Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo documento elenca i tipi di attacchi multistage basati su scenari, raggruppati per classificazione delle minacce, che Microsoft Sentinel rileva usando il motore di correlazione Fusion.
Poiché Fusion correla più segnali provenienti da vari prodotti per rilevare attacchi multistage avanzati, i rilevamenti Fusion riusciti vengono presentati come eventi imprevisti fusion nella pagina Eventi imprevisti Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella Eventi imprevisti in Log e non nella tabella SecurityAlerts.
Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, tutte le origini dati elencate devono essere inserite nell'area di lavoro Log Analytics. Per gli scenari con regole di analisi pianificate, seguire le istruzioni in Configurare le regole di analisi pianificate per i rilevamenti di Fusion.
Nota
Alcuni di questi scenari sono disponibili in ANTEPRIMA. Saranno così indicati.
Uso improprio delle risorse di calcolo
Più attività di creazione di macchine virtuali dopo l'accesso sospetto Microsoft Entra
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), Dirottamento delle risorse (T1496)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stato creato un numero anomalo di macchine virtuali in una singola sessione a seguito di un accesso sospetto a un account Microsoft Entra. Questo tipo di avviso indica, con un elevato grado di attendibilità, che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso e usato per creare nuove macchine virtuali per scopi non autorizzati, ad esempio l'esecuzione di operazioni di crypto mining. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con l'avviso di attività di creazione di più macchine virtuali sono:
Viaggio impossibile in una posizione atipica che porta a più attività di creazione di macchine virtuali
Evento di accesso da una posizione non familiare che porta a più attività di creazione di macchine virtuali
Evento di accesso da un dispositivo infetto che porta a più attività di creazione di macchine virtuali
Evento di accesso da un indirizzo IP anonimo che porta a più attività di creazione di macchine virtuali
Evento di accesso dall'utente con credenziali perse che portano a più attività di creazione di macchine virtuali
Accesso alle credenziali
(Nuova classificazione delle minacce)
Reimpostazione di più password da parte dell'utente dopo l'accesso sospetto
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, accesso alle credenziali
TECNICHE MITRE ATT&CK: Account valido (T1078), forza bruta (T1110)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un utente reimposta più password dopo un accesso sospetto a un account Microsoft Entra. Questa prova suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per eseguire più reimpostazioni delle password per ottenere l'accesso a più sistemi e risorse. La manipolazione dell'account (inclusa la reimpostazione della password) può aiutare gli avversari a mantenere l'accesso alle credenziali e a determinati livelli di autorizzazione all'interno di un ambiente. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con più password reimpostano gli avvisi sono:
Viaggio impossibile in una posizione atipica che porta alla reimpostazione di più password
Evento di accesso da una posizione non familiare che comporta la reimpostazione di più password
Evento di accesso da un dispositivo infetto che comporta la reimpostazione di più password
Evento di accesso da un INDIRIZZO IP anonimo che comporta la reimpostazione di più password
Evento di accesso da parte dell'utente con credenziali perse che comportano la reimpostazione di più password
Accesso sospetto in coincidenza con l'accesso riuscito a Palo Alto VPN by IP con più accessi Microsoft Entra non riusciti
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, accesso alle credenziali
TECNICHE MITRE ATT&CK: Account valido (T1078), forza bruta (T1110)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un accesso sospetto a un account Microsoft Entra ha coinciso con un accesso riuscito tramite una VPN Palo Alto da un indirizzo IP da cui si sono verificati più accessi Microsoft Entra non riusciti in un intervallo di tempo simile. Anche se non è una prova di un attacco a più istanze, la correlazione di questi due avvisi a fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce l'accesso iniziale dannoso alla rete dell'organizzazione. In alternativa, questo potrebbe essere un'indicazione di un utente malintenzionato che tenta di usare tecniche di forza bruta per ottenere l'accesso a un account Microsoft Entra. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con "IP con più accessi non riusciti Microsoft Entra accede correttamente a Palo Alto VPN" sono:
Impossibile viaggiare in una posizione atipica in coincidenza con l'IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da una posizione non familiare in coincidenza con l'IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da un dispositivo infetto in coincidenza con IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da un IP anonimo in coincidenza con IP con più account di accesso Microsoft Entra non riusciti accede correttamente a Palo Alto VPN
Evento di accesso da parte dell'utente con credenziali perse in coincidenza con IP con più account di accesso Microsoft Entra non riusciti esegue correttamente l'accesso a Palo Alto VPN
Raccolta delle credenziali
(Nuova classificazione delle minacce)
Esecuzione di uno strumento di furto di credenziali dannoso dopo l'accesso sospetto
MITRE ATT&tattiche CK: Accesso iniziale, accesso alle credenziali
TECNICHE MITRE ATT&CK: Account valido (T1078), Dumping delle credenziali del sistema operativo (T1003)
Origini connettore dati: protezione Microsoft Entra ID, Microsoft Defender per endpoint
