Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este documento lista os tipos de ataques de várias fases baseados em cenários, agrupados por classificação de ameaças, que Microsoft Sentinel deteta com o motor de correlação Fusão.
Uma vez que a Fusão correlaciona vários sinais de vários produtos para detetar ataques avançados em várias fases, as deteções de Fusão bem-sucedidas são apresentadas como incidentes de Fusão na página Incidentes do Microsoft Sentinel e não como alertas, e são armazenadas na tabela Incidentes em Registos e não na tabela SecurityAlerts.
Para ativar estes cenários de deteção de ataques baseados em Fusão, todas as origens de dados listadas têm de ser ingeridas na área de trabalho do Log Analytics. Para cenários com regras de análise agendada, siga as instruções em Configurar regras de análise agendadas para deteções de Fusão.
Nota
Alguns destes cenários estão em PRÉ-VISUALIZAÇÃO. Serão tão indicados.
Abuso de recursos de computação
Várias atividades de criação de VMs após início de sessão suspeito Microsoft Entra
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Hijacking de Recursos (T1496)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de VMs foi criado numa única sessão após um início de sessão suspeito numa conta Microsoft Entra. Este tipo de alerta indica, com um elevado grau de confiança, que a conta indicada na descrição do incidente de Fusão foi comprometida e utilizada para criar novas VMs para fins não autorizados, como a execução de operações de extração criptográfica. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de várias atividades de criação de VM são:
Deslocação impossível para uma localização atípica que conduz a várias atividades de criação de VMs
Evento de início de sessão a partir de uma localização desconhecida que conduz a várias atividades de criação de VMs
Evento de início de sessão de um dispositivo infetado que conduz a várias atividades de criação de VMs
Evento de início de sessão a partir de um endereço IP anónimo que conduz a várias atividades de criação de VMs
Evento de início de sessão do utilizador com credenciais vazadas que conduzem a várias atividades de criação de VMs
Acesso a credenciais
(Nova classificação de ameaças)
Reposição de várias palavras-passe por utilizador após início de sessão suspeito
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Acesso a Credenciais
MITRE ATT&técnicas CK: Conta Válida (T1078), Força Bruta (T1110)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), proteção do Microsoft Entra ID
Descrição: Incidentes de fusão deste tipo indicam que um utilizador repôs várias palavras-passe após um início de sessão suspeito numa conta Microsoft Entra. Estas evidências sugerem que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para efetuar várias reposições de palavra-passe para obter acesso a vários sistemas e recursos. A manipulação da conta (incluindo a reposição de palavra-passe) pode ajudar os adversários a manter o acesso às credenciais e determinados níveis de permissão num ambiente. As permutações de alertas de início de sessão suspeitos Microsoft Entra com vários alertas de reposição de palavras-passe são:
Deslocação impossível para uma localização atípica que leva à reposição de várias palavras-passe
Evento de início de sessão a partir de uma localização desconhecida que leva à reposição de várias palavras-passe
Evento de início de sessão de um dispositivo infetado que leva à reposição de várias palavras-passe
Evento de início de sessão a partir de um IP anónimo que leva à reposição de várias palavras-passe
Evento de início de sessão do utilizador com credenciais vazadas que levam à reposição de várias palavras-passe
Início de sessão suspeito a coincidir com o início de sessão bem-sucedido na VPN palo Alto por IP com vários inícios de sessão Microsoft Entra falhados
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Acesso a Credenciais
MITRE ATT&técnicas CK: Conta Válida (T1078), Força Bruta (T1110)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), proteção do Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um início de sessão suspeito numa conta Microsoft Entra coincidiu com um início de sessão bem-sucedido através de uma VPN Palo Alto a partir de um endereço IP a partir do qual vários inícios de sessão Microsoft Entra falhados ocorreram num período de tempo semelhante. Embora não sejam provas de um ataque em várias fases, a correlação destes dois alertas de baixa fidelidade resulta num incidente de alta fidelidade que sugere acesso inicial malicioso à rede da organização. Em alternativa, isto pode ser uma indicação de que um atacante está a tentar utilizar técnicas de força bruta para obter acesso a uma conta Microsoft Entra. As permutações de alertas de início de sessão suspeitos Microsoft Entra com alertas de "IP com vários inícios de sessão falhados Microsoft Entra inicia sessão com êxito na VPN palo Alto" são:
Viagem impossível para uma localização atípica coincidindo com o IP com vários inícios de sessão falhados Microsoft Entra inicia sessão com êxito na VPN palo Alto
Evento de início de sessão a partir de uma localização desconhecida que coincide com o IP com vários inícios de sessão Microsoft Entra falhados inicia sessão com êxito na VPN palo Alto
Evento de início de sessão de um dispositivo infetado a coincidir com o IP com vários inícios de sessão falhados Microsoft Entra inicia sessão com êxito na VPN palo Alto
Evento de início de sessão a partir de um IP anónimo a coincidir com o IP com vários inícios de sessão falhados Microsoft Entra inicia sessão com êxito na VPN palo Alto
Evento de início de sessão do utilizador com credenciais vazadas a coincidir com o IP com vários inícios de sessão falhados Microsoft Entra inicia sessão com êxito na VPN palo Alto
Recolha de credenciais
(Nova classificação de ameaças)
Execução de ferramentas de roubo de credenciais maliciosas após início de sessão suspeito
MITRE ATT&táticas CK: Acesso Inicial, Acesso a Credenciais
MITRE ATT&técnicas CK: Conta Válida (T1078), Captura de Credenciais do SO (T1003)
Origens do conector de dados: proteção Microsoft Entra ID, Microsoft Defender para Endpoint
