Cenários detectados pelo mecanismo do Fusion do Microsoft Sentinel
Este documento lista os tipos de ataques multiestágio baseados no cenário, agrupados por classificação de ameaças, que o Microsoft Sentinel detecta usando o mecanismo de correlação do Fusion.
Como o Fusion correlaciona vários sinais de diversos produtos para a detecção avançada de ataques multiestágio, as detecções bem-sucedidas do Fusion são apresentadas como incidentes do Fusion na página Incidentes do Microsoft Sentinel e não como alertas, e são armazenadas na tabela Incidentes em Logs e não na tabela SecurityAlerts.
Para habilitar esses cenários de detecção de ataques alimentados pelo Fusion, as fontes de dados listadas devem ser ingeridas no workspace do Log Analytics. Em cenários com regras de análise agendada, siga as instruções em Configurar regras de análise agendada para detecções de Fusion.
Observação
Alguns desses cenários estão em versão PRÉVIA. Eles serão indicados.
Abuso dos recursos de computação
Várias atividades de criação de VM seguidas de entradas suspeitas no Microsoft Entra
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Impacto
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Sequestro de Recurso (T1496)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de VMs foi criado em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Esse tipo de alerta indica, com um alto grau de confiança, que a conta indicada na descrição do incidente Fusion foi comprometida e usada para criar novas VMs para fins não autorizados, como executar operações de mineração de criptografia. As permutações de alertas de entradas suspeitas do Microsoft Entra com o alerta de várias atividades de criação de VM são:
Viagem impossível a um local atípico que leva a várias atividades de criação de VM
Evento de entrada de um local desconhecido que leva a várias atividades de criação de VM
Evento de entrada de um dispositivo infectado que leva a várias atividades de criação de VM
Evento de entrada de um endereço IP anônimo que leva a várias atividades de criação de VM
Evento de entrada de usuário com credenciais vazadas que leva a várias atividades de criação de VM
Credencial de acesso
(Nova classificação de ameaças)
Várias redefinições de senha pelo usuário após entrada suspeita
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Acesso a Credencial
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Força Bruta (T1110)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um usuário redefiniu várias senhas após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência sugere que a conta registrada na descrição do incidente do Fusion foi comprometida e foi usada para executar várias redefinições de senha para obter acesso a vários sistemas e recursos. A manipulação de conta (incluindo a redefinição de senha) pode ajudar os adversários a manter o acesso a credenciais e determinados níveis de permissão em um ambiente. As permutações de alertas de entradas suspeitas do Microsoft Entra com vários alertas de redefinição de senhas são:
Viagem impossível para um local atípico que leva a várias redefinições de senha
Evento de entrada de um local desconhecido que leva a várias redefinições de senha
Evento de entrada de um dispositivo infectado que leva a várias redefinições de senha
Evento de entrada de um IP anônimo que leva a várias redefinições de senha
Evento de entrada de usuário com credenciais vazadas que leva a várias redefinições de senha
Entrada suspeita coincidindo com a entrada bem-sucedida para VPN Palo Alto por meio de IP com várias entradas com falha do Microsoft Entra
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Acesso a Credencial
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Força Bruta (T1110)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que uma entrada suspeita em uma conta do Microsoft Entra coincidiu com uma entrada bem-sucedida por meio de uma VPN Palo Alto de um endereço IP do qual várias entradas com falha do Microsoft Entra ocorreram em um período semelhante. Embora não haja evidência de um ataque de multiestágio, a correlação desses dois alertas de baixa fidelidade resulta em um incidente de alta fidelidade sugerindo acesso inicial mal-intencionado à rede da organização. De maneira alternativa, isso pode indicar que um invasor está tentando usar técnicas de força bruta para obter acesso a uma conta do Microsoft Entra. As permutações de alertas de entradas suspeitas do Microsoft Entra com alertas "IP com várias entradas com falha do Microsoft Entra conseguiu entrar com sucesso na VPN Palo Alto" são:
Viagem impossível para um local atípico coincidindo com o IP que teve várias entradas com falha do Microsoft Entra conseguiu entrar com sucesso na VPN Palo Alto
Evento de entrada de um local atípico coincidindo com o IP que teve várias entradas com falha do Microsoft Entra conseguiu entrar com sucesso na VPN Palo Alto
Evento de entrada de um dispositivo infectado coincidindo com o IP que teve várias entradas com falha do Microsoft Entra conseguiu entrar com sucesso na VPN Palo Alto
Evento de entrada de um IP anônimo coincidindo com o IP que teve várias entradas com falha do Microsoft Entra conseguiu entrar com sucesso na VPN Palo Alto
Evento de entrada de um usuário que teve credenciais vazadas coincidindo com o IP que teve várias entradas com falha do Microsoft Entra conseguiu entrar com sucesso na VPN Palo Alto
Coletando credenciais
(Nova classificação de ameaças)
Execução da ferramenta de roubo de credenciais mal-intencionada após a entrada suspeita
Táticas no MITRE ATT&CK: Acesso Inicial, Acesso a Credencial
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Despejo de Credenciais do SO (T1003)
Fontes de conector de dados: Microsoft Entra ID Protection, Microsoft Defender para Ponto de Extremidade
