sospetta aumenta la sicurezza che WMI viene usata in modo dannoso e deve essere analizzata ulteriormente. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando le minacce sono consentite (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus in incendio, incendi selvaggi, incendi). Fare riferimento anche al log delle minacce Palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per ulteriori dettagli sull'avviso.
Riga di comando di PowerShell sospetta dopo l'accesso sospetto
MITRE ATT& Tattiche CK: Accesso iniziale, Esecuzione
MITRE ATT& Tecniche CK: Account valido (T1078), Interprete comando e scripting (T1059)
Origini connettore dati: Azure Active Directory Identity Protection, Microsoft Defender per endpoint (in precedenza MDATP)
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano che un utente ha eseguito comandi di PowerShell potenzialmente dannosi seguendo un accesso sospetto a un account Azure AD. Questa evidenza suggerisce con alta fiducia che l'account annotato nella descrizione dell'avviso è stato compromesso e sono state eseguite ulteriori azioni dannose. Gli utenti malintenzionati spesso usano PowerShell per eseguire payload dannosi in memoria senza lasciare elementi sul disco, per evitare il rilevamento da meccanismi di sicurezza basati su disco, ad esempio scanner di virus. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di comando di PowerShell sospetto sono:
Impossibile viaggiare in posizioni atipiche che portano alla riga di comando di PowerShell sospetta
Evento di accesso da una posizione non familiare che porta alla riga di comando di PowerShell sospetta
Evento di accesso da un dispositivo infettato che porta alla riga di comando di PowerShell sospetta
Evento di accesso da un indirizzo IP anonimo che porta alla riga di comando di PowerShell sospetta
Evento di accesso dall'utente con credenziali perse che portano alla riga di comando di PowerShell sospetta
Malware C2 o download
Modello di beacon rilevato da Fortinet seguendo più accessi utente non riusciti a un servizio
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, comando e controllo
MITRE ATT& Tecniche CK: account valido (T1078), porta non standard (T1571), T1065 (ritirata)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, seguendo più accessi utente non riusciti a un servizio da un'entità interna correlata. La combinazione di questi due eventi potrebbe essere un'indicazione dell'infezione malware o di un host compromesso che esegue l'esfiltrazione dei dati.
Modello di beacon rilevato da Fortinet seguendo l'accesso sospetto di Azure AD
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: accesso iniziale, comando e controllo
MITRE ATT& Tecniche CK: account valido (T1078), porta non standard (T1571), T1065 (ritirata)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti di fusione di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, seguendo un accesso utente di una natura sospetta ad Azure AD. La combinazione di questi due eventi potrebbe essere un'indicazione dell'infezione malware o di un host compromesso che esegue l'esfiltrazione dei dati. Le permutazioni del modello di beacon rilevate dagli avvisi fortinet con avvisi di accesso sospetti di Azure AD sono:
Impossibile viaggiare in una posizione atipica che porta al modello di beacon rilevato da Fortinet
Evento di accesso da una posizione non familiare che porta al modello di beacon rilevato da Fortinet
Evento di accesso da un dispositivo infettato che porta al modello di beacon rilevato da Fortinet
Evento di accesso da un indirizzo IP anonimo che porta al modello di beacon rilevato da Fortinet
Evento di accesso dall'utente con credenziali perse che portano al modello di beacon rilevato da Fortinet
Richiesta di rete al servizio di anonimizzazione TOR seguita da un traffico anomalo contrassegnato dal firewall Palo Alto Networks.
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: comando e controllo
MITRE ATT& Tecniche CK: Encrypted Channel (T1573), Proxy (T1090)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita al servizio di anonimizzazione tor e, in seguito, è stata rilevata un'attività in ingresso anomalia da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta tentando di nascondere le loro azioni e finalità. Le connessioni alla rete TOR seguendo questo modello potrebbero essere un'indicazione dell'attività di comando e controllo del malware, delle richieste per il download di malware aggiuntivi o di un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando le minacce sono consentite (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus in incendio, incendi selvaggi, incendi). Fare riferimento anche al log delle minacce Palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per ulteriori dettagli sull'avviso.
Connessione in uscita all'INDIRIZZO IP con una cronologia dei tentativi di accesso non autorizzati seguiti da un traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: comando e controllo
MITRE ATT& Tecniche di CK: non applicabile
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti di fusione di questo tipo indicano che è stata stabilita una connessione in uscita a un indirizzo IP con una cronologia dei tentativi di accesso non autorizzati e, in seguito, è stata rilevata un'attività anomalia da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete. I tentativi di connessione che seguono questo modello potrebbero essere un'indicazione dell'attività di comando e controllo malware, delle richieste per il download di malware aggiuntivi o di un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando le minacce sono consentite (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus in incendio, incendi selvaggi, incendi). Fare riferimento anche al log delle minacce Palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per ulteriori dettagli sull'avviso.
