Scenarier som identifierats av Microsoft Sentinel Fusion-motorn

  • Artikel

I det här dokumentet visas de typer av scenariobaserade flerstegsattacker, grupperade efter hotklassificering, som Microsoft Sentinel identifierar med hjälp av fusionskorrelationsmotorn.

Eftersom Fusion korrelerar flera signaler från olika produkter för att identifiera avancerade flerstegsattacker visas lyckade fusionsidentifieringar som fusionsincidenter på sidan Microsoft Sentinel-incidenteroch inte som aviseringar, och lagras i tabellen Incidenter i Loggar och inte i tabellen SecurityAlerts.

För att aktivera dessa fusionsdrivna attackidentifieringsscenarier måste alla datakällor som anges matas in på Din Log Analytics-arbetsyta. För scenarier med schemalagda analysregler följer du anvisningarna i Konfigurera schemalagda analysregler för fusionsidentifieringar.

Kommentar

Vissa av dessa scenarier finns i FÖRHANDSVERSION. De kommer att anges så.

Missbruk av beräkningsresurser

Flera aktiviteter för att skapa virtuella datorer efter misstänkt Microsoft Entra-inloggning

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), resurskapning (T1496)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal virtuella datorer skapades i en enda session efter en misstänkt inloggning till ett Microsoft Entra-konto. Den här typen av avisering indikerar, med hög grad av förtroende, att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och används för att skapa nya virtuella datorer för obehöriga ändamål, till exempel att köra kryptoutvinningsåtgärder. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med aviseringen om att skapa flera virtuella datorer är:

  • Omöjligt att resa till en atypisk plats som leder till flera aktiviteter för att skapa virtuella datorer

  • Inloggningshändelse från en okänd plats som leder till flera aktiviteter för att skapa virtuella datorer

  • Inloggningshändelse från en infekterad enhet som leder till flera aktiviteter för att skapa virtuella datorer

  • Inloggningshändelse från en anonym IP-adress som leder till flera aktiviteter för att skapa virtuella datorer

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till flera aktiviteter för att skapa virtuella datorer

Åtkomst till autentiseringsuppgifter

(Ny hotklassificering)

Flera lösenord återställs av användaren efter misstänkt inloggning

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Initial åtkomst, åtkomst till autentiseringsuppgifter

MITRE ATT&CK-tekniker: Giltigt konto (T1078), Brute Force (T1110)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att en användare återställer flera lösenord efter en misstänkt inloggning till ett Microsoft Entra-konto. Detta tyder på att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att utföra flera lösenordsåterställningar för att få åtkomst till flera system och resurser. Kontomanipulering (inklusive lösenordsåterställning) kan hjälpa angripare att upprätthålla åtkomsten till autentiseringsuppgifter och vissa behörighetsnivåer i en miljö. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med flera aviseringar för återställning av lösenord är:

  • Omöjlig resa till en atypisk plats som leder till återställning av flera lösenord

  • Inloggningshändelse från en okänd plats som leder till återställning av flera lösenord

  • Inloggningshändelse från en infekterad enhet som leder till återställning av flera lösenord

  • Inloggningshändelse från en anonym IP-adress som leder till att flera lösenord återställs

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till återställning av flera lösenord

Misstänkt inloggning sammanföll med lyckad inloggning till Palo Alto VPN via IP med flera misslyckade Microsoft Entra-inloggningar

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Initial åtkomst, åtkomst till autentiseringsuppgifter

MITRE ATT&CK-tekniker: Giltigt konto (T1078), Brute Force (T1110)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att en misstänkt inloggning till ett Microsoft Entra-konto sammanföll med en lyckad inloggning via en Palo Alto VPN från en IP-adress från vilken flera misslyckade Microsoft Entra-inloggningar inträffade inom en liknande tidsram. Även om det inte finns några tecken på en attack i flera steg resulterar korrelationen mellan dessa två aviseringar med lägre återgivning i en incident med hög återgivning som tyder på skadlig första åtkomst till organisationens nätverk. Det kan också vara en indikation på att en angripare försöker använda råstyrketekniker för att få åtkomst till ett Microsoft Entra-konto. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med "IP med flera misslyckade Microsoft Entra-inloggningar loggar in på Palo Alto VPN"-aviseringar är:

  • Omöjlig resa till en atypisk plats som sammanfaller med IP med flera misslyckade Microsoft Entra-inloggningar loggar in på Palo Alto VPN

  • Inloggningshändelse från en okänd plats som sammanfaller med IP med flera misslyckade Microsoft Entra-inloggningar loggar in på Palo Alto VPN

  • Inloggningshändelse från en infekterad enhet som sammanfaller med IP med flera misslyckade Microsoft Entra-inloggningar loggar in på Palo Alto VPN

  • Inloggningshändelse från en anonym IP-adress som sammanfaller med IP med flera misslyckade Microsoft Entra-inloggningar loggar in på Palo Alto VPN

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som sammanfaller med IP med flera misslyckade Microsoft Entra-inloggningar loggar in på Palo Alto VPN

Insamling av autentiseringsuppgifter

(Ny hotklassificering)

Körning av verktyg för stöld av skadliga autentiseringsuppgifter efter misstänkt inloggning

