Scenari rilevati dal motore Fusion di Microsoft Sentinel

Questo documento elenca i tipi di attacchi multistage basati su scenari, raggruppati per classificazione delle minacce, rilevati da Microsoft Sentinel tramite il motore di correlazione Fusion.

Poiché Fusion correla più segnali provenienti da vari prodotti per rilevare attacchi multistage avanzati, i rilevamenti Fusion riusciti vengono presentati come eventi imprevisti Fusion nella pagina Eventi imprevisti di Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella Eventi imprevisti nei log e non nella tabella SecurityAlerts.

Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, tutte le origini dati elencate devono essere inserite nell'area di lavoro Log Analytics. Per gli scenari con regole di analisi pianificate, seguire le istruzioni in Configurare le regole di analisi pianificate per i rilevamenti Fusion.

Nota

Alcuni di questi scenari sono disponibili in ANTEPRIMA. Saranno così indicati.

Uso improprio delle risorse di calcolo

Più attività di creazione di macchine virtuali in seguito all'accesso sospetto di Microsoft Entra

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Hijacking delle risorse (T1496)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di macchine virtuali è stato creato in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questo tipo di avviso indica, con un elevato grado di attendibilità, che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso e usato per creare nuove macchine virtuali per scopi non autorizzati, ad esempio l'esecuzione di operazioni di crypto mining. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di creazione di più macchine virtuali sono:

  • Spostamento impossibile in una posizione atipica che porta a più attività di creazione di macchine virtuali

  • Evento di accesso da una posizione non familiare che porta a più attività di creazione di macchine virtuali

  • Evento di accesso da un dispositivo infetto che porta a più attività di creazione di macchine virtuali

  • Evento di accesso da un indirizzo IP anonimo che porta a più attività di creazione di macchine virtuali

  • Evento di accesso da parte dell'utente con credenziali perse che causano più attività di creazione di macchine virtuali

Accesso tramite credenziali

(Nuova classificazione delle minacce)

Reimpostazione di più password da parte dell'utente dopo l'accesso sospetto

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali

Tecniche MITRE ATT&CK: Account valido (T1078), Forza bruta (T1110)

Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection

Descrizione: eventi imprevisti fusion di questo tipo indicano che un utente reimposta più password dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per eseguire più reimpostazioni delle password per ottenere l'accesso a più sistemi e risorse. La manipolazione degli account (inclusa la reimpostazione della password) può aiutare gli avversari a mantenere l'accesso alle credenziali e a determinati livelli di autorizzazione all'interno di un ambiente. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con più avvisi di reimpostazione delle password sono:

  • Spostamento impossibile in una posizione atipica che porta alla reimpostazione di più password

  • Evento di accesso da una posizione non familiare che comporta la reimpostazione di più password

  • Evento di accesso da un dispositivo infetto che comporta la reimpostazione di più password

  • Evento di accesso da un indirizzo IP anonimo che porta alla reimpostazione di più password

  • Evento di accesso dell'utente con credenziali perse che causano la reimpostazione di più password

Accesso sospetto che coincide con l'accesso riuscito a Palo Alto VPN tramite IP con più accessi Microsoft Entra non riusciti

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali

Tecniche MITRE ATT&CK: Account valido (T1078), Forza bruta (T1110)

Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un accesso sospetto a un account Microsoft Entra coincide con un accesso riuscito tramite una VPN Palo Alto da un indirizzo IP da cui si sono verificati più accessi non riusciti di Microsoft Entra in un intervallo di tempo simile. Anche se non è una prova di un attacco a più fasi, la correlazione di questi due avvisi con fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce l'accesso iniziale dannoso alla rete dell'organizzazione. In alternativa, potrebbe essere un'indicazione di un utente malintenzionato che tenta di usare tecniche di forza bruta per ottenere l'accesso a un account Microsoft Entra. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con "IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN" avvisi sono:

  • Impossibile viaggiare in una posizione atipica che coincide con l'INDIRIZZO IP con più accessi Microsoft Entra non riusciti accede correttamente a Palo Alto VPN

  • Evento di accesso da una posizione non familiare che coincide con l'INDIRIZZO IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN

  • Evento di accesso da un dispositivo infetto che coincide con l'INDIRIZZO IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN

  • Evento di accesso da un indirizzo IP anonimo che coincide con l'indirizzo IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN

  • Evento di accesso da parte dell'utente con credenziali perse che coincidono con l'indirizzo IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN

Raccolta di credenziali

(Nuova classificazione delle minacce)

Esecuzione dello strumento di furto di credenziali dannoso dopo l'accesso sospetto

Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali

Tecniche MITRE ATT&CK: Account valido (T1078), Dump delle credenziali del sistema operativo (T1003)

Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per endpoint

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che uno strumento di furto di credenziali noto è stato eseguito in seguito a un sospetto accesso a Microsoft Entra. Questa evidenza suggerisce con alta sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso e potrebbe aver usato correttamente uno strumento come Mimikatz per raccogliere credenziali come chiavi, password in testo non crittografato e/o hash delle password dal sistema. Le credenziali raccolte possono consentire a un utente malintenzionato di accedere ai dati sensibili, inoltrare i privilegi e/o spostarsi in modo successivo attraverso la rete. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con lo strumento di furto di credenziali dannoso sono:

  • Spostamento impossibile in posizioni atipiche che causano l'esecuzione di furti di credenziali dannose

  • Evento di accesso da una posizione non familiare che comporta l'esecuzione di furti di credenziali dannose

  • Evento di accesso da un dispositivo infetto che comporta l'esecuzione di furti di credenziali dannose

  • Evento di accesso da un indirizzo IP anonimo che comporta l'esecuzione di furti di credenziali dannose

  • Evento di accesso dell'utente con credenziali perse che causano l'esecuzione di furti di credenziali dannose

Sospetto furto di credenziali attività dopo l'accesso sospetto

Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali

Tecniche MITRE ATT&CK: account valido (T1078), credenziali da archivi password (T1555), dump delle credenziali del sistema operativo (T1003)

Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per endpoint

Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che l'attività associata a modelli di furto di credenziali si è verificata dopo un accesso sospetto di Microsoft Entra. Questa evidenza suggerisce con alta probabilità che l'account utente annotato nella descrizione dell'avviso sia stato compromesso e usato per rubare credenziali come chiavi, password in testo normale, hash delle password e così via. Le credenziali rubate possono consentire a un utente malintenzionato di accedere ai dati sensibili, inoltrare i privilegi e/o spostarsi in modo successivo attraverso la rete. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività di furto delle credenziali sono:

  • Impossibile viaggiare in località atipiche che portano a sospetta attività di furto di credenziali

  • Evento di accesso da una posizione non familiare che comporta il sospetto furto di credenziali

  • Evento di accesso da un dispositivo infetto che porta a sospetta attività di furto di credenziali

  • Evento di accesso da un indirizzo IP anonimo che porta a sospetta attività di furto di credenziali

  • Evento di accesso da parte dell'utente con credenziali perse che causano un sospetto furto di credenziali

Crypto mining

(Nuova classificazione delle minacce)

Attività di crypto mining dopo l'accesso sospetto

Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali

Tecniche MITRE ATT&CK: Account valido (T1078), Hijacking delle risorse (T1496)

Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano l'attività di crypto mining associata a un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce con alta probabilità che l'account utente annotato nella descrizione dell'avviso sia stato compromesso ed è stato usato per dirottare le risorse nell'ambiente per eseguire il mine crypto-currency. Ciò può ridurre le risorse di potenza di calcolo e/o comportare costi di utilizzo del cloud significativamente superiori al previsto. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività di crypto mining sono:

  • Impossibile viaggiare in posizioni atipiche che portano all'attività di crypto mining

  • Evento di accesso da una posizione non familiare che porta all'attività di crypto mining

  • Evento di accesso da un dispositivo infetto che porta all'attività di crypto mining

  • Evento di accesso da un indirizzo IP anonimo che porta all'attività di crypto mining

  • Evento di accesso da parte dell'utente con credenziali perse che causano l'attività di crypto mining

Eliminazione definitiva di dati

Eliminazione di file di massa in seguito all'accesso sospetto di Microsoft Entra

Tattiche MITRE ATT&CK: Accesso iniziale, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Distruzione dei dati (T1485)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce che l'account indicato nella descrizione dell'incidente Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di eliminazione di file di massa sono:

  • Impossibile viaggiare in una posizione atipica che porta all'eliminazione di file di massa

  • Evento di accesso da una posizione non familiare che comporta l'eliminazione di file di massa

  • Evento di accesso da un dispositivo infetto che comporta l'eliminazione di file di massa

  • Evento di accesso da un indirizzo IP anonimo che comporta l'eliminazione di file di massa

  • Evento di accesso da parte dell'utente con credenziali perse che causano l'eliminazione di file di massa

Eliminazione di massa dei file in seguito all'accesso riuscito di Microsoft Entra dall'INDIRIZZO IP bloccato da un'appliance firewall Cisco

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Distruzione dei dati (T1485)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato dopo un accesso riuscito di Microsoft Entra nonostante l'indirizzo IP dell'utente sia bloccato da un'appliance firewall Cisco. Questa prova suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per distruggere i dati per scopi dannosi. Poiché l'IP è stato bloccato dal firewall, lo stesso accesso IP a Microsoft Entra ID è potenzialmente sospetto e potrebbe indicare una compromissione delle credenziali per l'account utente.