Descrição: Incidentes de fusão deste tipo indicam que uma ferramenta de roubo de credenciais conhecida foi executada na sequência de um início de sessão suspeito Microsoft Entra. Estas evidências sugerem com elevada confiança que a conta de utilizador indicada na descrição do alerta foi comprometida e pode ter utilizado com êxito uma ferramenta como o Mimikatz para recolher credenciais como chaves, palavras-passe de texto simples e/ou hashes de palavras-passe do sistema. As credenciais recolhidas podem permitir que um atacante aceda a dados confidenciais, aumente os privilégios e/ou se mova lateralmente pela rede. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta da ferramenta de roubo de credenciais maliciosas são:
Deslocação impossível para localizações atípicas que levam à execução de ferramentas de roubo de credenciais maliciosas
Evento de início de sessão a partir de uma localização desconhecida que conduz à execução de ferramentas de roubo de credenciais maliciosas
Evento de início de sessão de um dispositivo infetado que conduz à execução da ferramenta de roubo de credenciais maliciosas
Evento de início de sessão a partir de um endereço IP anónimo que conduz à execução da ferramenta de roubo de credenciais maliciosas
Evento de início de sessão do utilizador com credenciais vazadas que levam à execução da ferramenta de roubo de credenciais maliciosas
Atividade suspeita de roubo de credenciais após início de sessão suspeito
MITRE ATT&táticas CK: Acesso Inicial, Acesso a Credenciais
MITRE ATT&técnicas CK: Conta Válida (T1078), Credenciais dos Arquivos de Palavras-passe (T1555), Captura de Credenciais do SO (T1003)
Origens do conector de dados: proteção Microsoft Entra ID, Microsoft Defender para Endpoint
Descrição: Incidentes de fusão deste tipo indicam que a atividade associada a padrões de roubo de credenciais ocorreu na sequência de um início de sessão suspeito Microsoft Entra. Estas evidências sugerem com elevada confiança que a conta de utilizador indicada na descrição do alerta foi comprometida e utilizada para roubar credenciais, tais como chaves, palavras-passe de texto simples, hashes de palavras-passe, etc. As credenciais roubadas podem permitir que um atacante aceda a dados confidenciais, aumente os privilégios e/ou se mova lateralmente pela rede. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de atividade de roubo de credenciais são:
Viagem impossível para localizações atípicas que levam a suspeitas de atividade de roubo de credenciais
Evento de início de sessão a partir de uma localização desconhecida que leva à suspeita de atividade de roubo de credenciais
Evento de início de sessão de um dispositivo infetado que conduz à suspeita de atividade de roubo de credenciais
Evento de início de sessão a partir de um endereço IP anónimo que conduz à suspeita de atividade de roubo de credenciais
Evento de início de sessão do utilizador com credenciais vazadas que levam à suspeita de atividade de roubo de credenciais
Exploração criptográfica
(Nova classificação de ameaças)
Atividade de extração criptográfica após início de sessão suspeito
MITRE ATT&táticas CK: Acesso Inicial, Acesso a Credenciais
MITRE ATT&técnicas CK: Conta Válida (T1078), Hijacking de Recursos (T1496)
Origens do conector de dados: Proteção Microsoft Entra ID, Microsoft Defender para a Cloud
Descrição: Os incidentes de fusão deste tipo indicam a atividade de extração criptográfica associada a um início de sessão suspeito numa conta Microsoft Entra. Estas evidências sugerem com alta confiança que a conta de utilizador indicada na descrição do alerta foi comprometida e foi utilizada para sequestrar recursos no seu ambiente para extrair a moeda criptométrica. Isto pode passar fome nos seus recursos de poder de computação e/ou resultar em faturas de utilização da cloud significativamente mais elevadas do que o esperado. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de atividade de extração criptográfica são:
Viagem impossível para localizações atípicas que levam à atividade criptografativa
Evento de início de sessão a partir de uma localização desconhecida que conduz à atividade de extração criptográfica
Evento de início de sessão de um dispositivo infetado que conduz à atividade de extração criptográfica
Evento de início de sessão a partir de um endereço IP anónimo que conduz à atividade de extração criptográfica
Evento de início de sessão do utilizador com credenciais vazadas que conduzem à atividade de extração criptográfica
Destruição de dados
Eliminação de ficheiros em massa após início de sessão suspeito Microsoft Entra
MITRE ATT&táticas CK: Acesso Inicial, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Destruição de Dados (T1485)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de ficheiros exclusivos foi eliminado na sequência de um início de sessão suspeito numa conta Microsoft Entra. Estas provas sugerem que a conta indicada na descrição do incidente de Fusão pode ter sido comprometida e utilizada para destruir dados para fins maliciosos. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de eliminação de ficheiros em massa são:
Deslocação impossível para uma localização atípica que conduz à eliminação de ficheiros em massa
Evento de início de sessão a partir de uma localização desconhecida que leva à eliminação de ficheiros em massa
Evento de início de sessão de um dispositivo infetado que leva à eliminação de ficheiros em massa
Evento de início de sessão a partir de um endereço IP anónimo que leva à eliminação de ficheiros em massa
Evento de início de sessão do utilizador com credenciais vazadas que levam à eliminação de ficheiros em massa
Eliminação de ficheiros em massa após início de sessão com êxito Microsoft Entra do IP bloqueado por uma aplicação de firewall da Cisco
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Destruição de Dados (T1485)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de ficheiros exclusivos foi eliminado na sequência de um início de sessão com êxito Microsoft Entra, apesar de o endereço IP do utilizador ter sido bloqueado por uma aplicação de firewall cisco. Estas provas sugerem que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para destruir dados para fins maliciosos. Uma vez que o IP foi bloqueado pela firewall, o mesmo início de sessão de IP no Microsoft Entra ID é potencialmente suspeito e pode indicar o comprometimento das credenciais para a conta de utilizador.
