Scenari rilevati dal motore Fusion di Microsoft Sentinel
Questo documento elenca i tipi di attacchi multistage basati su scenari, raggruppati per classificazione delle minacce, rilevati da Microsoft Sentinel tramite il motore di correlazione Fusion.
Poiché Fusion correla più segnali provenienti da vari prodotti per rilevare attacchi multistage avanzati, i rilevamenti Fusion riusciti vengono presentati come eventi imprevisti Fusion nella pagina Eventi imprevisti di Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella Eventi imprevisti nei log e non nella tabella SecurityAlerts.
Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, tutte le origini dati elencate devono essere inserite nell'area di lavoro Log Analytics. Per gli scenari con regole di analisi pianificate, seguire le istruzioni in Configurare le regole di analisi pianificate per i rilevamenti Fusion.
Nota
Alcuni di questi scenari sono disponibili in ANTEPRIMA. Saranno così indicati.
Uso improprio delle risorse di calcolo
Più attività di creazione di macchine virtuali in seguito all'accesso sospetto di Microsoft Entra
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Hijacking delle risorse (T1496)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di macchine virtuali è stato creato in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questo tipo di avviso indica, con un elevato grado di attendibilità, che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso e usato per creare nuove macchine virtuali per scopi non autorizzati, ad esempio l'esecuzione di operazioni di crypto mining. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di creazione di più macchine virtuali sono:
Spostamento impossibile in una posizione atipica che porta a più attività di creazione di macchine virtuali
Evento di accesso da una posizione non familiare che porta a più attività di creazione di macchine virtuali
Evento di accesso da un dispositivo infetto che porta a più attività di creazione di macchine virtuali
Evento di accesso da un indirizzo IP anonimo che porta a più attività di creazione di macchine virtuali
Evento di accesso da parte dell'utente con credenziali perse che causano più attività di creazione di macchine virtuali
Accesso tramite credenziali
(Nuova classificazione delle minacce)
Reimpostazione di più password da parte dell'utente dopo l'accesso sospetto
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali
Tecniche MITRE ATT&CK: Account valido (T1078), Forza bruta (T1110)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection
Descrizione: eventi imprevisti fusion di questo tipo indicano che un utente reimposta più password dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per eseguire più reimpostazioni delle password per ottenere l'accesso a più sistemi e risorse. La manipolazione degli account (inclusa la reimpostazione della password) può aiutare gli avversari a mantenere l'accesso alle credenziali e a determinati livelli di autorizzazione all'interno di un ambiente. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con più avvisi di reimpostazione delle password sono:
Spostamento impossibile in una posizione atipica che porta alla reimpostazione di più password
Evento di accesso da una posizione non familiare che comporta la reimpostazione di più password
Evento di accesso da un dispositivo infetto che comporta la reimpostazione di più password
Evento di accesso da un indirizzo IP anonimo che porta alla reimpostazione di più password
Evento di accesso dell'utente con credenziali perse che causano la reimpostazione di più password
Accesso sospetto che coincide con l'accesso riuscito a Palo Alto VPN tramite IP con più accessi Microsoft Entra non riusciti
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali
Tecniche MITRE ATT&CK: Account valido (T1078), Forza bruta (T1110)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un accesso sospetto a un account Microsoft Entra coincide con un accesso riuscito tramite una VPN Palo Alto da un indirizzo IP da cui si sono verificati più accessi non riusciti di Microsoft Entra in un intervallo di tempo simile. Anche se non è una prova di un attacco a più fasi, la correlazione di questi due avvisi con fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce l'accesso iniziale dannoso alla rete dell'organizzazione. In alternativa, potrebbe essere un'indicazione di un utente malintenzionato che tenta di usare tecniche di forza bruta per ottenere l'accesso a un account Microsoft Entra. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con "IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN" avvisi sono:
Impossibile viaggiare in una posizione atipica che coincide con l'INDIRIZZO IP con più accessi Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da una posizione non familiare che coincide con l'INDIRIZZO IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da un dispositivo infetto che coincide con l'INDIRIZZO IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da un indirizzo IP anonimo che coincide con l'indirizzo IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da parte dell'utente con credenziali perse che coincidono con l'indirizzo IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Raccolta di credenziali
(Nuova classificazione delle minacce)
Esecuzione dello strumento di furto di credenziali dannoso dopo l'accesso sospetto
Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali
Tecniche MITRE ATT&CK: Account valido (T1078), Dump delle credenziali del sistema operativo (T1003)
Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per endpoint
