Aracılığıyla paylaş

Microsoft Sentinel Fusion altyapısı tarafından algılanan senaryolar

  • Makale

Bu belgede, Microsoft Sentinel'in Fusion bağıntı altyapısını kullanarak algıladığı, tehdit sınıflandırmasına göre gruplandırılmış senaryo tabanlı çok aşamalı saldırı türleri listelenmiştir.

Fusion, gelişmiş çoklu sahne saldırılarını algılamak için çeşitli ürünlerden gelen birden çok sinyali ilişkilendirdiğinden, başarılı Fusion algılamaları uyarı olarak değil Microsoft Sentinel Olayları sayfasında Fusion olayları olarak sunulur ve GüvenlikAlerts tablosunda değil Günlükler'deki Olaylar tablosunda depolanır.

Bu Fusion destekli saldırı algılama senaryolarını etkinleştirmek için listelenen tüm veri kaynaklarının Log Analytics çalışma alanınıza alınması gerekir. Zamanlanmış analiz kuralları olan senaryolar için Fusion algılamaları için zamanlanmış analiz kurallarını yapılandırma başlığı altında yer alan yönergeleri izleyin.

Dekont

Bu senaryolardan bazıları ÖNİzLEME aşamasındadır. Bunlar çok belirtilir.

İşlem kaynağı kötüye kullanımı

Şüpheli Microsoft Entra oturum açma işleminin ardından birden çok VM oluşturma etkinliği

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Kaynak Ele Geçirme (T1496)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açmanın ardından tek bir oturumda anormal sayıda VM oluşturulduğunu gösterir. Bu tür bir uyarı, fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve şifreleme madenciliği işlemlerini çalıştırma gibi yetkisiz amaçlarla yeni VM'ler oluşturmak için kullanıldığını yüksek güvenilirlik düzeyiyle belirtir. Birden çok VM oluşturma etkinliği uyarısı içeren şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Birden çok VM oluşturma etkinliğine yol açan atipik bir konuma imkansız seyahat

  • Birden çok VM oluşturma etkinliğine yol açan, tanınmayan bir konumdan oturum açma olayı

  • Birden çok VM oluşturma etkinliğine yol açan virüslü bir cihazdan oturum açma olayı

  • Birden çok VM oluşturma etkinliğine yol açan anonim bir IP adresinden oturum açma olayı

  • Birden çok VM oluşturma etkinliğine yol açan sızdırılan kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Kimlik bilgisi erişimi

(Yeni tehdit sınıflandırması)

Şüpheli oturum açma sonrasında kullanıcı tarafından birden çok parola sıfırlandı

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Kimlik Bilgisi Erişimi

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Deneme Yanılma (T1110)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki Fusion olayları, bir kullanıcının Microsoft Entra hesabında şüpheli bir oturum açma sonrasında birden çok parolayı sıfırladığını gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve birden çok sistem ve kaynağa erişim kazanmak için birden çok parola sıfırlaması gerçekleştirmek için kullanıldığını göstermektedir. Hesap işleme (parola sıfırlama dahil), saldırganların bir ortamdaki kimlik bilgilerine ve belirli izin düzeylerine erişimi korumalarına yardımcı olabilir. Birden çok parola sıfırlama uyarısı içeren şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Birden çok parola sıfırlamaya yol açan atipik bir konuma imkansız seyahat

  • Birden çok parolanın sıfırlanmasıyla ilgili bilinmeyen bir konumdan oturum açma olayı

  • Birden çok parola sıfırlamaya yol açan virüslü bir cihazdan oturum açma olayı

  • Birden çok parola sıfırlamaya yol açan anonim bir IP'den oturum açma olayı

  • Birden çok parola sıfırlamaya yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Birden çok başarısız Microsoft Entra oturum açma işlemiyle IP ile Palo Alto VPN'de başarılı oturum açma işlemiyle çakışan şüpheli oturum açma

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Kimlik Bilgisi Erişimi

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Deneme Yanılma (T1110)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Bir Microsoft Entra hesabında şüpheli bir oturum açma işleminin, benzer bir zaman çerçevesinde birden çok başarısız Microsoft Entra oturum açma işleminin gerçekleştiği bir IP adresinden Palo Alto VPN aracılığıyla başarılı bir oturum açma işlemiyle aynı zamana denk geldiğini gösterir. Çok aşamalı bir saldırının kanıtı olmasa da, bu iki düşük aslına uygunluk uyarısının bağıntısı, kuruluşun ağına kötü amaçlı ilk erişimi öneren yüksek aslına uygunluk olayına neden olur. Alternatif olarak, bu bir saldırganın Bir Microsoft Entra hesabına erişim elde etmek için deneme yanılma tekniklerini kullanmaya çalıştığının bir göstergesi olabilir. Şüpheli Microsoft Entra oturum açma uyarılarının "Birden çok başarısız Microsoft Entra oturum açma işlemiyle IP palo Alto VPN'de başarıyla oturum açar" uyarılarıyla permütasyonları şunlardır:

  • Birden çok başarısız Microsoft Entra oturum açma işlemiyle IP ile çakışan bir atipik konuma imkansız seyahat Palo Alto VPN'de başarıyla oturum açar

  • Birden çok başarısız Microsoft Entra oturum açma işlemiyle IP'ye denk gelen tanıdık olmayan bir konumdan oturum açma olayı Palo Alto VPN'de başarıyla oturum açar

  • Birden çok başarısız Microsoft Entra oturum açma işlemiyle IP'ye denk gelen virüslü bir cihazdan oturum açma olayı Palo Alto VPN'de başarıyla oturum açar

  • Birden çok başarısız Microsoft Entra oturum açma işlemiyle IP'ye denk gelen anonim bir IP'den oturum açma olayı Palo Alto VPN'de başarıyla oturum açar

  • Birden çok başarısız Microsoft Entra oturum açma işleminin Palo Alto VPN'de başarıyla oturum açtığı IP ile çakışan, sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Kimlik bilgisi toplama

(Yeni tehdit sınıflandırması)

Şüpheli oturum açma sonrasında kötü amaçlı kimlik bilgisi hırsızlığı aracını yürütme

MITRE ATT&CK taktikleri: İlk Erişim, Kimlik Bilgisi Erişimi

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), İşletim Sistemi Kimlik Bilgisi Dökümü (T1003)

Veri bağlayıcısı kaynakları: Microsoft Entra Kimlik Koruması, Uç Nokta için Microsoft Defender