MITRE ATT&CK-taktik: Initial åtkomst, åtkomst till autentiseringsuppgifter

MITRE ATT&CK-tekniker: Giltigt konto (T1078), autentiseringsuppgifter för operativsystem (T1003)

Dataanslutningskällor: Microsoft Entra ID Protection, Microsoft Defender för Endpoint

Beskrivning: Fusionsincidenter av den här typen indikerar att ett känt stöldverktyg för autentiseringsuppgifter utfördes efter en misstänkt Microsoft Entra-inloggning. Detta tyder med hög säkerhet på att användarkontot som anges i aviseringsbeskrivningen har komprometterats och kan ha använt ett verktyg som Mimikatz för att hämta autentiseringsuppgifter som nycklar, lösenord i klartext och/eller lösenordshashvärden från systemet. De skördade autentiseringsuppgifterna kan göra det möjligt för en angripare att komma åt känsliga data, eskalera behörigheter och/eller flytta i sidled över nätverket. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med aviseringen om stöld av skadliga autentiseringsuppgifter är:

  • Omöjlig resa till atypiska platser som leder till körning av verktyg för stöld av skadliga autentiseringsuppgifter

  • Inloggningshändelse från en okänd plats som leder till körning av verktyg för stöld av skadliga autentiseringsuppgifter

  • Inloggningshändelse från en infekterad enhet som leder till körning av verktyg för stöld av skadliga autentiseringsuppgifter

  • Inloggningshändelse från en anonym IP-adress som leder till körning av verktyg för stöld av skadliga autentiseringsuppgifter

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till körning av verktyg för stöld av skadliga autentiseringsuppgifter

Misstänkt stöld av autentiseringsuppgifter efter misstänkt inloggning

MITRE ATT&CK-taktik: Initial åtkomst, åtkomst till autentiseringsuppgifter

MITRE ATT&CK-tekniker: Giltigt konto (T1078), autentiseringsuppgifter från lösenordslager (T1555), autentiseringsuppgifter för operativsystem (T1003)

Dataanslutningskällor: Microsoft Entra ID Protection, Microsoft Defender för Endpoint

Beskrivning: Fusionsincidenter av den här typen indikerar att aktivitet som är associerad med mönster för stöld av autentiseringsuppgifter inträffade efter en misstänkt Microsoft Entra-inloggning. Dessa bevis tyder med hög säkerhet på att användarkontot som anges i aviseringsbeskrivningen har komprometterats och använts för att stjäla autentiseringsuppgifter som nycklar, lösenord i klartext, lösenordshashvärden och så vidare. De stulna autentiseringsuppgifterna kan göra det möjligt för en angripare att komma åt känsliga data, eskalera behörigheter och/eller flytta i sidled över nätverket. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med aviseringen om stöld av autentiseringsuppgifter är:

  • Omöjlig resa till atypiska platser som leder till misstänkt stöld av autentiseringsuppgifter

  • Inloggningshändelse från en okänd plats som leder till misstänkt stöld av autentiseringsuppgifter

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt stöld av autentiseringsuppgifter

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt stöld av autentiseringsuppgifter

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt stöld av autentiseringsuppgifter

Kryptoutvinning

(Ny hotklassificering)

Kryptoutvinningsaktivitet efter misstänkt inloggning

MITRE ATT&CK-taktik: Initial åtkomst, åtkomst till autentiseringsuppgifter

MITRE ATT&CK-tekniker: Giltigt konto (T1078), resurskapning (T1496)

Dataanslutningskällor: Microsoft Entra ID Protection, Microsoft Defender för molnet

Beskrivning: Fusionsincidenter av den här typen indikerar kryptoutvinningsaktivitet som är associerad med en misstänkt inloggning till ett Microsoft Entra-konto. Detta tyder med hög säkerhet på att användarkontot som anges i aviseringsbeskrivningen har komprometterats och användes för att kapa resurser i din miljö för att bryta kryptovalutan. Detta kan svälta dina resurser för databehandlingskraft och/eller resultera i betydligt högre fakturor än förväntat för molnanvändning. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med aviseringen om kryptoutvinningsaktivitet är:

  • Omöjlig resa till atypiska platser som leder till kryptoutvinningsaktivitet

  • Inloggningshändelse från en okänd plats som leder till kryptoutvinning

  • Inloggningshändelse från en infekterad enhet som leder till kryptoutvinningsaktivitet

  • Inloggningshändelse från en anonym IP-adress som leder till kryptoutvinningsaktivitet

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till kryptoutvinningsaktivitet

Dataförstörelse

Massfilborttagning efter misstänkt Microsoft Entra-inloggning

MITRE ATT&CK-taktik: Inledande åtkomst, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), dataförstörelse (T1485)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal unika filer har tagits bort efter en misstänkt inloggning till ett Microsoft Entra-konto. Detta tyder på att kontot som anges i beskrivningen av fusionsincidenten kan ha komprometterats och användes för att förstöra data i skadliga syften. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med massfilens borttagningsavisering är:

  • Omöjligt att resa till en atypisk plats som leder till massfilborttagning

  • Inloggningshändelse från en okänd plats som leder till massfilborttagning

  • Inloggningshändelse från en infekterad enhet som leder till massfilborttagning

  • Inloggningshändelse från en anonym IP-adress som leder till massborttagning av filer

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till massborttagning av filer

Massfilborttagning efter lyckad Microsoft Entra-inloggning från IP-adress blockerad av en Cisco-brandväggsinstallation

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), dataförstörelse (T1485)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal unika filer har tagits bort efter en lyckad Microsoft Entra-inloggning trots att användarens IP-adress blockeras av en Cisco-brandväggsinstallation. Detta tyder på att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att förstöra data i skadliga syften. Eftersom IP-adressen blockerades av brandväggen är samma IP-inloggning till Microsoft Entra-ID potentiellt misstänkt och kan tyda på att autentiseringsuppgifterna komprometterats för användarkontot.