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che uno strumento di furto di credenziali noto è stato eseguito in seguito a un sospetto accesso a Microsoft Entra. Questa evidenza suggerisce con alta sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso e potrebbe aver usato correttamente uno strumento come Mimikatz per raccogliere credenziali come chiavi, password in testo non crittografato e/o hash delle password dal sistema. Le credenziali raccolte possono consentire a un utente malintenzionato di accedere ai dati sensibili, inoltrare i privilegi e/o spostarsi in modo successivo attraverso la rete. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con lo strumento di furto di credenziali dannoso sono:
Spostamento impossibile in posizioni atipiche che causano l'esecuzione di furti di credenziali dannose
Evento di accesso da una posizione non familiare che comporta l'esecuzione di furti di credenziali dannose
Evento di accesso da un dispositivo infetto che comporta l'esecuzione di furti di credenziali dannose
Evento di accesso da un indirizzo IP anonimo che comporta l'esecuzione di furti di credenziali dannose
Evento di accesso dell'utente con credenziali perse che causano l'esecuzione di furti di credenziali dannose
Sospetto furto di credenziali attività dopo l'accesso sospetto
Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali
Tecniche MITRE ATT&CK: account valido (T1078), credenziali da archivi password (T1555), dump delle credenziali del sistema operativo (T1003)
Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per endpoint
Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che l'attività associata a modelli di furto di credenziali si è verificata dopo un accesso sospetto di Microsoft Entra. Questa evidenza suggerisce con alta probabilità che l'account utente annotato nella descrizione dell'avviso sia stato compromesso e usato per rubare credenziali come chiavi, password in testo normale, hash delle password e così via. Le credenziali rubate possono consentire a un utente malintenzionato di accedere ai dati sensibili, inoltrare i privilegi e/o spostarsi in modo successivo attraverso la rete. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività di furto delle credenziali sono:
Impossibile viaggiare in località atipiche che portano a sospetta attività di furto di credenziali
Evento di accesso da una posizione non familiare che comporta il sospetto furto di credenziali
Evento di accesso da un dispositivo infetto che porta a sospetta attività di furto di credenziali
Evento di accesso da un indirizzo IP anonimo che porta a sospetta attività di furto di credenziali
Evento di accesso da parte dell'utente con credenziali perse che causano un sospetto furto di credenziali
Crypto mining
(Nuova classificazione delle minacce)
Attività di crypto mining dopo l'accesso sospetto
Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali
Tecniche MITRE ATT&CK: Account valido (T1078), Hijacking delle risorse (T1496)
Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano l'attività di crypto mining associata a un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce con alta probabilità che l'account utente annotato nella descrizione dell'avviso sia stato compromesso ed è stato usato per dirottare le risorse nell'ambiente per eseguire il mine crypto-currency. Ciò può ridurre le risorse di potenza di calcolo e/o comportare costi di utilizzo del cloud significativamente superiori al previsto. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività di crypto mining sono:
Impossibile viaggiare in posizioni atipiche che portano all'attività di crypto mining
Evento di accesso da una posizione non familiare che porta all'attività di crypto mining
Evento di accesso da un dispositivo infetto che porta all'attività di crypto mining
Evento di accesso da un indirizzo IP anonimo che porta all'attività di crypto mining
Evento di accesso da parte dell'utente con credenziali perse che causano l'attività di crypto mining
Eliminazione definitiva di dati
Eliminazione di file di massa in seguito all'accesso sospetto di Microsoft Entra
Tattiche MITRE ATT&CK: Accesso iniziale, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Distruzione dei dati (T1485)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce che l'account indicato nella descrizione dell'incidente Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di eliminazione di file di massa sono:
Impossibile viaggiare in una posizione atipica che porta all'eliminazione di file di massa
Evento di accesso da una posizione non familiare che comporta l'eliminazione di file di massa
Evento di accesso da un dispositivo infetto che comporta l'eliminazione di file di massa
Evento di accesso da un indirizzo IP anonimo che comporta l'eliminazione di file di massa
Evento di accesso da parte dell'utente con credenziali perse che causano l'eliminazione di file di massa
Eliminazione di massa dei file in seguito all'accesso riuscito di Microsoft Entra dall'INDIRIZZO IP bloccato da un'appliance firewall Cisco
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Distruzione dei dati (T1485)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato dopo un accesso riuscito di Microsoft Entra nonostante l'indirizzo IP dell'utente sia bloccato da un'appliance firewall Cisco. Questa prova suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per distruggere i dati per scopi dannosi. Poiché l'IP è stato bloccato dal firewall, lo stesso accesso IP a Microsoft Entra ID è potenzialmente sospetto e potrebbe indicare una compromissione delle credenziali per l'account utente.