Eliminação de ficheiros em massa após início de sessão bem-sucedido na VPN palo Alto por IP com vários inícios de sessão Microsoft Entra falhados
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Acesso a Credenciais, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Força Bruta (T1110), Destruição de Dados (T1485)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de ficheiros exclusivos foi eliminado por um utilizador que iniciou sessão com êxito através de uma VPN palo Alto a partir de um endereço IP a partir do qual vários inícios de sessão Microsoft Entra falhados ocorreram num período de tempo semelhante. Estas evidências sugerem que a conta de utilizador indicada no incidente de Fusão pode ter sido comprometida através de técnicas de força bruta e foi utilizada para destruir dados para fins maliciosos.
Atividade de eliminação de e-mail suspeita após início de sessão suspeito Microsoft Entra
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Destruição de Dados (T1485)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de e-mails foi eliminado numa única sessão após um início de sessão suspeito numa conta Microsoft Entra. Estas evidências sugerem que a conta indicada na descrição do incidente de Fusão pode ter sido comprometida e utilizada para destruir dados para fins maliciosos, como prejudicar a organização ou ocultar a atividade de e-mail relacionada com spam. As permutações de alertas de Microsoft Entra de início de sessão suspeitos com o alerta de atividade de eliminação de e-mail suspeita são:
Deslocação impossível para uma localização atípica que conduz à atividade de eliminação de e-mail suspeita
Evento de início de sessão a partir de uma localização desconhecida que leva à atividade de eliminação de e-mail suspeita
Evento de início de sessão de um dispositivo infetado que conduz à atividade de eliminação de e-mail suspeita
Evento de início de sessão a partir de um endereço IP anónimo que conduz à atividade de eliminação de e-mail suspeita
Evento de início de sessão do utilizador com credenciais vazadas que levam à atividade de eliminação de e-mail suspeita
Transferência de dados não autorizada
Atividades de reencaminhamento de correio após nova atividade de conta de administrador não vista recentemente
Este cenário pertence a duas classificações de ameaças nesta lista: exfiltração de dados e atividade administrativa maliciosa. Por uma questão de clareza, aparece em ambas as secções.
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Coleção, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Email Collection (T1114), Exfiltration Over Web Service (T1567)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam que foi criada uma nova conta de administrador do Exchange ou que uma conta de administrador do Exchange existente tomou alguma ação administrativa pela primeira vez, nas últimas duas semanas, e que a conta efetuou algumas ações de reencaminhamento de correio, que são invulgares para uma conta de administrador. Estas provas sugerem que a conta de utilizador indicada na descrição do incidente de Fusão foi comprometida ou manipulada e que foi utilizada para exfiltrar dados da rede da sua organização.
Transferência de ficheiros em massa após início de sessão suspeito Microsoft Entra
MITRE ATT&táticas CK: Acesso Inicial, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de ficheiros foi transferido por um utilizador após um início de sessão suspeito numa conta Microsoft Entra. Esta indicação fornece uma elevada confiança de que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para exfiltrar dados da rede da sua organização. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de transferência de ficheiros em massa são:
Deslocação impossível para uma localização atípica que conduz à transferência de ficheiros em massa
Evento de início de sessão a partir de uma localização desconhecida que leva à transferência de ficheiros em massa
Evento de início de sessão de um dispositivo infetado que leva à transferência de ficheiros em massa
Evento de início de sessão a partir de um IP anónimo que leva à transferência de ficheiros em massa
Evento de início de sessão do utilizador com credenciais vazadas que levam à transferência de ficheiros em massa
Transferência de ficheiros em massa após Microsoft Entra início de sessão bem-sucedido do IP bloqueado por uma aplicação de firewall da Cisco
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Exfiltração através do Serviço Web (T1567)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de ficheiros foi transferido por um utilizador após um início de sessão com êxito Microsoft Entra, apesar de o endereço IP do utilizador ter sido bloqueado por uma aplicação de firewall cisco. Isto pode ser uma tentativa de um atacante de exfiltrar dados da rede da organização depois de comprometer uma conta de utilizador. Uma vez que o IP foi bloqueado pela firewall, o mesmo início de sessão de IP no Microsoft Entra ID é potencialmente suspeito e pode indicar o comprometimento das credenciais para a conta de utilizador.
Transferência de ficheiros em massa a coincidir com a operação de ficheiros do SharePoint a partir de UM IP não visto anteriormente
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Exfiltração
MITRE ATT&técnicas CK: Exfiltration Over Web Service (T1567), Data Transfer Size Limits (T1030)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de ficheiros foi transferido por um utilizador ligado a partir de um endereço IP não visto anteriormente. Embora não sejam provas de um ataque em várias fases, a correlação destes dois alertas de baixa fidelidade resulta num incidente de alta fidelidade que sugere uma tentativa de um atacante de exfiltrar dados da rede da organização a partir de uma conta de utilizador possivelmente comprometida. Em ambientes estáveis, essas ligações por IPs não vistos anteriormente podem não ser autorizadas, especialmente se associadas a picos de volume que possam estar associados a exfiltração de documentos em larga escala.