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stato eseguito uno strumento di furto di credenziali noto a seguito di un accesso sospetto Microsoft Entra. Questa prova suggerisce con alta sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso e potrebbe aver usato correttamente uno strumento come Mimikatz per raccogliere credenziali come chiavi, password non crittografate e/o hash delle password dal sistema. Le credenziali raccolte possono consentire a un utente malintenzionato di accedere a dati sensibili, inoltrare privilegi e/o spostarsi lateralmente nella rete. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con l'avviso dello strumento di furto di credenziali dannose sono:
Viaggio impossibile in posizioni atipiche che portano all'esecuzione di uno strumento di furto di credenziali dannoso
Evento di accesso da una posizione non familiare che porta all'esecuzione di uno strumento di furto di credenziali dannoso
Evento di accesso da un dispositivo infetto che porta all'esecuzione di uno strumento di furto di credenziali dannoso
Evento di accesso da un indirizzo IP anonimo che porta all'esecuzione di uno strumento di furto di credenziali dannoso
Evento di accesso da parte dell'utente con credenziali perse che portano all'esecuzione di uno strumento di furto di credenziali dannoso
Sospetta attività di furto di credenziali dopo l'accesso sospetto
MITRE ATT&tattiche CK: Accesso iniziale, accesso alle credenziali
TECNICHE MITRE ATT&CK: Account valido (T1078), credenziali da archivi password (T1555), dumping delle credenziali del sistema operativo (T1003)
Origini connettore dati: protezione Microsoft Entra ID, Microsoft Defender per endpoint
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che l'attività associata ai modelli di furto di credenziali si è verificata a seguito di un accesso sospetto Microsoft Entra. Questa prova suggerisce con sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso e usato per rubare credenziali come chiavi, password di testo normale, hash delle password e così via. Le credenziali rubate possono consentire a un utente malintenzionato di accedere ai dati sensibili, inoltrare privilegi e/o spostarsi lateralmente nella rete. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di attività di furto delle credenziali sono:
Viaggio impossibile in posizioni atipiche che portano a sospetta attività di furto di credenziali
Evento di accesso da una posizione non familiare che porta a sospetta attività di furto di credenziali
Evento di accesso da un dispositivo infetto che porta a sospetta attività di furto di credenziali
Evento di accesso da un indirizzo IP anonimo che porta a sospetta attività di furto di credenziali
Evento di accesso da parte dell'utente con credenziali perse che portano a sospetta attività di furto di credenziali
Crypto mining
(Nuova classificazione delle minacce)
Attività di crypto mining dopo l'accesso sospetto
MITRE ATT&tattiche CK: Accesso iniziale, accesso alle credenziali
TECNICHE MITRE ATT&CK: Account valido (T1078), Dirottamento delle risorse (T1496)
Origini connettore dati: protezione Microsoft Entra ID, Microsoft Defender per il cloud
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano un'attività di crypto mining associata a un accesso sospetto a un account Microsoft Entra. Questa prova suggerisce con alta sicurezza che l'account utente annotato nella descrizione dell'avviso è stato compromesso ed è stato usato per dirottare le risorse nell'ambiente per estrarre la criptovaluta. Ciò può ridurre le risorse di potenza di calcolo e/o generare fatture di utilizzo del cloud significativamente superiori al previsto. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con l'avviso di attività di crypto mining sono:
Viaggio impossibile in posizioni atipiche che portano all'attività di crypto mining
Evento di accesso da una posizione non familiare che porta all'attività di crypto mining
Evento di accesso da un dispositivo infetto che porta all'attività di crypto mining
Evento di accesso da un indirizzo IP anonimo che porta all'attività di crypto mining
Evento di accesso dall'utente con credenziali perse che portano all'attività di crypto mining
Distruzione dei dati
Eliminazione di file di massa in seguito all'accesso sospetto Microsoft Entra
MITRE ATT&tattiche CK: Accesso iniziale, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), distruzione dei dati (T1485)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato a seguito di un accesso sospetto a un account Microsoft Entra. Questa prova suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati per scopi dannosi. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di eliminazione del file di massa sono:
Viaggio impossibile in una posizione atipica che porta all'eliminazione di massa del file
Evento di accesso da un percorso sconosciuto che porta all'eliminazione di file di massa
Evento di accesso da un dispositivo infetto che porta all'eliminazione di file di massa
Evento di accesso da un indirizzo IP anonimo che porta all'eliminazione di file di massa
Evento di accesso da parte dell'utente con credenziali perse che portano all'eliminazione di file di massa
Eliminazione di file di massa dopo l'accesso riuscito Microsoft Entra dall'IP bloccato da un'appliance firewall Cisco
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), distruzione dei dati (T1485)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato a seguito di un accesso riuscito Microsoft Entra nonostante l'indirizzo IP dell'utente sia stato bloccato da un'appliance firewall Cisco. Questa prova suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per distruggere i dati per scopi dannosi. Poiché l'IP è stato bloccato dal firewall, la stessa registrazione IP eseguita correttamente per Microsoft Entra ID è potenzialmente sospetta e potrebbe indicare una compromissione delle credenziali per l'account utente.
