Microsoft Sentinel Fusion 引擎偵測到的案例
本檔列出 Microsoft Sentinel 使用 Fusion 相互關聯引擎偵測到的案例型多階段攻擊類型,並依威脅分類分組。
由於 Fusion 將各種產品的多個訊號相互關聯,以偵測進階多階段攻擊,因此成功融合偵測會顯示為 Microsoft Sentinel 事件頁面上的 Fusion 事件,而不是警示,並儲存在記錄中的 [事件] 數據表中,而不是儲存在 SecurityAlerts 數據表中。
若要啟用這些融合式攻擊偵測案例,列出的任何數據源都必須內嵌至 Log Analytics 工作區。 針對排程分析規則的案例,請遵循設定融合偵測的排程分析規則中的指示。
注意
其中有些案例處於預覽狀態。 他們會如此指出。
計算資源濫用
可疑的 Microsoft Entra 登入之後的多個 VM 建立活動
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、影響
MITRE ATT&CK 技術: 有效帳戶 (T1078), 資源劫持 (T1496)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示,在對 Microsoft Entra 帳戶進行可疑登入之後,在單一會話中建立了異常數量的 VM。 這種類型的警示指出,具有高度信賴度,指出 Fusion 事件描述中記下的帳戶已遭到入侵,並用來建立新的 VM,以用於未經授權的用途,例如執行密碼編譯採礦作業。 具有多個 VM 建立活動警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往導致多個 VM 建立活動的非典型位置
來自不熟悉位置的登入事件,導致多個 VM 建立活動
來自受感染裝置的登入事件,導致多個 VM 建立活動
來自匿名IP位址的登入事件,導致多個 VM 建立活動
來自認證外洩的使用者登入事件,導致多個 VM 建立活動
認證存取
(新威脅分類)
使用者遵循可疑的登入來重設多個密碼
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、認證存取
MITRE ATT&CK 技術: 有效帳戶 (T1078), 暴力密碼破解 (T1110)
數據源: Microsoft Sentinel (排程分析規則),Microsoft Entra ID Protection
描述: 此類型的融合事件表示使用者會在可疑登入 Microsoft Entra 帳戶之後重設多個密碼。 此辨識項表明,Fusion 事件描述中記下的帳戶已遭入侵,並用來執行多個密碼重設,以便存取多個系統和資源。 帳戶操作(包括密碼重設)可能會協助對手維持對環境內認證和特定許可權等級的存取權。 具有多個密碼重設警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致多個密碼重設
來自不熟悉位置的登入事件,導致重設多個密碼
來自受感染裝置的登入事件,導致重設多個密碼
來自匿名IP的登入事件,導致多重密碼重設
來自認證外洩的使用者登入事件,導致多個密碼重設
可疑的登入恰逢成功透過IP登入Palo Alto VPN,並有多個失敗的 Microsoft Entra 登入
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、認證存取
MITRE ATT&CK 技術: 有效帳戶 (T1078), 暴力密碼破解 (T1110)
數據源: Microsoft Sentinel (排程分析規則),Microsoft Entra ID Protection
描述: 此類型的 Fusion 事件表示 Microsoft Entra 帳戶的可疑登入與從 IP 位址成功登入的 Palo Alto VPN 相吻合,其中多個失敗的 Microsoft Entra 登入發生在類似的時間範圍內。 雖然不是多階段攻擊的證據,但這兩個低精確度警示的相互關聯會導致高逼真度事件,建議惡意初始存取組織網路。 或者,這可能表示攻擊者嘗試使用暴力密碼破解技術來取得 Microsoft Entra 帳戶的存取權。 可疑的 Microsoft Entra 登入警示的排列方式為「IP 具有多個失敗的 Microsoft Entra 登入成功登入 Palo Alto VPN」警示:
無法前往非典型位置,而IP與多個失敗的 Microsoft Entra 登入成功登入Palo Alto VPN
來自不熟悉位置的登入事件,與多個失敗的 Microsoft Entra 登入成功登入 Palo Alto VPN 相吻合
來自受感染裝置的登入事件與多個失敗的 Microsoft Entra 登入成功登入 Palo Alto VPN
來自匿名IP的登入事件與多個失敗的 Microsoft Entra 登入成功登入 Palo Alto VPN
來自使用者登入事件,且認證外洩,且IP與多個失敗的 Microsoft Entra 登入成功登入Palo Alto VPN
認證收集
(新威脅分類)
可疑登入之後的惡意認證竊取工具執行
MITRE ATT&CK 策略: 初始存取、認證存取