Descrição: os incidentes do Fusion desse tipo indicam que uma ferramenta conhecida de roubo de credenciais foi executada após uma entrada suspeita no Microsoft Entra. Essa evidência sugere com alta confiança que a conta de usuário observada na descrição do alerta foi comprometida e pode ter usado com êxito uma ferramenta como a Mimikatz para coletar credenciais como chaves, senhas de texto não criptografado e/ou hashes de senha do sistema. As credenciais coletadas podem permitir que um invasor acesse dados confidenciais, escalone privilégios e/ou se mova lateralmente pela rede. As permutações de alertas de entradas suspeitas do Microsoft Entra, com o alerta de ferramenta mal-intencionada de roubo de credenciais são:
Viagem impossível a locais atípicos que leva à execução de ferramenta mal-intencionadas de roubo de credenciais
Evento de entrada de um local desconhecido que leva à execução de ferramenta mal-intencionada de roubo de credenciais
Evento de entrada de dispositivo infectado que leva à execução de ferramenta mal-intencionada de roubo de credenciais
Evento de entrada de um endereço IP anônimo que leva à execução de ferramenta mal-intencionada de roubo de credenciais
Evento de entrada de usuário com informações vazadas que leva à execução de ferramenta mal-intencionada de roubo de credenciais
Atividade suspeita de roubo de credenciais após a entrada suspeita
Táticas no MITRE ATT&CK: Acesso Inicial, Acesso a Credencial
Técnicas MITRE ATT&CK: Conta válida (T1078), Credenciais de Armazenamentos de Senha (T1555), Despejo de Credenciais do SO (T1003)
Fontes de conector de dados: Microsoft Entra ID Protection, Microsoft Defender para Ponto de Extremidade
Descrição: os incidentes do Fusion desse tipo indicam que a atividade associada a padrões de roubo de credenciais ocorreu após uma entrada suspeita no Microsoft Entra. Essa evidência sugere com alta confiança que a conta de usuário observada na descrição do alerta foi comprometida e usada para roubar credenciais como chaves, senhas de texto sem formatação, hashes de senha e assim por diante. As credenciais roubadas podem permitir que um invasor acesse dados confidenciais, escalone privilégios e/ou se mova lateralmente pela rede. As permutações de alertas de entradas suspeitas do Microsoft Entra, com o alerta de atividade de roubo de credenciais são:
Viagem impossível a locais atípicos que levam à atividade suspeita de roubo de credenciais
Evento de entrada de um local desconhecido que leva à atividade suspeita de roubo de credenciais
Evento de entrada de um dispositivo infectado que leva à atividade suspeita de roubo de credenciais
Evento de entrada de um endereço IP anônimo que leva à atividade suspeita de roubo de credenciais
Evento de entrada de usuário com credenciais vazadas que levam à atividade suspeita de roubo de credenciais
Criptomineração
(Nova classificação de ameaças)
Atividade de mineração de criptografia após entrada suspeita
Táticas no MITRE ATT&CK: Acesso Inicial, Acesso a Credencial
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Sequestro de Recurso (T1496)
Fontes de conector de dados: Microsoft Entra ID Protection, Microsoft Defender para Nuvem
Descrição: os incidentes do Fusion desse tipo indicam atividade de criptomineração associada à entrada suspeita em uma conta do Microsoft Entra. Essa evidência sugere com alta confiança que a conta de usuário observada na descrição do alerta foi comprometida e usada para sequestrar recursos em seu ambiente para extrair criptomineração. Isso pode enfraquecer os seus recursos de potência de computação e/ou resultar em faturas do uso da nuvem significativamente maiores do que o esperado. As permutações de alertas de entradas suspeitas do Microsoft Entra, com o alerta de atividade de criptomineração são:
Viagem impossível a locais atípicos que levam à atividade de mineração de criptografia
Evento de entrada de um local desconhecido que leva à atividade de mineração de criptografia
Evento de entrada de um dispositivo infectado que leva à atividade de mineração de criptografia
Evento de entrada de um endereço IP anônimo que leva à atividade de mineração de criptografia
Evento de entrada de um usuário com credenciais vazadas que leva à atividade de mineração de criptografia
Destruição de dados
Exclusão de arquivos em massa após entrada suspeita no Microsoft Entra
Táticas no MITRE ATT&CK: Acesso Inicial, Impacto
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Exclusão de Dados (T1485)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de arquivos únicos foi excluído após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência sugere que a conta observada na descrição do incidente Fusion pode ter sido comprometida e usada para destruir dados para fins mal-intencionados. As permutações de alertas de entradas suspeitas do Microsoft Entra com o alerta de exclusão de arquivos em massa são:
Viagem impossível a um local atípico que leva à exclusão de arquivos em massa
Evento de entrada de um local desconhecido que leva à exclusão de arquivos em massa
Evento de entrada de um dispositivo infectado que leva à exclusão de arquivos em massa
Evento de entrada de um IP anônimo que leva à exclusão de arquivos em massa
Evento de entrada do usuário com credenciais vazadas levando à exclusão de arquivos em massa
Exclusão de arquivos em massa após a entrada bem-sucedida do Microsoft Entra a partir do IP bloqueado por um dispositivo de firewall da Cisco
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Impacto
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Exclusão de Dados (T1485)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de arquivos exclusivos foram excluídos após uma entrada bem-sucedida do Microsoft Entra, apesar do endereço IP do usuário ter sido bloqueado por um dispositivo de firewall da Cisco. Essa evidência sugere que a conta observada na descrição do incidente Fusion foi comprometida e usada para destruir dados para fins mal-intencionados. Como o IP foi bloqueado pelo firewall, é potencialmente suspeito esse IP entrar com êxito no Microsoft Entra ID e pode indicar comprometimento de credenciais da conta de usuário.