Massfilborttagning efter lyckad inloggning till Palo Alto VPN via IP med flera misslyckade Microsoft Entra-inloggningar

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Initial åtkomst, åtkomst till autentiseringsuppgifter, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), Brute Force (T1110), dataförstörelse (T1485)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal unika filer har tagits bort av en användare som har loggat in via en Palo Alto VPN från en IP-adress från vilken flera misslyckade Microsoft Entra-inloggningar inträffade inom en liknande tidsram. Detta tyder på att användarkontot som noterades i Fusion-incidenten kan ha komprometterats med råstyrketekniker och användes för att förstöra data i skadliga syften.

Misstänkt e-postborttagningsaktivitet efter misstänkt Microsoft Entra-inloggning

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), dataförstörelse (T1485)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal e-postmeddelanden har tagits bort i en enda session efter en misstänkt inloggning till ett Microsoft Entra-konto. Dessa bevis tyder på att kontot som anges i beskrivningen av fusionsincidenten kan ha komprometterats och användes för att förstöra data i skadliga syften, till exempel skada organisationen eller dölja skräppostrelaterad e-postaktivitet. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med den misstänkta e-postborttagningsaktivitetsaviseringen är:

  • Omöjlig resa till en atypisk plats som leder till misstänkt e-postborttagningsaktivitet

  • Inloggningshändelse från en okänd plats som leder till misstänkt e-postborttagningsaktivitet

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt e-postborttagningsaktivitet

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt e-postborttagningsaktivitet

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt e-postborttagningsaktivitet

Dataexfiltrering

Vidarebefordran av e-postaktiviteter efter ny administratörskontoaktivitet som inte har setts nyligen

Det här scenariot tillhör två hotklassificeringar i den här listan: dataexfiltrering och skadlig administrativ aktivitet. För tydlighetens skull visas den i båda avsnitten.

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Initial åtkomst, samling, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), e-postsamling (T1114), exfiltrering via webbtjänst (T1567)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar att antingen ett nytt Exchange-administratörskonto har skapats eller att ett befintligt Exchange-administratörskonto vidtog några administrativa åtgärder för första gången under de senaste två veckorna, och att kontot sedan utförde vissa åtgärder för vidarebefordran av e-post, vilket är ovanligt för ett administratörskonto. Dessa bevis tyder på att användarkontot som anges i beskrivningen av fusionsincidenten har komprometterats eller manipulerats och att det användes för att exfiltera data från organisationens nätverk.

Massfilnedladdning efter misstänkt Microsoft Entra-inloggning

MITRE ATT&CK-taktik: Inledande åtkomst, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal filer laddades ned av en användare efter en misstänkt inloggning till ett Microsoft Entra-konto. Den här indikationen ger hög konfidens att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att exfiltera data från organisationens nätverk. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med massfilens nedladdningsavisering är:

  • Omöjlig resa till en atypisk plats som leder till nedladdning av massfiler

  • Inloggningshändelse från en okänd plats som leder till nedladdning av massfil

  • Inloggningshändelse från en infekterad enhet som leder till nedladdning av massfil

  • Inloggningshändelse från en anonym IP-adress som leder till massnedladdning av filer

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till massnedladdning av filer

Massfilnedladdning efter lyckad Microsoft Entra-inloggning från IP-adress blockerad av en Cisco-brandväggsinstallation

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), exfiltrering via webbtjänst (T1567)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal filer laddades ned av en användare efter en lyckad Microsoft Entra-inloggning trots att användarens IP-adress blockerades av en Cisco-brandväggsinstallation. Detta kan möjligen vara ett försök av en angripare att exfiltera data från organisationens nätverk efter att ha komprometterat ett användarkonto. Eftersom IP-adressen blockerades av brandväggen är samma IP-inloggning till Microsoft Entra-ID potentiellt misstänkt och kan tyda på att autentiseringsuppgifterna komprometterats för användarkontot.

Massfilnedladdning som sammanföll med SharePoint-filåtgärd från tidigare osedda IP-adresser

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Exfiltrering

MITRE ATT&CK-tekniker: Exfiltrering via webbtjänst (T1567), storleksbegränsningar för dataöverföring (T1030)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal filer laddades ned av en användare som är ansluten från en tidigare osynlig IP-adress. Även om det inte finns några tecken på en attack i flera steg resulterar korrelationen mellan dessa två aviseringar med lägre återgivning i en incident med hög återgivning som tyder på ett försök av en angripare att exfiltera data från organisationens nätverk från ett eventuellt komprometterat användarkonto. I stabila miljöer kan sådana anslutningar av tidigare osedda IP-adresser vara obehöriga, särskilt om de är associerade med toppar i volymen som kan associeras med storskalig dokumentexfiltrering.