Açıklama: Bu türdeki fusion olayları, şüpheli bir Microsoft Entra oturum açma işleminin ardından bilinen bir kimlik bilgisi hırsızlığı aracının yürütüldüğünü gösterir. Bu kanıt, uyarı açıklamasında belirtilen kullanıcı hesabının gizliliğinin ihlal edildiğini ve mimikatz gibi bir aracı başarıyla kullanarak anahtarlar, düz metin parolaları ve/veya parola karmaları gibi kimlik bilgilerini sistemden toplamış olabileceğini göstermektedir. Toplanan kimlik bilgileri, bir saldırganın hassas verilere erişmesine, ayrıcalıkları yükseltmesine ve/veya ağ genelinde yaya olarak hareket etmesini sağlar. Kötü amaçlı kimlik bilgisi hırsızlığı aracı uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Kötü amaçlı kimlik bilgisi hırsızlığı aracının yürütülmesine yol açan atipik konumlara imkansız seyahat

  • Kötü amaçlı kimlik bilgisi hırsızlığı aracının yürütülmesine yol açan, tanınmayan bir konumdan oturum açma olayı

  • Kötü amaçlı kimlik bilgisi hırsızlığı aracının yürütülmesine yol açan virüslü bir cihazdan oturum açma olayı

  • Kötü amaçlı kimlik bilgisi hırsızlığı aracının yürütülmesine yol açan anonim bir IP adresinden oturum açma olayı

  • Kötü amaçlı kimlik bilgisi hırsızlığı aracının yürütülmesine yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Şüpheli oturum açma sonrasında şüpheli kimlik bilgisi hırsızlığı etkinliği

MITRE ATT&CK taktikleri: İlk Erişim, Kimlik Bilgisi Erişimi

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Parola Depolarından Kimlik Bilgileri (T1555), İşletim Sistemi Kimlik Bilgisi Dökümü (T1003)

Veri bağlayıcısı kaynakları: Microsoft Entra Kimlik Koruması, Uç Nokta için Microsoft Defender

Açıklama: Bu türdeki fusion olayları, kimlik bilgisi hırsızlığı desenleriyle ilişkili etkinliğin şüpheli bir Microsoft Entra oturum açma sonrasında gerçekleştiğini gösterir. Bu kanıt, uyarı açıklamasında belirtilen kullanıcı hesabının gizliliğinin ihlal edildiğini ve anahtarlar, düz metin parolaları, parola karmaları gibi kimlik bilgilerini çalmak için kullanıldığını yüksek güvenle göstermektedir. Çalınan kimlik bilgileri, saldırganın hassas verilere erişmesine, ayrıcalıkları yükseltmesine ve/veya ağ genelinde yaya olarak hareket etmesini sağlar. Kimlik bilgisi hırsızlığı etkinlik uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Şüpheli kimlik bilgisi hırsızlığı etkinliğine yol açan atipik konumlara imkansız seyahat

  • Kimlik bilgisi hırsızlığından şüphelenilen etkinliğe yol açan, tanınmayan bir konumdan oturum açma olayı

  • Şüpheli kimlik bilgisi hırsızlığı etkinliğine yol açan virüslü bir cihazdan oturum açma olayı

  • Kimlik bilgisi hırsızlığından şüphelenilen etkinliğe yol açan anonim bir IP adresinden oturum açma olayı

  • Şüpheli kimlik bilgisi hırsızlığı etkinliğine yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Kripto madenciliği

(Yeni tehdit sınıflandırması)

Şüpheli oturum açma sonrasında şifreleme madenciliği etkinliği

MITRE ATT&CK taktikleri: İlk Erişim, Kimlik Bilgisi Erişimi

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Kaynak Ele Geçirme (T1496)

Veri bağlayıcısı kaynakları: Microsoft Entra Kimlik Koruması, Bulut için Microsoft Defender

Açıklama: Bu türdeki füzyon olayları, Microsoft Entra hesabında şüpheli bir oturum açma ile ilişkili şifreleme madenciliği etkinliğini gösterir. Bu kanıt, uyarı açıklamasında belirtilen kullanıcı hesabının gizliliğinin ihlal edildiğini ve ortamınızdaki kaynakları şifreleme para birimi madenciliğinde ele geçirme amacıyla kullanıldığını yüksek güvenle göstermektedir. Bu işlem gücü kaynaklarınızı aç bırakabilir ve/veya beklenenden çok daha yüksek bulut kullanım faturalarının artmasına neden olabilir. Şifreleme madenciliği etkinlik uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Kripto madenciliği etkinliğine yol açan atipik konumlara imkansız seyahat

  • Şifreleme madenciliği etkinliğine yol açan, tanınmayan bir konumdan oturum açma olayı

  • Şifreleme madenciliği etkinliğine yol açan virüslü bir cihazdan oturum açma olayı

  • Şifreleme madenciliği etkinliğine yol açan anonim bir IP adresinden oturum açma olayı

  • Şifreleme madenciliği etkinliğine yol açan sızan kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Veri yok etme

Şüpheli Microsoft Entra oturum açma işleminden sonra toplu dosya silme

MITRE ATT&CK taktikleri: İlk Erişim, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Veri Yok Etme (T1485)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açma sonrasında anormal sayıda benzersiz dosya silindiğini gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen hesabın ele geçirilmiş olabileceğini ve kötü amaçlı amaçlarla verileri yok etmek için kullanıldığını göstermektedir. Toplu dosya silme uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Toplu dosya silmeye yol açan atipik bir konuma imkansız seyahat

  • Bilinmeyen bir konumdan toplu dosya silmeye yol açan oturum açma olayı

  • Toplu dosya silmeye yol açan virüslü bir cihazdan oturum açma olayı

  • Toplu dosya silmeye yol açan anonim bir IP adresinden oturum açma olayı

  • Sızdırılan kimlik bilgileriyle kullanıcıdan toplu dosya silmeye neden olan oturum açma olayı

Cisco güvenlik duvarı gereci tarafından engellenen IP'den başarılı Microsoft Entra oturum açma işleminin ardından toplu dosya silme

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Veri Yok Etme (T1485)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu türdeki fusion olayları, kullanıcının IP adresinin Cisco güvenlik duvarı gereci tarafından engellenmesine rağmen başarılı bir Microsoft Entra oturum açma sonrasında anormal sayıda benzersiz dosya silindiğini gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak verileri yok etmek için kullanıldığını göstermektedir. IP güvenlik duvarı tarafından engellendiğinden, Aynı IP'nin Microsoft Entra Id'de başarıyla oturum açması büyük olasılıkla şüphelidir ve kullanıcı hesabı için kimlik bilgilerinin güvenliğinin aşıldığını gösterebilir.