Exclusão de arquivos em massa após a entrada com êxito na VPN Palo Alto pelo IP com várias entradas com falha do Microsoft Entra
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Acesso a Credencial, Impacto
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Força Bruta (T1110), Exclusão de Dados (T1485)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de arquivos exclusivos foram excluídos por um usuário que entrou com êxito por meio de uma VPN Palo Alto de um endereço IP do qual várias entradas com falha do Microsoft Entra ocorreram em um período semelhante. Essa evidência sugere que a conta de usuário observada no incidente Fusion pode ter sido comprometida usando técnicas de força bruta e foi usada para destruir dados para fins mal-intencionados.
Atividade suspeita de exclusão de e-mail após entrada suspeita no Microsoft Entra
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Impacto
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Exclusão de Dados (T1485)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de e-mails foi excluído em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência sugere que a conta indicada na descrição do incidente Fusion pode ter sido comprometida e usada para destruir dados para fins mal-intencionados, como prejudicar a organização ou ocultar a atividade de e-mail relacionadas à prática de spam. As permutações de alertas de entrada suspeitas do Microsoft Entra com o alerta de atividade suspeita de exclusão de e-mail são:
Viagem impossível a um local atípico que leva à atividade suspeita de exclusão de e-mail
Evento de entrada de um local desconhecido que leva à atividade suspeita de exclusão de e-mail
Evento de entrada de um dispositivo infectado que leva à atividade suspeita de exclusão de e-mail
Evento de entrada de um endereço IP anônimo que leva à atividade suspeita de exclusão de e-mail
Evento de entrada de usuário com credenciais vazadas que leva à atividade suspeita de exclusão de e-mail
Exfiltração dos dados
Atividades de encaminhamento de email após nova atividade de conta de administrador que não foram vistas recentemente
Esse cenário pertence a duas classificações de ameaças nesta lista: exfiltração de dados e atividade administrativa mal-intencionada. Para fins de clareza, ele aparece em ambas as seções.
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Coleção, Exfiltração
Técnicas de MITRE ATT&CK: Conta válida (T1078), Coleção de Email (T1114), Exfiltração por Serviço Web (T1567)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: incidentes Fusion desse tipo indicam que uma nova conta de administrador de serviços do Exchange foi criada ou uma conta de administrador de serviços do Exchange existente tomou alguma ação administrativa pela primeira vez nas últimas duas semanas, e que a conta fez algumas ações de encaminhamento de email, que são incomuns para uma conta de administrador. Essa evidência sugere que a conta de usuário observada na descrição do incidente do Fusion foi comprometida ou manipulada e que ela foi usada para exfiltrar dados da rede da sua organização.
Download de arquivos em massa após entrada suspeita no Microsoft Entra
Táticas do MITRE ATT&CK: Acesso Inicial, Exfiltração
Técnicas do MITRE ATT&CK: Conta Válida (T1078)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de arquivos foi baixado por um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para exfiltrar dados da rede de sua organização. As permutações de alertas de entradas suspeitas do Microsoft Entra com o alerta de download de arquivos em massa são:
Viagem impossível a um local atípico que leva ao download em massa de arquivo
Evento de entrada de um local desconhecido que leva ao download em massa de arquivo
Evento de entrada de um dispositivo infectado que leva ao download em massa de arquivo
Evento de entrada de um IP anônimo que leva ao download em massa de arquivo
Evento de entrada de usuário com credenciais vazadas que levam ao download em massa de arquivo
Download de arquivos em massa após a entrada bem-sucedida do Microsoft Entra a partir do IP bloqueado por um dispositivo de firewall da Cisco
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Exfiltração
Técnicas de MITRE ATT&CK: Conta válida (T1078), Exfiltração por Serviço Web (T1567)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de arquivos foram baixados por um usuário após uma entrada bem-sucedida do Microsoft Entra, apesar do endereço IP do usuário ter sido bloqueado por um dispositivo de firewall da Cisco. Isso pode ser uma tentativa de um invasor exfiltrar dados da rede da organização após comprometer uma conta de usuário. Como o IP foi bloqueado pelo firewall, é potencialmente suspeito esse IP entrar com êxito no Microsoft Entra ID e pode indicar comprometimento de credenciais da conta de usuário.
Download de arquivos em massa coincidindo com a operação de arquivo do SharePoint a partir de um IP que não foi visto anteriormente
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Exfiltração
Técnicas do Mitre ATT&CK: Exfiltração por Serviço Web (T1567), Limites de Tamanho de Transferência de Dados (T1030)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: incidentes Fusion desse tipo indicam que um número anormal de arquivos foi baixado por um usuário conectado de um endereço IP que não foi visto anteriormente. Embora não seja evidência de um ataque de multiestágio, a correlação desses dois alertas de baixa fidelidade resulta em um incidente de alta fidelidade sugerindo uma tentativa de um invasor exfiltrar dados da rede da organização a partir de uma conta de usuário possivelmente comprometida. Em ambientes estáveis, essas conexões por IPs que não foram vistos anteriormente podem não ser autorizadas, especialmente se associadas a picos de volume que possam ser associados a um exfiltração de documentos em grande escala.
