Microsoft Sentinel Fusion 엔진에서 검색한 시나리오
이 문서에는 Microsoft Sentinel이 Fusion 상관 관계 엔진을 사용하여 검색하는 시나리오 기반 다단계 공격 형식이 위협 분류별로 그룹화되어 있습니다.
Fusion은 다양한 제품의 여러 신호를 상호 연관시켜 지능형 다단계 공격을 검색하므로 성공적인 Fusion 검색은 Microsoft Sentinel 인시던트 페이지에서 Fusion 인시던트가 아니라 경고이며 SecurityAlerts 테이블이 아니라 로그의 인시던트 테이블에 저장됩니다.
이러한 Fusion 기반 공격 검색 시나리오를 사용하려면 나열된 모든 데이터 원본을 Log Analytics 작업 영역으로 수집해야 합니다. 예약된 분석 규칙이 있는 시나리오의 경우 Fusion 검색을 위한 예약된 분석 규칙 구성의 지침을 따릅니다.
참고 항목
이러한 시나리오 중 일부는 미리 보기로 제공됩니다. 그들은 그렇게 표시됩니다.
컴퓨팅 리소스 남용
의심스러운 Microsoft Entra 로그인 후 여러 VM 만들기 작업
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 리소스 하이재킹(T1496)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 VM이 생성되었음을 나타냅니다. 이러한 유형의 경고는 Fusion 인시던트 설명에 언급된 계정이 손상되어 암호화 마이닝 작업 실행과 같은 무단 목적을 위해 새 VM을 만드는 데 사용되었다는 높은 신뢰도를 나타냅니다. 여러 VM 만들기 작업 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 인해 여러 VM 만들기 작업이 발생합니다.
익숙하지 않은 위치에서 로그인 이벤트 발생 후 여러 VM 만들기 작업
감염된 디바이스에서 로그인 이벤트 발생 후 여러 VM 만들기 작업
익명 IP 주소에서 로그인 이벤트 발생 후 여러 VM 만들기 작업
자격 증명이 유출된 사용자에서 로그인 이벤트 발생 후 여러 VM 만들기 활동
자격 증명 액세스
(새로운 위협 분류)
의심스러운 로그인 후 사용자가 여러 암호를 재설정합니다.
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 무차별 암호 대입(T1110)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 의심스러운 로그인 후 사용자가 여러 암호를 Microsoft Entra 계정으로 다시 설정했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 여러 시스템 및 리소스에 액세스하기 위해 여러 암호 재설정을 수행하는 데 사용되었음을 시사합니다. 계정 조작(암호 재설정 포함)은 공격자가 환경 내에서 자격 증명 및 특정 권한 수준에 대한 액세스를 유지하는 데 도움이 될 수 있습니다. 여러 암호 재설정 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 여러 암호 재설정
익숙하지 않은 위치에서 로그인 이벤트 발생 후 여러 암호 재설정
감염된 디바이스에서 로그인 이벤트 발생 후 여러 암호 재설정
익명 IP에서 로그인 이벤트 발생 후 여러 암호 재설정
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 여러 암호 재설정이 발생합니다.
여러 개의 실패한 Microsoft Entra 로그인이 있는 IP로 Palo Alto VPN에 성공적으로 로그인한 것과 일치하는 의심스러운 로그인
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 무차별 암호 대입(T1110)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 대한 의심스러운 로그인이 여러 번 실패한 Microsoft Entra 로그인이 비슷한 시간 프레임에 발생한 IP 주소에서 Palo Alto VPN을 통해 성공적으로 로그인한 것과 일치함을 나타냅니다. 다단계 공격의 증거는 아니지만 이러한 두 개의 낮은 충실도 경고의 상관 관계는 조직의 네트워크에 대한 악의적인 초기 액세스를 제안하는 고충실도 인시던트를 초래합니다. 또는 공격자가 무차별 암호 대입 기술을 사용하여 Microsoft Entra 계정에 액세스하려는 것을 나타낼 수 있습니다. "여러 개의 실패한 Microsoft Entra 로그인이 있는 IP가 Palo Alto VPN에 성공적으로 로그인"된 의심스러운 Microsoft Entra 로그인 경고의 순열 경고는 다음과 같습니다.