Massfildelning efter misstänkt Microsoft Entra-inloggning

MITRE ATT&CK-taktik: Inledande åtkomst, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), exfiltrering via webbtjänst (T1567)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett antal filer över ett visst tröskelvärde delades till andra efter en misstänkt inloggning till ett Microsoft Entra-konto. Den här indikationen ger stort förtroende för att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och använts för att exfiltera data från organisationens nätverk genom att dela filer som dokument, kalkylblad osv., med obehöriga användare i skadliga syften. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med massfildelningsaviseringen är:

  • Omöjligt att resa till en atypisk plats som leder till massfildelning

  • Inloggningshändelse från en okänd plats som leder till massfildelning

  • Inloggningshändelse från en infekterad enhet som leder till massfildelning

  • Inloggningshändelse från en anonym IP-adress som leder till massfildelning

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till massfildelning

Flera Power BI-rapportdelningsaktiviteter efter misstänkt Microsoft Entra-inloggning

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), exfiltrering via webbtjänst (T1567)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal Power BI-rapporter delades i en enda session efter en misstänkt inloggning till ett Microsoft Entra-konto. Den här indikationen ger stort förtroende för att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att exfiltera data från organisationens nätverk genom att dela Power BI-rapporter med obehöriga användare i skadligt syfte. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med flera Power BI-rapportdelningsaktiviteter är:

  • Omöjlig resa till en atypisk plats som leder till flera Power BI-rapportdelningsaktiviteter

  • Inloggningshändelse från en okänd plats som leder till flera Power BI-rapportdelningsaktiviteter

  • Inloggningshändelse från en infekterad enhet som leder till flera Power BI-rapportdelningsaktiviteter

  • Inloggningshändelse från en anonym IP-adress som leder till flera Power BI-rapportdelningsaktiviteter

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till flera Power BI-rapportdelningsaktiviteter

Utfiltrering av Office 365-postlåda efter en misstänkt Microsoft Entra-inloggning

MITRE ATT&CK-taktik: Initial åtkomst, exfiltrering, samling

MITRE ATT&CK-tekniker: Giltigt konto (T1078), E-postsamling (T1114), automatiserad exfiltrering (T1020)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att en misstänkt regel för vidarebefordran av inkorgen har angetts i en användares inkorg efter en misstänkt inloggning till ett Microsoft Entra-konto. Den här indikationen ger hög förtroende för att användarens konto (som anges i beskrivningen av fusionsincidenten) har komprometterats och att det användes för att exfiltera data från organisationens nätverk genom att aktivera en regel för vidarebefordran av postlådor utan den sanna användarens vetskap. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med exfiltreringsaviseringen för Office 365-postlådan är:

  • Omöjligt att resa till en atypisk plats som leder till exfiltrering av Office 365-postlåda

  • Inloggningshändelse från en okänd plats som leder till exfiltrering av Office 365-postlåda

  • Inloggningshändelse från en infekterad enhet som leder till exfiltrering av Office 365-postlåda

  • Inloggningshändelse från en anonym IP-adress som leder till exfiltrering av Office 365-postlåda

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till exfiltrering av Office 365-postlåda

SharePoint-filåtgärd från tidigare osedda IP-adresser efter identifiering av skadlig kod

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Exfiltrering, försvarsundandragande

MITRE ATT&CK-tekniker: Storleksgränser för dataöverföring (T1030)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar att en angripare försökte exfiltera stora mängder data genom att ladda ned eller dela via SharePoint med hjälp av skadlig kod. I stabila miljöer kan sådana anslutningar av tidigare osedda IP-adresser vara obehöriga, särskilt om de är associerade med toppar i volymen som kan associeras med storskalig dokumentexfiltrering.

Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra-inloggning

Det här scenariot tillhör två hotklassificeringar i den här listan: dataexfiltrering och lateral förflyttning. För tydlighetens skull visas den i båda avsnitten.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Initial åtkomst, lateral förflyttning, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), internt spear phishing (T1534), automatiserad exfiltrering (T1020)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att avvikande inkorgsregler har angetts i en användares inkorg efter en misstänkt inloggning till ett Microsoft Entra-konto. Det här beviset ger en indikation på hög konfidens att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att manipulera användarens e-postinkorgsregler för skadliga ändamål, eventuellt för att exfiltera data från organisationens nätverk. Alternativt kan angriparen försöka generera nätfiskemeddelanden från organisationen (kringgå mekanismer för nätfiskeidentifiering som riktas mot e-post från externa källor) i syfte att flytta i sidled genom att få åtkomst till ytterligare användare och/eller privilegierade konton. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med aviseringen om misstänkta regler för inkorgsmanipulering är:

  • Omöjlig resa till en atypisk plats som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från en okänd plats som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt inkorgsmanipuleringsregel

Misstänkt Power BI-rapportdelning efter misstänkt Microsoft Entra-inloggning

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), exfiltrering via webbtjänst (T1567)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att en misstänkt power BI-rapportdelningsaktivitet inträffade efter en misstänkt inloggning till ett Microsoft Entra-konto. Delningsaktiviteten identifierades som misstänkt eftersom Power BI-rapporten innehöll känslig information som identifierades med bearbetning av naturligt språk och eftersom den delades med en extern e-postadress, publicerades på webben eller levererades som en ögonblicksbild till en externt prenumererad e-postadress. Den här aviseringen indikerar med hög säkerhet att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att exfiltera känsliga data från din organisation genom att dela Power BI-rapporter med obehöriga användare i skadliga syften. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med den misstänkta Power BI-rapportdelningen är:

  • Omöjlig resa till en atypisk plats som leder till misstänkt Delning av Power BI-rapporter

  • Inloggningshändelse från en okänd plats som leder till misstänkt delning av Power BI-rapporter

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt delning av Power BI-rapporter

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt delning av Power BI-rapporter

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt Delning av Power BI-rapporter

Denial of Service

Flera aktiviteter för borttagning av virtuella datorer efter misstänkt Microsoft Entra-inloggning

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), Endpoint Denial of Service (T1499)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal virtuella datorer togs bort i en enda session efter en misstänkt inloggning till ett Microsoft Entra-konto. Den här indikationen ger stort förtroende för att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att försöka störa eller förstöra organisationens molnmiljö. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med aviseringen om flera vm-borttagningsaktiviteter är:

  • Omöjlig resa till en atypisk plats som leder till flera aktiviteter för borttagning av virtuella datorer

  • Inloggningshändelse från en okänd plats som leder till flera aktiviteter för borttagning av virtuella datorer

  • Inloggningshändelse från en infekterad enhet som leder till flera aktiviteter för borttagning av virtuella datorer

  • Inloggningshändelse från en anonym IP-adress som leder till flera aktiviteter för borttagning av virtuella datorer

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till flera aktiviteter för borttagning av virtuella datorer

Sidorörelse

Office 365-personifiering efter misstänkt Microsoft Entra-inloggning

MITRE ATT&CK-taktik: Inledande åtkomst, lateral förflyttning

MITRE ATT&CK-tekniker: Giltigt konto (T1078), internt spear-nätfiske (T1534)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal personifieringsåtgärder inträffade efter en misstänkt inloggning från ett Microsoft Entra-konto. I vissa program finns det alternativ för att tillåta användare att personifiera andra användare. Till exempel tillåter e-posttjänster användare att auktorisera andra användare att skicka e-post för deras räkning. Den här varningen indikerar med högre säkerhet att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att utföra personifieringsaktiviteter i skadliga syften, till exempel att skicka nätfiskemeddelanden för distribution av skadlig kod eller lateral förflyttning. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med Aviseringen om Office 365-personifiering är:

  • Omöjligt att resa till en atypisk plats som leder till Office 365-personifiering

  • Inloggningshändelse från en okänd plats som leder till Office 365-personifiering

  • Inloggningshändelse från en infekterad enhet som leder till Office 365-personifiering

  • Inloggningshändelse från en anonym IP-adress som leder till Office 365-personifiering

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till Office 365-personifiering

Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra-inloggning

Det här scenariot tillhör två hotklassificeringar i den här listan: lateral förflyttning och dataexfiltrering. För tydlighetens skull visas den i båda avsnitten.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Initial åtkomst, lateral förflyttning, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), internt spear phishing (T1534), automatiserad exfiltrering (T1020)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att avvikande inkorgsregler har angetts i en användares inkorg efter en misstänkt inloggning till ett Microsoft Entra-konto. Det här beviset ger en indikation på hög konfidens att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att manipulera användarens e-postinkorgsregler för skadliga ändamål, eventuellt för att exfiltera data från organisationens nätverk. Alternativt kan angriparen försöka generera nätfiskemeddelanden från organisationen (kringgå mekanismer för nätfiskeidentifiering som riktas mot e-post från externa källor) i syfte att flytta i sidled genom att få åtkomst till ytterligare användare och/eller privilegierade konton. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med aviseringen om misstänkta regler för inkorgsmanipulering är:

  • Omöjlig resa till en atypisk plats som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från en okänd plats som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt inkorgsmanipuleringsregel

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt inkorgsmanipuleringsregel

Skadlig administrativ aktivitet

Misstänkt administrativ aktivitet för molnappar efter misstänkt Microsoft Entra-inloggning

MITRE ATT&CK-taktik: Initial åtkomst, beständighet, skyddundandragande, lateral rörelse, samling, exfiltrering och påverkan

MITRE ATT&CK-tekniker: N/A

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett avvikande antal administrativa aktiviteter utfördes i en enda session efter en misstänkt Microsoft Entra-inloggning från samma konto. Dessa bevis tyder på att kontot som anges i beskrivningen av fusionsincidenten kan ha komprometterats och användes för att göra ett antal obehöriga administrativa åtgärder med skadlig avsikt. Detta indikerar också att ett konto med administratörsbehörighet kan ha komprometterats. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med den misstänkta molnappens administrativa aktivitetsavisering är:

  • Omöjlig resa till en atypisk plats som leder till misstänkt molnappens administrativa aktivitet

  • Inloggningshändelse från en okänd plats som leder till misstänkt molnappens administrativa aktivitet

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt administratörsaktivitet för molnappar

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt administrativ aktivitet för molnappar

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt administratörsaktivitet för molnappar

Vidarebefordran av e-postaktiviteter efter ny administratörskontoaktivitet som inte har setts nyligen

Det här scenariot tillhör två hotklassificeringar i den här listan: skadlig administrativ aktivitet och dataexfiltrering. För tydlighetens skull visas den i båda avsnitten.