Partilha de ficheiros em massa após início de sessão suspeito Microsoft Entra
MITRE ATT&táticas CK: Acesso Inicial, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Exfiltração através do Serviço Web (T1567)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que vários ficheiros acima de um limiar específico foram partilhados com outras pessoas após um início de sessão suspeito numa conta Microsoft Entra. Esta indicação fornece alta confiança de que a conta indicada na descrição do incidente de Fusão foi comprometida e utilizada para exfiltrar dados da rede da sua organização ao partilhar ficheiros como documentos, folhas de cálculo, etc., com utilizadores não autorizados para fins maliciosos. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de partilha de ficheiros em massa são:
Deslocação impossível para uma localização atípica que conduz à partilha de ficheiros em massa
Evento de início de sessão a partir de uma localização desconhecida que conduz à partilha de ficheiros em massa
Evento de início de sessão de um dispositivo infetado que leva à partilha de ficheiros em massa
Evento de início de sessão a partir de um endereço IP anónimo que conduz à partilha de ficheiros em massa
Evento de início de sessão do utilizador com credenciais vazadas que levam à partilha de ficheiros em massa
Várias atividades de partilha de relatórios do Power BI após início de sessão suspeito Microsoft Entra
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Exfiltração através do Serviço Web (T1567)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de relatórios do Power BI foi partilhado numa única sessão após um início de sessão suspeito numa conta Microsoft Entra. Esta indicação fornece uma elevada confiança de que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para exfiltrar dados da rede da sua organização ao partilhar relatórios do Power BI com utilizadores não autorizados para fins maliciosos. As permutações de alertas de início de sessão suspeitos Microsoft Entra com várias atividades de partilha de relatórios do Power BI são:
Deslocação impossível para uma localização atípica que conduz a várias atividades de partilha de relatórios do Power BI
Evento de início de sessão a partir de uma localização desconhecida que conduz a várias atividades de partilha de relatórios do Power BI
Evento de início de sessão de um dispositivo infetado que conduz a várias atividades de partilha de relatórios do Power BI
Evento de início de sessão a partir de um endereço IP anónimo que conduz a várias atividades de partilha de relatórios do Power BI
Evento de início de sessão do utilizador com credenciais vazadas que levam a várias atividades de partilha de relatórios do Power BI
Office 365 transferência de caixa de correio após um início de sessão suspeito Microsoft Entra
MITRE ATT&táticas CK: Acesso Inicial, Exfiltração, Coleção
MITRE ATT&técnicas CK: Conta Válida (T1078), Recolha de e-mails (T1114), Transferência Automática de Ficheiros (T1020)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que uma regra de reencaminhamento de caixa de entrada suspeita foi definida na caixa de entrada de um utilizador após um início de sessão suspeito numa conta Microsoft Entra. Esta indicação fornece uma elevada confiança de que a conta do utilizador (indicada na descrição do incidente de Fusão) foi comprometida e que foi utilizada para exfiltrar dados da rede da sua organização ao ativar uma regra de reencaminhamento de caixas de correio sem o verdadeiro conhecimento do utilizador. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de exfiltração da caixa de correio Office 365 são:
Deslocação impossível para uma localização atípica que conduz a Office 365 transferência de caixa de correio
Evento de início de sessão a partir de uma localização desconhecida que conduz a Office 365 transferência de caixa de correio
Evento de início de sessão de um dispositivo infetado que leva a Office 365 transferência de caixa de correio
Evento de início de sessão a partir de um endereço IP anónimo que leva a Office 365 transferência de caixa de correio
Evento de início de sessão do utilizador com credenciais vazadas que levam a Office 365 transferência de caixa de correio
Operação de ficheiro do SharePoint a partir de IP anteriormente invisível após deteção de software maligno
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Exfiltração, Evasão da Defesa
MITRE ATT&técnicas CK: Limites de Tamanho da Transferência de Dados (T1030)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam que um atacante tentou exfiltrar grandes quantidades de dados ao transferir ou partilhar através do SharePoint através da utilização de software maligno. Em ambientes estáveis, essas ligações por IPs não vistos anteriormente podem não ser autorizadas, especialmente se associadas a picos de volume que possam estar associados a exfiltração de documentos em larga escala.