여러 개의 실패한 Microsoft Entra 로그인이 Palo Alto VPN에 성공적으로 로그인된 IP와 일치하는 비정형 위치로 불가능한 이동
여러 개의 실패한 Microsoft Entra 로그인이 있는 IP와 일치하는 익숙하지 않은 위치에서 로그인 이벤트가 Palo Alto VPN에 성공적으로 로그인됨
여러 개의 실패한 Microsoft Entra 로그인이 있는 IP와 일치하는 감염된 디바이스의 로그인 이벤트가 Palo Alto VPN에 성공적으로 로그인됨
여러 개의 실패한 Microsoft Entra 로그인이 있는 IP와 일치하는 익명 IP에서 로그인 이벤트가 Palo Alto VPN에 성공적으로 로그인됨
여러 개의 실패한 Microsoft Entra 로그인이 있는 IP와 일치하는 유출된 자격 증명을 가진 사용자의 로그인 이벤트가 Palo Alto VPN에 성공적으로 로그인됨
자격 증명 수집
(새로운 위협 분류)
의심스러운 로그인 후 악성 자격 증명 탈취 실행
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), OS 자격 증명 덤핑(T1003)
데이터 커넥터 원본: Microsoft Entra ID Protection, 엔드포인트용 Microsoft Defender
설명: 이 유형의 Fusion 인시던트에서는 의심스러운 Microsoft Entra 로그인 후 알려진 자격 증명 도난 도구가 실행되었음을 나타냅니다. 이 증거는 경고 설명에 언급된 사용자 계정이 손상되었으며 Mimikatz와 같은 도구를 사용하여 시스템에서 키, 일반 텍스트 암호 및/또는 암호 해시와 같은 자격 증명을 성공적으로 수집했을 수 있음을 시사합니다. 수집된 자격 증명을 사용하면 공격자가 중요한 데이터에 액세스하거나 권한을 에스컬레이션하거나 네트워크를 통해 횡적으로 이동할 수 있습니다. 악의적인 자격 증명 도난 도구 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 악성 자격 증명 유출 도구 실행
알 수 없는 위치에서 로그인 이벤트 발생 후 악의적인 자격 증명 도난 도구 실행
감염된 디바이스에서 로그인 이벤트 발생 후 악의적인 자격 증명 도난 도구 실행
악의적인 자격 증명 도난 도구 실행으로 이어지는 익명 IP 주소의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 악의적인 자격 증명 도난 도구 실행
의심스러운 로그인 후 의심스러운 자격 증명 탈취 활동
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 암호 저장소의 자격 증명(T1555), OS 자격 증명 덤프(T1003)
데이터 커넥터 원본: Microsoft Entra ID Protection, 엔드포인트용 Microsoft Defender
설명: 이 유형의 Fusion 인시던트에서는 의심스러운 Microsoft Entra 로그인 후 자격 증명 도난 패턴과 관련된 활동이 발생했음을 나타냅니다. 이 증거는 경고 설명에 언급된 사용자 계정이 손상되어 키, 일반 텍스트 암호, 암호 해시 등과 같은 자격 증명을 도용하는 데 사용되었다는 높은 확신을 가지고 있음을 시사합니다. 도난당한 자격 증명을 사용하면 공격자가 중요한 데이터에 액세스하거나 권한을 에스컬레이션하거나 네트워크를 통해 횡적으로 이동할 수 있습니다. 자격 증명 도난 활동 경고가 포함된 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 의심스러운 자격 증명 유출 활동
알 수 없는 위치에서 로그인 이벤트 발생 후 의심스러운 자격 증명 도난 활동
감염된 디바이스에서 로그인 이벤트 발생 후 의심스러운 자격 증명 도난 활동
익명 IP 주소에서 로그인 이벤트 발생 후 의심스러운 자격 증명 유출 활동
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 자격 증명 도난 활동이 의심됨
암호화 채굴
(새로운 위협 분류)
의심스러운 로그인 후 암호화 마이닝 활동
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 리소스 하이재킹(T1496)
데이터 커넥터 원본: Microsoft Entra ID Protection, 클라우드용 Microsoft Defender
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 대한 의심스러운 로그인과 관련된 암호화 마이닝 작업을 나타냅니다. 이 증거는 경고 설명에 언급 된 사용자 계정이 손상되었으며 암호화 통화를 마이닝하기 위해 환경의 리소스를 납치하는 데 사용되었다는 높은 확신을 가지고 있음을 시사합니다. 이렇게 하면 컴퓨팅 능력의 리소스가 굶어 죽거나 예상보다 훨씬 높은 클라우드 사용 요금이 발생할 수 있습니다. 암호화 마이닝 활동 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
암호화 마이닝 활동으로 이어지는 비정형 위치로 불가능한 이동
암호화 마이닝 작업으로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
감염된 디바이스에서 로그인 이벤트 발생 후 암호화 마이닝 활동
익명 IP 주소에서 로그인 이벤트 발생 후 암호화 마이닝 작업
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 암호화 마이닝 작업이 발생합니다.
데이터 파기
의심스러운 Microsoft Entra 로그인 후 대량 파일 삭제
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 데이터 소멸(T1485)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 비정상적인 수의 고유 파일이 삭제되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되어 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다. 대량 파일 삭제 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 대량 파일 삭제
익숙하지 않은 위치에서 로그인 이벤트 발생 후 대량 파일 삭제
감염된 디바이스에서 로그인 이벤트 발생 후 대량 파일 삭제
대량 파일 삭제로 이어지는 익명 IP 주소의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 대량 파일 삭제가 발생합니다.