Eliminazione di file di massa dopo l'accesso riuscito a Palo Alto VPN by IP con più accessi Microsoft Entra non riusciti
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, accesso alle credenziali, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), forza bruta (T1110), distruzione dei dati (T1485)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file univoci è stato eliminato da un utente che ha eseguito correttamente l'accesso tramite una VPN Palo Alto da un indirizzo IP da cui più accessi non riusciti Microsoft Entra si sono verificati in un intervallo di tempo simile. Questa prova suggerisce che l'account utente annotato nell'evento imprevisto Fusion potrebbe essere stato compromesso usando tecniche di forza bruta ed è stato usato per distruggere i dati per scopi dannosi.
Attività sospetta di eliminazione della posta elettronica dopo l'accesso Microsoft Entra sospetto
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), distruzione dei dati (T1485)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Eventi imprevisti fusion di questo tipo indicano che un numero anomalo di messaggi di posta elettronica è stato eliminato in una singola sessione a seguito di un accesso sospetto a un account Microsoft Entra. Questa prova suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per distruggere i dati per scopi dannosi, ad esempio danneggiare l'organizzazione o nascondere l'attività di posta elettronica correlata alla posta indesiderata. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di attività di eliminazione della posta elettronica sospetta sono:
Viaggio impossibile in una posizione atipica che porta ad attività sospette di eliminazione della posta elettronica
Evento di accesso da una posizione non familiare che porta ad attività sospette di eliminazione della posta elettronica
Evento di accesso da un dispositivo infetto che porta a un'attività sospetta di eliminazione della posta elettronica
Evento di accesso da un indirizzo IP anonimo che porta ad attività sospette di eliminazione della posta elettronica
Evento di accesso da parte dell'utente con credenziali perse che portano ad attività sospette di eliminazione della posta elettronica
Esfiltrazione di dati
Attività di inoltro della posta dopo la nuova attività amministratore-account non visualizzata di recente
Questo scenario appartiene a due classificazioni di minacce in questo elenco: esfiltrazione dei dati e attività amministrative dannose. Per motivi di chiarezza, viene visualizzato in entrambe le sezioni.
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, raccolta, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), raccolta Email (T1114), esfiltrazione su servizio Web (T1567)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o che un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, nelle ultime due settimane, e che l'account ha quindi eseguito alcune azioni di inoltro della posta, che sono insolite per un account amministratore. Questa prova suggerisce che l'account utente annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso o manipolato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.
Download di file di massa dopo l'accesso sospetto Microsoft Entra
MITRE ATT&tattiche CK: Accesso iniziale, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente a seguito di un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata sicurezza che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di download del file di massa sono:
Viaggio impossibile in una posizione atipica che porta al download di file di massa
Evento di accesso da un percorso sconosciuto che porta al download di file di massa
Evento di accesso da un dispositivo infetto che porta al download di file di massa
Evento di accesso da un indirizzo IP anonimo che porta al download di file di massa
Evento di accesso da parte dell'utente con credenziali perse che portano al download di file di massa
Download di file di massa dopo l'accesso riuscito Microsoft Entra dall'IP bloccato da un'appliance firewall Cisco
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente a seguito di un accesso Microsoft Entra riuscito nonostante l'indirizzo IP dell'utente sia stato bloccato da un'appliance firewall Cisco. Questo potrebbe essere un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione dopo aver compromesso un account utente. Poiché l'IP è stato bloccato dal firewall, la stessa registrazione IP eseguita correttamente per Microsoft Entra ID è potenzialmente sospetta e potrebbe indicare una compromissione delle credenziali per l'account utente.
Download di file di massa in coincidenza con l'operazione di file di SharePoint dall'INDIRIZZO IP non visualizzato in precedenza
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Esfiltrazione
TECNICHE MITRE ATT&CK: Esfiltrazione tramite servizio Web (T1567), limiti delle dimensioni del trasferimento dei dati (T1030)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di file è stato scaricato da un utente connesso da un indirizzo IP non visualizzato in precedenza. Anche se non è una prova di un attacco a più istanze, la correlazione di questi due avvisi a fedeltà inferiore comporta un evento imprevisto ad alta fedeltà che suggerisce un tentativo da parte di un utente malintenzionato di esfiltrare i dati dalla rete dell'organizzazione da un account utente potenzialmente compromesso. In ambienti stabili, tali connessioni da indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.