Compartilhamento de arquivos em massa após entrada suspeita no Microsoft Entra
Táticas do MITRE ATT&CK: Acesso Inicial, Exfiltração
Técnicas de MITRE ATT&CK: Conta válida (T1078), Exfiltração por Serviço Web (T1567)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número de arquivos acima de um limite específico foi compartilhado com outras pessoas após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para exfiltrar dados da rede de sua organização, compartilhando arquivos como documentos, planilhas, etc., com usuários não autorizados para fins mal-intencionados. As permutações de alertas de entradas suspeitas do Microsoft Entra com o alerta de compartilhamento de arquivos em massa são:
Viagem impossível a um local atípico que leva ao compartilhamento em massa de arquivo
Evento de entrada de um local desconhecido que leva ao compartilhamento em massa de arquivo
Evento de entrada de um dispositivo infectado que leva ao compartilhamento em massa de arquivo
Evento de entrada de um IP anônimo que leva ao compartilhamento em massa de arquivo
Evento de entrada de usuário com credenciais vazadas que levam ao compartilhamento em massa de arquivo
Várias atividades de compartilhamento de relatório do Power BI após entrada suspeita no Microsoft Entra
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Exfiltração
Técnicas de MITRE ATT&CK: Conta válida (T1078), Exfiltração por Serviço Web (T1567)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de relatórios do Power BI foi compartilhado em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para exfiltrar dados da rede de sua organização, compartilhando relatórios Power BI com usuários não autorizados para fins mal-intencionados. As permutações de alertas de entradas suspeitas no Microsoft Entra com o alerta de várias atividades de compartilhamento de relatório do Power BI são:
Viagem impossível a um local atípico que leva a várias atividades de compartilhamento de relatório do Power BI
Evento de entrada de um local desconhecido que leva a várias atividades de compartilhamento de relatório do Power BI
Evento de entrada de um dispositivo infectado que leva a várias atividades de compartilhamento de relatório do Power BI
Evento de entrada de um endereço IP anônimo que leva a várias atividades de compartilhamento de relatório do Power BI
Evento de entrada de usuário com credenciais vazadas que leva a várias atividades de compartilhamento de relatório do Power BI
Exfiltração da caixa de correio do Office 365 após uma entrada suspeita no Microsoft Entra
Táticas do MITRE ATT&CK: Acesso Inicial, Exfiltração, Coleção
Técnicas MITRE ATT&CK: Conta válida (T1078), Coleção de e-mail (T1114), Exfiltração automatizada (T1020)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que uma regra de encaminhamento de caixa de entrada suspeita foi definida na caixa de entrada de um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta do usuário (indicada na descrição do incidente do Fusion) foi comprometida, e que foi usada para exfiltrar dados da rede da sua organização, habilitando uma regra de encaminhamento de caixa de correio sem o conhecimento do usuário verdadeiro. As permutações de alertas de entradas suspeitas no Microsoft Entra com o alerta de exfiltração de caixa de correio do Office 365 são:
Viagem impossível a um local atípico que leva à exfiltração da caixa de correio do Office 365
Evento de entrada de um local desconhecido que leva à exfiltração da caixa de correio do Office 365
Evento de entrada de um dispositivo infectado que leva à exfiltração da caixa de correio do Office 365
Evento de entrada de um endereço IP anônimo que leva à exfiltração da caixa de correio do Office 365
Evento de entrada de usuário com credenciais vazadas que levam à exfiltração da caixa de correio do Office 365
Operação de arquivos do SharePoint de IP que não foi visto anteriormente após detecção de malware
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: exfiltração, evasão de defesa
Técnicas do MITRE ATT&CK: limites de tamanho de transferência de dados (T1030)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: incidentes Fusion desse tipo indicam que um invasor tentou exfiltrar grandes quantidades de dados baixando ou compartilhando por meio do SharePoint usando um malware. Em ambientes estáveis, essas conexões por IPs que não foram vistos anteriormente podem não ser autorizadas, especialmente se associadas a picos de volume que possam ser associados a um exfiltração de documentos em grande escala.