Cisco 방화벽 어플라이언스 의해 차단된 IP에서 Microsoft Entra 로그인 성공 후 대량 파일 삭제
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 데이터 소멸(T1485)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트에서는 사용자의 IP 주소가 Cisco 방화벽 어플라이언스 의해 차단되었음에도 불구하고 성공적인 Microsoft Entra 로그인 후 비정상적인 수의 고유 파일이 삭제되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되어 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다. IP가 방화벽에 의해 차단되었기 때문에 Microsoft Entra ID에 대한 동일한 IP 로그온이 잠재적으로 의심될 수 있으며 사용자 계정에 대한 자격 증명 손상이 표시될 수 있습니다.
여러 개의 실패한 Microsoft Entra 로그인이 있는 IP로 Palo Alto VPN에 성공적으로 로그인한 후 대량 파일 삭제
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 무차별 암호 대입(T1110), 데이터 소멸(T1485)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트에서는 여러 개의 실패한 Microsoft Entra 로그인이 비슷한 시간 프레임에 발생한 IP 주소에서 Palo Alto VPN을 통해 성공적으로 로그인한 사용자가 비정상적인 수의 고유 파일을 삭제했음을 나타냅니다. 이 증거는 Fusion 인시던트에 언급된 사용자 계정이 무차별 암호 대입 기술을 사용하여 손상되었을 수 있으며 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다.
의심스러운 Microsoft Entra 로그인 후 의심스러운 이메일 삭제 활동
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 데이터 소멸(T1485)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 전자 메일이 삭제되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었을 수 있으며 조직에 피해를 입히거나 스팸 관련 이메일 활동을 숨기는 등의 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다. 의심스러운 이메일 삭제 활동 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 의심스러운 이메일 삭제 활동
일반적이지 않은 위치에서 로그인 이벤트 발생 후 의심스러운 이메일 삭제 활동
감염된 디바이스에서 로그인 이벤트 발생 후 의심스러운 이메일 삭제 활동
의심스러운 이메일 삭제 활동으로 이어지는 익명 IP 주소의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 의심스러운 전자 메일 삭제 작업이 발생합니다.
데이터 유출
새 관리자 계정 활동에 따른 메일 전달 활동이 최근에 표시되지 않음
이 시나리오는 이 목록 의 두 가지 위협 분류인 데이터 반출 및 악의적인 관리 활동에 속합니다. 명확성을 위해 두 섹션에 모두 표시됩니다.
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 수집, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 전자 메일 수집(T1114), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트는 새 Exchange 관리자 계정이 생성되었거나 기존 Exchange 관리자 계정이 지난 2주 동안 처음으로 몇 가지 관리 작업을 수행했음을 나타내며, 해당 계정은 관리자 계정에서 비정상적인 일부 메일 전달 작업을 수행했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 사용자 계정이 손상되거나 조작되었으며 조직의 네트워크에서 데이터를 유출하는 데 사용되었음을 시사합니다.
의심스러운 Microsoft Entra 로그인 후 대량 파일 다운로드
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 의심스러운 Microsoft Entra 계정에 로그인한 후 사용자가 비정상적인 수의 파일을 다운로드했음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 기록된 계정이 손상되어 조직의 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 신뢰도를 제공합니다. 대량 파일 다운로드 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 대량 파일 다운로드
일반적이지 않은 위치에서 로그인 이벤트 발생 후 대량 파일 다운로드
감염된 디바이스에서 로그인 이벤트 발생 후 대량 파일 다운로드
대량 파일 다운로드로 이어지는 익명 IP의 로그인 이벤트
자격 증명이 유출된 사용자에서 로그인 이벤트 발생 후 대량 파일 다운로드
Cisco 방화벽 어플라이언스 의해 차단된 IP에서 성공적인 Microsoft Entra 로그인 후 대량 파일 다운로드
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트에서는 사용자의 IP 주소가 Cisco 방화벽 어플라이언스 의해 차단되었음에도 불구하고 성공적인 Microsoft Entra 로그인 후 사용자가 비정상적인 수의 파일을 다운로드했음을 나타냅니다. 이는 공격자가 사용자 계정을 손상한 후 조직의 네트워크에서 데이터를 유출하려는 시도일 수 있습니다. IP가 방화벽에 의해 차단되었기 때문에 Microsoft Entra ID에 대한 동일한 IP 로그온이 잠재적으로 의심될 수 있으며 사용자 계정에 대한 자격 증명 손상이 표시될 수 있습니다.
이전에 보이지 않는 IP의 SharePoint 파일 작업과 일치하는 대량 파일 다운로드
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 반출
MITRE ATT&CK 기술: 웹 서비스를 통한 반출(T1567), 데이터 전송 크기 제한(T1030)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트에서는 이전에 보이지 않는 IP 주소에서 연결된 사용자가 비정상적인 수의 파일을 다운로드했음을 나타냅니다. 다단계 공격의 증거는 아니지만 이러한 두 개의 낮은 충실도 경고의 상관 관계는 공격자가 손상된 사용자 계정에서 조직의 네트워크에서 데이터를 반출하려는 시도를 암시하는 고충실도 인시던트를 초래합니다. 안정적인 환경에서는 특히 대규모 문서 반출과 관련될 수 있는 볼륨 급증과 관련된 경우 이전에 볼 수 없었던 IP에 의한 이러한 연결은 권한이 없을 수 있습니다.