Regras suspeitas de manipulação de caixa de entrada definidas após início de sessão de Microsoft Entra suspeito
Este cenário pertence a duas classificações de ameaças nesta lista: exfiltração de dados e movimento lateral. Por uma questão de clareza, aparece em ambas as secções.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Movimento Lateral, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Phishing De Spear Interno (T1534), Exfiltração Automatizada (T1020)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que foram definidas regras anómalos na caixa de entrada de um utilizador após um início de sessão suspeito numa conta Microsoft Entra. Esta prova fornece uma indicação de alta confiança de que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para manipular as regras da caixa de entrada de e-mail do utilizador para fins maliciosos, possivelmente para exfiltrar dados da rede da organização. Em alternativa, o atacante pode estar a tentar gerar e-mails de phishing a partir da organização (ignorando mecanismos de deteção de phishing direcionados para o e-mail de origens externas) com o objetivo de se mover lateralmente ao obter acesso a contas de utilizadores e/ou privilegiadas adicionais. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de regras de manipulação de caixa de entrada suspeitas são:
Deslocação impossível para uma localização atípica que conduz a uma regra suspeita de manipulação da caixa de entrada
Evento de início de sessão a partir de uma localização desconhecida que leva a uma regra de manipulação de caixa de entrada suspeita
Evento de início de sessão de um dispositivo infetado que conduz a uma regra de manipulação suspeita da caixa de entrada
Evento de início de sessão a partir de um endereço IP anónimo que conduz a uma regra de manipulação de caixa de entrada suspeita
Evento de início de sessão do utilizador com credenciais vazadas que conduzem a uma regra de manipulação de caixa de entrada suspeita
Partilha suspeita de relatórios do Power BI após início de sessão suspeito de Microsoft Entra
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Exfiltração através do Serviço Web (T1567)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que ocorreu uma atividade suspeita de partilha de relatórios do Power BI na sequência de um início de sessão suspeito numa conta Microsoft Entra. A atividade de partilha foi identificada como suspeita porque o relatório do Power BI continha informações confidenciais identificadas através do processamento de linguagem natural e porque foi partilhado com um endereço de e-mail externo, publicado na Web ou entregue como um instantâneo para um endereço de e-mail subscrito externamente. Este alerta indica com elevada confiança que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para exfiltrar dados confidenciais da sua organização ao partilhar relatórios do Power BI com utilizadores não autorizados para fins maliciosos. As permutações de alertas de início de sessão suspeitos Microsoft Entra com a partilha suspeita de relatórios do Power BI são:
Viagem impossível para uma localização atípica que leva à partilha suspeita de relatórios do Power BI
Evento de início de sessão a partir de uma localização desconhecida que leva à partilha suspeita de relatórios do Power BI
Evento de início de sessão de um dispositivo infetado que leva à partilha suspeita de relatórios do Power BI
Evento de início de sessão a partir de um endereço IP anónimo que leva à partilha suspeita de relatórios do Power BI
Evento de início de sessão do utilizador com credenciais vazadas que levam à partilha suspeita de relatórios do Power BI
Denial of service
Várias atividades de eliminação de VM após início de sessão suspeito Microsoft Entra
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Ponto Final Denial of Service (T1499)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um número anómalo de VMs foi eliminado numa única sessão após um início de sessão suspeito numa conta Microsoft Entra. Esta indicação fornece alta confiança de que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para tentar perturbar ou destruir o ambiente de cloud da organização. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de várias atividades de eliminação de VM são:
Deslocação impossível para uma localização atípica que conduz a várias atividades de eliminação de VMs
Evento de início de sessão a partir de uma localização desconhecida que conduz a várias atividades de eliminação de VMs
Evento de início de sessão de um dispositivo infetado que conduz a várias atividades de eliminação de VMs
Evento de início de sessão a partir de um endereço IP anónimo que conduz a várias atividades de eliminação de VMs
Evento de início de sessão do utilizador com credenciais vazadas que levam a várias atividades de eliminação de VMs
Movimento lateral
Office 365 representação após início de sessão suspeito de Microsoft Entra
MITRE ATT&táticas CK: Acesso Inicial, Movimento Lateral
MITRE ATT&técnicas CK: Conta Válida (T1078), Phishing De Spear Interno (T1534)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que ocorreu um número anómalo de ações de representação na sequência de um início de sessão suspeito de uma conta Microsoft Entra. Em alguns softwares, existem opções para permitir que os utilizadores representem outros utilizadores. Por exemplo, os serviços de e-mail permitem que os utilizadores autorizem outros utilizadores a enviar e-mails em seu nome. Este alerta indica com maior confiança que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para realizar atividades de representação para fins maliciosos, como o envio de e-mails de phishing para distribuição de software maligno ou movimento lateral. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de representação de Office 365 são:
Viagem impossível para uma localização atípica que leva à representação Office 365
Evento de início de sessão a partir de uma localização desconhecida que conduz à representação de Office 365
Evento de início de sessão de um dispositivo infetado que leva à representação de Office 365
Evento de início de sessão a partir de um endereço IP anónimo que conduz à representação de Office 365
Evento de início de sessão do utilizador com credenciais vazadas que levam à representação de Office 365
Regras suspeitas de manipulação de caixa de entrada definidas após início de sessão de Microsoft Entra suspeito
Este cenário pertence a duas classificações de ameaças nesta lista: movimento lateral e exfiltração de dados. Por uma questão de clareza, aparece em ambas as secções.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Movimento Lateral, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Phishing De Spear Interno (T1534), Exfiltração Automatizada (T1020)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que foram definidas regras anómalos na caixa de entrada de um utilizador após um início de sessão suspeito numa conta Microsoft Entra. Esta prova fornece uma indicação de alta confiança de que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para manipular as regras da caixa de entrada de e-mail do utilizador para fins maliciosos, possivelmente para exfiltrar dados da rede da organização. Em alternativa, o atacante pode estar a tentar gerar e-mails de phishing a partir da organização (ignorando mecanismos de deteção de phishing direcionados para o e-mail de origens externas) com o objetivo de se mover lateralmente ao obter acesso a contas de utilizadores e/ou privilegiadas adicionais. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de regras de manipulação de caixa de entrada suspeitas são:
Deslocação impossível para uma localização atípica que conduz a uma regra suspeita de manipulação da caixa de entrada
Evento de início de sessão a partir de uma localização desconhecida que leva a uma regra de manipulação de caixa de entrada suspeita
Evento de início de sessão de um dispositivo infetado que conduz a uma regra de manipulação suspeita da caixa de entrada
Evento de início de sessão a partir de um endereço IP anónimo que conduz a uma regra de manipulação de caixa de entrada suspeita
Evento de início de sessão do utilizador com credenciais vazadas que conduzem a uma regra de manipulação de caixa de entrada suspeita
Atividade administrativa maliciosa
Atividade administrativa suspeita da aplicação na cloud após início de sessão suspeito Microsoft Entra
MITRE ATT&táticas CK: Acesso Inicial, Persistência, Evasão de Defesa, Movimento Lateral, Coleção, Exfiltração e Impacto
MITRE ATT&técnicas CK: N/D
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que foi realizado um número anómalo de atividades administrativas numa única sessão após um início de sessão suspeito Microsoft Entra a partir da mesma conta. Estas provas sugerem que a conta indicada na descrição do incidente de Fusão pode ter sido comprometida e foi utilizada para efetuar várias ações administrativas não autorizadas com intenções maliciosas. Isto também indica que uma conta com privilégios administrativos pode ter sido comprometida. As permutações de alertas de Microsoft Entra de início de sessão suspeitos com o alerta de atividade administrativa da aplicação na cloud suspeita são:
Deslocação impossível para uma localização atípica que conduz à atividade administrativa suspeita da aplicação na cloud
Evento de início de sessão a partir de uma localização desconhecida que conduz à atividade administrativa suspeita da aplicação na cloud
Evento de início de sessão de um dispositivo infetado que conduz à atividade administrativa suspeita da aplicação na cloud
Evento de início de sessão a partir de um endereço IP anónimo que conduz à atividade administrativa suspeita da aplicação na cloud
Evento de início de sessão do utilizador com credenciais vazadas que conduzem a atividade administrativa suspeita da aplicação na cloud
Atividades de reencaminhamento de correio após nova atividade de conta de administrador não vista recentemente
Este cenário pertence a duas classificações de ameaças nesta lista: atividade administrativa maliciosa e exfiltração de dados. Por uma questão de clareza, aparece em ambas as secções.