Persistenza
(Nuova classificazione delle minacce)
Consenso dell'applicazione rara dopo l'accesso sospetto
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: persistenza, accesso iniziale
MITRE ATT& Tecniche CK: Creare account (T1136), Account valido (T1078)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano che un'applicazione è stata concessa il consenso da un utente che non ha mai o raramente fatto, seguendo un accesso sospetto correlato a un account Azure AD. Questa evidenza suggerisce che l'account indicato nella descrizione degli eventi imprevisti fusion potrebbe essere stato compromesso e usato per accedere o modificare l'applicazione a scopo dannoso. Il consenso per l'applicazione, aggiungere l'entità servizio e Aggiungere OAuth2PermissionGrant deve in genere essere eventi rari. Gli utenti malintenzionati possono usare questo tipo di modifica di configurazione per stabilire o mantenere il proprio piè di pagina nei sistemi. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di consenso dell'applicazione rara sono:
Impossibile viaggiare in una posizione atipica che porta al consenso raro dell'applicazione
Evento di accesso da una posizione non familiare che porta al consenso raro dell'applicazione
Evento di accesso da un dispositivo infettato che porta al consenso raro dell'applicazione
Evento di accesso da un INDIRIZZO IP anonimo che porta al consenso raro dell'applicazione
Evento di accesso dall'utente con credenziali perse che portano al consenso raro dell'applicazione
Ransomware
Esecuzione ransomware dopo l'accesso sospetto di Azure AD
MITRE ATT& Tattiche CK: Accesso iniziale, Impatto
MITRE ATT& Tecniche CK: Account valido (T1078), Data Encrypted for Impact (T1486)
Origini del connettore dati: Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano che il comportamento anomalo dell'utente indica che è stato rilevato un attacco ransomware dopo un accesso sospetto a un account Azure AD. Questa indicazione fornisce un'elevata attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per crittografare i dati a scopo di estortare il proprietario dei dati o negare l'accesso al proprietario dei dati. Le permutazioni degli avvisi di accesso di Azure AD sospetti con l'avviso di esecuzione ransomware sono:
Impossibile viaggiare in una posizione atipica che porta a ransomware nell'app cloud
Evento di accesso da una posizione non familiare che porta a ransomware nell'app cloud
Evento di accesso da un dispositivo infettato che porta a ransomware nell'app cloud
Evento di accesso da un indirizzo IP anonimo che porta a ransomware nell'app cloud
Evento di accesso dall'utente con credenziali perse che portano a ransomware nell'app cloud
Sfruttamento remoto
Sospetto uso del framework di attacco seguito da un traffico anomalo contrassegnato da Palo Alto Networks firewall
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, Esecuzione, Spostamento laterale, Escalation dei privilegi
MITRE ATT& Tecniche CK: Exploit Public-Facing Application (T1190), Exploit for Client Execution (T1203), Exploit of Remote Services(T1210), Exploit for Privilege Escalation (T1068)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti di fusione di questo tipo indicano che sono stati rilevati usi non standard di protocolli, che assomigliano all'uso di framework di attacco come Metasploit e che, in seguito, è stata rilevata un'attività in ingresso sospetta da Palo Alto Networks Firewall. Questo può essere un'indicazione iniziale che un utente malintenzionato ha sfruttato un servizio per ottenere l'accesso alle risorse di rete o che un utente malintenzionato ha già ottenuto l'accesso e sta tentando di sfruttare ulteriormente i sistemi o i servizi disponibili per spostare in un secondo momento e/o eseguire l'escalation dei privilegi. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando le minacce sono consentite (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus in incendio, incendi selvaggi, incendi). Fare riferimento anche al log delle minacce Palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per ulteriori dettagli sull'avviso.
Hijacking delle risorse
(Nuova classificazione delle minacce)
Distribuzione sospetta di risorse/gruppo di risorse da parte di un chiamante precedentemente non visualizzato dopo l'accesso sospetto di Azure AD
Questo scenario usa gli avvisi generati dalle regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
MITRE ATT& Tattiche CK: Accesso iniziale, Impatto
MITRE ATT& Tecniche CK: Account valido (T1078), Resource Hijacking (T1496)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Azure Active Directory Identity Protection
Descrizione: Gli eventi imprevisti di fusion di questo tipo indicano che un utente ha distribuito una risorsa di Azure o un gruppo di risorse - un'attività rara - che segue un accesso sospetto, con proprietà non visualizzate di recente, in un account Azure AD. Questo potrebbe essere un tentativo da parte di un utente malintenzionato di distribuire risorse o gruppi di risorse a scopo dannoso dopo aver compromesso l'account utente indicato nella descrizione dell'evento imprevisto Fusion.
Le permutazioni degli avvisi di accesso di Azure AD sospetti con la distribuzione sospetta di risorse/gruppo di risorse da un avviso del chiamante precedentemente non visualizzato sono:
Impossibile viaggiare in una posizione atipica che porta alla distribuzione di risorse sospette/gruppo di risorse da parte di un chiamante precedentemente non riuscito
Evento di accesso da una posizione non familiare che porta alla distribuzione di risorse sospette/gruppo di risorse da un chiamante precedentemente non visualizzato
Evento di accesso da un dispositivo infettato che porta alla distribuzione sospetta di risorse/gruppo di risorse da parte di un chiamante precedentemente non visualizzato
Evento di accesso da un indirizzo IP anonimo che porta alla distribuzione di risorse sospette/gruppo di risorse da parte di un chiamante precedentemente non visualizzato
Evento di accesso dall'utente con credenziali perse che portano alla distribuzione sospetta di risorse/gruppo di risorse da parte di un chiamante precedentemente non visualizzato
Passaggi successivi
Dopo aver appreso di più sul rilevamento avanzato degli attacchi multistage, è possibile che si sia interessati alla guida introduttiva seguente per informazioni su come ottenere visibilità sui dati e sulle potenziali minacce: Introduzione a Microsoft Sentinel.
Se si è pronti per analizzare gli eventi imprevisti creati per l'utente, vedere l'esercitazione seguente: Analizzare gli eventi imprevisti con Microsoft Sentinel.