의심스러운 Microsoft Entra 로그인 후 대량 파일 공유
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 특정 임계값을 초과하는 여러 파일이 다른 사용자에게 공유되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 명시된 계정이 손상되어 문서, 스프레드시트 등과 같은 파일을 악의적인 목적으로 권한이 없는 사용자와 공유하여 조직의 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 신뢰도를 제공합니다. 대량 파일 공유 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 대량 파일 공유
일반적이지 않은 위치에서 로그인 이벤트 발생 후 대량 파일 공유
감염된 디바이스에서 로그인 이벤트 발생 후 대량 파일 공유
대량 파일 공유로 이어지는 익명 IP 주소의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 대량 파일 공유가 발생합니다.
의심스러운 Microsoft Entra 로그인 후 여러 Power BI 보고서 공유 활동
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 Power BI 보고서가 공유되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 악의적인 목적으로 권한이 없는 사용자와 Power BI 보고서를 공유하여 조직의 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 신뢰도를 제공합니다. 여러 Power BI 보고서 공유 활동이 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
여러 Power BI 보고서 공유 활동으로 이어지는 비정형 위치로 불가능한 이동
익숙하지 않은 위치에서 로그인 이벤트 발생 후 여러 Power BI 보고서 공유 활동
감염된 디바이스에서 로그인 이벤트 발생 후 여러 Power BI 보고서 공유 활동
익명 IP 주소에서 로그인 이벤트 발생 후 여러 Power BI 보고서 공유 활동
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 여러 Power BI 보고서 공유 작업으로 연결됨
의심스러운 Microsoft Entra 로그인 후 Office 365 사서함 반출
MITRE ATT&CK 전술: 초기 액세스, 반출, 수집
MITRE ATT&CK 기술: 유효한 계정(T1078), 전자 메일 컬렉션(T1114), 자동 반출(T1020)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 사용자의 받은 편지함에 의심스러운 받은 편지함 전달 규칙이 설정되었음을 나타냅니다. 이 표시는 사용자의 계정(Fusion 인시던트 설명에 언급됨)이 손상되었으며, 실제 사용자의 지식 없이 사서함 전달 규칙을 사용하도록 설정하여 조직의 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 확신을 제공합니다. Office 365 사서함 반출 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
Office 365 사서함 반출로 이어지는 비정형 위치로 불가능한 이동
일반적이지 않은 위치에서 로그인 이벤트 발생 후 Office 365 받은 편지함 반출
감염된 디바이스에서 로그인 이벤트 발생 후 Office 365 사서함 반출
Office 365 사서함 반출로 이어지는 익명 IP 주소에서 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 Office 365 사서함 반출
맬웨어 검색 후 이전에 보이지 않는 IP의 SharePoint 파일 작업
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 반출, 방어 우회
MITRE ATT&CK 기술: 데이터 전송 크기 제한(T1030)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트는 공격자가 맬웨어를 사용하여 SharePoint를 통해 다운로드하거나 공유하여 대량의 데이터를 유출하려고 했음을 나타냅니다. 안정적인 환경에서는 특히 대규모 문서 반출과 관련될 수 있는 볼륨 급증과 관련된 경우 이전에 볼 수 없었던 IP에 의한 이러한 연결은 권한이 없을 수 있습니다.
의심스러운 Microsoft Entra 로그인 후 의심스러운 받은 편지함 조작 규칙 설정
이 시나리오는 이 목록 의 두 가지 위협 분류인 데이터 반출 및 횡적 이동에 속합니다. 명확성을 위해 두 섹션에 모두 표시됩니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 횡적 이동, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 내부 스피어 피싱(T1534), 자동 반출(T1020)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 사용자의 받은 편지함에 비정상적인 받은 편지함 규칙이 설정되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 악의적인 목적으로 사용자의 전자 메일 받은 편지함 규칙을 조작하는 데 사용되어 조직의 네트워크에서 데이터를 반출할 수 있다는 높은 신뢰도 표시를 제공합니다. 또는 공격자가 추가 사용자 및/또는 권한 있는 계정에 액세스하여 횡적으로 이동하기 위해 조직 내에서 피싱 이메일을 생성하려고 할 수 있습니다(외부 원본의 전자 메일을 대상으로 하는 피싱 검색 메커니즘 우회). 의심스러운 받은 편지함 조작 규칙 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 받은 편지함 조작 규칙으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생 후 의심스러운 받은 편지함 조작 규칙
감염된 디바이스에서 로그인 이벤트 발생 후 의심스러운 받은 편지함 조작 규칙
의심스러운 받은 편지함 조작 규칙으로 이어지는 익명 IP 주소의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 의심스러운 받은 편지함 조작 규칙
의심스러운 Microsoft Entra 로그인 후 의심스러운 Power BI 보고서 공유