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Coleção, Exfiltração
MITRE ATT&técnicas CK: Conta Válida (T1078), Email Collection (T1114), Exfiltration Over Web Service (T1567)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam que foi criada uma nova conta de administrador do Exchange ou que uma conta de administrador do Exchange existente tomou alguma ação administrativa pela primeira vez, nas últimas duas semanas, e que a conta efetuou algumas ações de reencaminhamento de correio, que são invulgares para uma conta de administrador. Estas provas sugerem que a conta de utilizador indicada na descrição do incidente de Fusão foi comprometida ou manipulada e que foi utilizada para exfiltrar dados da rede da sua organização.
Execução maliciosa com processo legítimo
O PowerShell fez uma ligação de rede suspeita, seguida de tráfego anómalo sinalizado pela firewall da Palo Alto Networks.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Execução
MITRE ATT&técnicas CK: Intérprete de Comandos e Scripts (T1059)
Origens do conector de dados: Microsoft Defender para Endpoint (anteriormente Microsoft Defender Advanced Threat Protection ou MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Os incidentes de fusão deste tipo indicam que foi feito um pedido de ligação de saída através de um comando do PowerShell e, depois disso, foi detetada uma atividade de entrada anómalo pela Firewall de Redes Palo Alto. Estas provas sugerem que um atacante provavelmente obteve acesso à sua rede e está a tentar realizar ações maliciosas. As tentativas de ligação do PowerShell que seguem este padrão podem ser uma indicação de atividade de comando e controlo de software maligno, pedidos para a transferência de software maligno adicional ou um atacante que estabeleça acesso interativo remoto. Tal como acontece com todos os ataques "vivendo da terra", esta atividade pode ser um uso legítimo do PowerShell. No entanto, a execução do comando do PowerShell seguida de atividade suspeita da Firewall de entrada aumenta a confiança de que o PowerShell está a ser utilizado de forma maliciosa e deve ser investigado mais aprofundadamente. Nos registos da Palo Alto, Microsoft Sentinel foca-se nos registos de ameaças e o tráfego é considerado suspeito quando são permitidas ameaças (dados suspeitos, ficheiros, inundações, pacotes, análises, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registo de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente de Fusão para obter detalhes adicionais do alerta.
Execução de WMI remota suspeita seguida de tráfego anómalo sinalizado pela firewall da Palo Alto Networks
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Execução, Deteção
MITRE ATT&técnicas CK: Windows Management Instrumentation (T1047)
Origens do conector de dados: Microsoft Defender para Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Os incidentes de fusão deste tipo indicam que os comandos da Interface de Gestão do Windows (WMI) foram executados remotamente num sistema e, depois disso, a atividade de entrada suspeita foi detetada pela Firewall de Redes Palo Alto. Esta evidência sugere que um atacante pode ter obtido acesso à sua rede e está a tentar mover-se lateralmente, escalar privilégios e/ou executar payloads maliciosos. Tal como acontece com todos os ataques de "viver da terra", esta actividade pode ser um uso legítimo da WMI. No entanto, a execução remota do comando WMI seguida de atividade suspeita da Firewall de entrada aumenta a confiança de que a WMI está a ser utilizada de forma maliciosa e deve ser investigada mais aprofundadamente. Nos registos da Palo Alto, Microsoft Sentinel foca-se nos registos de ameaças e o tráfego é considerado suspeito quando são permitidas ameaças (dados suspeitos, ficheiros, inundações, pacotes, análises, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registo de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente de Fusão para obter detalhes adicionais do alerta.