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Initial åtkomst, samling, exfiltrering

MITRE ATT&CK-tekniker: Giltigt konto (T1078), e-postsamling (T1114), exfiltrering via webbtjänst (T1567)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar att antingen ett nytt Exchange-administratörskonto har skapats eller att ett befintligt Exchange-administratörskonto vidtog några administrativa åtgärder för första gången under de senaste två veckorna, och att kontot sedan utförde vissa åtgärder för vidarebefordran av e-post, vilket är ovanligt för ett administratörskonto. Dessa bevis tyder på att användarkontot som anges i beskrivningen av fusionsincidenten har komprometterats eller manipulerats och att det användes för att exfiltera data från organisationens nätverk.

Skadlig körning med legitim process

PowerShell gjorde en misstänkt nätverksanslutning följt av avvikande trafik som flaggades av Palo Alto Networks-brandväggen.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Körning

MITRE ATT&CK-tekniker: Kommando- och skripttolk (T1059)

Dataanslutningskällor: Microsoft Defender för Endpoint (tidigare Microsoft Defender Advanced Threat Protection eller MDATP), Microsoft Sentinel (schemalagd analysregel)

Beskrivning: Fusionsincidenter av den här typen indikerar att en begäran om utgående anslutning gjordes via ett PowerShell-kommando, och därefter upptäcktes avvikande inkommande aktivitet av Palo Alto Networks-brandväggen. Detta tyder på att en angripare sannolikt har fått åtkomst till nätverket och försöker utföra skadliga åtgärder. Anslut ionsförsök från PowerShell som följer det här mönstret kan vara en indikation på kommando- och kontrollaktivitet för skadlig kod, begäranden om nedladdning av ytterligare skadlig kod eller en angripare som upprättar interaktiv fjärråtkomst. Som med alla "leva utanför landet"-attacker kan den här aktiviteten vara en legitim användning av PowerShell. PowerShell-kommandokörningen följt av misstänkt inkommande brandväggsaktivitet ökar dock förtroendet för att PowerShell används på ett skadligt sätt och bör undersökas ytterligare. I Palo Alto-loggar fokuserar Microsoft Sentinel på hotloggar och trafik anses misstänkt när hot tillåts (misstänkta data, filer, översvämningar, paket, genomsökningar, spionprogram, URL:er, virus, sårbarheter, löpeldsvirus, skogsbränder). Referera även till Palo Alto Threat-loggen som motsvarar hot -/innehållstypen som anges i beskrivningen av fusionsincidenten för ytterligare aviseringsinformation.

Misstänkt fjärr-WMI-körning följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Körning, identifiering

MITRE ATT&CK-tekniker: Windows Management Instrumentation (T1047)

Dataanslutningskällor: Microsoft Defender för Endpoint (tidigare MDATP), Microsoft Sentinel (schemalagd analysregel)

Beskrivning: Fusionsincidenter av den här typen indikerar att WMI-kommandon (Windows Management Interface) fjärrhanterades på ett system, och därefter upptäcktes misstänkt inkommande aktivitet av Palo Alto Networks-brandväggen. Det här tyder på att en angripare kan ha fått åtkomst till nätverket och försöker flytta i sidled, eskalera privilegier och/eller köra skadliga nyttolaster. Som med alla "leva utanför landet"-attacker kan denna aktivitet vara en legitim användning av WMI. Fjärrkörningen av WMI-kommandon följt av misstänkt inkommande brandväggsaktivitet ökar dock förtroendet för att WMI används på ett skadligt sätt och bör undersökas ytterligare. I Palo Alto-loggar fokuserar Microsoft Sentinel på hotloggar och trafik anses misstänkt när hot tillåts (misstänkta data, filer, översvämningar, paket, genomsökningar, spionprogram, URL:er, virus, sårbarheter, löpeldsvirus, skogsbränder). Referera även till Palo Alto Threat-loggen som motsvarar hot -/innehållstypen som anges i beskrivningen av fusionsincidenten för ytterligare aviseringsinformation.

Misstänkt PowerShell-kommandorad efter misstänkt inloggning

MITRE ATT&CK-taktik: Inledande åtkomst, körning

MITRE ATT&CK-tekniker: Giltigt konto (T1078), kommando- och skripttolk (T1059)

Dataanslutningskällor: Microsoft Entra ID Protection, Microsoft Defender för Endpoint (tidigare MDATP)

Beskrivning: Fusionsincidenter av den här typen indikerar att en användare har kört potentiellt skadliga PowerShell-kommandon efter en misstänkt inloggning till ett Microsoft Entra-konto. Dessa bevis tyder med hög säkerhet på att kontot som anges i aviseringsbeskrivningen har komprometterats och att ytterligare skadliga åtgärder har vidtagits. Angripare använder ofta PowerShell för att köra skadliga nyttolaster i minnet utan att lämna artefakter på disken, för att undvika identifiering av diskbaserade säkerhetsmekanismer som virusskannrar. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med den misstänkta PowerShell-kommandoaviseringen är:

  • Omöjlig resa till atypiska platser som leder till misstänkt PowerShell-kommandorad

  • Inloggningshändelse från en okänd plats som leder till misstänkt PowerShell-kommandorad

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt PowerShell-kommandorad

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt PowerShell-kommandorad

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt PowerShell-kommandorad

C2 eller nedladdning av skadlig kod

Beacon-mönster som identifierats av Fortinet efter flera misslyckade användarinloggningar till en tjänst

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, kommando och kontroll

MITRE ATT&CK-tekniker: Giltigt konto (T1078), icke-standardport (T1571), T1065 (pensionerad)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Defender för molnet-appar

Beskrivning: Fusionsincidenter av den här typen indikerar kommunikationsmönster, från en intern IP-adress till en extern, som överensstämmer med beaconing, efter flera misslyckade användarinloggningar till en tjänst från en relaterad intern entitet. Kombinationen av dessa två händelser kan vara en indikation på skadlig kodinfektion eller en komprometterad värd som utför dataexfiltrering.