Birden çok başarısız Microsoft Entra oturum açma işlemiyle IP ile Palo Alto VPN'de başarıyla oturum açıldıktan sonra toplu dosya silme

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Kimlik Bilgisi Erişimi, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Deneme Yanılma (T1110), Veri Yok Etme (T1485)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu türdeki fusion olayları, palo Alto VPN üzerinden başarılı bir şekilde oturum açan ve benzer bir zaman çerçevesinde birden çok başarısız Microsoft Entra oturum açma işleminin gerçekleştiği bir IP adresinden anormal sayıda benzersiz dosya silindiğini gösterir. Bu kanıt Fusion olayında belirtilen kullanıcı hesabının deneme yanılma teknikleri kullanılarak ele geçirilmiş olabileceğini ve verileri kötü amaçlı olarak yok etmek için kullanıldığını göstermektedir.

Şüpheli Microsoft Entra oturum açma işleminden sonra şüpheli e-posta silme etkinliği

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Veri Yok Etme (T1485)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açmanın ardından tek bir oturumda anormal sayıda e-postanın silindiğini gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen hesabın ele geçirilmiş olabileceğini ve kuruluşa zarar verme veya istenmeyen postayla ilgili e-posta etkinliğini gizleme gibi kötü amaçlı amaçlarla verileri yok etmek için kullanıldığını göstermektedir. Şüpheli e-posta silme etkinlik uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Şüpheli e-posta silme etkinliğine yol açan atipik bir konuma imkansız seyahat

  • Şüpheli e-posta silme etkinliğine yol açan, tanınmayan bir konumdan oturum açma olayı

  • Şüpheli e-posta silme etkinliğine yol açan virüslü bir cihazdan oturum açma olayı

  • Şüpheli e-posta silme etkinliğine yol açan anonim bir IP adresinden oturum açma olayı

  • Şüpheli e-posta silme etkinliğine yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Veri sızdırma

Yeni yönetici hesabı etkinliğini izleyen posta iletme etkinlikleri yakın zamanda görülmedi

Bu senaryo, bu listedeki iki tehdit sınıflandırmasına aittir: veri sızdırma ve kötü amaçlı yönetim etkinliği. Netlik adına, her iki bölümde de görünür.

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Toplama, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), E-posta Toplama (T1114), Web Hizmeti Üzerinden Sızdırma (T1567)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu türdeki Fusion olayları, yeni bir Exchange yönetici hesabının oluşturulduğunu veya mevcut bir Exchange yönetici hesabının son iki hafta içinde ilk kez bir yönetim eylemi gerçekleştirdiğini ve hesabın yönetici hesabı için olağan dışı olan bazı posta iletme eylemleri gerçekleştirdiğini gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen kullanıcı hesabının gizliliğinin ihlal edildiğini veya işlendiğini ve kuruluşunuzun ağından veri sızdırmak için kullanıldığını göstermektedir.

Şüpheli Microsoft Entra oturum açma işleminin ardından toplu dosya indirme

MITRE ATT&CK taktikleri: İlk Erişim, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açma sonrasında kullanıcı tarafından anormal sayıda dosya indirildiğini gösterir. Bu gösterge Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğine ve kuruluşunuzun ağından veri sızdırmak için kullanıldığına dair yüksek güven sağlar. Toplu dosya indirme uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Toplu dosya indirmeye yol açan atipik bir konuma imkansız seyahat

  • Bilinmeyen bir konumdan toplu dosya indirmeye yol açan oturum açma olayı

  • Toplu dosya indirmeye yol açan virüslü bir cihazdan oturum açma olayı

  • Toplu dosya indirmeye yol açan anonim bir IP'den oturum açma olayı

  • Toplu dosya indirmeye yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Cisco güvenlik duvarı gereci tarafından engellenen IP'den başarılı Microsoft Entra oturum açma işleminin ardından toplu dosya indirme

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Web Hizmeti Üzerinden Sızdırma (T1567)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu türdeki füzyon olayları, kullanıcının IP adresinin Cisco güvenlik duvarı gereci tarafından engellenmesine rağmen başarılı bir Microsoft Entra oturum açma sonrasında kullanıcı tarafından anormal sayıda dosya indirildiğini gösterir. Bu, bir saldırgan tarafından bir kullanıcı hesabının güvenliğinin aşılmasından sonra kuruluşun ağından veri sızdırma girişimi olabilir. IP güvenlik duvarı tarafından engellendiğinden, Aynı IP'nin Microsoft Entra Id'de başarıyla oturum açması büyük olasılıkla şüphelidir ve kullanıcı hesabı için kimlik bilgilerinin güvenliğinin aşıldığını gösterebilir.

Daha önce görünmeyen IP'den SharePoint dosya işlemiyle çakışan toplu dosya indirme

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: Sızdırma

MITRE ATT&CK teknikleri: Web Hizmeti Üzerinden Sızdırma (T1567), Veri Aktarımı Boyut Sınırları (T1030)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu tür füzyon olayları, daha önce görünmeyen bir IP adresinden bağlanan bir kullanıcı tarafından anormal sayıda dosya indirildiğini gösterir. Çok aşamalı bir saldırının kanıtı olmasa da, bu iki düşük aslına uygunluk uyarısının bağıntısı, bir saldırganın kuruluşun ağından güvenliği aşılmış olabilecek bir kullanıcı hesabından veri sızdırma girişimini öneren yüksek aslına uygunluk olayına neden olur. Kararlı ortamlarda, daha önce görünmeyen IP'ler tarafından yapılan bu tür bağlantılar, özellikle büyük ölçekli belge sızdırma ile ilişkilendirilebilen birimdeki ani artışlarla ilişkiliyse yetkisiz olabilir.