Eliminazione di file di massa dopo l'accesso riuscito a Palo Alto VPN by IP con più accessi Microsoft Entra non riusciti

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Accesso alle credenziali, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Forza bruta (T1110), Distruzione dei dati (T1485)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato da un utente che ha eseguito correttamente l'accesso tramite una VPN Palo Alto da un indirizzo IP da cui si sono verificati più accessi di Microsoft Entra non riusciti in un intervallo di tempo simile. Questa evidenza suggerisce che l'account utente indicato nell'evento imprevisto Fusion potrebbe essere stato compromesso usando tecniche di forza bruta ed è stato usato per distruggere i dati per scopi dannosi.

Attività di eliminazione sospetta della posta elettronica dopo l'accesso sospetto a Microsoft Entra

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Distruzione dei dati (T1485)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di messaggi di posta elettronica è stato eliminato in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questa prova suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati per scopi dannosi, ad esempio danneggiare l'organizzazione o nascondere attività di posta elettronica correlate alla posta indesiderata. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività di eliminazione della posta elettronica sospetta sono:

  • Spostamento impossibile in una posizione atipica che causa l'attività di eliminazione sospetta della posta elettronica

  • Evento di accesso da una posizione non familiare che comporta l'eliminazione sospetta della posta elettronica

  • Evento di accesso da un dispositivo infetto che comporta l'attività di eliminazione sospetta della posta elettronica

  • Evento di accesso da un indirizzo IP anonimo che comporta l'attività di eliminazione sospetta della posta elettronica

  • Evento di accesso dell'utente con credenziali perse che causano un'attività di eliminazione sospetta della posta elettronica

Esfiltrazione di dati

Attività di inoltro della posta in seguito alla nuova attività dell'account amministratore non rilevata di recente

Questo scenario appartiene a due classificazioni delle minacce in questo elenco: esfiltrazione dei dati e attività amministrative dannose. Per maggiore chiarezza, appare in entrambe le sezioni.

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Raccolta, Esfiltrazione

Tecniche MITRE ATT&CK: Valid Account (T1078), Email Collection (T1114), Esfiltration over Web Service (T1567)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, nelle ultime due settimane, e che l'account ha quindi eseguito alcune azioni di inoltro della posta elettronica, che sono insolite per un account amministratore. Questa evidenza suggerisce che l'account utente annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso o modificato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.

Download di file di massa dopo l'accesso sospetto a Microsoft Entra

Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione

Tecniche MITRE ATT&CK: Account valido (T1078)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente in seguito a un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di download di file di massa sono:

  • Impossibile viaggiare in una posizione atipica che porta al download di file di massa

  • Evento di accesso da una posizione non familiare che porta al download di file di massa

  • Evento di accesso da un dispositivo infetto che porta al download di file di massa

  • Evento di accesso da un indirizzo IP anonimo che porta al download di file di massa

  • Evento di accesso da parte dell'utente con credenziali perse che portano al download di file di massa

Download di file di massa dopo l'accesso riuscito di Microsoft Entra dall'indirizzo IP bloccato da un'appliance firewall Cisco

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione

Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente dopo un accesso riuscito a Microsoft Entra nonostante l'indirizzo IP dell'utente sia bloccato da un'appliance firewall Cisco. Potrebbe trattarsi di un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione dopo aver compromesso un account utente. Poiché l'IP è stato bloccato dal firewall, lo stesso accesso IP a Microsoft Entra ID è potenzialmente sospetto e potrebbe indicare una compromissione delle credenziali per l'account utente.

Download di file di massa in coincidenza con l'operazione di file di SharePoint dall'INDIRIZZO IP precedentemente non visualizzato

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: esfiltrazione

Tecniche MITRE ATT&CK: esfiltrazione su servizio Web (T1567), limiti delle dimensioni del trasferimento dei dati (T1030)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente connesso da un indirizzo IP precedentemente non visualizzato. Anche se non si verifica un attacco a più passaggi, la correlazione di questi due avvisi con fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione da un account utente potenzialmente compromesso. In ambienti stabili, tali connessioni di indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.