Beacon-mönster upptäckt av Fortinet efter misstänkt Microsoft Entra-inloggning

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, kommando och kontroll

MITRE ATT&CK-tekniker: Giltigt konto (T1078), icke-standardport (T1571), T1065 (pensionerad)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar kommunikationsmönster, från en intern IP-adress till en extern, som överensstämmer med beaconing, efter en användarinloggning av misstänkt karaktär till Microsoft Entra-ID. Kombinationen av dessa två händelser kan vara en indikation på skadlig kodinfektion eller en komprometterad värd som utför dataexfiltrering. De permutationer av beacon-mönster som identifierats av Fortinet-aviseringar med misstänkta Microsoft Entra-inloggningsaviseringar är:

  • Omöjlig resa till en atypisk plats som leder till fyrmönster som upptäckts av Fortinet

  • Inloggningshändelse från en okänd plats som leder till ett fyrmönster som identifierats av Fortinet

  • Inloggningshändelse från en infekterad enhet som leder till ett fyrmönster som identifierats av Fortinet

  • Inloggningshändelse från en anonym IP-adress som leder till ett fyrmönster som identifierats av Fortinet

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till ett beacon-mönster som identifierats av Fortinet

Nätverksbegäran till TOR-anonymiseringstjänsten följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Kommando och kontroll

MITRE ATT&CK-tekniker: Krypterad kanal (T1573), proxy (T1090)

Dataanslutningskällor: Microsoft Defender för Endpoint (tidigare MDATP), Microsoft Sentinel (schemalagd analysregel)

Beskrivning: Fusionsincidenter av den här typen indikerar att en begäran om utgående anslutning gjordes till TOR-anonymiseringstjänsten, och därefter upptäcktes avvikande inkommande aktivitet av Palo Alto Networks-brandväggen. Detta tyder på att en angripare troligen har fått åtkomst till nätverket och försöker dölja sina åtgärder och avsikter. Anslut joner till TOR-nätverket som följer det här mönstret kan vara en indikation på kommando- och kontrollaktivitet för skadlig kod, begäranden om nedladdning av ytterligare skadlig kod eller en angripare som upprättar interaktiv fjärråtkomst. I Palo Alto-loggar fokuserar Microsoft Sentinel på hotloggar och trafik anses misstänkt när hot tillåts (misstänkta data, filer, översvämningar, paket, genomsökningar, spionprogram, URL:er, virus, sårbarheter, löpeldsvirus, skogsbränder). Referera även till Palo Alto Threat-loggen som motsvarar hot -/innehållstypen som anges i beskrivningen av fusionsincidenten för ytterligare aviseringsinformation.

Utgående anslutning till IP med en historik över obehöriga åtkomstförsök följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Kommando och kontroll

MITRE ATT&CK-tekniker: Inte tillämpligt

Dataanslutningskällor: Microsoft Defender för Endpoint (tidigare MDATP), Microsoft Sentinel (schemalagd analysregel)

Beskrivning: Fusionsincidenter av den här typen indikerar att en utgående anslutning till en IP-adress med en historik över obehöriga åtkomstförsök har upprättats, och därefter upptäcktes avvikande aktivitet av Palo Alto Networks-brandväggen. Det här tyder på att en angripare troligen har fått åtkomst till nätverket. Anslut ionsförsök som följer det här mönstret kan vara en indikation på kommando- och kontrollaktivitet för skadlig kod, begäranden om nedladdning av ytterligare skadlig kod eller en angripare som upprättar interaktiv fjärråtkomst. I Palo Alto-loggar fokuserar Microsoft Sentinel på hotloggar och trafik anses misstänkt när hot tillåts (misstänkta data, filer, översvämningar, paket, genomsökningar, spionprogram, URL:er, virus, sårbarheter, löpeldsvirus, skogsbränder). Referera även till Palo Alto Threat-loggen som motsvarar hot -/innehållstypen som anges i beskrivningen av fusionsincidenten för ytterligare aviseringsinformation.