Regras de manipulação suspeita da caixa de entrada após a entrada suspeita no Microsoft Entra
Esse cenário pertence a duas classificações de ameaças nesta lista: exfiltração de dados e movimentação lateral. Para fins de clareza, ele aparece em ambas as seções.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Movimentação Laterais, Exfiltração
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Spear Phishing Interno (T1534), Exfiltração Automatizada (T1020)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que regras de caixa de entrada anormais foram definidas na caixa de entrada de um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência fornece uma indicação de alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para manipular as regras da caixa de entrada de e-mail do usuário para fins mal-intencionados. Possivelmente para exfiltrar dados da rede da organização. Como alternativa, o invasor pode estar tentando gerar e-mails de phishing de dentro da organização (ignorando mecanismos de detecção de phishing direcionados ao e-mail de fontes externas) com a finalidade de mover-se lateralmente ao obter acesso a contas adicionais de usuário e/ou privilegiadas. As permutações de alertas de entradas suspeitas do Microsoft Entra com o alerta de regras de manipulação de caixa de entrada suspeitas são:
Viagem impossível a um local atípico que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um local desconhecido que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um dispositivo infectado que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um endereço IP anônimo que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um usuário com credenciais vazadas que leva à regra de manipulação de caixa de entrada suspeita
Compartilhamento suspeito de relatório do Power BI após entrada suspeita no Microsoft Entra
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Exfiltração
Técnicas de MITRE ATT&CK: Conta válida (T1078), Exfiltração por Serviço Web (T1567)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que uma atividade suspeita de compartilhamento de relatório do Power BI ocorreu após uma entrada suspeita em uma conta do Microsoft Entra. A atividade de compartilhamento foi identificada como suspeita porque o relatório do Power BI continha informações confidenciais identificadas usando o processamento de linguagem natural, e porque ele foi compartilhado com um endereço de e-mail externo, publicado na Web ou entregue como um instantâneo para um endereço de e-mail assinado externamente. Essa indicação fornece alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para exfiltrar dados confidenciais de sua organização, compartilhando relatórios do Power BI com usuários não autorizados para fins mal-intencionados. As permutações de alertas de entradas suspeitas no Microsoft Entra com o compartilhamento suspeito de relatórios do Power BI são:
Viagem impossível a um local atípico que leva ao compartilhamento suspeito de relatório do Power BI
Evento de entrada de um local desconhecido que leva ao compartilhamento suspeito de relatório do Power BI
Evento de entrada de um dispositivo infectado que leva ao compartilhamento suspeito de relatório do Power BI
Evento de entrada de um endereço IP anônimo que leva ao compartilhamento suspeito de relatório do Power BI
Evento de entrada de usuário com credenciais vazadas que leva ao compartilhamento suspeito de relatório do Power BI
Negação de serviço
Várias atividades de exclusão de VM seguidas de entradas suspeitas no Microsoft Entra
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Impacto
Técnicas de MITRE ATT&CK: Conta válida (T1078), Negação de Serviço do Ponto de Extremidade (T1499)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de VMs foi excluído em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para tentar interromper ou destruir o ambiente de nuvem da organização. As permutações de alertas de entradas suspeitas do Microsoft Entra com o alerta de várias atividades de exclusão de VM são:
Viagem impossível para um local atípico que leva a várias atividades de exclusão de VM
Evento de entrada de um local desconhecido que leva a várias atividades de exclusão de VM
Evento de entrada de um dispositivo infectado que leva a várias atividades de exclusão de VM
Evento de entrada de um endereço IP anônimo que leva a várias atividades de exclusão de VM
Evento de entrada de usuário com credenciais vazadas que leva a várias atividades de exclusão de VM
Movimento lateral
Representação do Office 365 após entrada suspeita no Microsoft Entra
Táticas do MITRE ATT&CK: Acesso Inicial, Movimentação Laterais
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Spear Phishing Interno (T1534)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de ações de representação ocorreu após uma entrada suspeita em uma conta do Microsoft Entra. Em alguns softwares, há opções para permitir que os usuários representem outros usuários. Por exemplo, os serviços de e-mail permitem que os usuários autorizem outros usuários a enviar e-mail em seu nome. Esse alerta indica maior confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para conduzir atividades de representação para fins mal-intencionados, como enviar e-mails de phishing para distribuição de malware, ou para movimentação lateral. As permutações de alertas de entradas suspeitas no Microsoft Entra com alertas de representação do Office 365 são:
Viagem impossível a um local atípico que leva à representação no Office 365
Evento de entrada de um local desconhecido que leva à representação no Office 365
Evento de entrada de um dispositivo infectado que leva à representação no Office 365
Evento de entrada de um endereço IP anônimo que leva à representação no Office 365
Evento de entrada do usuário com credenciais vazadas levando à representação no Office 365
Regras de manipulação suspeita da caixa de entrada após a entrada suspeita no Microsoft Entra
Esse cenário pertence a duas classificações de ameaças nesta lista: movimentação lateral e exfiltração dos dados. Para fins de clareza, ele aparece em ambas as seções.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Movimentação Laterais, Exfiltração
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Spear Phishing Interno (T1534), Exfiltração Automatizada (T1020)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que regras de caixa de entrada anormais foram definidas na caixa de entrada de um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência fornece uma indicação de alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e usada para manipular as regras da caixa de entrada de e-mail do usuário para fins mal-intencionados. Possivelmente para exfiltrar dados da rede da organização. Como alternativa, o invasor pode estar tentando gerar e-mails de phishing de dentro da organização (ignorando mecanismos de detecção de phishing direcionados ao e-mail de fontes externas) com a finalidade de mover-se lateralmente ao obter acesso a contas adicionais de usuário e/ou privilegiadas. As permutações de alertas de entradas suspeitas do Microsoft Entra com o alerta de regras de manipulação de caixa de entrada suspeitas são:
Viagem impossível a um local atípico que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um local desconhecido que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um dispositivo infectado que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um endereço IP anônimo que leva à regra de manipulação de caixa de entrada suspeita
Evento de entrada de um usuário com credenciais vazadas que leva à regra de manipulação de caixa de entrada suspeita
Atividade administrativa mal-intencionada
Atividade administrativa suspeita de aplicativo em nuvem após uma entrada suspeita do Microsoft Entra
Táticas de MITRE ATT&CK: Acesso Inicial, Persistência, Evasão de Defesa, Movimentação Lateral, Coleção, Exfiltração e Impacto
Técnica do MITRE ATT&CK: N/A
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um número anormal de atividades administrativas foi executado em uma única sessão após uma entrada suspeita no Microsoft Entra da mesma conta. Essa evidência sugere que a conta indicada na descrição do incidente Fusion pode ter sido comprometida e usada para realizar quaisquer ações administrativas não autorizadas e mal-intencionadas. Isso também indica que uma conta com privilégios administrativos pode ter sido comprometida. As permutações de alertas de entrada suspeitas no Microsoft Entra com o alerta de atividade administrativa suspeita de aplicativo em nuvem são:
Viagem impossível a um local atípico que leva à atividade administrativa suspeita do aplicativo em nuvem
Evento de entrada de um local desconhecido que leva à atividade administrativa suspeita do aplicativo em nuvem
Evento de entrada de um dispositivo infectado que leva à atividade administrativa suspeita do aplicativo em nuvem
Evento de entrada de um endereço IP anônimo que leva à atividade administrativa suspeita do aplicativo em nuvem
Evento de entrada do usuário com credenciais vazadas que levam à atividade administrativa suspeita do aplicativo em nuvem
Atividades de encaminhamento de email após nova atividade de conta de administrador que não foram vistas recentemente
Esse cenário pertence a duas classificações de ameaças nesta lista: atividade administrativa mal-intencionada e exfiltração de dados. Para fins de clareza, ele aparece em ambas as seções.