Condivisione di file di massa dopo l'accesso Microsoft Entra sospetto
MITRE ATT&tattiche CK: Accesso iniziale, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Eventi imprevisti fusion di questo tipo indicano che alcuni file superiori a una determinata soglia sono stati condivisi con altri utenti a seguito di un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso e usato per esfiltrare dati dalla rete dell'organizzazione condividendo file come documenti, fogli di calcolo e così via con utenti non autorizzati per scopi dannosi. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di condivisione file di massa sono:
Viaggio impossibile in una posizione atipica che porta alla condivisione di file di massa
Evento di accesso da una posizione non familiare che porta alla condivisione di file di massa
Evento di accesso da un dispositivo infetto che porta alla condivisione di file di massa
Evento di accesso da un indirizzo IP anonimo che porta alla condivisione di file di massa
Evento di accesso dall'utente con credenziali perse che portano alla condivisione di file di massa
Più attività di condivisione di report di Power BI dopo l'accesso sospetto Microsoft Entra
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di report di Power BI è stato condiviso in una singola sessione a seguito di un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce un'elevata sicurezza che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per esfiltrare i dati dalla rete dell'organizzazione condividendo i report di Power BI con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con più attività di condivisione dei report di Power BI sono:
Viaggio impossibile in una posizione atipica che porta a più attività di condivisione di report di Power BI
Evento di accesso da una posizione non familiare che porta a più attività di condivisione di report di Power BI
Evento di accesso da un dispositivo infetto che porta a più attività di condivisione di report di Power BI
Evento di accesso da un indirizzo IP anonimo che porta a più attività di condivisione di report di Power BI
Evento di accesso da parte dell'utente con credenziali perse che portano a più attività di condivisione di report di Power BI
Office 365 l'esfiltrazione della cassetta postale a seguito di un accesso Microsoft Entra sospetto
MITRE ATT&tattiche CK: Accesso iniziale, esfiltrazione, raccolta
TECNICHE MITRE ATT&CK: Account valido (T1078), raccolta di posta elettronica (T1114), esfiltrazione automatica (T1020)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stata impostata una regola di inoltro della posta in arrivo sospetta nella posta in arrivo di un utente a seguito di un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce che l'account dell'utente (indicato nella descrizione dell'evento imprevisto Fusion) sia stato compromesso e che sia stato usato per esfiltrare i dati dalla rete dell'organizzazione abilitando una regola di inoltro delle cassette postali senza che l'utente ne sia a conoscenza. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di esfiltrazione della cassetta postale Office 365 sono:
Viaggio impossibile in una posizione atipica che porta a Office 365 esfiltrazione della cassetta postale
Evento di accesso da una posizione non familiare che porta a Office 365 esfiltrazione della cassetta postale
Evento di accesso da un dispositivo infetto che porta all'esfiltrazione della cassetta postale Office 365
Evento di accesso da un indirizzo IP anonimo che porta a Office 365 esfiltrazione della cassetta postale
Evento di accesso da parte dell'utente con credenziali perse che portano a Office 365 esfiltrazione della cassetta postale
Operazione di file di SharePoint da ip non visualizzato in precedenza dopo il rilevamento di malware
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Esfiltrazione, evasione della difesa
TECNICHE MITRE ATT&CK: Limiti delle dimensioni del trasferimento dei dati (T1030)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi fusion di questo tipo indicano che un utente malintenzionato ha tentato di esfiltrare grandi quantità di dati scaricando o condividendo tramite SharePoint tramite l'uso di malware. In ambienti stabili, tali connessioni da indirizzi IP non visualizzati in precedenza potrebbero non essere autorizzate, soprattutto se associate a picchi di volume che potrebbero essere associati all'esfiltrazione di documenti su larga scala.
Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto Microsoft Entra
Questo scenario appartiene a due classificazioni di minacce in questo elenco: esfiltrazione dei dati e spostamento laterale. Per motivi di chiarezza, viene visualizzato in entrambe le sezioni.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, spostamento laterale, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), Spear Phishing interno (T1534), Esfiltrazione automatica (T1020)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente a seguito di un accesso sospetto a un account Microsoft Entra. Questa prova fornisce un'indicazione ad alta attendibilità che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi lateralmente ottenendo l'accesso ad account utente e/o con privilegi aggiuntivi. Le permutazioni di avvisi di accesso sospetti Microsoft Entra con l'avviso delle regole di manipolazione della posta in arrivo sospette sono:
Viaggio impossibile in una posizione atipica che porta a una regola sospetta di manipolazione della posta in arrivo
Evento di accesso da una posizione non familiare che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un dispositivo infetto che porta a una regola sospetta di manipolazione della posta in arrivo
Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione sospetta della posta in arrivo
Evento di accesso da parte dell'utente con credenziali perse che portano a una regola di manipolazione della posta in arrivo sospetta
Condivisione di report di Power BI sospetta dopo l'accesso Microsoft Entra sospetto
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), esfiltrazione su servizio Web (T1567)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che si è verificata un'attività sospetta di condivisione dei report di Power BI a seguito di un accesso sospetto a un account Microsoft Entra. L'attività di condivisione è stata identificata come sospetta perché il report di Power BI contiene informazioni sensibili identificate tramite l'elaborazione in linguaggio naturale e perché è stata condivisa con un indirizzo di posta elettronica esterno, pubblicata sul Web o recapitata come snapshot a un indirizzo di posta elettronica sottoscritto esternamente. Questo avviso indica con sicurezza che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per esfiltrare dati sensibili dall'organizzazione condividendo i report di Power BI con utenti non autorizzati per scopi dannosi. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con la condivisione di report di Power BI sospetta sono:
Viaggio impossibile in una posizione atipica che porta alla condivisione sospetta dei report di Power BI