Condivisione di file di massa dopo l'accesso sospetto a Microsoft Entra

Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione

Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero di file al di sopra di una determinata soglia è stato condiviso ad altri utenti che seguono un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account indicato nella descrizione dell'evento imprevisto Fusion sia stato compromesso e usato per esfiltrare i dati dalla rete dell'organizzazione condividendo file come documenti, fogli di calcolo e così via, con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di condivisione di file di massa sono:

  • Impossibile viaggiare in una posizione atipica che porta alla condivisione di file di massa

  • Evento di accesso da una posizione non familiare che porta alla condivisione di file di massa

  • Evento di accesso da un dispositivo infetto che porta alla condivisione di file di massa

  • Evento di accesso da un indirizzo IP anonimo che porta alla condivisione di file di massa

  • Evento di accesso dell'utente con credenziali perse che causano la condivisione di file di massa

Più attività di condivisione di report di Power BI in seguito all'accesso sospetto di Microsoft Entra

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione

Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di report di Power BI è stato condiviso in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione condividendo i report di Power BI con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con più attività di condivisione report di Power BI sono:

  • Spostamento impossibile in una posizione atipica che porta a più attività di condivisione di report di Power BI

  • Evento di accesso da una posizione non familiare che porta a più attività di condivisione di report di Power BI

  • Evento di accesso da un dispositivo infetto che porta a più attività di condivisione di report di Power BI

  • Evento di accesso da un indirizzo IP anonimo che porta a più attività di condivisione report di Power BI

  • Evento di accesso da parte dell'utente con credenziali perse che portano a più attività di condivisione report di Power BI

Esfiltrazione delle cassette postali di Office 365 dopo un accesso sospetto di Microsoft Entra

Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione, Raccolta

Tecniche MITRE ATT&CK: Valid Account (T1078), E-mail Collection (T1114), Automated Exfiltration (T1020)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che una regola di inoltro della posta in arrivo sospetta è stata impostata nella posta in arrivo di un utente dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account dell'utente (indicato nella descrizione dell'evento imprevisto Fusion) sia stato compromesso e che sia stato usato per esfiltrare i dati dalla rete dell'organizzazione abilitando una regola di inoltro delle cassette postali senza la conoscenza del vero utente. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di esfiltrazione delle cassette postali di Office 365 sono:

  • Impossibile viaggiare in una posizione atipica che porta all'esfiltrazione delle cassette postali di Office 365

  • Evento di accesso da una posizione non familiare che porta all'esfiltrazione delle cassette postali di Office 365

  • Evento di accesso da un dispositivo infetto che porta all'esfiltrazione delle cassette postali di Office 365

  • Evento di accesso da un indirizzo IP anonimo che porta all'esfiltrazione delle cassette postali di Office 365

  • Evento di accesso dell'utente con credenziali perse che causano l'esfiltrazione delle cassette postali di Office 365

Operazione file di SharePoint da ip non visualizzato in precedenza dopo il rilevamento di malware

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: esfiltrazione, evasione della difesa

Tecniche MITRE ATT&CK: Limiti delle dimensioni del trasferimento dei dati (T1030)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: eventi imprevisti fusion di questo tipo indicano che un utente malintenzionato ha tentato di esfiltrare grandi quantità di dati scaricando o condividendo tramite SharePoint tramite l'uso di malware. In ambienti stabili, tali connessioni di indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.

Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto a Microsoft Entra

Questo scenario appartiene a due classificazioni di minacce in questo elenco: esfiltrazione dei dati e spostamento laterale. Per maggiore chiarezza, appare in entrambe le sezioni.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Spostamento laterale, Esfiltrazione

Tecniche MITRE ATT&CK: account valido (T1078), spear phishing interno (T1534), esfiltrazione automatica (T1020)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza fornisce un'indicazione di elevata attendibilità che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi successivamente ottenendo l'accesso ad altri account utente e/o con privilegi. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso delle regole di manipolazione della posta in arrivo sospette sono:

  • Impossibile viaggiare in una posizione atipica che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da una posizione non familiare che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da un dispositivo infetto che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da parte dell'utente con credenziali perse che causano una regola di manipolazione sospetta della posta in arrivo

Condivisione sospetta di report di Power BI dopo l'accesso sospetto a Microsoft Entra

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Esfiltrazione

Tecniche MITRE ATT&CK: account valido (T1078), esfiltrazione su servizio Web (T1567)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: eventi imprevisti fusion di questo tipo indicano che si è verificata un'attività sospetta di condivisione di report di Power BI dopo un accesso sospetto a un account Microsoft Entra. L'attività di condivisione è stata identificata come sospetta perché il report di Power BI conteneva informazioni riservate identificate usando l'elaborazione del linguaggio naturale e perché è stato condiviso con un indirizzo di posta elettronica esterno, pubblicato sul Web o recapitato come snapshot a un indirizzo di posta elettronica sottoscritto esternamente. Questo avviso indica che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per esfiltrare i dati sensibili dell'organizzazione condividendo i report di Power BI con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con la condivisione di report sospetta di Power BI sono:

  • Spostamento impossibile in una posizione atipica che causa la condivisione sospetta di report di Power BI

  • Evento di accesso da una posizione non familiare che porta alla condivisione sospetta di report di Power BI

  • Evento di accesso da un dispositivo infetto che porta alla condivisione sospetta di report di Power BI

  • Evento di accesso da un indirizzo IP anonimo che porta alla condivisione sospetta di report di Power BI

  • Evento di accesso dell'utente con credenziali perse che causano la condivisione sospetta di report di Power BI

Denial of Service

Attività di eliminazione di più macchine virtuali in seguito all'accesso sospetto di Microsoft Entra

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Endpoint Denial of Service (T1499)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di macchine virtuali è stato eliminato in una singola sessione dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata attendibilità che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per tentare di interrompere o distruggere l'ambiente cloud dell'organizzazione. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di eliminazione di più macchine virtuali sono:

  • Spostamento impossibile in una posizione atipica che comporta più attività di eliminazione delle macchine virtuali

  • Evento di accesso da una posizione non familiare che porta a più attività di eliminazione delle macchine virtuali

  • Evento di accesso da un dispositivo infetto che porta a più attività di eliminazione delle macchine virtuali

  • Evento di accesso da un indirizzo IP anonimo che porta a più attività di eliminazione della macchina virtuale

  • Evento di accesso da parte dell'utente con credenziali perse che causano più attività di eliminazione della macchina virtuale

Spostamento laterale

Rappresentazione di Office 365 dopo l'accesso sospetto di Microsoft Entra

Tattiche MITRE ATT&CK: Accesso iniziale, Spostamento laterale

Tecniche MITRE ATT&CK: Account valido (T1078), Spear Phishing interno (T1534)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che si è verificato un numero anomalo di azioni di rappresentazione dopo un accesso sospetto da un account Microsoft Entra. In alcuni software sono disponibili opzioni per consentire agli utenti di rappresentare altri utenti. Ad esempio, i servizi di posta elettronica consentono agli utenti di autorizzare altri utenti a inviare messaggi di posta elettronica per loro conto. Questo avviso indica con maggiore sicurezza che l'account indicato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per condurre attività di rappresentazione per scopi dannosi, ad esempio l'invio di messaggi di posta elettronica di phishing per la distribuzione di malware o lo spostamento laterale. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di rappresentazione di Office 365 sono:

  • Spostamento impossibile in una posizione atipica che porta alla rappresentazione di Office 365

  • Evento di accesso da una posizione non familiare che porta alla rappresentazione di Office 365

  • Evento di accesso da un dispositivo infetto che porta alla rappresentazione di Office 365

  • Evento di accesso da un indirizzo IP anonimo che porta alla rappresentazione di Office 365

  • Evento di accesso dell'utente con credenziali perse che portano alla rappresentazione di Office 365

Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto a Microsoft Entra

Questo scenario appartiene a due classificazioni delle minacce in questo elenco: spostamento laterale ed esfiltrazione dei dati. Per maggiore chiarezza, appare in entrambe le sezioni.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Spostamento laterale, Esfiltrazione

Tecniche MITRE ATT&CK: account valido (T1078), spear phishing interno (T1534), esfiltrazione automatica (T1020)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente dopo un accesso sospetto a un account Microsoft Entra. Questa evidenza fornisce un'indicazione di elevata attendibilità che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi successivamente ottenendo l'accesso ad altri account utente e/o con privilegi. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso delle regole di manipolazione della posta in arrivo sospette sono:

  • Impossibile viaggiare in una posizione atipica che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da una posizione non familiare che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da un dispositivo infetto che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione della posta in arrivo sospetta

  • Evento di accesso da parte dell'utente con credenziali perse che causano una regola di manipolazione sospetta della posta in arrivo

Attività amministrative dannose

Attività amministrativa dell'app cloud sospetta dopo l'accesso sospetto a Microsoft Entra

Tattiche MITRE ATT&CK: accesso iniziale, persistenza, evasione della difesa, movimento laterale, raccolta, esfiltrazione e impatto

Tecniche MITRE ATT&CK: N/A

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di attività amministrative è stato eseguito in una singola sessione in seguito a un sospetto accesso di Microsoft Entra dallo stesso account. Questa evidenza suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per effettuare un numero qualsiasi di azioni amministrative non autorizzate con finalità dannose. Ciò indica anche che un account con privilegi amministrativi potrebbe essere stato compromesso. Le permutazioni degli avvisi di accesso sospetti di Microsoft Entra con l'avviso di attività amministrativa dell'app cloud sospetta sono:

  • Spostamento impossibile in una posizione atipica che porta a attività amministrative di app cloud sospette

  • Evento di accesso da una posizione non familiare che porta a attività amministrative sospette dell'app cloud

  • Evento di accesso da un dispositivo infetto che porta a attività amministrative sospette dell'app cloud

  • Evento di accesso da un indirizzo IP anonimo che porta a attività amministrative sospette dell'app cloud

  • Evento di accesso dell'utente con credenziali perse che causano attività amministrative sospette dell'app cloud

Attività di inoltro della posta in seguito alla nuova attività dell'account amministratore non rilevata di recente

Questo scenario appartiene a due classificazioni delle minacce in questo elenco: attività amministrative dannose ed esfiltrazione di dati. Per maggiore chiarezza, appare in entrambe le sezioni.

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Raccolta, Esfiltrazione

Tecniche MITRE ATT&CK: Valid Account (T1078), Email Collection (T1114), Esfiltration over Web Service (T1567)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, nelle ultime due settimane, e che l'account ha quindi eseguito alcune azioni di inoltro della posta elettronica, che sono insolite per un account amministratore. Questa evidenza suggerisce che l'account utente annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso o modificato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.

Esecuzione dannosa con processo legittimo

PowerShell ha effettuato una connessione di rete sospetta, seguita da traffico anomalo contrassegnato dal firewall Palo Alto Networks.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: esecuzione

Tecniche MITRE ATT&CK: Interprete comandi e scripting (T1059)

Origini del connettore dati: Microsoft Defender per endpoint (in precedenza Microsoft Defender Advanced Threat Protection o MDATP), Microsoft Sentinel (regola di analisi pianificata)

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita tramite un comando di PowerShell e, in seguito, l'attività in ingresso anomale è stata rilevata da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta tentando di eseguire azioni dannose. Connessione tentativi di powerShell che seguono questo modello potrebbe essere un'indicazione dell'attività di comando e controllo del malware, delle richieste per il download di malware aggiuntivo o di un utente malintenzionato che stabilisce l'accesso interattivo remoto. Come per tutti gli attacchi "viventi fuori terra", questa attività potrebbe essere un uso legittimo di PowerShell. Tuttavia, l'esecuzione del comando di PowerShell seguita da attività del firewall in ingresso sospette aumenta la probabilità che PowerShell venga usato in modo dannoso e debba essere esaminato ulteriormente. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.

Esecuzione WMI remota sospetta seguita da traffico anomalo contrassegnato dal firewall Palo Alto Networks

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: esecuzione, individuazione

Tecniche MITRE ATT&CK: Strumentazione gestione Windows (T1047)

Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)

Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che i comandi WMI (Windows Management Interface) sono stati eseguiti in remoto in un sistema e, in seguito, l'attività in ingresso sospetta è stata rilevata da Palo Alto Networks Firewall. Questa prova suggerisce che un utente malintenzionato potrebbe avere ottenuto l'accesso alla rete e sta tentando di spostarsi in modo successivo, inoltrare i privilegi e/o eseguire payload dannosi. Come per tutti gli attacchi "viventi fuori terra", questa attività potrebbe essere un uso legittimo di WMI. Tuttavia, l'esecuzione remota dei comandi WMI seguita da attività del firewall in ingresso sospette aumenta la certezza che WMI viene usato in modo dannoso e deve essere esaminato ulteriormente. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.

Riga di comando di PowerShell sospetta dopo l'accesso sospetto

Tattiche MITRE ATT&CK: Accesso iniziale, Esecuzione

Tecniche MITRE ATT&CK: account valido (T1078), interprete di comando e scripting (T1059)

Origini connettore dati: Microsoft Entra ID Protection, Microsoft Defender per endpoint (in precedenza MDATP)

Descrizione: eventi imprevisti fusion di questo tipo indicano che un utente ha eseguito comandi di PowerShell potenzialmente dannosi in seguito a un accesso sospetto a un account Microsoft Entra. Questa evidenza suggerisce con alta fiducia che l'account annotato nella descrizione dell'avviso è stato compromesso e sono state intraprese ulteriori azioni dannose. Gli utenti malintenzionati spesso usano PowerShell per eseguire payload dannosi in memoria senza lasciare elementi sul disco, per evitare il rilevamento da parte di meccanismi di sicurezza basati su disco, ad esempio gli scanner di virus. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di comando di PowerShell sospetto sono:

  • Spostamento impossibile in posizioni atipiche che portano alla riga di comando sospetta di PowerShell