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Coleção, Exfiltração
Técnicas de MITRE ATT&CK: Conta válida (T1078), Coleção de Email (T1114), Exfiltração por Serviço Web (T1567)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: incidentes Fusion desse tipo indicam que uma nova conta de administrador de serviços do Exchange foi criada ou uma conta de administrador de serviços do Exchange existente tomou alguma ação administrativa pela primeira vez nas últimas duas semanas, e que a conta fez algumas ações de encaminhamento de email, que são incomuns para uma conta de administrador. Essa evidência sugere que a conta de usuário observada na descrição do incidente do Fusion foi comprometida ou manipulada e que ela foi usada para exfiltrar dados da rede da sua organização.
Execução mal-intencionada com processo legítimo
O PowerShell fez uma conexão de rede suspeita, seguida pelo tráfego anômalo sinalizado pelo firewall Palo Alto Networks.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Execução
Técnicas do MITRE ATT&CK: Intérprete de Scripting e Comando (T1059)
Fontes de conector de dados: o Microsoft Defender para Ponto de Extremidade (antiga Proteção Avançada contra Ameaças do Microsoft Defender ou MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Incidentes Fusion desse tipo indicam que uma solicitação de conexão de saída foi feita por meio de um comando do PowerShell e, depois disso, uma atividade de entrada anormal foi detectada pelo firewall Palo Alto Networks. Essa evidência sugere que um invasor provavelmente obteve acesso à sua rede e está tentando executar ações mal-intencionadas. As tentativas de conexão do PowerShell que seguem esse padrão podem ser uma indicação de atividade de comando e controle de malware, solicitações para o download adicional de malware ou um invasor que estabelece o acesso interativo remoto. Assim como com todos os ataques de "living off the land", essa atividade pode ser um uso legítimo do PowerShell. No entanto, a execução do comando do PowerShell seguida pela atividade suspeita de entrada do Firewall aumenta a confiança de que o PowerShell está sendo usado de maneira mal-intencionada e deve ser ainda mais investigada. Nos logs do Palo Alto, o Microsoft Sentinel se concentra nos logs de ameaça, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, examinações, spyware, URLs, vírus, vulnerabilidades, vírus suspeitos, incêndios). Também busque referência no Log de Ameaças Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente Fusion para obter detalhes adicionais do alerta.
Execução de WMI remota suspeita seguida por tráfego anômalo sinalizado pelo firewall Palo Alto Networks
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Execução, Descoberta
Técnicas do MITRE ATT&CK: Instrumentação de Gerenciamento do Windows (T1047)
Fontes de conector de dados: Microsoft Defender para Ponto de Extremidade (antiga MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Os incidentes de fusão desse tipo indicam que os comandos da Interface de Gerenciamento do Windows (WMI) foram executados remotamente em um sistema e, depois disso, a atividade de entrada suspeita foi detectada pelo firewall Palo Alto Networks. Essa evidência sugere que um invasor pode ter obtido acesso à sua rede e está tentando se mover de forma indireta, estender privilégios e/ou executar conteúdos mal-intencionados. Assim como com todos os ataques de "living off the land", essa atividade pode ser um uso legítimo da WMI. No entanto, a execução remota do comando da WMI seguida pela atividade suspeita de entrada do Firewall aumenta a confiança de que a WMI está sendo usada de maneira mal-intencionada e deve ser ainda mais investigada. Nos logs do Palo Alto, o Microsoft Sentinel se concentra nos logs de ameaça, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, examinações, spyware, URLs, vírus, vulnerabilidades, vírus suspeitos, incêndios). Também busque referência no Log de Ameaças Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente Fusion para obter detalhes adicionais do alerta.