Şüpheli Microsoft Entra oturum açma sonrasında toplu dosya paylaşımı

MITRE ATT&CK taktikleri: İlk Erişim, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Web Hizmeti Üzerinden Sızdırma (T1567)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, microsoft Entra hesabında şüpheli bir oturum açma sonrasında belirli bir eşiğin üzerindeki bir dizi dosya paylaşıldığını gösterir. Bu gösterge Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve belge, elektronik tablo vb. gibi dosyaları kötü amaçlı olarak yetkisiz kullanıcılarla paylaşarak kuruluşunuzun ağından veri sızdırmak için kullanıldığına dair yüksek güven sağlar. Toplu dosya paylaşım uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Toplu dosya paylaşımına yol açan atipik bir konuma imkansız seyahat

  • Toplu dosya paylaşımına yol açan, tanınmayan bir konumdan oturum açma olayı

  • Toplu dosya paylaşımına yol açan virüslü bir cihazdan oturum açma olayı

  • Toplu dosya paylaşımına yol açan anonim bir IP adresinden oturum açma olayı

  • Toplu dosya paylaşımına yol açan sızdırılan kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Şüpheli Microsoft Entra oturum açma sonrasında birden çok Power BI rapor paylaşımı etkinliği

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Web Hizmeti Üzerinden Sızdırma (T1567)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açmanın ardından tek bir oturumda anormal sayıda Power BI raporunun paylaşıldığını gösterir. Bu gösterge Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak Power BI raporlarını yetkisiz kullanıcılarla paylaşarak kuruluşunuzun ağından veri sızdırmak için kullanıldığını gösterir. Birden çok Power BI rapor paylaşımı etkinliğiyle şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Birden çok Power BI rapor paylaşımı etkinliğine yol açan bir atipik konuma imkansız seyahat

  • Birden çok Power BI rapor paylaşımı etkinliğine yol açan, tanınmayan bir konumdan oturum açma olayı

  • Birden çok Power BI rapor paylaşımı etkinliğine yol açan virüslü bir cihazdan oturum açma olayı

  • Birden çok Power BI rapor paylaşımı etkinliğine yol açan anonim bir IP adresinden oturum açma olayı

  • Birden çok Power BI rapor paylaşımı etkinliğine yol açan, sızdırılan kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Şüpheli bir Microsoft Entra oturum açma sonrasında Office 365 posta kutusu sızdırma

MITRE ATT&CK taktikleri: İlk Erişim, Sızdırma, Toplama

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), E-posta toplama (T1114), Otomatik Sızdırma (T1020)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, bir Microsoft Entra hesabında şüpheli bir oturum açma sonrasında kullanıcının gelen kutusunda şüpheli gelen kutusu iletme kuralının ayarlandığını gösterir. Bu gösterge, kullanıcının hesabının (Fusion olayı açıklamasında belirtilmiştir) gizliliğinin ihlal edildiğine ve gerçek kullanıcının bilgisi olmadan bir posta kutusu iletme kuralını etkinleştirerek kuruluşunuzun ağından veri sızdırmak için kullanıldığına dair yüksek güven sağlar. Office 365 posta kutusu sızdırma uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Office 365 posta kutusu sızdırmaya yol açan bir atipik konuma imkansız seyahat

  • Office 365 posta kutusu sızdırmaya yol açan, tanınmayan bir konumdan oturum açma olayı

  • Office 365 posta kutusu sızdırmasına yol açan virüslü bir cihazdan oturum açma olayı

  • Office 365 posta kutusu sızdırmasına yol açan anonim bir IP adresinden oturum açma olayı

  • Office 365 posta kutusu sızdırmasına neden olan kimlik bilgileri sızdırılmış kullanıcıdan oturum açma olayı

Kötü amaçlı yazılım algılama sonrasında daha önce görünmeyen IP'den SharePoint dosya işlemi

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: Sızdırma, Savunma Kaçamak

MITRE ATT&CK teknikleri: Veri Aktarım Boyutu Sınırları (T1030)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu türdeki füzyon olayları, bir saldırganın kötü amaçlı yazılım kullanarak SharePoint aracılığıyla indirerek veya paylaşarak büyük miktarda veriyi sızdırmaya çalışıldığını gösterir. Kararlı ortamlarda, daha önce görünmeyen IP'ler tarafından yapılan bu tür bağlantılar, özellikle büyük ölçekli belge sızdırma ile ilişkilendirilebilen birimdeki ani artışlarla ilişkiliyse yetkisiz olabilir.

Şüpheli Microsoft Entra oturum açma adımlarını takip eden şüpheli gelen kutusu işleme kuralları ayarlandı

Bu senaryo, bu listedeki iki tehdit sınıflandırmasına aittir: veri sızdırma ve yanal hareket. Netlik adına, her iki bölümde de görünür.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, YanAl Hareket, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Dahili Mızrak Kimlik Avı (T1534), Otomatik Sızdırma (T1020)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açma sonrasında kullanıcının gelen kutusunda anormal gelen kutusu kurallarının ayarlandığını gösterir. Bu kanıt, Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı amaçlarla kullanıcının e-posta gelen kutusu kurallarını işlemek için kullanıldığına ve büyük olasılıkla kuruluşun ağından veri sızdırmak için kullanıldığına dair yüksek güvenilirlikli bir gösterge sağlar. Alternatif olarak, saldırgan ek kullanıcı ve/veya ayrıcalıklı hesaplara erişim elde ederek yanal olarak hareket etmek amacıyla kuruluşun içinden kimlik avı e-postaları oluşturmaya (dış kaynaklardan gelen e-postaya hedeflenen kimlik avı algılama mekanizmalarını atlayarak) çalışıyor olabilir. Şüpheli gelen kutusu işleme kuralları uyarısıyla şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Şüpheli gelen kutusu işleme kuralına yol açan atipik bir konuma imkansız seyahat

  • Bilinmeyen bir konumdan gelen ve şüpheli gelen kutusu işleme kuralına yol açan oturum açma olayı

  • Şüpheli gelen kutusu işleme kuralına yol açan virüslü bir cihazdan oturum açma olayı

  • Şüpheli gelen kutusu işleme kuralına yol açan anonim BIR IP adresinden oturum açma olayı

  • Şüpheli gelen kutusu işleme kuralına yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Şüpheli Microsoft Entra oturum açma sonrasında şüpheli Power BI rapor paylaşımı

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Web Hizmeti Üzerinden Sızdırma (T1567)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açma sonrasında şüpheli bir Power BI rapor paylaşım etkinliğinin gerçekleştiğini gösterir. Power BI raporu Doğal dil işleme kullanılarak tanımlanan hassas bilgiler içerdiğinden ve dış e-posta adresiyle paylaşıldığından, web'de yayımlandığından veya dışarıdan abone olunan bir e-posta adresine anlık görüntü olarak teslim edildiğinden paylaşım etkinliği şüpheli olarak belirlendi. Bu uyarı, Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve Power BI raporlarını kötü amaçlı olarak yetkisiz kullanıcılarla paylaşarak kuruluşunuzdan hassas verileri dışarı sızdırmak için kullanıldığını büyük bir güvenle belirtir. Şüpheli Power BI rapor paylaşımıyla şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Şüpheli Power BI rapor paylaşımına yol açan atipik bir konuma imkansız seyahat

  • Bilinmeyen bir konumdan gelen ve şüpheli Power BI rapor paylaşımına yol açan oturum açma olayı