Evento di accesso da una posizione non familiare che porta alla condivisione sospetta dei report di Power BI
Evento di accesso da un dispositivo infetto che porta alla condivisione sospetta dei report di Power BI
Evento di accesso da un indirizzo IP anonimo che porta alla condivisione sospetta dei report di Power BI
Evento di accesso da parte dell'utente con credenziali perse che portano alla condivisione di report di Power BI sospetta
Denial of Service
Più attività di eliminazione di macchine virtuali dopo l'accesso sospetto Microsoft Entra
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), Endpoint Denial of Service (T1499)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di macchine virtuali è stato eliminato in una singola sessione a seguito di un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per tentare di interrompere o distruggere l'ambiente cloud dell'organizzazione. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con l'avviso di più attività di eliminazione della macchina virtuale sono:
Viaggio impossibile in una posizione atipica che porta a più attività di eliminazione della macchina virtuale
Evento di accesso da una posizione non familiare che porta a più attività di eliminazione della macchina virtuale
Evento di accesso da un dispositivo infetto che porta a più attività di eliminazione della macchina virtuale
Evento di accesso da un indirizzo IP anonimo che porta a più attività di eliminazione della macchina virtuale
Evento di accesso dall'utente con credenziali perse che portano a più attività di eliminazione della macchina virtuale
Movimento laterale
Office 365 rappresentazione dopo l'accesso Microsoft Entra sospetto
MITRE ATT&tattiche CK: Accesso iniziale, spostamento laterale
TECNICHE MITRE ATT&CK: Account valido (T1078), Spear Phishing interno (T1534)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che si è verificato un numero anomalo di azioni di rappresentazione a seguito di un accesso sospetto da un account Microsoft Entra. In alcuni software sono disponibili opzioni per consentire agli utenti di rappresentare altri utenti. Ad esempio, i servizi di posta elettronica consentono agli utenti di autorizzare altri utenti a inviare messaggi di posta elettronica per loro conto. Questo avviso indica con maggiore sicurezza che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per condurre attività di rappresentazione per scopi dannosi, ad esempio l'invio di messaggi di posta elettronica di phishing per la distribuzione di malware o lo spostamento laterale. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di rappresentazione Office 365 sono:
Viaggio impossibile in una posizione atipica che porta a Office 365 rappresentazione
Evento di accesso da una posizione non familiare che porta alla rappresentazione Office 365
Evento di accesso da un dispositivo infetto che porta alla rappresentazione Office 365
Evento di accesso da un indirizzo IP anonimo che porta alla rappresentazione Office 365
Evento di accesso da parte dell'utente con credenziali perse che portano alla rappresentazione Office 365
Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto Microsoft Entra
Questo scenario appartiene a due classificazioni di minacce in questo elenco: spostamento laterale ed esfiltrazione dei dati. Per motivi di chiarezza, viene visualizzato in entrambe le sezioni.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, spostamento laterale, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), Spear Phishing interno (T1534), Esfiltrazione automatica (T1020)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che le regole di posta in arrivo anomale sono state impostate nella posta in arrivo di un utente a seguito di un accesso sospetto a un account Microsoft Entra. Questa prova fornisce un'indicazione ad alta attendibilità che l'account annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso ed è stato usato per modificare le regole di posta in arrivo dell'utente per scopi dannosi, possibilmente per esfiltrare i dati dalla rete dell'organizzazione. In alternativa, l'utente malintenzionato potrebbe tentare di generare messaggi di posta elettronica di phishing dall'interno dell'organizzazione (ignorando i meccanismi di rilevamento del phishing destinati alla posta elettronica da origini esterne) allo scopo di spostarsi lateralmente ottenendo l'accesso ad account utente e/o con privilegi aggiuntivi. Le permutazioni di avvisi di accesso sospetti Microsoft Entra con l'avviso delle regole di manipolazione della posta in arrivo sospette sono:
Viaggio impossibile in una posizione atipica che porta a una regola sospetta di manipolazione della posta in arrivo
Evento di accesso da una posizione non familiare che porta a una regola di manipolazione della posta in arrivo sospetta
Evento di accesso da un dispositivo infetto che porta a una regola sospetta di manipolazione della posta in arrivo
Evento di accesso da un indirizzo IP anonimo che porta a una regola di manipolazione sospetta della posta in arrivo
Evento di accesso da parte dell'utente con credenziali perse che portano a una regola di manipolazione della posta in arrivo sospetta
Attività amministrative dannose
Attività amministrativa sospetta dell'app cloud dopo l'accesso Microsoft Entra sospetto
MITRE ATT&tattiche CK: Accesso iniziale, persistenza, evasione della difesa, spostamento laterale, raccolta, esfiltrazione e impatto
TECNICHE MITRE ATT&CK: N/D
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un numero anomalo di attività amministrative è stato eseguito in una singola sessione a seguito di un accesso sospetto Microsoft Entra dallo stesso account. Questa prova suggerisce che l'account annotato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso ed è stato usato per eseguire un numero qualsiasi di azioni amministrative non autorizzate con finalità dannose. Ciò indica anche che un account con privilegi amministrativi potrebbe essere stato compromesso. Le permutazioni degli avvisi di accesso Microsoft Entra sospetti con l'avviso di attività amministrativa dell'app cloud sospetta sono:
Viaggio impossibile in una posizione atipica che porta ad attività amministrative sospette dell'app cloud
Evento di accesso da una posizione non familiare che porta ad attività amministrative sospette dell'app cloud
Evento di accesso da un dispositivo infetto che porta ad attività amministrative sospette dell'app cloud
Evento di accesso da un indirizzo IP anonimo che porta ad attività amministrative sospette dell'app cloud
Evento di accesso da parte dell'utente con credenziali perse che portano ad attività amministrative sospette dell'app cloud
Attività di inoltro della posta dopo la nuova attività amministratore-account non visualizzata di recente
Questo scenario appartiene a due classificazioni di minacce in questo elenco: attività amministrativa dannosa ed esfiltrazione dei dati. Per motivi di chiarezza, viene visualizzato in entrambe le sezioni.