Eliminazione di file di massa dopo l'accesso riuscito a Palo Alto VPN by IP con più accessi Microsoft Entra non riusciti
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Forza bruta (T1110), Distruzione dei dati (T1485)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato da un utente che ha eseguito correttamente l'accesso tramite una VPN Palo Alto da un indirizzo IP da cui si sono verificati più accessi di Microsoft Entra non riusciti in un intervallo di tempo simile. Questa evidenza suggerisce che l'account utente indicato nell'evento imprevisto Fusion potrebbe essere stato compromesso usando tecniche di forza bruta ed è stato usato per distruggere i dati per scopi dannosi.
Attività di eliminazione sospetta della posta elettronica dopo l'accesso sospetto a Microsoft Entra
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Distruzione dei dati (T1485)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di messaggi di posta elettronica è stato eliminato in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questa prova suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati per scopi dannosi, ad esempio danneggiare l'organizzazione o nascondere attività di posta elettronica correlate alla posta indesiderata. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività di eliminazione della posta elettronica sospetta sono:
Spostamento impossibile in una posizione atipica che causa l'attività di eliminazione sospetta della posta elettronica
Evento di accesso da una posizione non familiare che comporta l'eliminazione sospetta della posta elettronica
Evento di accesso da un dispositivo infetto che comporta l'attività di eliminazione sospetta della posta elettronica
Evento di accesso da un indirizzo IP anonimo che comporta l'attività di eliminazione sospetta della posta elettronica
Evento di accesso dell'utente con credenziali perse che causano un'attività di eliminazione sospetta della posta elettronica
Esfiltrazione di dati
Attività di inoltro della posta in seguito alla nuova attività dell'account amministratore non rilevata di recente
Questo scenario appartiene a due classificazioni delle minacce in questo elenco: esfiltrazione dei dati e attività amministrative dannose. Per maggiore chiarezza, appare in entrambe le sezioni.
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Raccolta, Esfiltrazione
Tecniche MITRE ATT&CK: Valid Account (T1078), Email Collection (T1114), Esfiltration over Web Service (T1567)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, nelle ultime due settimane, e che l'account ha quindi eseguito alcune azioni di inoltro della posta elettronica, che sono insolite per un account amministratore. Questa evidenza suggerisce che l'account utente annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso o modificato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.
Download di file di massa dopo l'accesso sospetto a Microsoft Entra
Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione
Tecniche MITRE ATT&CK: Account valido (T1078)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente in seguito a un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di download di file di massa sono:
Impossibile viaggiare in una posizione atipica che porta al download di file di massa
Evento di accesso da una posizione non familiare che porta al download di file di massa
Evento di accesso da un dispositivo infetto che porta al download di file di massa
Evento di accesso da un indirizzo IP anonimo che porta al download di file di massa
Evento di accesso da parte dell'utente con credenziali perse che portano al download di file di massa
Download di file di massa dopo l'accesso riuscito di Microsoft Entra dall'indirizzo IP bloccato da un'appliance firewall Cisco
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione
Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente dopo un accesso riuscito a Microsoft Entra nonostante l'indirizzo IP dell'utente sia bloccato da un'appliance firewall Cisco. Potrebbe trattarsi di un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione dopo aver compromesso un account utente. Poiché l'IP è stato bloccato dal firewall, lo stesso accesso IP a Microsoft Entra ID è potenzialmente sospetto e potrebbe indicare una compromissione delle credenziali per l'account utente.
Download di file di massa in coincidenza con l'operazione di file di SharePoint dall'INDIRIZZO IP precedentemente non visualizzato
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: esfiltrazione
Tecniche MITRE ATT&CK: esfiltrazione su servizio Web (T1567), limiti delle dimensioni del trasferimento dei dati (T1030)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente connesso da un indirizzo IP precedentemente non visualizzato. Anche se non si verifica un attacco a più passaggi, la correlazione di questi due avvisi con fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione da un account utente potenzialmente compromesso. In ambienti stabili, tali connessioni di indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.