  • Evento di accesso da una posizione non familiare che porta alla riga di comando sospetta di PowerShell

  • Evento di accesso da un dispositivo infetto che porta alla riga di comando sospetta di PowerShell

  • Evento di accesso da un indirizzo IP anonimo che porta alla riga di comando sospetta di PowerShell

  • Evento di accesso dell'utente con credenziali perse che causano una riga di comando sospetta di PowerShell

Malware C2 o download

Modello Beacon rilevato da Fortinet dopo più accessi utente non riusciti a un servizio

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: accesso iniziale, comando e controllo

Tecniche MITRE ATT&CK: account valido (T1078), porta non standard (T1571), T1065 (ritirata)

Origini del connettore dati: Microsoft Sentinel (regola di analisi pianificata), app Microsoft Defender per il cloud

Descrizione: gli eventi imprevisti fusion di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, in seguito a più accessi utente non riusciti a un servizio da un'entità interna correlata. La combinazione di questi due eventi potrebbe essere un'indicazione di infezione malware o di un host compromesso che esegue l'esfiltrazione di dati.

Modello Beacon rilevato da Fortinet dopo l'accesso sospetto di Microsoft Entra

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: accesso iniziale, comando e controllo

Tecniche MITRE ATT&CK: account valido (T1078), porta non standard (T1571), T1065 (ritirata)

Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti fusion di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, dopo un accesso utente di natura sospetta a Microsoft Entra ID. La combinazione di questi due eventi potrebbe essere un'indicazione di infezione malware o di un host compromesso che esegue l'esfiltrazione di dati. Le permutazioni del modello beacon rilevate dagli avvisi fortinet con avvisi di accesso sospetti di Microsoft Entra sono:

  • Impossibile viaggiare in una posizione atipica che porta al modello di beacon rilevato da Fortinet

  • Evento di accesso da una posizione non familiare che porta al modello beacon rilevato da Fortinet

  • Evento di accesso da un dispositivo infetto che porta al modello beacon rilevato da Fortinet

  • Evento di accesso da un indirizzo IP anonimo che porta al modello beacon rilevato da Fortinet

  • Evento di accesso da parte dell'utente con credenziali perse che portano al modello beacon rilevato da Fortinet

Richiesta di rete al servizio di anonimizzazione TOR seguito da traffico anomalo contrassegnato dal firewall Palo Alto Networks.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Comando e controllo

Tecniche MITRE ATT&CK: Canale crittografato (T1573), Proxy (T1090)

Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita al servizio di anonimizzazione TOR e, in seguito a ciò, l'attività in ingresso anomale è stata rilevata da Palo Alto Networks Firewall. Questa prova suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta tentando di nascondere le azioni e la finalità. Connessione ioni alla rete TOR seguendo questo modello potrebbe essere un'indicazione dell'attività di comando e controllo malware, richieste per il download di malware aggiuntivo o un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.

Connessione in uscita all'IP con una cronologia di tentativi di accesso non autorizzati seguiti da traffico anomalo contrassegnato dal firewall Palo Alto Networks

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Comando e controllo

Tecniche MITRE ATT&CK: non applicabile

Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che è stata stabilita una connessione in uscita a un indirizzo IP con una cronologia di tentativi di accesso non autorizzati e, in seguito a ciò, è stata rilevata un'attività anomala da Palo Alto Networks Firewall. Questa evidenza suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete. Connessione tentativi di esecuzione di questo modello potrebbero essere un'indicazione dell'attività di comando e controllo del malware, delle richieste per il download di malware aggiuntivo o di un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.

Persistenza

(Nuova classificazione delle minacce)

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: persistenza, accesso iniziale

Tecniche MITRE ATT&CK: Create Account (T1136), Valid Account (T1078)

Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection

Descrizione: eventi imprevisti fusion di questo tipo indicano che un'applicazione è stata concessa il consenso da un utente che non ha mai o raramente fatto, in seguito a un accesso sospetto correlato a un account Microsoft Entra. Questa evidenza suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso e usato per accedere o manipolare l'applicazione per scopi dannosi. Il consenso all'applicazione, l'aggiunta dell'entità servizio e l'aggiunta di OAuth2PermissionGrant devono in genere essere eventi rari. Gli utenti malintenzionati possono usare questo tipo di modifica della configurazione per stabilire o mantenere il proprio piè di pagina nei sistemi. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di consenso dell'applicazione rara sono:

  • Spostamento impossibile in una posizione atipica che porta a un consenso raro dell'applicazione

  • Evento di accesso da una posizione non familiare che porta al consenso raro dell'applicazione