Bevarande

(Ny hotklassificering)

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Beständighet, initial åtkomst

MITRE ATT&CK-tekniker: Skapa konto (T1136), giltigt konto (T1078)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att ett program har beviljats medgivande av en användare som aldrig eller sällan har gjort det, efter en relaterad misstänkt inloggning till ett Microsoft Entra-konto. Dessa bevis tyder på att kontot som anges i beskrivningen av fusionsincidenten kan ha komprometterats och använts för att komma åt eller manipulera programmet i skadliga syften. Medgivande till programmet, Lägg till tjänstens huvudnamn och Lägg till OAuth2PermissionGrant bör vanligtvis vara sällsynta händelser. Angripare kan använda den här typen av konfigurationsändring för att upprätta eller behålla sitt fotfäste på system. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med den sällsynta aviseringen om programmedgivande är:

  • Omöjlig resa till en atypisk plats som leder till sällsynt programmedgivande

  • Inloggningshändelse från en okänd plats som leder till sällsynt programmedgivande

  • Inloggningshändelse från en infekterad enhet som leder till sällsynt programmedgivande

  • Inloggningshändelse från en anonym IP-adress som leder till sällsynt programmedgivande

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till sällsynt programmedgivande

Utpressningstrojaner

Utpressningstrojankörning efter misstänkt Microsoft Entra-inloggning

MITRE ATT&CK-taktik: Inledande åtkomst, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), data krypterade för påverkan (T1486)

Dataanslutningskällor: Microsoft Defender för molnet Apps, Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att avvikande användarbeteende som indikerar att en utpressningstrojanattack upptäcktes efter en misstänkt inloggning till ett Microsoft Entra-konto. Den här indikationen ger hög förtroende för att kontot som anges i beskrivningen av fusionsincidenten har komprometterats och användes för att kryptera data i syfte att utpressa dataägaren eller neka dataägaren åtkomst till sina data. Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med utpressningstrojankörningsaviseringen är:

  • Omöjligt att resa till en atypisk plats som leder till utpressningstrojaner i molnappen

  • Inloggningshändelse från en okänd plats som leder till utpressningstrojaner i molnappen

  • Inloggningshändelse från en infekterad enhet som leder till utpressningstrojaner i molnappen

  • Inloggningshändelse från en anonym IP-adress som leder till utpressningstrojaner i molnappen

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till utpressningstrojaner i molnappen

Fjärrexploatering

Misstänkt användning av attackramverk följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, körning, lateral förflyttning, eskalering av privilegier

MITRE ATT&CK-tekniker: Utnyttja offentliga program (T1190), exploatering för klientkörning (T1203), utnyttjande av fjärrtjänster (T1210), utnyttjande av privilegiereskalering (T1068)

Dataanslutningskällor: Microsoft Defender för Endpoint (tidigare MDATP), Microsoft Sentinel (schemalagd analysregel)

Beskrivning: Fusionsincidenter av den här typen indikerar att icke-standardanvändning av protokoll, som liknar användningen av attackramverk som Metasploit, upptäcktes och därefter upptäcktes misstänkt inkommande aktivitet av Palo Alto Networks-brandväggen. Detta kan vara en första indikation på att en angripare har utnyttjat en tjänst för att få åtkomst till dina nätverksresurser eller att en angripare redan har fått åtkomst och försöker ytterligare utnyttja tillgängliga system/tjänster för att flytta i sidled och/eller eskalera privilegier. I Palo Alto-loggar fokuserar Microsoft Sentinel på hotloggar och trafik anses misstänkt när hot tillåts (misstänkta data, filer, översvämningar, paket, genomsökningar, spionprogram, URL:er, virus, sårbarheter, löpeldsvirus, skogsbränder). Referera även till Palo Alto Threat-loggen som motsvarar hot -/innehållstypen som anges i beskrivningen av fusionsincidenten för ytterligare aviseringsinformation.

Resurskapning

(Ny hotklassificering)

Misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare efter misstänkt Microsoft Entra-inloggning

I det här scenariot används aviseringar som skapats av schemalagda analysregler.

Det här scenariot är för närvarande i förhandsversion.

MITRE ATT&CK-taktik: Inledande åtkomst, påverkan

MITRE ATT&CK-tekniker: Giltigt konto (T1078), resurskapning (T1496)

Dataanslutningskällor: Microsoft Sentinel (schemalagd analysregel), Microsoft Entra ID Protection

Beskrivning: Fusionsincidenter av den här typen indikerar att en användare har distribuerat en Azure-resurs eller resursgrupp – en sällsynt aktivitet – efter en misstänkt inloggning, med egenskaper som inte nyligen har setts, till ett Microsoft Entra-konto. Detta kan möjligen vara ett försök av en angripare att distribuera resurser eller resursgrupper i skadliga syften efter att ha komprometterat användarkontot som anges i beskrivningen av fusionsincidenten.

Permutationerna av misstänkta Microsoft Entra-inloggningsaviseringar med den misstänkta resurs-/resursgruppsdistributionen av en tidigare osedda uppringaravisering är:

  • Omöjligt att resa till en atypisk plats som leder till misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare

  • Inloggningshändelse från en okänd plats som leder till misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare

  • Inloggningshändelse från en infekterad enhet som leder till misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare

  • Inloggningshändelse från en anonym IP-adress som leder till misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare

  • Inloggningshändelse från användare med läckta autentiseringsuppgifter som leder till misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare

Nästa steg

Nu när du har lärt dig mer om avancerad identifiering av flerstegsattacker kan du vara intresserad av följande snabbstart för att lära dig hur du får insyn i dina data och potentiella hot: Kom igång med Microsoft Sentinel.

Om du är redo att undersöka de incidenter som har skapats åt dig kan du läsa följande självstudie: Undersöka incidenter med Microsoft Sentinel.