Condivisione di file di massa dopo l'accesso sospetto a Microsoft Entra
Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione
Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero di file al di sopra di una determinata soglia è stato condiviso ad altri utenti che seguono un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account indicato nella descrizione dell'evento imprevisto Fusion sia stato compromesso e usato per esfiltrare i dati dalla rete dell'organizzazione condividendo file come documenti, fogli di calcolo e così via, con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di condivisione di file di massa sono:
Impossibile viaggiare in una posizione atipica che porta alla condivisione di file di massa
Evento di accesso da una posizione non familiare che porta alla condivisione di file di massa
Evento di accesso da un dispositivo infetto che porta alla condivisione di file di massa
Evento di accesso da un indirizzo IP anonimo che porta alla condivisione di file di massa
Evento di accesso dell'utente con credenziali perse che causano la condivisione di file di massa
Più attività di condivisione di report di Power BI in seguito all'accesso sospetto di Microsoft Entra
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione
Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di report di Power BI è stato condiviso in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione condividendo i report di Power BI con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con più attività di condivisione report di Power BI sono:
Spostamento impossibile in una posizione atipica che porta a più attività di condivisione di report di Power BI
Evento di accesso da una posizione non familiare che porta a più attività di condivisione di report di Power BI
Evento di accesso da un dispositivo infetto che porta a più attività di condivisione di report di Power BI
Evento di accesso da un indirizzo IP anonimo che porta a più attività di condivisione report di Power BI
Evento di accesso da parte dell'utente con credenziali perse che portano a più attività di condivisione report di Power BI
Esfiltrazione delle cassette postali di Office 365 dopo un accesso sospetto di Microsoft Entra
Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione, Raccolta
Tecniche MITRE ATT&CK: Valid Account (T1078), E-mail Collection (T1114), Automated Exfiltration (T1020)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che una regola di inoltro della posta in arrivo sospetta è stata impostata nella posta in arrivo di un utente dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account dell'utente (indicato nella descrizione dell'evento imprevisto Fusion) sia stato compromesso e che sia stato usato per esfiltrare i dati dalla rete dell'organizzazione abilitando una regola di inoltro delle cassette postali senza la conoscenza del vero utente. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di esfiltrazione delle cassette postali di Office 365 sono:
Impossibile viaggiare in una posizione atipica che porta all'esfiltrazione delle cassette postali di Office 365
Evento di accesso da una posizione non familiare che porta all'esfiltrazione delle cassette postali di Office 365
Evento di accesso da un dispositivo infetto che porta all'esfiltrazione delle cassette postali di Office 365
Evento di accesso da un indirizzo IP anonimo che porta all'esfiltrazione delle cassette postali di Office 365
Evento di accesso dell'utente con credenziali perse che causano l'esfiltrazione delle cassette postali di Office 365
Operazione file di SharePoint da ip non visualizzato in precedenza dopo il rilevamento di malware
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: esfiltrazione, evasione della difesa
Tecniche MITRE ATT&CK: Limiti delle dimensioni del trasferimento dei dati (T1030)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: eventi imprevisti fusion di questo tipo indicano che un utente malintenzionato ha tentato di esfiltrare grandi quantità di dati scaricando o condividendo tramite SharePoint tramite l'uso di malware. In ambienti stabili, tali connessioni di indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.
Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto a Microsoft Entra
Questo scenario appartiene a due classificazioni di minacce in questo elenco: esfiltrazione dei dati e spostamento laterale. Per maggiore chiarezza, appare in entrambe le sezioni.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Spostamento laterale, Esfiltrazione
Tecniche MITRE ATT&CK: account valido (T1078), spear phishing interno (T1534), esfiltrazione automatica (T1020)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza fornisce un'indicazione di elevata attendibilità che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi successivamente ottenendo l'accesso ad altri account utente e/o con privilegi. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso delle regole di manipolazione della posta in arrivo sospette sono:
Impossibile viaggiare in una posizione atipica che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da una posizione non familiare che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un dispositivo infetto che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da parte dell'utente con credenziali perse che causano una regola di manipolazione sospetta della posta in arrivo
Condivisione sospetta di report di Power BI dopo l'accesso sospetto a Microsoft Entra
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione
Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: eventi imprevisti fusion di questo tipo indicano che si è verificata un'attività sospetta di condivisione di report di Power BI dopo un accesso sospetto a un account Microsoft Entra. L'attività di condivisione è stata identificata come sospetta perché il report di Power BI conteneva informazioni riservate identificate usando l'elaborazione del linguaggio naturale e perché è stato condiviso con un indirizzo di posta elettronica esterno, pubblicato sul Web o recapitato come snapshot a un indirizzo di posta elettronica sottoscritto esternamente. Questo avviso indica che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per esfiltrare i dati sensibili dell'organizzazione condividendo i report di Power BI con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con la condivisione di report sospetta di Power BI sono:
Spostamento impossibile in una posizione atipica che causa la condivisione sospetta di report di Power BI
Evento di accesso da una posizione non familiare che porta alla condivisione sospetta di report di Power BI
Evento di accesso da un dispositivo infetto che porta alla condivisione sospetta di report di Power BI
Evento di accesso da un indirizzo IP anonimo che porta alla condivisione sospetta di report di Power BI
Evento di accesso dell'utente con credenziali perse che causano la condivisione sospetta di report di Power BI
Denial of Service
Attività di eliminazione di più macchine virtuali in seguito all'accesso sospetto di Microsoft Entra
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Endpoint Denial of Service (T1499)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di macchine virtuali è stato eliminato in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per tentare di interrompere o distruggere l'ambiente cloud dell'organizzazione. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di eliminazione di più macchine virtuali sono:
Spostamento impossibile in una posizione atipica che comporta più attività di eliminazione delle macchine virtuali
Evento di accesso da una posizione non familiare che porta a più attività di eliminazione delle macchine virtuali
Evento di accesso da un dispositivo infetto che porta a più attività di eliminazione delle macchine virtuali
Evento di accesso da un indirizzo IP anonimo che porta a più attività di eliminazione della macchina virtuale
Evento di accesso da parte dell'utente con credenziali perse che causano più attività di eliminazione della macchina virtuale
Spostamento laterale
Rappresentazione di Office 365 dopo l'accesso sospetto di Microsoft Entra
Tattiche MITRE ATT&CK: Accesso iniziale, Spostamento laterale
Tecniche MITRE ATT&CK: Account valido (T1078), Spear Phishing interno (T1534)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che si è verificato un numero anomalo di azioni di rappresentazione dopo un accesso sospetto da un account Microsoft Entra. In alcuni software sono disponibili opzioni per consentire agli utenti di rappresentare altri utenti. Ad esempio, i servizi di posta elettronica consentono agli utenti di autorizzare altri utenti a inviare messaggi di posta elettronica per loro conto. Questo avviso indica con maggiore sicurezza che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per condurre attività di rappresentazione per scopi dannosi, ad esempio l'invio di messaggi di posta elettronica di phishing per la distribuzione di malware o lo spostamento laterale. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di rappresentazione di Office 365 sono:
Spostamento impossibile in una posizione atipica che porta alla rappresentazione di Office 365
Evento di accesso da una posizione non familiare che porta alla rappresentazione di Office 365
Evento di accesso da un dispositivo infetto che porta alla rappresentazione di Office 365
Evento di accesso da un indirizzo IP anonimo che porta alla rappresentazione di Office 365
Evento di accesso dell'utente con credenziali perse che portano alla rappresentazione di Office 365
Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto a Microsoft Entra