Linha de comandos suspeita do PowerShell após início de sessão suspeito
MITRE ATT&táticas CK: Acesso Inicial, Execução
MITRE ATT&técnicas CK: Conta Válida (T1078), Intérprete de Comandos e Scripts (T1059)
Origens do conector de dados: proteção Microsoft Entra ID, Microsoft Defender para Endpoint (anteriormente MDATP)
Descrição: Incidentes de fusão deste tipo indicam que um utilizador executou comandos do PowerShell potencialmente maliciosos após um início de sessão suspeito numa conta Microsoft Entra. Estas provas sugerem com elevada confiança que a conta indicada na descrição do alerta foi comprometida e foram tomadas mais ações maliciosas. Os atacantes utilizam frequentemente o PowerShell para executar payloads maliciosos na memória sem deixar artefactos no disco, de modo a evitar a deteção por mecanismos de segurança baseados em disco, como detetores de vírus. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de comando suspeito do PowerShell são:
Deslocação impossível para localizações atípicas que conduzem a uma linha de comandos suspeita do PowerShell
Evento de início de sessão a partir de uma localização desconhecida que conduz à linha de comandos suspeita do PowerShell
Evento de início de sessão de um dispositivo infetado que conduz à linha de comandos suspeita do PowerShell
Evento de início de sessão a partir de um endereço IP anónimo que conduz à linha de comandos suspeita do PowerShell
Evento de início de sessão do utilizador com credenciais vazadas que levam à linha de comandos suspeita do PowerShell
Software Maligno C2 ou transferir
Padrão beacon detetado pela Fortinet após vários inícios de sessão de utilizador falhados num serviço
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Comando e Controlo
MITRE ATT&técnicas CK: Conta Válida (T1078), Porta Não Padrão (T1571), T1065 (descontinuada)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps
Descrição: Os incidentes de fusão deste tipo indicam padrões de comunicação, de um endereço IP interno para um externo, que são consistentes com a beaconing, após vários inícios de sessão de utilizador falhados num serviço a partir de uma entidade interna relacionada. A combinação destes dois eventos pode ser uma indicação de infeção por malware ou de um anfitrião comprometido a fazer a transferência de dados por transferência de dados.
Padrão beacon detetado pela Fortinet após início de sessão de Microsoft Entra suspeito
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Comando e Controlo
MITRE ATT&técnicas CK: Conta Válida (T1078), Porta Não Padrão (T1571), T1065 (descontinuada)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), proteção do Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam padrões de comunicação, de um endereço IP interno para um externo, que são consistentes com a beaconing, seguindo um início de sessão de utilizador de natureza suspeita para Microsoft Entra ID. A combinação destes dois eventos pode ser uma indicação de infeção por malware ou de um anfitrião comprometido a fazer a transferência de dados por transferência de dados. As permutações do padrão de beacon detetadas pelos alertas da Fortinet com alertas de início de sessão suspeitos Microsoft Entra são:
Deslocação impossível para uma localização atípica que conduz ao padrão de beacon detetado pela Fortinet
Evento de início de sessão a partir de uma localização desconhecida que conduz ao padrão de beacon detetado pela Fortinet
Evento de início de sessão de um dispositivo infetado que conduz ao padrão de beacon detetado pela Fortinet
Evento de início de sessão a partir de um endereço IP anónimo que conduz ao padrão beacon detetado pela Fortinet
Evento de início de sessão do utilizador com credenciais vazadas que conduzem ao padrão de beacon detetado pela Fortinet
Pedido de rede ao serviço de anonimização TOR seguido de tráfego anómalo sinalizado pela firewall da Palo Alto Networks.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Comando e Controlo
MITRE ATT&técnicas CK: Canal Encriptado (T1573), Proxy (T1090)
Origens do conector de dados: Microsoft Defender para Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Os incidentes de fusão deste tipo indicam que foi efetuado um pedido de ligação de saída ao serviço de anonimização TOR e, após isso, a atividade de entrada anómalo foi detetada pela Firewall de Redes Palo Alto. Estas provas sugerem que um atacante provavelmente obteve acesso à sua rede e está a tentar ocultar as suas ações e intenções. As ligações à rede TOR que seguem este padrão podem ser uma indicação de atividade de comando e controlo de software maligno, pedidos para a transferência de software maligno adicional ou um atacante que estabeleça acesso interativo remoto. Nos registos da Palo Alto, Microsoft Sentinel foca-se nos registos de ameaças e o tráfego é considerado suspeito quando são permitidas ameaças (dados suspeitos, ficheiros, inundações, pacotes, análises, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registo de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente de Fusão para obter detalhes adicionais do alerta.
Ligação de saída ao IP com um histórico de tentativas de acesso não autorizado seguidas de tráfego anómalo sinalizado pela firewall da Palo Alto Networks
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Comando e Controlo
MITRE ATT&técnicas CK: Não aplicável
Origens do conector de dados: Microsoft Defender para Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Os incidentes de fusão deste tipo indicam que foi estabelecida uma ligação de saída a um endereço IP com um histórico de tentativas de acesso não autorizado e, após isso, foi detetada uma atividade anómalo pela Firewall das Redes Palo Alto. Estas provas sugerem que um atacante provavelmente obteve acesso à sua rede. As tentativas de ligação que seguem este padrão podem ser uma indicação de atividade de comando e controlo de software maligno, pedidos para a transferência de software maligno adicional ou um atacante que estabeleça acesso interativo remoto. Nos registos da Palo Alto, Microsoft Sentinel foca-se nos registos de ameaças e o tráfego é considerado suspeito quando são permitidas ameaças (dados suspeitos, ficheiros, inundações, pacotes, análises, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registo de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente de Fusão para obter detalhes adicionais do alerta.