  • Şüpheli Power BI rapor paylaşımına yol açan virüslü bir cihazdan oturum açma olayı

  • Şüpheli Power BI rapor paylaşımına yol açan anonim bir IP adresinden oturum açma olayı

  • Şüpheli Power BI rapor paylaşımına yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Hizmet reddi

Şüpheli Microsoft Entra oturum açma işleminden sonra birden çok VM silme etkinliği

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Uç Nokta Hizmet Reddi (T1499)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açmanın ardından tek bir oturumda anormal sayıda VM'nin silindiğini gösterir. Bu gösterge Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğine ve kuruluşun bulut ortamını kesintiye uğratmak veya yok etmek için kullanıldığına dair yüksek güven sağlar. Birden çok VM silme etkinliği uyarısı olan şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Birden çok VM silme etkinliğine yol açan bir atipik konuma imkansız seyahat

  • Birden çok VM silme etkinliğine yol açan, tanınmayan bir konumdan oturum açma olayı

  • Birden çok VM silme etkinliğine yol açan virüslü bir cihazdan oturum açma olayı

  • Birden çok VM silme etkinliğine yol açan anonim bir IP adresinden oturum açma olayı

  • Birden çok VM silme etkinliğine yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Yana hareket

Şüpheli Microsoft Entra oturum açma sonrasında Office 365 kimliğe bürünme

MITRE ATT&CK taktikleri: İlk Erişim, YanAl Hareket

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), İç Mızrak Kimlik Avı (T1534)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabından şüpheli bir oturum açma sonrasında anormal sayıda kimliğe bürünme eyleminin gerçekleştiğini gösterir. Bazı yazılımlarda, kullanıcıların diğer kullanıcıların kimliğine bürünmelerine izin verme seçenekleri vardır. Örneğin, e-posta hizmetleri kullanıcıların diğer kullanıcılara kendi adlarına e-posta gönderme yetkisi vermelerini sağlar. Bu uyarı, Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı yazılım dağıtımı veya yanal hareket için kimlik avı e-postaları gönderme gibi kötü amaçlı amaçlarla kimliğe bürünme etkinlikleri yürütmek için kullanıldığını daha yüksek güvenle belirtir. Office 365 kimliğe bürünme uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Office 365 kimliğe bürünmeye yol açan bir atipik konuma imkansız seyahat

  • Office 365 kimliğe bürünmeye yol açan, tanınmayan bir konumdan oturum açma olayı

  • Office 365 kimliğe bürünmeye yol açan virüslü bir cihazdan oturum açma olayı

  • Office 365 kimliğe bürünmeye yol açan anonim bir IP adresinden oturum açma olayı

  • Office 365 kimliğe bürünmeye yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Şüpheli Microsoft Entra oturum açma adımlarını takip eden şüpheli gelen kutusu işleme kuralları ayarlandı

Bu senaryo, bu listedeki iki tehdit sınıflandırmasına aittir: yanal hareket ve veri sızdırma. Netlik adına, her iki bölümde de görünür.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, YanAl Hareket, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Dahili Mızrak Kimlik Avı (T1534), Otomatik Sızdırma (T1020)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açma sonrasında kullanıcının gelen kutusunda anormal gelen kutusu kurallarının ayarlandığını gösterir. Bu kanıt, Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı amaçlarla kullanıcının e-posta gelen kutusu kurallarını işlemek için kullanıldığına ve büyük olasılıkla kuruluşun ağından veri sızdırmak için kullanıldığına dair yüksek güvenilirlikli bir gösterge sağlar. Alternatif olarak, saldırgan ek kullanıcı ve/veya ayrıcalıklı hesaplara erişim elde ederek yanal olarak hareket etmek amacıyla kuruluşun içinden kimlik avı e-postaları oluşturmaya (dış kaynaklardan gelen e-postaya hedeflenen kimlik avı algılama mekanizmalarını atlayarak) çalışıyor olabilir. Şüpheli gelen kutusu işleme kuralları uyarısıyla şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Şüpheli gelen kutusu işleme kuralına yol açan atipik bir konuma imkansız seyahat

  • Bilinmeyen bir konumdan gelen ve şüpheli gelen kutusu işleme kuralına yol açan oturum açma olayı

  • Şüpheli gelen kutusu işleme kuralına yol açan virüslü bir cihazdan oturum açma olayı

  • Şüpheli gelen kutusu işleme kuralına yol açan anonim BIR IP adresinden oturum açma olayı

  • Şüpheli gelen kutusu işleme kuralına yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Kötü amaçlı yönetim etkinliği

Şüpheli Microsoft Entra oturum açma sonrasında şüpheli bulut uygulaması yönetim etkinliği

MITRE ATT&CK taktikleri: İlk Erişim, Kalıcılık, Savunma Kaçışı, YanAl Hareket, Toplama, Sızdırma ve Etki

MITRE ATT&CK teknikleri: YOK

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, aynı hesaptan şüpheli bir Microsoft Entra oturum açma işleminin ardından tek bir oturumda anormal sayıda yönetim etkinliğinin gerçekleştirildiğini gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen hesabın ele geçirilmiş olabileceğini ve kötü amaçlı herhangi bir sayıda yetkisiz yönetim eylemi yapmak için kullanıldığını göstermektedir. Bu, yönetici ayrıcalıklarına sahip bir hesabın gizliliğinin ihlal edilmiş olabileceğini de gösterir. Şüpheli bulut uygulaması yönetim etkinliği uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Şüpheli bulut uygulaması yönetim etkinliğine yol açan atipik bir konuma imkansız seyahat

  • Bilinmeyen bir konumdan gelen ve şüpheli bulut uygulaması yönetim etkinliğine yol açan oturum açma olayı

  • Şüpheli bulut uygulaması yönetim etkinliğine yol açan virüslü bir cihazdan oturum açma olayı

  • Şüpheli bulut uygulaması yönetim etkinliğine yol açan anonim bir IP adresinden oturum açma olayı

  • Şüpheli bulut uygulaması yönetim etkinliğine yol açan kimlik bilgileri sızdırılmış kullanıcıdan oturum açma olayı

Yeni yönetici hesabı etkinliğini izleyen posta iletme etkinlikleri yakın zamanda görülmedi

Bu senaryo, bu listedeki iki tehdit sınıflandırmasına aittir: kötü amaçlı yönetim etkinliği ve veri sızdırma. Netlik adına, her iki bölümde de görünür.