MITRE ATT&CK 技術: 有效帳戶(T1078)、OS 認證傾印 (T1003)
數據源:Microsoft Entra ID Protection,適用於端點的 Microsoft Defender
描述: 此類型的融合事件表示已知認證竊取工具是在可疑的 Microsoft Entra 登入之後執行。 此辨識項表明,警示描述中所記下用戶帳戶已遭入侵,而且可能已成功使用Mimikatz之類的工具,從系統收集密鑰、純文本密碼和/或密碼哈希等認證。 收集的認證可讓攻擊者存取敏感數據、呈報許可權,以及/或橫向移動網路。 具有惡意認證竊取工具警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致惡意認證竊取工具執行
來自不熟悉位置的登入事件,導致惡意認證竊取工具執行
來自受感染裝置的登入事件,導致惡意認證竊取工具執行
來自匿名IP位址的登入事件,導致惡意認證竊取工具執行
來自認證外洩的使用者登入事件,導致惡意認證竊取工具執行
可疑登入之後的可疑認證竊取活動
MITRE ATT&CK 策略: 初始存取、認證存取
MITRE ATT&CK 技術: 有效帳戶(T1078)、密碼存放區認證(T1555)、OS 認證傾印 (T1003)
數據源:Microsoft Entra ID Protection,適用於端點的 Microsoft Defender
描述: 此類型的融合事件表示在可疑的 Microsoft Entra 登入之後發生與認證竊取模式相關聯的活動。 此辨識項強烈建議您知道警示描述中所記下用戶帳戶已遭入侵,並用來竊取認證,例如密鑰、純文本密碼、密碼哈希等等。 遭竊的認證可能會讓攻擊者存取敏感數據、呈報許可權,以及/或橫向跨網路移動。 具有認證竊取活動警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致可疑的認證竊取活動
來自不熟悉位置的登入事件,導致可疑的認證竊取活動
來自受感染裝置的登入事件,導致可疑的認證竊取活動
來自匿名IP位址的登入事件,導致可疑的認證竊取活動
來自認證外洩的使用者登入事件,導致可疑的認證竊取活動
Crypto-mining
(新威脅分類)
可疑登入之後的加密採礦活動
MITRE ATT&CK 策略: 初始存取、認證存取
MITRE ATT&CK 技術: 有效帳戶 (T1078), 資源劫持 (T1496)
數據源:Microsoft Entra ID Protection,適用於雲端的 Microsoft Defender
描述: 此類型的融合事件表示與可疑登入 Microsoft Entra 帳戶相關聯的密碼編譯採礦活動。 此辨識項強烈建議您知道警示描述中所記下的用戶帳戶已遭入侵,並用來劫持您環境中的資源來挖掘密碼編譯貨幣。 這可能會耗盡運算能力和/或導致比預期的雲端使用量賬單高得多的資源。 具有密碼編譯採礦活動警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往導致加密採礦活動的非典型位置
來自不熟悉位置的登入事件,導致密碼編譯採礦活動
來自受感染裝置的登入事件,導致密碼編譯採礦活動
來自匿名IP位址的登入事件,導致密碼編譯採礦活動
來自認證外洩的使用者登入事件,導致密碼編譯採礦活動
資料損毀
在可疑的 Microsoft Entra 登入之後大量刪除檔案
MITRE ATT&CK 策略: 初始存取、影響
MITRE ATT&CK 技術: 有效帳戶(T1078)、數據破壞(T1485)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示在 Microsoft Entra 帳戶的可疑登入之後,刪除了異常數目的唯一檔案。 此證據表明,Fusion 事件描述中記下的帳戶可能已遭入侵,並用來基於惡意目的終結數據。 具有大量檔案刪除警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致大量檔案刪除
來自不熟悉位置的登入事件,導致大量檔案刪除
來自受感染裝置的登入事件,導致大量檔案刪除
來自匿名IP位址的登入事件,導致大量檔案刪除
來自認證外洩的使用者登入事件,導致大量檔案刪除
成功從 Cisco 防火牆設備封鎖的 IP 登入之後,大量刪除檔案
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、影響
MITRE ATT&CK 技術: 有效帳戶(T1078)、數據破壞(T1485)
數據源:Microsoft Sentinel (排程分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示,在成功登入 Microsoft Entra 登入后,刪除了異常數目的唯一檔案,儘管 Cisco 防火牆設備封鎖了使用者的 IP 位址。 此證據表明,Fusion 事件描述中記下的帳戶已遭入侵,並用來銷毀惡意數據。 由於 IP 遭到防火牆封鎖,因此成功登入 Microsoft Entra ID 的相同 IP 可能很可疑,而且可能表示使用者帳戶的認證遭入侵。
成功透過IP登入Palo Alto VPN並有多個失敗的 Microsoft Entra 登入之後,大量刪除檔案