Persistência
(Nova classificação de ameaças)
Consentimento raro da aplicação após início de sessão suspeito
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Persistência, Acesso Inicial
MITRE ATT&técnicas CK: Criar Conta (T1136), Conta Válida (T1078)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), proteção do Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que foi concedido consentimento a uma aplicação por um utilizador que nunca o fez ou raramente o fez, após um início de sessão suspeito relacionado com uma conta Microsoft Entra. Estas evidências sugerem que a conta indicada na descrição do incidente de Fusão pode ter sido comprometida e utilizada para aceder ou manipular a aplicação para fins maliciosos. O consentimento para a aplicação, Adicionar principal de serviço e Adicionar OAuth2PermissionGrant devem normalmente ser eventos raros. Os atacantes podem utilizar este tipo de alteração de configuração para estabelecer ou manter a sua posição nos sistemas. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o raro alerta de consentimento da aplicação são:
Viagem impossível para uma localização atípica que leva a um consentimento raro da aplicação
Evento de início de sessão a partir de uma localização desconhecida que leva ao consentimento raro da aplicação
Evento de início de sessão de um dispositivo infetado que leva a um consentimento raro da aplicação
Evento de início de sessão a partir de um IP anónimo que leva a um consentimento raro da aplicação
Evento de início de sessão do utilizador com credenciais vazadas que levam a um consentimento raro da aplicação
Ransomware
Execução de ransomware após início de sessão suspeito Microsoft Entra
MITRE ATT&táticas CK: Acesso Inicial, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Dados Encriptados para Impacto (T1486)
Origens de conectores de dados: Microsoft Defender for Cloud Apps, Proteção Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que foi detetado um comportamento anómalo do utilizador que indica que foi detetado um ataque de ransomware após um início de sessão suspeito numa conta Microsoft Entra. Esta indicação fornece uma elevada confiança de que a conta indicada na descrição do incidente de Fusão foi comprometida e foi utilizada para encriptar dados para fins de extorquir o proprietário dos dados ou negar o acesso do proprietário dos dados aos dados. As permutações de alertas de início de sessão suspeitos Microsoft Entra com o alerta de execução de ransomware são:
Viagem impossível para uma localização atípica que conduz a ransomware na aplicação na cloud
Evento de início de sessão a partir de uma localização desconhecida que leva ao ransomware na aplicação na cloud
Evento de início de sessão de um dispositivo infetado que conduz a ransomware na aplicação na cloud
Evento de início de sessão a partir de um endereço IP anónimo que conduz a ransomware na aplicação na cloud
Evento de início de sessão do utilizador com credenciais vazadas que conduzem a ransomware na aplicação na cloud
Exploração remota
Suspeita de utilização da arquitetura de ataque seguida de tráfego anómalo sinalizado pela firewall da Palo Alto Networks
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Execução, Movimento Lateral, Escalamento de Privilégios
MITRE ATT&técnicas CK: Exploit Public-Facing Application (T1190), Exploitation for Client Execution (T1203), Exploitation of Remote Services(T1210), Exploitation for Privilege Escalation (T1068)
Origens do conector de dados: Microsoft Defender para Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)
Descrição: Os incidentes de fusão deste tipo indicam que foram detetadas utilizações não padrão de protocolos, semelhantes à utilização de arquiteturas de ataque, como o Metasploit, e, após isso, foi detetada atividade de entrada suspeita pela Firewall de Redes Palo Alto. Esta pode ser uma indicação inicial de que um atacante explorou um serviço para obter acesso aos seus recursos de rede ou que um atacante já obteve acesso e está a tentar explorar ainda mais os sistemas/serviços disponíveis para mover lateralmente e/ou escalar privilégios. Nos registos da Palo Alto, Microsoft Sentinel foca-se nos registos de ameaças e o tráfego é considerado suspeito quando são permitidas ameaças (dados suspeitos, ficheiros, inundações, pacotes, análises, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registo de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente de Fusão para obter detalhes adicionais do alerta.
Hijacking de recursos
(Nova classificação de ameaças)
Implementação suspeita de recurso/grupo de recursos por um autor da chamada anteriormente invisível após início de sessão suspeito Microsoft Entra
Este cenário utiliza alertas produzidos por regras de análise agendadas.
Este cenário está atualmente em PRÉ-VISUALIZAÇÃO.
MITRE ATT&táticas CK: Acesso Inicial, Impacto
MITRE ATT&técnicas CK: Conta Válida (T1078), Hijacking de Recursos (T1496)
Origens do conector de dados: Microsoft Sentinel (regra de análise agendada), proteção do Microsoft Entra ID
Descrição: Os incidentes de fusão deste tipo indicam que um utilizador implementou um recurso ou grupo de recursos Azure - uma atividade rara - após um início de sessão suspeito, com propriedades não vistas recentemente, numa conta Microsoft Entra. Isto pode ser uma tentativa de um atacante de implementar recursos ou grupos de recursos para fins maliciosos depois de comprometer a conta de utilizador indicada na descrição do incidente de Fusão.
As permutações de alertas de início de sessão suspeitos Microsoft Entra com a implementação suspeita do recurso/grupo de recursos por um alerta de autor da chamada anteriormente invisível são:
Deslocação impossível para uma localização atípica que conduz à implementação suspeita de um recurso/grupo de recursos por um chamador não visto anteriormente
Evento de início de sessão a partir de uma localização desconhecida que leva à implementação suspeita de um recurso/grupo de recursos por um chamador não visto anteriormente
Evento de início de sessão a partir de um dispositivo infetado que conduz à implementação suspeita de um recurso/grupo de recursos por um chamador não visto anteriormente
Evento de início de sessão a partir de um IP anónimo que conduz à implementação suspeita de um recurso/grupo de recursos por um chamador não visto anteriormente
Evento de início de sessão do utilizador com credenciais vazadas que conduzem à implementação suspeita de um recurso/grupo de recursos por um chamador não visto anteriormente
Passos seguintes
Agora que aprendeu mais sobre a deteção avançada de ataques em várias fases, poderá estar interessado no guia de início rápido seguinte para saber como obter visibilidade sobre os seus dados e potenciais ameaças: Introdução ao Microsoft Sentinel.
Se estiver pronto para investigar os incidentes criados para si, veja o seguinte tutorial: Investigar incidentes com Microsoft Sentinel.