Questo scenario appartiene a due classificazioni delle minacce in questo elenco: spostamento laterale ed esfiltrazione dei dati. Per maggiore chiarezza, appare in entrambe le sezioni.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Spostamento laterale, Esfiltrazione
Tecniche MITRE ATT&CK: account valido (T1078), spear phishing interno (T1534), esfiltrazione automatica (T1020)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza fornisce un'indicazione di elevata attendibilità che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi successivamente ottenendo l'accesso ad altri account utente e/o con privilegi. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso delle regole di manipolazione della posta in arrivo sospette sono:
Impossibile viaggiare in una posizione atipica che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da una posizione non familiare che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un dispositivo infetto che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da parte dell'utente con credenziali perse che causano una regola di manipolazione sospetta della posta in arrivo
Attività amministrative dannose
Attività amministrativa dell'app cloud sospetta dopo l'accesso sospetto a Microsoft Entra
Tattiche MITRE ATT&CK: accesso iniziale, persistenza, evasione della difesa, movimento laterale, raccolta, esfiltrazione e impatto
Tecniche MITRE ATT&CK: N/A
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di attività amministrative è stato eseguito in una singola sessione in seguito a un sospetto accesso di Microsoft Entra dallo stesso account. Questa evidenza suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per effettuare un numero qualsiasi di azioni amministrative non autorizzate con finalità dannose. Ciò indica anche che un account con privilegi amministrativi potrebbe essere stato compromesso. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività amministrativa dell'app cloud sospetta sono:
Spostamento impossibile in una posizione atipica che porta a attività amministrative di app cloud sospette
Evento di accesso da una posizione non familiare che porta a attività amministrative sospette dell'app cloud
Evento di accesso da un dispositivo infetto che porta a attività amministrative sospette dell'app cloud
Evento di accesso da un indirizzo IP anonimo che porta a attività amministrative sospette dell'app cloud
Evento di accesso dell'utente con credenziali perse che causano attività amministrative sospette dell'app cloud
Attività di inoltro della posta in seguito alla nuova attività dell'account amministratore non rilevata di recente
Questo scenario appartiene a due classificazioni delle minacce in questo elenco: attività amministrative dannose ed esfiltrazione di dati. Per maggiore chiarezza, appare in entrambe le sezioni.
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Raccolta, Esfiltrazione
Tecniche MITRE ATT&CK: Valid Account (T1078), Email Collection (T1114), Esfiltration over Web Service (T1567)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, nelle ultime due settimane, e che l'account ha quindi eseguito alcune azioni di inoltro della posta elettronica, che sono insolite per un account amministratore. Questa evidenza suggerisce che l'account utente annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso o modificato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.
Esecuzione dannosa con processo legittimo
PowerShell ha effettuato una connessione di rete sospetta, seguita da traffico anomalo contrassegnato dal firewall Palo Alto Networks.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: esecuzione
Tecniche MITRE ATT&CK: Interprete comandi e scripting (T1059)
Origini del connettore dati: Microsoft Defender per endpoint (in precedenza Microsoft Defender Advanced Threat Protection o MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita tramite un comando di PowerShell e, in seguito, l'attività in ingresso anomale è stata rilevata da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta tentando di eseguire azioni dannose. Connessione tentativi di powerShell che seguono questo modello potrebbe essere un'indicazione dell'attività di comando e controllo del malware, delle richieste per il download di malware aggiuntivo o di un utente malintenzionato che stabilisce l'accesso interattivo remoto. Come per tutti gli attacchi "viventi fuori terra", questa attività potrebbe essere un uso legittimo di PowerShell. Tuttavia, l'esecuzione del comando di PowerShell seguita da attività del firewall in ingresso sospette aumenta la probabilità che PowerShell venga usato in modo dannoso e debba essere esaminato ulteriormente. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.
Esecuzione WMI remota sospetta seguita da traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: esecuzione, individuazione
Tecniche MITRE ATT&CK: Strumentazione gestione Windows (T1047)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che i comandi WMI (Windows Management Interface) sono stati eseguiti in remoto in un sistema e, in seguito, l'attività in ingresso sospetta è stata rilevata da Palo Alto Networks Firewall. Questa prova suggerisce che un utente malintenzionato potrebbe avere ottenuto l'accesso alla rete e sta tentando di spostarsi in modo successivo, inoltrare i privilegi e/o eseguire payload dannosi. Come per tutti gli attacchi "viventi fuori terra", questa attività potrebbe essere un uso legittimo di WMI. Tuttavia, l'esecuzione remota dei comandi WMI seguita da attività del firewall in ingresso sospette aumenta la certezza che WMI viene usato in modo dannoso e deve essere esaminato ulteriormente. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.