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、認證存取、影響
MITRE ATT&CK 技術: 有效帳戶(T1078)、暴力密碼破解(T1110)、數據破壞(T1485)
數據源:Microsoft Sentinel (已排程的分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示,成功透過Palo Alto VPN 登入的使用者刪除了異常數目的唯一檔案,該IP位址中有多個失敗的 Microsoft Entra 登入發生在類似的時間範圍內。 此辨識項表明,Fusion 事件中所記下用戶帳戶可能已使用暴力密碼破解技術遭到入侵,並用來終結數據以供惡意之用。
可疑的 Microsoft Entra 登入之後的可疑電子郵件刪除活動
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、影響
MITRE ATT&CK 技術: 有效帳戶(T1078)、數據破壞(T1485)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示,在對 Microsoft Entra 帳戶進行可疑登入之後,單一會話中刪除了異常數目的電子郵件。 此辨識項表明,Fusion 事件描述中記下的帳戶可能已遭入侵,並用來銷毀惡意數據,例如傷害組織或隱藏垃圾郵件相關電子郵件活動。 可疑 Microsoft Entra 登入警示與可疑電子郵件刪除活動警示的排列如下:
無法前往非典型位置,導致可疑的電子郵件刪除活動
來自不熟悉位置的登入事件,導致可疑的電子郵件刪除活動
來自受感染裝置的登入事件,導致可疑的電子郵件刪除活動
來自匿名IP位址的登入事件,導致可疑的電子郵件刪除活動
來自認證外洩的使用者登入事件,導致可疑的電子郵件刪除活動
資料外流
在最近未看到新的系統管理員帳戶活動之後的郵件轉寄活動
此案例屬於此清單中的兩個威脅分類: 數據外泄 和 惡意系統管理活動。 為了清楚起見,這兩個區段都會顯示出來。
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、集合、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078)、電子郵件收集(T1114)、透過 Web 服務外洩 (T1567)
數據源:Microsoft Sentinel (已排程的分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示已建立新的 Exchange 系統管理員帳戶,或現有的 Exchange 系統管理員帳戶在過去兩周內第一次採取一些系統管理動作,然後該帳戶會執行一些郵件轉寄動作,這對系統管理員帳戶而言並不常見。 此辨識項表明,Fusion 事件描述中記下的用戶帳戶已遭到入侵或操作,並用來從組織網路外泄數據。
在可疑的 Microsoft Entra 登入之後下載大量檔案
MITRE ATT&CK 策略: 初始存取、外洩
MITRE ATT&CK 技術: 有效帳戶 (T1078)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示使用者已下載異常數量的檔案,並遵循可疑的登入 Microsoft Entra 帳戶。 此指示提供高度信賴度,指出 Fusion 事件描述中記下的帳戶已遭入侵,並用來從組織網路外泄數據。 具有大量檔案下載警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致大量文件下載
來自不熟悉位置的登入事件,導致大量文件下載
來自受感染裝置的登入事件,導致大量文件下載
來自匿名IP的登入事件,導致大量文件下載
來自使用者登入事件且認證外泄,導致大量文件下載
從 Cisco 防火牆設備封鎖的 IP 成功登入 Microsoft Entra 登入之後,大量下載檔
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078),透過 Web 服務外洩 (T1567)
數據源:Microsoft Sentinel (已排程的分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示,儘管 Cisco 防火牆設備封鎖了使用者的 IP 位址,但在成功登入 Microsoft Entra 登入之後,使用者已下載異常數量的檔案。 在入侵使用者帳戶之後,攻擊者可能會嘗試從組織網路外泄數據。 由於 IP 遭到防火牆封鎖,因此成功登入 Microsoft Entra ID 的相同 IP 可能很可疑,而且可能表示使用者帳戶的認證遭入侵。
大量檔案下載與先前看不見的IP中的SharePoint檔案作業相吻合
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 外泄
MITRE ATT&CK 技術: 透過 Web 服務外洩 (T1567), 資料傳輸大小限制 (T1030)