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Toplama, Sızdırma

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), E-posta Toplama (T1114), Web Hizmeti Üzerinden Sızdırma (T1567)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu türdeki Fusion olayları, yeni bir Exchange yönetici hesabının oluşturulduğunu veya mevcut bir Exchange yönetici hesabının son iki hafta içinde ilk kez bir yönetim eylemi gerçekleştirdiğini ve hesabın yönetici hesabı için olağan dışı olan bazı posta iletme eylemleri gerçekleştirdiğini gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen kullanıcı hesabının gizliliğinin ihlal edildiğini veya işlendiğini ve kuruluşunuzun ağından veri sızdırmak için kullanıldığını göstermektedir.

Meşru işlemle kötü amaçlı yürütme

PowerShell şüpheli bir ağ bağlantısı yaptı ve ardından Palo Alto Networks güvenlik duvarı tarafından işaretlenen anormal trafik geldi.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: Yürütme

MITRE ATT&CK teknikleri: Komut ve Betik Yorumlayıcısı (T1059)

Veri bağlayıcısı kaynakları: Uç Nokta için Microsoft Defender (eski adıyla Microsoft Defender Gelişmiş Tehdit Koruması veya MDATP), Microsoft Sentinel (zamanlanmış analiz kuralı)

Açıklama: Bu türdeki fusion olayları, bir PowerShell komutuyla giden bağlantı isteği yapıldığını ve bunun ardından Palo Alto Networks Güvenlik Duvarı tarafından anormal gelen etkinliğin algılandığını gösterir. Bu kanıt, bir saldırganın ağınıza büyük olasılıkla erişim sağladığını ve kötü amaçlı eylemler gerçekleştirmeye çalıştığını göstermektedir. PowerShell'in bu düzeni izleyen Bağlan denemeleri kötü amaçlı yazılım komut ve denetim etkinliğinin, ek kötü amaçlı yazılım indirme isteklerinin veya uzaktan etkileşimli erişim kuran bir saldırganın göstergesi olabilir. Tüm "karadan yaşama" saldırılarında olduğu gibi, bu etkinlik PowerShell'in meşru bir kullanımı olabilir. Ancak, PowerShell komut yürütmesi ve ardından şüpheli gelen Güvenlik Duvarı etkinliği, PowerShell'in kötü amaçlı olarak kullanıldığına ve daha fazla araştırılması gerektiğine ilişkin güveni artırır. Palo Alto günlüklerinde Microsoft Sentinel tehdit günlüklerine odaklanır ve tehditlere izin verildiğinde trafik şüpheli olarak kabul edilir (şüpheli veriler, dosyalar, sel, paketler, taramalar, casus yazılımlar, URL'ler, virüsler, güvenlik açıkları, yangın-virüsleri, orman yangınları). Ayrıca ek uyarı ayrıntıları için Fusion olayı açıklamasında listelenen Tehdit/İçerik Türüne karşılık gelen Palo Alto Tehdit Günlüğü'ne başvurun.

Şüpheli uzaktan WMI yürütmesi ve ardından Palo Alto Networks güvenlik duvarı tarafından işaretlenen anormal trafik

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: Yürütme, Bulma

MITRE ATT&CK teknikleri: Windows Yönetim Araçları (T1047)

Veri bağlayıcısı kaynakları: Uç Nokta için Microsoft Defender (eski adıyla MDATP), Microsoft Sentinel (zamanlanmış analiz kuralı)

Açıklama: Bu türdeki fusion olayları, Windows Yönetim Arabirimi (WMI) komutlarının bir sistemde uzaktan yürütüldüğünü ve bunun ardından Palo Alto Networks Güvenlik Duvarı tarafından şüpheli gelen etkinliğin algılandığını gösterir. Bu kanıt, bir saldırganın ağınıza erişim elde etmiş olabileceğini ve ikincil olarak taşımaya, ayrıcalıkları yükseltmeye ve/veya kötü amaçlı yükleri yürütmeye çalıştığına işaret eder. Tüm "arazide yaşamak" saldırılarında olduğu gibi, bu etkinlik WMI'nin meşru bir kullanımı olabilir. Ancak, uzak WMI komut yürütmesi ve ardından şüpheli gelen Güvenlik Duvarı etkinliği WMI'nin kötü amaçlı olarak kullanıldığına ve daha fazla araştırılması gerektiğine dair güveni artırır. Palo Alto günlüklerinde Microsoft Sentinel tehdit günlüklerine odaklanır ve tehditlere izin verildiğinde trafik şüpheli olarak kabul edilir (şüpheli veriler, dosyalar, sel, paketler, taramalar, casus yazılımlar, URL'ler, virüsler, güvenlik açıkları, yangın-virüsleri, orman yangınları). Ayrıca ek uyarı ayrıntıları için Fusion olayı açıklamasında listelenen Tehdit/İçerik Türüne karşılık gelen Palo Alto Tehdit Günlüğü'ne başvurun.

Şüpheli oturum açma sonrasında şüpheli PowerShell komut satırı

MITRE ATT&CK taktikleri: İlk Erişim, Yürütme

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Komut ve Betik Yorumlayıcısı (T1059)

Veri bağlayıcısı kaynakları: Microsoft Entra Kimlik Koruması, Uç Nokta için Microsoft Defender (eski adıyla MDATP)

Açıklama: Bu türdeki Fusion olayları, kullanıcının Microsoft Entra hesabında şüpheli bir oturum açma sonrasında kötü amaçlı olabilecek PowerShell komutlarını yürüttüğüne işaret eder. Bu kanıt, uyarı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve daha fazla kötü amaçlı eylem gerçekleştirildiğini yüksek güvenle göstermektedir. Saldırganlar, virüs tarayıcıları gibi disk tabanlı güvenlik mekanizmaları tarafından algılanmamak için genellikle diskte yapıt bırakmadan bellekteki kötü amaçlı yükleri yürütmek için PowerShell kullanır. Şüpheli PowerShell komut uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Şüpheli PowerShell komut satırına yol açan atipik konumlara imkansız seyahat

  • Şüpheli PowerShell komut satırına yol açan, tanınmayan bir konumdan oturum açma olayı

  • Şüpheli PowerShell komut satırına yol açan virüslü bir cihazdan oturum açma olayı

  • Şüpheli PowerShell komut satırına yol açan anonim bir IP adresinden oturum açma olayı

  • Şüpheli PowerShell komut satırına yol açan sızdırılan kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Kötü amaçlı yazılım C2 veya indirme

Fortinet tarafından bir hizmette başarısız olan birden çok kullanıcı oturum açma işlemi sonrasında işaret deseni algılandı

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Komut ve Denetim

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Standart Olmayan Bağlantı Noktası (T1571), T1065 (kullanımdan kaldırıldı)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Bulut için Microsoft Defender Uygulamaları

Açıklama: Bu türdeki Fusion olayları, bir iç IP adresinden dış ip adresine kadar, ilgili iç varlıktan bir hizmette başarısız olan birden çok kullanıcı oturum açma işlemini takip ederek işaretle tutarlı olan iletişim desenlerini gösterir. Bu iki olayın birleşimi kötü amaçlı yazılım bulaşmasının veya veri sızdırma yapan güvenliği aşılmış bir konağın göstergesi olabilir.