Linha de comando suspeita do PowerShell após entrada suspeita
Táticas no MITRE ATT&CK: Acesso Inicial, Execução
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Intérprete de Scripting e Comando (T1059)
Fontes de conector de dados: Microsoft Entra ID Protection, Microsoft Defender para Ponto de Extremidade (anteriormente MDATP)
Descrição: os incidentes do Fusion desse tipo indicam que um usuário executou comandos do PowerShell potencialmente mal-intencionados após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência sugere com alta confiança que a conta indicada na descrição do alerta foi comprometida e outras ações mal-intencionadas foram tomadas. Os invasores geralmente usam o PowerShell para executar conteúdos mal-intencionados na memória sem deixar artefatos no disco, a fim de evitar a detecção por mecanismos de segurança baseados em disco, como programas antivírus. As permutações de alertas de entradas suspeitas no Microsoft Entra com o alerta de comando suspeito do PowerShell são:
Viagem impossível a locais atípicos que levam à linha de comando suspeita do PowerShell
Evento de entrada de um local desconhecido que leva à linha de comando suspeita do PowerShell
Evento de entrada de um dispositivo infectado que leva à linha de comando suspeita do PowerShell
Evento de entrada de um endereço IP anônimo que leva à linha de comando suspeita do PowerShell
Evento de entrada de usuário com credenciais vazadas que leva à linha de comando suspeita do PowerShell
Malware C2 ou download
Padrão de sinalizador sonoro detectado pelo Fortinet após várias entradas de usuário com falha em um serviço
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Comando e Controle
Técnicas do MITRE ATT&CK: Conta válida (T1078), Porta não padrão (T1571), T1065 (desativada)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Aplicativos do Microsoft Defender para Nuvem
Descrição: Incidentes Fusion desse tipo indicam padrões de comunicação, de um endereço IP interno para um externo, que são consistentes com o sinalização, após várias entradas de usuário com falha em um serviço de uma entidade interna relacionada. A combinação desses dois eventos pode indicar uma infecção por malware ou um host comprometido fazendo exfiltração de dados.
Padrão de sinalizador sonoro detectado pelo Fortinet após a entrada suspeita do Microsoft Entra
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Comando e Controle
Técnicas do MITRE ATT&CK: Conta válida (T1078), Porta não padrão (T1571), T1065 (desativada)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam padrões de comunicação, de um endereço IP interno para um externo, que são consistentes com sinalização, após a entrada de usuário de natureza suspeita no Microsoft Entra. A combinação desses dois eventos pode indicar uma infecção por malware ou um host comprometido fazendo exfiltração de dados. As permutações do padrão do sinalizador sonoro detectados pelos alertas da Fortinet com alertas de entradas suspeitas do Microsoft Entra são:
Viagem impossível para um local atípico que leva ao padrão de sinalizador sonoro detectado pela Fortinet
Evento de entrada de um local desconhecido que leva ao padrão de sinalizador sonoro detectado pela Fortinet
Evento de entrada de um dispositivo infectado que leva ao padrão que leva ao padrão de sinalizador sonoro detectado pela Fortinet
Evento de entrada de um endereço IP anônimo que leva ao padrão de sinalizador sonoro detectado pela Fortinet
Evento de entrada do usuário com credenciais vazadas que leva ao padrão de sinalizador sonoro detectado pela Fortinet
Solicitação de rede para o serviço de anonimato TOR seguido pelo tráfego anormal sinalizado pelo firewall Palo Alto Networks.
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Comando e Controle
Técnicas do MITRE ATT&CK: Canal Criptografado (T1573), Proxy (T1090)
Fontes de conector de dados: Microsoft Defender para Ponto de Extremidade (antiga MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Incidentes Fusion desse tipo indicam que uma solicitação de conexão de saída foi feita por meio de um serviço de anonimato do TOR, depois disso, uma atividade de entrada anormal foi detectada pelo firewall Palo Alto Networks. Essa evidência sugere que um invasor provavelmente obteve acesso à sua rede e está tentando ocultar suas ações e intenções. As conexões à rede TOR que seguem esse padrão podem ser uma indicação de atividade de comando e controle de malware, solicitações para o download adicional de malware ou um invasor que estabelece o acesso interativo remoto. Nos logs do Palo Alto, o Microsoft Sentinel se concentra nos logs de ameaça, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, examinações, spyware, URLs, vírus, vulnerabilidades, vírus suspeitos, incêndios). Também busque referência no Log de Ameaças Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente Fusion para obter detalhes adicionais do alerta.
Conexão de saída para IP com um histórico de tentativas de acesso não autorizado seguidas por tráfego anormal sinalizado pelo firewall Palo Alto Networks
Este cenário está atualmente em versão PRÉVIA.
Táticas do MITRE ATT&CK: Comando e Controle
Técnica do MITRE ATT&CK: Não aplicável
Fontes de conector de dados: Microsoft Defender para Ponto de Extremidade (antiga MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Incidentes Fusion desse tipo indicam que uma conexão de saída para um endereço IP com um histórico de tentativas de acesso não autorizado foi estabelecida e, depois disso, uma atividade anormal foi detectada pelo firewall Palo Alto Networks. Essa evidência sugere que um invasor provavelmente obteve acesso à sua rede. As conexões que seguem esse padrão podem ser uma indicação de atividade de comando e controle de malware, solicitações para o download adicional de malware ou um invasor que estabelece o acesso interativo remoto. Nos logs do Palo Alto, o Microsoft Sentinel se concentra nos logs de ameaça, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, examinações, spyware, URLs, vírus, vulnerabilidades, vírus suspeitos, incêndios). Também busque referência no Log de Ameaças Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente Fusion para obter detalhes adicionais do alerta.