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, raccolta, esfiltrazione
TECNICHE MITRE ATT&CK: Account valido (T1078), raccolta Email (T1114), esfiltrazione su servizio Web (T1567)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stato creato un nuovo account amministratore di Exchange o che un account amministratore di Exchange esistente ha eseguito alcune azioni amministrative per la prima volta, nelle ultime due settimane, e che l'account ha quindi eseguito alcune azioni di inoltro della posta, che sono insolite per un account amministratore. Questa prova suggerisce che l'account utente annotato nella descrizione dell'evento imprevisto Fusion è stato compromesso o manipolato e che è stato usato per esfiltrare i dati dalla rete dell'organizzazione.
Esecuzione dannosa con processo legittimo
PowerShell ha creato una connessione di rete sospetta, seguita dal traffico anomalo contrassegnato dal firewall Palo Alto Networks.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Esecuzione
TECNICHE MITRE ATT&CK: Interprete di comandi e script (T1059)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza Microsoft Defender Advanced Threat Protection o MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita tramite un comando di PowerShell e, di conseguenza, è stata rilevata un'attività in ingresso anomala da Palo Alto Networks Firewall. Questa prova suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta cercando di eseguire azioni dannose. I tentativi di connessione da parte di PowerShell che seguono questo modello potrebbero essere un'indicazione dell'attività di comando e controllo del malware, le richieste per il download di malware aggiuntivo o un utente malintenzionato che stabilisce l'accesso interattivo remoto. Come con tutti gli attacchi "vivere fuori terra", questa attività potrebbe essere un uso legittimo di PowerShell. Tuttavia, l'esecuzione del comando di PowerShell seguita da un'attività sospetta del firewall in ingresso aumenta la sicurezza che PowerShell venga usato in modo dannoso e debba essere analizzato ulteriormente. Nei log di Palo Alto Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus incendi, incendi). Per altri dettagli sull'avviso, fare riferimento anche al log delle minacce palo alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion.
Esecuzione wmi remota sospetta seguita da traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Esecuzione, individuazione
TECNICHE MITRE ATT&CK: Strumentazione gestione Windows (T1047)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che i comandi WMI (Windows Management Interface) sono stati eseguiti in remoto in un sistema e, in seguito, l'attività in ingresso sospetta è stata rilevata dal firewall palo alto networks. Questa prova suggerisce che un utente malintenzionato potrebbe aver ottenuto l'accesso alla rete e sta tentando di spostarsi lateralmente, inoltrare i privilegi e/o eseguire payload dannosi. Come per tutti gli attacchi "living off the land", questa attività potrebbe essere un uso legittimo di WMI. Tuttavia, l'esecuzione remota dei comandi WMI seguita da un'attività sospetta del firewall in ingresso aumenta la sicurezza che WMI venga usato in modo dannoso e debba essere analizzato ulteriormente. Nei log di Palo Alto Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus incendi, incendi). Per altri dettagli sull'avviso, fare riferimento anche al log delle minacce palo alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion.
Riga di comando sospetta di PowerShell dopo l'accesso sospetto
MITRE ATT&tattiche CK: Accesso iniziale, esecuzione
TECNICHE MITRE ATT&CK: Account valido (T1078), interprete di comandi e script (T1059)
Origini connettore dati: protezione Microsoft Entra ID, Microsoft Defender per endpoint (in precedenza MDATP)
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un utente ha eseguito comandi di PowerShell potenzialmente dannosi a seguito di un accesso sospetto a un account Microsoft Entra. Questa prova suggerisce con alta sicurezza che l'account annotato nella descrizione dell'avviso è stato compromesso e sono state eseguite altre azioni dannose. Gli utenti malintenzionati usano spesso PowerShell per eseguire payload dannosi in memoria senza lasciare artefatti sul disco, al fine di evitare il rilevamento tramite meccanismi di sicurezza basati su disco come gli scanner di virus. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con l'avviso di comando di PowerShell sospetto sono:
Impossibile spostarsi in posizioni atipiche che portano alla riga di comando sospetta di PowerShell
Evento di accesso da una posizione non familiare che porta alla riga di comando sospetta di PowerShell
Evento di accesso da un dispositivo infetto che porta alla riga di comando sospetta di PowerShell
Evento di accesso da un indirizzo IP anonimo che porta alla riga di comando sospetta di PowerShell
Evento di accesso da parte dell'utente con credenziali perse che portano alla riga di comando sospetta di PowerShell
Malware C2 o download
Modello beacon rilevato da Fortinet dopo più accessi utente non riusciti a un servizio
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, comando e controllo
TECNICHE MITRE ATT&CK: Account valido (T1078), porta non Standard (T1571), T1065 (ritirata)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), Microsoft Defender for Cloud Apps
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, a seguito di più accessi utente non riusciti a un servizio da un'entità interna correlata. La combinazione di questi due eventi potrebbe essere un'indicazione di infezione da malware o di un host compromesso che esegue l'esfiltrazione dei dati.