Riga di comando di PowerShell sospetta dopo l'accesso sospetto
Tattiche MITRE ATT&CK: Accesso iniziale, Esecuzione
Tecniche MITRE ATT&CK: account valido (T1078), interprete di comando e scripting (T1059)
Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per endpoint (in precedenza MDATP)
Descrizione: eventi imprevisti fusion di questo tipo indicano che un utente ha eseguito comandi di PowerShell potenzialmente dannosi in seguito a un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce con alta fiducia che l'account annotato nella descrizione dell'avviso è stato compromesso e sono state intraprese ulteriori azioni dannose. Gli utenti malintenzionati spesso usano PowerShell per eseguire payload dannosi in memoria senza lasciare elementi sul disco, per evitare il rilevamento da parte di meccanismi di sicurezza basati su disco, ad esempio gli scanner di virus. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di comando di PowerShell sospetto sono:
Spostamento impossibile in posizioni atipiche che portano alla riga di comando sospetta di PowerShell
Evento di accesso da una posizione non familiare che porta alla riga di comando sospetta di PowerShell
Evento di accesso da un dispositivo infetto che porta alla riga di comando sospetta di PowerShell
Evento di accesso da un indirizzo IP anonimo che porta alla riga di comando sospetta di PowerShell
Evento di accesso dell'utente con credenziali perse che causano una riga di comando sospetta di PowerShell
Malware C2 o download
Modello Beacon rilevato da Fortinet dopo più accessi utente non riusciti a un servizio
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: accesso iniziale, comando e controllo
Tecniche MITRE ATT&CK: account valido (T1078), porta non standard (T1571), T1065 (ritirata)
Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud
Descrizione: gli eventi imprevisti fusion di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, in seguito a più accessi utente non riusciti a un servizio da un'entità interna correlata. La combinazione di questi due eventi potrebbe essere un'indicazione di infezione malware o di un host compromesso che esegue l'esfiltrazione di dati.
Modello Beacon rilevato da Fortinet dopo l'accesso sospetto di Microsoft Entra
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: accesso iniziale, comando e controllo
Tecniche MITRE ATT&CK: account valido (T1078), porta non standard (T1571), T1065 (ritirata)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti fusion di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, dopo un accesso utente di natura sospetta a Microsoft Entra ID. La combinazione di questi due eventi potrebbe essere un'indicazione di infezione malware o di un host compromesso che esegue l'esfiltrazione di dati. Le permutazioni del modello beacon rilevate dagli avvisi fortinet con avvisi di accesso sospetti di Microsoft Entra sono:
Impossibile viaggiare in una posizione atipica che porta al modello di beacon rilevato da Fortinet
Evento di accesso da una posizione non familiare che porta al modello beacon rilevato da Fortinet
Evento di accesso da un dispositivo infetto che porta al modello beacon rilevato da Fortinet
Evento di accesso da un indirizzo IP anonimo che porta al modello beacon rilevato da Fortinet
Evento di accesso da parte dell'utente con credenziali perse che portano al modello beacon rilevato da Fortinet
Richiesta di rete al servizio di anonimizzazione TOR seguito da traffico anomalo contrassegnato dal firewall Palo Alto Networks.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Comando e controllo
Tecniche MITRE ATT&CK: Canale crittografato (T1573), Proxy (T1090)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita al servizio di anonimizzazione TOR e, in seguito a ciò, l'attività in ingresso anomale è stata rilevata da Palo Alto Networks Firewall. Questa prova suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta tentando di nascondere le azioni e la finalità. Connessione ioni alla rete TOR seguendo questo modello potrebbe essere un'indicazione dell'attività di comando e controllo malware, richieste per il download di malware aggiuntivo o un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.
Connessione in uscita all'IP con una cronologia di tentativi di accesso non autorizzati seguiti da traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Comando e controllo
Tecniche MITRE ATT&CK: non applicabile
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stata stabilita una connessione in uscita a un indirizzo IP con una cronologia di tentativi di accesso non autorizzati e, in seguito a ciò, è stata rilevata un'attività anomala da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete. Connessione tentativi di esecuzione di questo modello potrebbero essere un'indicazione dell'attività di comando e controllo del malware, delle richieste per il download di malware aggiuntivo o di un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.