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 의심스러운 Power BI 보고서 공유 활동이 발생했음을 나타냅니다. Power BI 보고서에 자연어 처리를 사용하여 식별된 중요한 정보가 포함되어 있고 외부 전자 메일 주소와 공유되었거나, 웹에 게시되거나, 외부 구독 전자 메일 주소에 스냅샷 전달되었기 때문에 공유 활동이 의심스러운 것으로 확인되었습니다. 이 경고는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 악의적인 목적을 가진 권한 없는 사용자와 Power BI 보고서를 공유하여 조직 네트워크에서 데이터를 반출하는 데 사용되었음을 강하게 시사합니다. 의심스러운 Power BI 보고서 공유를 사용하는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 Power BI 보고서 공유로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생 후 의심스러운 Power BI 보고서 공유
감염된 디바이스에서 로그인 이벤트 발생 후 의심스러운 Power BI 보고서 공유
익명 IP 주소에서 로그인 이벤트 발생 후 의심스러운 Power BI 보고서 공유
자격 증명이 유출된 사용자의 로그인 이벤트로 의심스러운 Power BI 보고서 공유
서비스 거부
의심스러운 Microsoft Entra 로그인 후 여러 VM 삭제 작업
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 엔드포인트 서비스 거부(T1499)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 VM이 삭제되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 조직의 클라우드 환경을 중단하거나 파괴하는 데 사용되었다는 높은 신뢰도를 제공합니다. 여러 VM 삭제 작업 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 여러 VM 삭제 활동
익숙하지 않은 위치에서 로그인 이벤트 발생 후 여러 VM 삭제 작업
감염된 디바이스에서 로그인 이벤트 발생 후 여러 VM 삭제 작업
익명 IP 주소에서 로그인 이벤트 발생 후 여러 VM 삭제 활동
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 여러 VM 삭제 작업이 발생합니다.
수평 이동
의심스러운 Microsoft Entra 로그인 후 Office 365 가장
MITRE ATT&CK 전술: 초기 액세스, 수평 이동
MITRE ATT&CK 기술: 유효한 계정(T1078), 내부 스피어 피싱(T1534)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에서 의심스러운 로그인 후 비정상적인 수의 가장 작업이 발생했음을 나타냅니다. 일부 소프트웨어에는 사용자가 다른 사용자를 가장할 수 있는 옵션이 있습니다. 예를 들어 전자 메일 서비스를 사용하면 사용자가 다른 사용자가 대신 전자 메일을 보낼 수 있도록 권한을 부여할 수 있습니다. 이 경고는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 악성 코드 배포 또는 횡적 이동을 위해 피싱 이메일을 보내는 등 악의적인 목적으로 가장 활동을 수행하는 데 사용되었음을 더 높은 신뢰도로 나타냅니다. Office 365 가장 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 Office 365 가장
Office 365 가장으로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
감염된 디바이스에서 로그인 이벤트 발생 후 Office 365 가장
익명 IP 주소에서 로그인 이벤트 발생 후 Office 365 가장
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 Office 365 가장
의심스러운 Microsoft Entra 로그인 후 의심스러운 받은 편지함 조작 규칙 설정
이 시나리오는 이 목록 의 두 가지 위협 분류인 횡적 이동 및 데이터 반출에 속합니다. 명확성을 위해 두 섹션에 모두 표시됩니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 횡적 이동, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 내부 스피어 피싱(T1534), 자동 반출(T1020)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 사용자의 받은 편지함에 비정상적인 받은 편지함 규칙이 설정되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 악의적인 목적으로 사용자의 전자 메일 받은 편지함 규칙을 조작하는 데 사용되어 조직의 네트워크에서 데이터를 반출할 수 있다는 높은 신뢰도 표시를 제공합니다. 또는 공격자가 추가 사용자 및/또는 권한 있는 계정에 액세스하여 횡적으로 이동하기 위해 조직 내에서 피싱 이메일을 생성하려고 할 수 있습니다(외부 원본의 전자 메일을 대상으로 하는 피싱 검색 메커니즘 우회). 의심스러운 받은 편지함 조작 규칙 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 받은 편지함 조작 규칙으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생 후 의심스러운 받은 편지함 조작 규칙
감염된 디바이스에서 로그인 이벤트 발생 후 의심스러운 받은 편지함 조작 규칙
의심스러운 받은 편지함 조작 규칙으로 이어지는 익명 IP 주소의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 의심스러운 받은 편지함 조작 규칙
악의적인 관리 활동
의심스러운 Microsoft Entra 로그인 후 의심스러운 클라우드 앱 관리 활동
MITRE ATT&CK tactics: 초기 액세스, 지속성, 방어 회피, 수평 이동, 수집, 반출 및 영향
MITRE ATT&CK 기술: 해당 내용
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 동일한 계정에서 의심스러운 Microsoft Entra 로그인 후 단일 세션에서 비정상적인 수의 관리 작업이 수행되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었을 수 있으며 악의적인 의도로 여러 권한 없는 관리 작업을 하는 데 사용되었음을 시사합니다. 또한 관리자 권한이 있는 계정이 손상되었을 수 있음을 나타냅니다. 의심스러운 클라우드 앱 관리 활동 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적 위치로 불가능한 이동 후 의심스러운 클라우드 앱 관리 활동
알 수 없는 위치에서 로그인 이벤트 발생 후 의심스러운 클라우드 앱 관리 활동
감염된 디바이스에서 로그인 이벤트 발생 후 의심스러운 클라우드 앱 관리 활동
익명 IP 주소에서 로그인 이벤트 발생 후 의심스러운 클라우드 앱 관리 활동
자격 증명이 유출된 사용자의 로그인 이벤트로 의심스러운 클라우드 앱 관리 활동
새 관리자 계정 활동에 따른 메일 전달 활동이 최근에 표시되지 않음
이 시나리오는 이 목록 의 두 가지 위협 분류인 악의적인 관리 활동 및 데이터 반출에 속합니다. 명확성을 위해 두 섹션에 모두 표시됩니다.