Modello beacon rilevato da Fortinet dopo l'accesso sospetto Microsoft Entra
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, comando e controllo
TECNICHE MITRE ATT&CK: Account valido (T1078), porta non Standard (T1571), T1065 (ritirata)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano modelli di comunicazione, da un indirizzo IP interno a uno esterno, coerenti con il beaconing, a seguito di un accesso utente di natura sospetta a Microsoft Entra ID. La combinazione di questi due eventi potrebbe essere un'indicazione di infezione da malware o di un host compromesso che esegue l'esfiltrazione dei dati. Le permutazioni del modello di beacon rilevato dagli avvisi Fortinet con avvisi di accesso Microsoft Entra sospetti sono:
Viaggio impossibile in una posizione atipica che porta al modello di beacon rilevato da Fortinet
Evento di accesso da una posizione non familiare che porta al modello di beacon rilevato da Fortinet
Evento di accesso da un dispositivo infetto che porta al modello di beacon rilevato da Fortinet
Evento di accesso da un indirizzo IP anonimo che porta al modello di beacon rilevato da Fortinet
Evento di accesso dall'utente con credenziali perse che portano al modello di beacon rilevato da Fortinet
Richiesta di rete al servizio di anonimizzazione TOR seguita dal traffico anomalo contrassegnato dal firewall Palo Alto Networks.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Comando e controllo
TECNICHE MITRE ATT&CK: Canale crittografato (T1573), proxy (T1090)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi fusion di questo tipo indicano che è stata effettuata una richiesta di connessione in uscita al servizio di anonimizzazione TOR e, in seguito, è stata rilevata un'attività in ingresso anomala dal firewall palo alto networks. Questa prova suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete e sta cercando di nascondere le proprie azioni e finalità. Le connessioni alla rete TOR seguendo questo modello potrebbero essere un'indicazione di attività di comando e controllo del malware, richieste per il download di malware aggiuntivo o un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus incendi, incendi). Per altri dettagli sull'avviso, fare riferimento anche al log delle minacce palo alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion.
Connessione in uscita all'IP con una cronologia di tentativi di accesso non autorizzati seguita da traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Comando e controllo
TECNICHE MITRE ATT&CK: Non applicabile
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stata stabilita una connessione in uscita a un indirizzo IP con una cronologia di tentativi di accesso non autorizzati e, in seguito, è stata rilevata un'attività anomala dal firewall palo alto networks. Questa prova suggerisce che un utente malintenzionato ha probabilmente ottenuto l'accesso alla rete. I tentativi di connessione che seguono questo modello potrebbero essere un'indicazione di attività di comando e controllo del malware, richieste per il download di malware aggiuntivo o un utente malintenzionato che stabilisce l'accesso interattivo remoto. Nei log di Palo Alto Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus incendi, incendi). Per altri dettagli sull'avviso, fare riferimento anche al log delle minacce palo alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion.