Şüpheli Microsoft Entra oturum açma sonrasında Fortinet tarafından algılanan işaret deseni

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Komut ve Denetim

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Standart Olmayan Bağlantı Noktası (T1571), T1065 (kullanımdan kaldırıldı)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki füzyon olayları, microsoft Entra ID'de şüpheli nitelikteki bir kullanıcı oturum açma işlemini takip ederek, bir iç IP adresinden dış ip adresine kadar, işaretle tutarlı olan iletişim desenlerini gösterir. Bu iki olayın birleşimi kötü amaçlı yazılım bulaşmasının veya veri sızdırma yapan güvenliği aşılmış bir konağın göstergesi olabilir. Şüpheli Microsoft Entra oturum açma uyarılarına sahip Fortinet uyarıları tarafından algılanan işaret deseninin permütasyonları şunlardır:

  • Fortinet tarafından algılanan işaret desenine yol açan atipik bir konuma imkansız seyahat

  • Fortinet tarafından algılanan işaret desenine yol açan, tanınmayan bir konumdan oturum açma olayı

  • Fortinet tarafından algılanan işaret desenine yol açan virüslü bir cihazdan oturum açma olayı

  • Fortinet tarafından algılanan işaret desenine yol açan anonim bir IP adresinden oturum açma olayı

  • Fortinet tarafından algılanan işaret desenine yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

TOR anonimleştirme hizmetine ağ isteği ve ardından Palo Alto Networks güvenlik duvarı tarafından bayrak eklenmiş anormal trafik.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: Komut ve Denetim

MITRE ATT&CK teknikleri: Şifrelenmiş Kanal (T1573), Proxy (T1090)

Veri bağlayıcısı kaynakları: Uç Nokta için Microsoft Defender (eski adıyla MDATP), Microsoft Sentinel (zamanlanmış analiz kuralı)

Açıklama: Bu türdeki fusion olayları, TOR anonimleştirme hizmetine giden bağlantı isteğinde bulunulduğunu ve bunun ardından Palo Alto Networks Güvenlik Duvarı tarafından anormal gelen etkinliğin algılandığını gösterir. Bu kanıt, bir saldırganın ağınıza büyük olasılıkla erişim sağladığını ve eylemlerini ve amacını gizlemeye çalıştığını göstermektedir. Bu düzeni izleyen TOR ağına yönelik Bağlan, kötü amaçlı yazılım komut ve denetim etkinliğinin, ek kötü amaçlı yazılım indirme isteklerinin veya uzaktan etkileşimli erişim kuran bir saldırganın göstergesi olabilir. Palo Alto günlüklerinde Microsoft Sentinel tehdit günlüklerine odaklanır ve tehditlere izin verildiğinde trafik şüpheli olarak kabul edilir (şüpheli veriler, dosyalar, sel, paketler, taramalar, casus yazılımlar, URL'ler, virüsler, güvenlik açıkları, yangın-virüsleri, orman yangınları). Ayrıca ek uyarı ayrıntıları için Fusion olayı açıklamasında listelenen Tehdit/İçerik Türüne karşılık gelen Palo Alto Tehdit Günlüğü'ne başvurun.

Yetkisiz erişim girişimleri geçmişiyle IP'ye giden bağlantı ve ardından Palo Alto Networks güvenlik duvarı tarafından işaretlenen anormal trafik

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: Komut ve Denetim

MITRE ATT&CK teknikleri: Uygulanamaz

Veri bağlayıcısı kaynakları: Uç Nokta için Microsoft Defender (eski adıyla MDATP), Microsoft Sentinel (zamanlanmış analiz kuralı)

Açıklama: Bu türdeki fusion olayları, yetkisiz erişim girişimleri geçmişine sahip bir IP adresine giden bağlantı kurulduğunu ve bundan sonra Palo Alto Networks Güvenlik Duvarı tarafından anormal etkinlik algılandığını gösterir. Bu kanıt, bir saldırganın ağınıza büyük olasılıkla erişim sağladığını göstermektedir. Bu düzeni izleyen Bağlan denemeleri kötü amaçlı yazılım komut ve denetim etkinliğinin, ek kötü amaçlı yazılım indirme isteklerinin veya uzaktan etkileşimli erişim kuran bir saldırganın göstergesi olabilir. Palo Alto günlüklerinde Microsoft Sentinel tehdit günlüklerine odaklanır ve tehditlere izin verildiğinde trafik şüpheli olarak kabul edilir (şüpheli veriler, dosyalar, sel, paketler, taramalar, casus yazılımlar, URL'ler, virüsler, güvenlik açıkları, yangın-virüsleri, orman yangınları). Ayrıca ek uyarı ayrıntıları için Fusion olayı açıklamasında listelenen Tehdit/İçerik Türüne karşılık gelen Palo Alto Tehdit Günlüğü'ne başvurun.

Kalıcılık

(Yeni tehdit sınıflandırması)

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: Kalıcılık, İlk Erişim

MITRE ATT&CK teknikleri: Hesap Oluşturma (T1136), Geçerli Hesap (T1078)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki Fusion olayları, bir Microsoft Entra hesabında ilgili şüpheli oturum açma sonrasında uygulamaya hiç veya nadiren bunu yapmamış olan bir kullanıcı tarafından onay verildiğini gösterir. Bu kanıt Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı amaçlarla uygulamaya erişmek veya uygulamaya erişmek veya uygulamaya yönlendirmek için kullanıldığını göstermektedir. Uygulamaya onay, Hizmet sorumlusu ekleme ve OAuth2PermissionGrant Ekleme genellikle nadir olaylar olmalıdır. Saldırganlar bu tür yapılandırma değişikliklerini kullanarak sistemlerde yerlerini kurabilir veya koruyabilir. Nadir uygulama onayı uyarısıyla şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Nadir uygulama onayına yol açan atipik bir konuma imkansız seyahat

  • Nadir uygulama onayına yol açan, tanınmayan bir konumdan oturum açma olayı

  • Nadir uygulama onayına yol açan virüslü bir cihazdan oturum açma olayı

  • Nadir uygulama onayına yol açan anonim bir IP'den oturum açma olayı

  • Nadir uygulama onayına yol açan sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Fidye yazılımı