Persistenza
(Nuova classificazione delle minacce)
Consenso raro dell'applicazione dopo l'accesso sospetto
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: persistenza, accesso iniziale
Tecniche MITRE ATT&CK: Create Account (T1136), Valid Account (T1078)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection
Descrizione: eventi imprevisti fusion di questo tipo indicano che un'applicazione è stata concessa il consenso da un utente che non ha mai o raramente fatto, in seguito a un accesso sospetto correlato a un account Microsoft Entra. Questa evidenza suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso e usato per accedere o manipolare l'applicazione per scopi dannosi. Il consenso all'applicazione, l'aggiunta dell'entità servizio e l'aggiunta di OAuth2PermissionGrant devono in genere essere eventi rari. Gli utenti malintenzionati possono usare questo tipo di modifica della configurazione per stabilire o mantenere il proprio piè di pagina nei sistemi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di consenso dell'applicazione rara sono:
Spostamento impossibile in una posizione atipica che porta a un consenso raro dell'applicazione
Evento di accesso da una posizione non familiare che porta al consenso raro dell'applicazione
Evento di accesso da un dispositivo infetto che porta al consenso raro dell'applicazione
Evento di accesso da un indirizzo IP anonimo che porta al consenso raro dell'applicazione
Evento di accesso da parte dell'utente con credenziali perse che portano a un consenso raro dell'applicazione
Ransomware
Esecuzione di ransomware in seguito all'accesso sospetto di Microsoft Entra
Tattiche MITRE ATT&CK: Accesso iniziale, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Crittografia dei dati per impatto (T1486)
Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che un comportamento anomalo dell'utente indica che è stato rilevato un attacco ransomware dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account indicato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per crittografare i dati ai fini dell'estorsione del proprietario dei dati o negando al proprietario dei dati l'accesso ai dati. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di esecuzione ransomware sono:
Spostamento impossibile in una posizione atipica che porta a ransomware nell'app cloud
Evento di accesso da una posizione non familiare che porta a ransomware nell'app cloud
Evento di accesso da un dispositivo infetto che porta a ransomware nell'app cloud
Evento di accesso da un indirizzo IP anonimo che porta a ransomware nell'app cloud
Evento di accesso da parte dell'utente con credenziali perse che causano ransomware nell'app cloud
Sfruttamento remoto
Sospetto uso del framework di attacco seguito da traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Esecuzione, Spostamento laterale, Escalation dei privilegi
Tecniche MITRE ATT&CK: Exploit Public-Facing Application (T1190), Exploit for Client Execution (T1203), Exploit of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: gli eventi imprevisti fusion di questo tipo indicano che sono stati rilevati usi non standard di protocolli, che assomigliano all'uso di framework di attacco come Metasploit e, in seguito, che è stata rilevata un'attività in ingresso sospetta da Palo Alto Networks Firewall. Può trattarsi di un'indicazione iniziale che un utente malintenzionato ha sfruttato un servizio per ottenere l'accesso alle risorse di rete o che un utente malintenzionato ha già ottenuto l'accesso e sta tentando di sfruttare ulteriormente i sistemi o i servizi disponibili per spostarsi in modo successivo e/o inoltrare i privilegi. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.
Hijack delle risorse
(Nuova classificazione delle minacce)
Distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante non visualizzato in precedenza dopo l'accesso sospetto di Microsoft Entra
Questo scenario usa gli avvisi generati da regole di analisi pianificate.
Questo scenario è attualmente in ANTEPRIMA.
Tattiche MITRE ATT&CK: Accesso iniziale, Impatto
Tecniche MITRE ATT&CK: Account valido (T1078), Hijacking delle risorse (T1496)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection
Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che un utente ha distribuito una risorsa o un gruppo di risorse di Azure, una rara attività, in seguito a un accesso sospetto, con proprietà non visualizzate di recente, in un account Microsoft Entra. Potrebbe trattarsi di un tentativo da parte di un utente malintenzionato di distribuire risorse o gruppi di risorse per scopi dannosi dopo aver compromesso l'account utente indicato nella descrizione dell'evento imprevisto Fusion.
Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con la distribuzione sospetta di risorse/gruppi di risorse da un avviso chiamante precedentemente non visualizzato sono:
Impossibile spostarsi in una posizione atipica che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visibile
Evento di accesso da una posizione non nota che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visibile
Evento di accesso da un dispositivo infetto che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visualizzato
Evento di accesso da un indirizzo IP anonimo che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visualizzato
Evento di accesso dell'utente con credenziali perse che causano una distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visualizzato
Passaggi successivi
Dopo aver appreso di più sul rilevamento avanzato degli attacchi a più fasi, si potrebbe essere interessati all'argomento di avvio rapido seguente per informazioni su come ottenere visibilità sui dati e sulle potenziali minacce: Introduzione a Microsoft Sentinel.
Se si è pronti per esaminare gli eventi imprevisti creati automaticamente, vedere l'esercitazione seguente: Analizzare gli eventi imprevisti con Microsoft Sentinel.