  • Evento di accesso da un dispositivo infetto che porta al consenso raro dell'applicazione

  • Evento di accesso da un indirizzo IP anonimo che porta al consenso raro dell'applicazione

  • Evento di accesso da parte dell'utente con credenziali perse che portano a un consenso raro dell'applicazione

Ransomware

Esecuzione di ransomware in seguito all'accesso sospetto di Microsoft Entra

Tattiche MITRE ATT&CK: Accesso iniziale, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Crittografia dei dati per impatto (T1486)

Origini del connettore dati: Microsoft Defender per il cloud Apps, Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che un comportamento anomalo dell'utente indica che è stato rilevato un attacco ransomware dopo un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata probabilità che l'account indicato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per crittografare i dati ai fini dell'estorsione del proprietario dei dati o negando al proprietario dei dati l'accesso ai dati. Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con l'avviso di esecuzione ransomware sono:

  • Spostamento impossibile in una posizione atipica che porta a ransomware nell'app cloud

  • Evento di accesso da una posizione non familiare che porta a ransomware nell'app cloud

  • Evento di accesso da un dispositivo infetto che porta a ransomware nell'app cloud

  • Evento di accesso da un indirizzo IP anonimo che porta a ransomware nell'app cloud

  • Evento di accesso da parte dell'utente con credenziali perse che causano ransomware nell'app cloud

Sfruttamento remoto

Sospetto uso del framework di attacco seguito da traffico anomalo contrassegnato dal firewall Palo Alto Networks

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Esecuzione, Spostamento laterale, Escalation dei privilegi

Tecniche MITRE ATT&CK: Exploit Public-Facing Application (T1190), Exploit for Client Execution (T1203), Exploit of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)

Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)

Descrizione: gli eventi imprevisti fusion di questo tipo indicano che sono stati rilevati usi non standard di protocolli, che assomigliano all'uso di framework di attacco come Metasploit e, in seguito, che è stata rilevata un'attività in ingresso sospetta da Palo Alto Networks Firewall. Può trattarsi di un'indicazione iniziale che un utente malintenzionato ha sfruttato un servizio per ottenere l'accesso alle risorse di rete o che un utente malintenzionato ha già ottenuto l'accesso e sta tentando di sfruttare ulteriormente i sistemi o i servizi disponibili per spostarsi in modo successivo e/o inoltrare i privilegi. Nei log di Palo Alto, Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus, virus di tipo wildfire, incendi selvatici). Fare riferimento anche al log delle minacce palo Alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion per altri dettagli sull'avviso.

Hijack delle risorse

(Nuova classificazione delle minacce)

Distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante non visualizzato in precedenza dopo l'accesso sospetto di Microsoft Entra

Questo scenario usa gli avvisi generati da regole di analisi pianificate.

Questo scenario è attualmente in ANTEPRIMA.

Tattiche MITRE ATT&CK: Accesso iniziale, Impatto

Tecniche MITRE ATT&CK: Account valido (T1078), Hijacking delle risorse (T1496)

Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Entra ID Protection

Descrizione: gli eventi imprevisti Fusion di questo tipo indicano che un utente ha distribuito una risorsa o un gruppo di risorse di Azure, una rara attività, in seguito a un accesso sospetto, con proprietà non visualizzate di recente, in un account Microsoft Entra. Potrebbe trattarsi di un tentativo da parte di un utente malintenzionato di distribuire risorse o gruppi di risorse per scopi dannosi dopo aver compromesso l'account utente indicato nella descrizione dell'evento imprevisto Fusion.

Le permutazioni di avvisi di accesso sospetti di Microsoft Entra con la distribuzione sospetta di risorse/gruppi di risorse da un avviso chiamante precedentemente non visualizzato sono:

  • Impossibile spostarsi in una posizione atipica che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visibile

  • Evento di accesso da una posizione non nota che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visibile

  • Evento di accesso da un dispositivo infetto che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visualizzato

  • Evento di accesso da un indirizzo IP anonimo che porta alla distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visualizzato

  • Evento di accesso dell'utente con credenziali perse che causano una distribuzione sospetta di risorse/gruppi di risorse da un chiamante precedentemente non visualizzato

Passaggi successivi

Dopo aver appreso di più sul rilevamento avanzato degli attacchi a più fasi, si potrebbe essere interessati all'argomento di avvio rapido seguente per informazioni su come ottenere visibilità sui dati e sulle potenziali minacce: Introduzione a Microsoft Sentinel.

Se si è pronti per esaminare gli eventi imprevisti creati automaticamente, vedere l'esercitazione seguente: Analizzare gli eventi imprevisti con Microsoft Sentinel.