Şüpheli Microsoft Entra oturum açma sonrasında fidye yazılımı yürütme

MITRE ATT&CK taktikleri: İlk Erişim, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Etki için Şifrelenmiş Veri (T1486)

Veri bağlayıcısı kaynakları: Bulut için Microsoft Defender Uygulamalar, Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki fusion olayları, Microsoft Entra hesabında şüpheli bir oturum açma işleminden sonra fidye yazılımı saldırısını gösteren anormal kullanıcı davranışının algılandığını gösterir. Bu gösterge Fusion olayı açıklamasında belirtilen hesabın gizliliğinin ihlal edildiğine ve veri sahibini haraç etmek veya veri sahibinin verilerine erişimini reddetmek amacıyla verileri şifrelemek için kullanıldığına dair yüksek güven sağlar. Fidye yazılımı yürütme uyarısı ile şüpheli Microsoft Entra oturum açma uyarılarının permütasyonları şunlardır:

  • Bulut uygulamasında fidye yazılımlarına yol açan atipik bir konuma imkansız seyahat

  • Bulut uygulamasında fidye yazılımına yol açan, tanınmayan bir konumdan oturum açma olayı

  • Bulut uygulamasında fidye yazılımına yol açan virüslü bir cihazdan oturum açma olayı

  • Bulut uygulamasında fidye yazılımına yol açan anonim bir IP adresinden oturum açma olayı

  • Bulutta fidye yazılımına yol açan kimlik bilgileri sızdırılmış kullanıcıdan oturum açma olayı

Uzaktan yararlanma

Palo Alto Networks güvenlik duvarı tarafından işaretlenen anormal trafiğin ardından saldırı çerçevesinin kullanımından şüphelenildi

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Yürütme, YanAl Hareket, Ayrıcalık Yükseltme

MITRE ATT&CK teknikleri: Genel Kullanıma Yönelik Uygulamadan Yararlanma (T1190), İstemci Yürütme için Yararlanma (T1203), Uzak HizmetLerden Yararlanma (T1210), Ayrıcalık Yükseltme için Yararlanma (T1068)

Veri bağlayıcısı kaynakları: Uç Nokta için Microsoft Defender (eski adıyla MDATP), Microsoft Sentinel (zamanlanmış analiz kuralı)

Açıklama: Bu türdeki fusion olayları, Metasploit gibi saldırı çerçevelerinin kullanımına benzeyen standart dışı protokol kullanımlarının algılandığını ve bunun ardından Palo Alto Networks Güvenlik Duvarı tarafından şüpheli gelen etkinliğin algılandığını gösterir. Bu, bir saldırganın ağ kaynaklarınıza erişim kazanmak için hizmetlerden yararlandığının veya bir saldırganın zaten erişim kazandığının ve kullanılabilir sistemlerden/hizmetlerden daha fazla yararlanmaya çalıştığının ve/veya ayrıcalıkları yükseltmenin ilk göstergesi olabilir. Palo Alto günlüklerinde Microsoft Sentinel tehdit günlüklerine odaklanır ve tehditlere izin verildiğinde trafik şüpheli olarak kabul edilir (şüpheli veriler, dosyalar, sel, paketler, taramalar, casus yazılımlar, URL'ler, virüsler, güvenlik açıkları, yangın-virüsleri, orman yangınları). Ayrıca ek uyarı ayrıntıları için Fusion olayı açıklamasında listelenen Tehdit/İçerik Türüne karşılık gelen Palo Alto Tehdit Günlüğü'ne başvurun.

Kaynak ele geçirme

(Yeni tehdit sınıflandırması)

Şüpheli Microsoft Entra oturum açma sonrasında daha önce görünmeyen bir arayan tarafından şüpheli kaynak / kaynak grubu dağıtımı

Bu senaryo, zamanlanmış analiz kuralları tarafından oluşturulan uyarıları kullanır.

Bu senaryo şu anda ÖNİzLEME aşamasındadır.

MITRE ATT&CK taktikleri: İlk Erişim, Etki

MITRE ATT&CK teknikleri: Geçerli Hesap (T1078), Kaynak Ele Geçirme (T1496)

Veri bağlayıcısı kaynakları: Microsoft Sentinel (zamanlanmış analiz kuralı), Microsoft Entra Kimlik Koruması

Açıklama: Bu türdeki Fusion olayları, kullanıcının bir Microsoft Entra hesabına yakın zamanda görünmeyen şüpheli bir oturum açma işlemini izleyen bir Azure kaynağı veya kaynak grubu (nadir bir etkinlik) dağıttığını gösterir. Bu, Fusion olayı açıklamasında belirtilen kullanıcı hesabını tehlikeye atıldıktan sonra bir saldırganın kötü amaçlı olarak kaynakları veya kaynak gruplarını dağıtma girişimi olabilir.

Şüpheli kaynak / kaynak grubu dağıtımı ile şüpheli Microsoft Entra oturum açma uyarılarının önceden görünmeyen bir arayan uyarısı tarafından permütasyonları şunlardır:

  • Daha önce görünmeyen bir arayan tarafından şüpheli kaynağa /kaynak grubu dağıtımına yol açan bir atipik konuma imkansız seyahat

  • Daha önce görünmeyen bir arayan tarafından şüpheli kaynak / kaynak grubu dağıtımına yol açan, tanınmayan bir konumdan oturum açma olayı

  • Daha önce görünmeyen bir arayan tarafından şüpheli kaynak/ kaynak grubu dağıtımına yol açan virüslü bir cihazdan oturum açma olayı

  • Daha önce görünmeyen bir arayan tarafından şüpheli kaynak / kaynak grubu dağıtımına yol açan anonim bir IP'den oturum açma olayı

  • Daha önce görünmeyen bir arayan tarafından şüpheli kaynak/kaynak grubu dağıtımına yol açan, sızdırılmış kimlik bilgilerine sahip kullanıcıdan oturum açma olayı

Sonraki adımlar

Gelişmiş çok aşamalı saldırı algılama hakkında daha fazla bilgi edindiniz. Verilerinize ve olası tehditlere nasıl görünürlük elde edebileceğinizi öğrenmek için aşağıdaki hızlı başlangıçla ilgilenebilirsiniz: Microsoft Sentinel'i kullanmaya başlayın.

Sizin için oluşturulan olayları araştırmaya hazırsanız şu öğreticiye bakın: Microsoft Sentinel ile olayları araştırma.