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 수집, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 전자 메일 수집(T1114), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트는 새 Exchange 관리자 계정이 생성되었거나 기존 Exchange 관리자 계정이 지난 2주 동안 처음으로 몇 가지 관리 작업을 수행했음을 나타내며, 해당 계정은 관리자 계정에서 비정상적인 일부 메일 전달 작업을 수행했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 사용자 계정이 손상되거나 조작되었으며 조직의 네트워크에서 데이터를 유출하는 데 사용되었음을 시사합니다.
합법적인 프로세스를 통해 악의적 실행
PowerShell은 의심스러운 네트워크 연결을 만든 다음 Palo Alto Networks 방화벽으로 플래그가 지정된 비정상적인 트래픽을 생성했습니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 실행
MITRE ATT&CK 기술: 명령 및 스크립팅 인터프리터(T1059)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 Microsoft Defender Advanced Threat Protection 또는 MDATP), Microsoft Sentinel(예약 분석 규칙)
설명: 이 유형의 Fusion 인시던트가 PowerShell 명령을 통해 아웃바운드 연결 요청이 수행되었음을 나타내며, 그 후 Palo Alto Networks 방화벽에서 비정상적인 인바운드 활동이 감지되었습니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었으며 악의적인 작업을 수행하려고 했음을 시사합니다. 이 패턴을 따르는 PowerShell의 커넥트이온 시도는 맬웨어 명령 및 제어 활동, 추가 맬웨어 다운로드 요청 또는 원격 대화형 액세스를 설정하는 공격자의 표시일 수 있습니다. 모든 "living off the land(지상 생활)" 공격과 마찬가지로, 이 활동은 PowerShell을 합법적으로 사용할 수 있습니다. 그러나 PowerShell 명령 실행 후 의심스러운 인바운드 방화벽 작업이 수행되면 PowerShell이 악의적인 방식으로 사용되고 있다는 신뢰도가 높아지고 추가로 조사해야 합니다. Palo Alto 로그에서 Microsoft Sentinel은 위협 로그를 집중적으로 다루며, 위협이 허용되면 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, wildfire-바이러스, wildfires). 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식에 해당하는 Palo Alto 위협 로그를 참조하세요.
의심스러운 원격 WMI 실행 후 Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 실행, 검색
MITRE ATT&CK 기술: Windows Management Instrumentation(T1047)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약 분석 규칙)
설명: 이 유형의 Fusion 인시던트는 WMI(Windows Management Interface) 명령이 시스템에서 원격으로 실행되었으며, 그 후 Palo Alto Networks 방화벽이 의심스러운 인바운드 활동을 감지했음을 나타냅니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었을 수 있으며, 횡적으로 이동하거나, 권한을 에스컬레이션하고, 악의적인 페이로드를 실행하려고 할 수 있음을 시사합니다. 모든 "living off the land(지상 생활)" 공격과 마찬가지로, 이 활동은 WMI를 합법적으로 사용할 수 있습니다. 그러나 원격 WMI 명령 실행 후 의심스러운 인바운드 방화벽 활동이 발생하면 WMI가 악의적인 목적으로 사용되고 있을 가능성이 높으므로 추가 조사가 필요합니다. Palo Alto 로그에서 Microsoft Sentinel은 위협 로그를 집중적으로 다루며, 위협이 허용되면 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, wildfire-바이러스, wildfires). 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식에 해당하는 Palo Alto 위협 로그를 참조하세요.