Persistenza
(Nuova classificazione delle minacce)
Consenso dell'applicazione raro dopo l'accesso sospetto
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Persistenza, accesso iniziale
TECNICHE MITRE ATT&CK: Crea account (T1136), account valido (T1078)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che a un'applicazione è stato concesso il consenso da un utente che non l'ha mai fatto o raramente, a seguito di un accesso sospetto correlato a un account Microsoft Entra. Questa prova suggerisce che l'account indicato nella descrizione dell'evento imprevisto Fusion potrebbe essere stato compromesso e usato per accedere o manipolare l'applicazione per scopi dannosi. Il consenso all'applicazione, l'aggiunta dell'entità servizio e l'aggiunta di OAuth2PermissionGrant devono in genere essere eventi rari. Gli utenti malintenzionati possono usare questo tipo di modifica della configurazione per stabilire o mantenere il proprio punto di appoggio nei sistemi. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con il raro avviso di consenso dell'applicazione sono:
Viaggio impossibile in una posizione atipica che porta a un raro consenso per l'applicazione
Evento di accesso da una posizione non familiare che porta a un consenso raro dell'applicazione
Evento di accesso da un dispositivo infetto che porta a un raro consenso dell'applicazione
Evento di accesso da un INDIRIZZO IP anonimo che porta a un raro consenso dell'applicazione
Evento di accesso da parte dell'utente con credenziali perse che portano a un consenso dell'applicazione raro
Ransomware
Esecuzione di ransomware in seguito all'accesso sospetto Microsoft Entra
MITRE ATT&tattiche CK: Accesso iniziale, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), Dati crittografati per l'impatto (T1486)
Origini connettore dati: Microsoft Defender for Cloud Apps, protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che è stato rilevato un comportamento anomalo dell'utente che indica un attacco ransomware a seguito di un accesso sospetto a un account Microsoft Entra. Questa indicazione garantisce che l'account annotato nella descrizione dell'evento imprevisto Fusion sia stato compromesso ed è stato usato per crittografare i dati allo scopo di espellere il proprietario dei dati o negare al proprietario dei dati l'accesso ai dati. Le permutazioni di avvisi di accesso Microsoft Entra sospetti con l'avviso di esecuzione ransomware sono:
Viaggio impossibile in una posizione atipica che porta al ransomware nell'app cloud
Evento di accesso da una posizione non familiare che porta al ransomware nell'app cloud
Evento di accesso da un dispositivo infetto che porta al ransomware nell'app cloud
Evento di accesso da un indirizzo IP anonimo che porta al ransomware nell'app cloud
Evento di accesso da parte dell'utente con credenziali perse che portano al ransomware nell'app cloud
Sfruttamento remoto
Sospetto uso del framework di attacco seguito da traffico anomalo contrassegnato dal firewall Palo Alto Networks
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, esecuzione, spostamento laterale, escalation dei privilegi
TECNICHE MITRE ATT&CK: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)
Origini connettore dati: Microsoft Defender per endpoint (in precedenza MDATP), Microsoft Sentinel (regola di analisi pianificata)
Descrizione: Gli eventi di fusion di questo tipo indicano che sono stati rilevati usi non standard di protocolli, simili all'uso di framework di attacco come Metasploit, e in seguito è stata rilevata un'attività in ingresso sospetta dal firewall palo alto networks. Questa potrebbe essere un'indicazione iniziale che un utente malintenzionato ha sfruttato un servizio per ottenere l'accesso alle risorse di rete o che un utente malintenzionato ha già ottenuto l'accesso e sta tentando di sfruttare ulteriormente i sistemi o i servizi disponibili per spostare lateralmente e/o inoltrare i privilegi. Nei log di Palo Alto Microsoft Sentinel è incentrato sui log delle minacce e il traffico viene considerato sospetto quando sono consentite minacce (dati sospetti, file, inondazioni, pacchetti, analisi, spyware, URL, virus, vulnerabilità, virus incendi, incendi). Per altri dettagli sull'avviso, fare riferimento anche al log delle minacce palo alto corrispondente al tipo di minaccia/contenuto elencato nella descrizione dell'evento imprevisto Fusion.
Dirottamento delle risorse
(Nuova classificazione delle minacce)
Distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante non invisibile in precedenza dopo l'accesso sospetto Microsoft Entra
Questo scenario usa gli avvisi generati dalle regole di analisi pianificata.
Questo scenario è attualmente disponibile in ANTEPRIMA.
MITRE ATT&tattiche CK: Accesso iniziale, impatto
TECNICHE MITRE ATT&CK: Account valido (T1078), Dirottamento delle risorse (T1496)
Origini connettore dati: Microsoft Sentinel (regola di analisi pianificata), protezione Microsoft Entra ID
Descrizione: Gli eventi imprevisti fusion di questo tipo indicano che un utente ha distribuito una risorsa o un gruppo di risorse Azure, un'attività rara, dopo un accesso sospetto, con proprietà non visualizzate di recente, in un account Microsoft Entra. Potrebbe trattarsi di un tentativo da parte di un utente malintenzionato di distribuire risorse o gruppi di risorse per scopi dannosi dopo aver compromesso l'account utente annotato nella descrizione dell'evento imprevisto Fusion.
Le permutazioni di avvisi di accesso Microsoft Entra sospetti con la distribuzione sospetta di risorse/gruppi di risorse da parte di un avviso chiamante non visualizzato in precedenza sono:
Viaggio impossibile in una posizione atipica che porta a una distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante invisibile in precedenza
Evento di accesso da una posizione non familiare che porta alla distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante non visualizzato in precedenza
Evento di accesso da un dispositivo infetto che porta a una distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante non visualizzato in precedenza
Evento di accesso da un indirizzo IP anonimo che porta alla distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante non visualizzato in precedenza
Evento di accesso da parte dell'utente con credenziali perse che portano a una distribuzione sospetta di risorse/gruppi di risorse da parte di un chiamante non visualizzato in precedenza
Passaggi successivi
Dopo aver appreso di più sul rilevamento avanzato degli attacchi multistage, è possibile che si sia interessati alla guida introduttiva seguente per informazioni su come ottenere visibilità sui dati e sulle potenziali minacce: Introduzione a Microsoft Sentinel.
Se si è pronti per analizzare gli eventi imprevisti creati automaticamente, vedere l'esercitazione seguente: Analizzare gli eventi imprevisti con Microsoft Sentinel.