Persistência
(Nova classificação de ameaças)
Consentimento de aplicativo raro após entrada suspeita
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Persistência, Acesso Inicial
Técnicas do MITRE ATT&CK: Criar Conta (T1136), Conta Válida (T1078)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um aplicativo recebeu o consentimento de um usuário que nunca ou raramente faz isso, após uma entrada suspeita relacionada a uma conta do Microsoft Entra. Essa evidência sugere que a conta observada na descrição do incidente Fusion pode ter sido comprometida e usada para acessar dados ou manipular o aplicativo para fins mal-intencionados. Consentimento ao aplicativo, Adicionar entidade de serviço e Adicionar OAuth2PermissionGrant, normalmente devem ser eventos raros. Os invasores podem usar esse tipo de alteração de configuração para estabelecer ou manter seu destaque nos sistemas. As permutações de alertas de entrada suspeita no Microsoft Entra com o alerta de consentimento de aplicativo raro são:
Viagem impossível para um local atípico que leva ao consentimento de aplicativo raro
Evento de entrada de um local desconhecido que leva ao consentimento de aplicativo raro
Evento de entrada de um dispositivo infectado que leva a um consentimento de aplicativo raro
Evento de entrada de um endereço de IP anônimo que leva a um consentimento de aplicativo raro
Evento de entrada do usuário com credenciais vazadas que leva ao consentimento de aplicativo raro
Ransomware
Execução de ransomware após entrada suspeita no Microsoft Entra
Táticas no MITRE ATT&CK: Acesso Inicial, Impacto
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Dados Criptografados para Impacto (T1486)
Fontes de conector de dados: Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam comportamento anormal do usuário indicando que um ataque de ransomware foi detectado após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta indicada na descrição do incidente Fusion foi comprometida e foi usada para criptografar dados com o propósito de extorquir o proprietário dos dados ou negar a ele acesso aos dados. As permutações de alertas de entrada suspeita no Microsoft Entra com o alerta de execução de ransomware são:
Viagem impossível a um local atípico que leva ao ransomware no aplicativo de nuvem
Evento de entrada de um local desconhecido que leva ao ransomware no aplicativo de nuvem
Evento de entrada de um dispositivo infectado que leva ao ransomware no aplicativo de nuvem
Evento de login de um endereço IP anônimo que leva ao ransomware no aplicativo de nuvem
Evento de login do usuário com credenciais vazadas que levam ao ransomware no aplicativo de nuvem
Exploração remota
Suspeita de uso da estrutura de ataque seguida por tráfego anormal sinalizado pelo firewall Palo Alto Networks
Atualmente, este cenário está em VERSÃO PRÉVIA.
Táticas do MITRE ATT&CK: Acesso Inicial, Execução, Movimentação Lateral, Escalonamento de Privilégio
Técnicas de MITRE ATT&CK: Exploração de Aplicativo Voltado para o Público (T1190), Exploração para Execução do Cliente (T1203), Exploração de Serviços Remotos (T1210), Exploração para Escalonamento de Privilégio (T1068)
Fontes de conector de dados: Microsoft Defender para Ponto de Extremidade (antiga MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Incidentes Fusion desse tipo indicam que os usos não padrão de protocolos, semelhantes ao uso de estruturas de ataque como Metasploit, foram detectados e, depois disso, uma atividade de entrada suspeita foi detectada pelo Firewall Palo Alto Networks. Essa pode ser uma indicação inicial de que um invasor explorou um serviço para obter acesso aos seus recursos de rede ou que um invasor já obteve acesso e está tentando explorar ainda mais os sistemas ou serviços disponíveis para mover-se lateralmente e/ou escalonar privilégios. Nos logs do Palo Alto, o Microsoft Sentinel se concentra nos logs de ameaça, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, examinações, spyware, URLs, vírus, vulnerabilidades, vírus suspeitos, incêndios). Também busque referência no Log de Ameaças Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente Fusion para obter detalhes adicionais do alerta.
Sequestro de recursos
(Nova classificação de ameaças)
Implantação de grupo de recursos ou recurso suspeito por um chamador não visto anteriormente após a entrada suspeita do Microsoft Entra
Esse cenário usa alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em versão PRÉVIA.
Táticas no MITRE ATT&CK: Acesso Inicial, Impacto
Técnicas do MITRE ATT&CK: Conta Válida (T1078), Sequestro de Recurso (T1496)
Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection
Descrição: os incidentes do Fusion desse tipo indicam que um usuário implantou um recurso ou grupo de recursos do Azure – uma atividade rara – após uma entrada suspeita, com propriedades não vistas recentemente, em uma conta do Microsoft Entra. Isso pode ser uma tentativa de um invasor de implantar recursos ou grupos de recursos para fins mal-intencionados depois de comprometer a conta de usuário observada na descrição do incidente do Fusão.
As permutações de alertas de entradas suspeitas do Microsoft Entra com a implantação de recurso ou grupo de recursos suspeito por um alerta de chamador não visto anteriormente são:
Viagem impossível para um local atípico que leva à implantação suspeita de recurso/grupo de recursos por um chamador não visto anteriormente
Evento de entrada de um local atípico que leva à implantação suspeita de recurso/grupo de recursos por um chamador não visto anteriormente
Evento de entrada de um dispositivo infectado que leva à implantação suspeita de recurso/grupo de recursos por um chamador não visto anteriormente
Evento de entrada de um endereço de IP anônimo que leva à implantação suspeita de recursos/grupo de recursos por um chamador não visto anteriormente
Evento de entrada de um usuário com credenciais vazadas que leva à implantação suspeita de recurso/grupo de recursos por um chamador não visto anteriormente
Próximas etapas
Agora que você sabe mais sobre a detecção avançada de ataques multiestágio, talvez esteja interessado no guia de início rápido a seguir para saber como obter visibilidade sobre seus dados e possíveis ameaças: Introdução ao Microsoft Sentinel.
Se estiver pronto para investigar os incidentes criados para você, confira o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.