의심스러운 로그인 후 의심스러운 PowerShell 명령줄
MITRE ATT&CK 전술: 초기 액세스, 실행
MITRE ATT&CK 기술: 유효한 계정(T1078), 명령 및 스크립팅 인터프리터(T1059)
데이터 커넥터 원본: Microsoft Entra ID Protection, 엔드포인트용 Microsoft Defender(이전 MDATP)
설명: 이 유형의 Fusion 인시던트에서는 사용자가 Microsoft Entra 계정에 의심스러운 로그인 후 잠재적으로 악의적인 PowerShell 명령을 실행했음을 나타냅니다. 이 증거는 경고 설명에 언급된 계정이 손상되었으며 추가 악의적인 작업이 수행되었다는 높은 확신을 가지고 있음을 시사합니다. 공격자는 종종 PowerShell을 사용하여 바이러스 스캐너와 같은 디스크 기반 보안 메커니즘에서 검색을 방지하기 위해 디스크에 아티팩트 없이 메모리에서 악성 페이로드를 실행합니다. 의심스러운 PowerShell 명령 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 PowerShell 명령줄로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생 후 의심스러운 PowerShell 명령줄
감염된 디바이스에서 로그인 이벤트 발생 후 의심스러운 PowerShell 명령줄
의심스러운 PowerShell 명령줄로 이어지는 익명 IP 주소에서 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 의심스러운 PowerShell 명령줄
맬웨어 C2 또는 다운로드
서비스에 대한 여러 사용자 로그인 실패 후 Fortinet에서 감지한 비콘 패턴
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 명령 및 제어
MITRE ATT&CK 기술: 유효한 계정(T1078), 비표준 포트(T1571), T1065(사용 중지됨)
데이터 커넥터 원본: Microsoft Sentinel(예약 분석 규칙), 클라우드용 Microsoft Defender 앱
설명: 이 유형의 Fusion 인시던트(Fusion Incidents)는 내부 IP 주소에서 외부 IP 주소로의 통신 패턴을 나타내며, 이는 관련된 내부 엔터티에서 서비스에 여러 번 실패한 사용자 로그인에 따라 비콘과 일치합니다. 이 두 이벤트가 함께 발생하면 맬웨어에 감염되거나 손상된 호스트에서 데이터 반출이 수행될 수 있음을 나타냅니다.
의심스러운 Microsoft Entra 로그인 후 Fortinet에서 감지한 비콘 패턴
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 명령 및 제어
MITRE ATT&CK 기술: 유효한 계정(T1078), 비표준 포트(T1571), T1065(사용 중지됨)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트(Fusion Incidents)는 내부 IP 주소에서 외부 IP 주소로의 통신 패턴을 나타내며, 이는 의심스러운 특성의 사용자 로그인에 따라 Microsoft Entra ID에 대한 비콘과 일치합니다. 이 두 이벤트가 함께 발생하면 맬웨어에 감염되거나 손상된 호스트에서 데이터 반출이 수행될 수 있음을 나타냅니다. 의심스러운 Microsoft Entra 로그인 경고와 함께 Fortinet 경고에 의해 감지된 비콘 패턴의 순열은 다음과 같습니다.
비정상적인 위치로의 불가능한 이동 후 Fortinet이 비콘 패턴 검색함
Fortinet에서 감지된 비콘 패턴으로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
Fortinet에서 감지된 비콘 패턴으로 이어지는 감염된 디바이스의 로그인 이벤트
익명 IP 주소에서 로그인 이벤트 발생 후 Fortinet이 비콘 패턴 검색함
자격 증명이 유출된 사용자에서 로그인 이벤트 발생 후 Fortinet이 비콘 패턴 검색함
TOR 익명화 서비스에 대한 네트워크 요청 다음에 Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽이 발생합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 명령 및 제어
MITRE ATT&CK 기술: 암호화된 채널(T1573), 프록시(T1090)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약 분석 규칙)
설명: 이 유형의 Fusion 인시던트는 TOR 익명화 서비스로 아웃바운드 연결 요청이 수행된 후 Palo Alto Networks 방화벽이 비정상적인 인바운드 활동을 감지했음을 나타냅니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었으며 자신의 행동과 의도를 숨기려고 시도했음을 시사합니다. 이 패턴을 따르는 TOR 네트워크에 대한 커넥트 맬웨어 명령 및 제어 활동, 추가 맬웨어 다운로드 요청 또는 원격 대화형 액세스를 설정하는 공격자의 표시일 수 있습니다. Palo Alto 로그에서 Microsoft Sentinel은 위협 로그를 집중적으로 다루며, 위협이 허용되면 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, wildfire-바이러스, wildfires). 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식에 해당하는 Palo Alto 위협 로그를 참조하세요.
무단 액세스 시도 기록과 Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽이 있는 IP에 대한 아웃바운드 연결
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 명령 및 제어
MITRE ATT&CK 기술: 해당 없음
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약 분석 규칙)
설명: 이 유형의 Fusion 인시던트에는 무단 액세스 시도 기록이 있는 IP 주소에 대한 아웃바운드 연결이 설정되었으며, 그 후 Palo Alto Networks 방화벽에서 비정상적인 활동이 감지되었음을 나타냅니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었을 가능성이 있음을 시사합니다. 이 패턴을 따르는 커넥트ion 시도는 맬웨어 명령 및 제어 활동, 추가 맬웨어 다운로드 요청 또는 원격 대화형 액세스를 설정하는 공격자의 표시일 수 있습니다. Palo Alto 로그에서 Microsoft Sentinel은 위협 로그를 집중적으로 다루며, 위협이 허용되면 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, wildfire-바이러스, wildfires). 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식에 해당하는 Palo Alto 위협 로그를 참조하세요.
지속성
(새로운 위협 분류)
의심스러운 로그인 후 드문 애플리케이션 동의
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 지속성, 초기 액세스
MITRE ATT&CK 기술: 계정 만들기(T1136), 유효한 계정(T1078)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트는 Microsoft Entra 계정에 대한 의심스러운 로그인을 수행한 적이 없거나 거의 없는 사용자가 애플리케이션에 동의를 부여했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되어 악의적인 목적으로 애플리케이션에 액세스하거나 조작하는 데 사용되었을 수 있음을 시사합니다. 애플리케이션에 대한 동의, 서비스 주체 추가 및 OAuth2PermissionGrant 추가는 일반적으로 드문 이벤트여야 합니다. 공격자는 이러한 유형의 구성 변경을 사용하여 시스템에 대한 기반을 설정하거나 유지할 수 있습니다. 드문 애플리케이션 동의 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정상적인 위치로의 불가능한 이동 후 드문 애플리케이션 동의
익숙하지 않은 위치에서 로그인 이벤트 발생 후 드문 애플리케이션 동의
감염된 디바이스에서 로그인 이벤트 발생 후 드문 애플리케이션 동의
드문 애플리케이션 동의로 이어지는 익명 IP의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 드문 애플리케이션 동의가 발생합니다.
랜섬웨어
의심스러운 Microsoft Entra 로그인 후 랜섬웨어 실행
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 영향을 위해 암호화된 데이터(T1486)
데이터 커넥터 원본: 클라우드용 Microsoft Defender 앱, Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 랜섬웨어 공격을 나타내는 비정상적인 사용자 동작이 감지되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 데이터 소유자를 강탈하거나 데이터 소유자의 데이터 액세스를 거부하기 위해 데이터를 암호화하는 데 사용되었다는 높은 신뢰도를 제공합니다. 랜섬웨어 실행 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
클라우드 앱에서 랜섬웨어로 이어지는 비정형 위치로 불가능한 이동
클라우드 앱에서 랜섬웨어로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
감염된 디바이스에서 로그인 이벤트 발생 후 클라우드 앱에서 랜섬웨어로 연결
클라우드 앱에서 랜섬웨어로 이어지는 익명 IP 주소에서 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 인해 클라우드 앱에서 랜섬웨어가 발생합니다.
원격 악용
Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽이 공격 프레임워크를 사용한 것으로 의심됨
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 실행, 수평 이동, 권한 상승
MITRE ATT&CK 기술: 공용 애플리케이션 악용(T1190), 클라이언트 실행 악용(T1203), 원격 서비스 악용(T1210), 권한 상승 악용(T1068)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약 분석 규칙)
설명: 이 유형의 Fusion 인시던트는 Metasploit와 같은 공격 프레임워크를 사용할 때와 비슷하게 프로토콜을 일반적이지 않은 방식으로 사용되는 것을 감지한 후 Palo Alto Networks 방화벽이 의심스러운 인바운드 활동을 감지했음을 나타냅니다. 이는 공격자가 네트워크 리소스에 대한 액세스 권한을 얻기 위해 서비스를 악용했거나, 공격자가 이미 액세스 권한을 획득했으며 수평 이동 및/또는 권한 상승을 위해 가용 시스템/서비스를 악용하려고 시도 중이라는 초기 표시일 수 있습니다. Palo Alto 로그에서 Microsoft Sentinel은 위협 로그를 집중적으로 다루며, 위협이 허용되면 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, wildfire-바이러스, wildfires). 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식에 해당하는 Palo Alto 위협 로그를 참조하세요.
리소스 하이재킹
(새로운 위협 분류)
의심스러운 Microsoft Entra 로그인 후 이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포
이 시나리오는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 리소스 하이재킹(T1496)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID Protection
설명: 이 유형의 Fusion 인시던트는 사용자가 최근 볼 수 없는 속성이 있는 의심스러운 로그인 후 드문 활동인 Azure 리소스 또는 리소스 그룹을 Microsoft Entra 계정에 배포했음을 나타냅니다. 이는 공격자가 Fusion 인시던트 설명에 명시된 사용자 계정을 손상한 후 악의적인 목적으로 리소스 또는 리소스 그룹을 배포하려는 시도일 수 있습니다.
이전에 보이지 않는 호출자 경고에 의한 의심스러운 리소스/리소스 그룹 배포와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 비정형 위치로 불가능한 이동
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 감염된 디바이스의 로그인 이벤트
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 익명 IP의 로그인 이벤트
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 자격 증명이 유출된 사용자의 로그인 이벤트
다음 단계
고급 다단계 공격 감지에 대해 자세히 알아보았으므로, Microsoft Sentinel 시작 빠른 시작을 통해 데이터 및 잠재적 위협에 대한 가시성을 얻는 방법을 알아볼 수 있습니다.
준비된 인시던트를 조사할 준비가 되었으면 Microsoft Sentinel을 사용하여 인시던트 조사 자습서를 살펴보세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기