數據源:Microsoft Sentinel (排程的分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示使用者從先前看不見的IP位址所下載的檔案數目異常。 雖然不是多階段攻擊的證據,但這兩個低精確度警示的相互關聯會導致高逼真度事件,建議攻擊者嘗試從組織網路從可能遭入侵的使用者帳戶外洩數據。 在穩定的環境中,先前看不見的IP這類連線可能會未經授權,特別是如果與可能與大規模檔外泄相關聯的磁碟區尖峰時。
在可疑的 Microsoft Entra 登入之後進行大量檔案共用
MITRE ATT&CK 策略: 初始存取、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078),透過 Web 服務外洩 (T1567)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示,在 Microsoft Entra 帳戶的可疑登入之後,已將超過特定閾值的檔案數目共用給其他人。 此指示提供高度信賴度,指出 Fusion 事件描述中記下的帳戶已遭入侵,並用來透過共用文件、電子錶格等檔案來外泄貴組織網路的數據,並讓未經授權的使用者進行惡意用途。 具有大量檔案共用警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致大量檔案共用
來自不熟悉位置的登入事件,導致大量檔案共用
來自受感染裝置的登入事件,導致大量檔案共用
來自匿名IP位址的登入事件,導致大量檔案共用
來自認證外洩的使用者登入事件,導致大量檔案共用
在可疑的 Microsoft Entra 登入之後,多個 Power BI 報告共用活動
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078),透過 Web 服務外洩 (T1567)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示在可疑登入 Microsoft Entra 帳戶之後,在單一會話中共用了異常數量的 Power BI 報表。 此指示提供高度信賴度,指出 Fusion 事件描述中記下的帳戶已遭入侵,並用來透過與未經授權的用戶共用 Power BI 報告,以惡意用途從組織網路外泄數據。 具有多個 Power BI 報表共享活動的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致多個 Power BI 報表共用活動
來自不熟悉位置的登入事件,導致多個 Power BI 報表共用活動
來自受感染裝置的登入事件,導致多個 Power BI 報表共用活動
來自匿名IP位址的登入事件,導致多個Power BI報表共用活動
來自認證外洩的使用者登入事件,導致多個 Power BI 報表共用活動
在可疑的 Microsoft Entra 登入之後,Office 365 信箱外洩
MITRE ATT&CK 策略: 初始存取、外泄、集合
MITRE ATT&CK 技術: 有效帳戶(T1078)、電子郵件收集(T1114)、自動外泄 (T1020)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示在可疑登入 Microsoft Entra 帳戶之後,使用者收件匣上已設定可疑的收件匣轉寄規則。 此指示提供高度信賴度,表示用戶帳戶(在 Fusion 事件描述中註明)已遭入侵,而且它用來透過啟用信箱轉送規則而無法瞭解真實使用者,以從組織網路外泄數據。 具有 Office 365 信箱外洩警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往導致 Office 365 信箱外洩的不典型位置
來自不熟悉位置的登入事件,導致 Office 365 信箱外洩
來自受感染裝置的登入事件,導致 Office 365 信箱外洩
從導致 Office 365 信箱外洩的匿名 IP 位址登入事件
來自認證外洩的使用者登入事件,導致 Office 365 信箱外洩
在惡意代碼偵測之後,先前未看到IP的SharePoint檔案作業
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 外泄、防禦逃避
MITRE ATT&CK 技術: 數據傳輸大小限制 (T1030)
數據源:Microsoft Sentinel (已排程的分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示攻擊者嘗試透過使用惡意代碼下載或共用SharePoint來外洩大量數據。 在穩定的環境中,先前看不見的IP這類連線可能會未經授權,特別是如果與可能與大規模檔外泄相關聯的磁碟區尖峰時。
可疑的收件匣操作規則會遵循可疑的 Microsoft Entra 登入設定
此案例屬於此清單中的兩個威脅分類: 數據外泄 和 橫向移動。 為了清楚起見,這兩個區段都會顯示出來。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、橫向移動、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078)、內部 Spear 網路釣魚 (T1534)、自動外洩 (T1020)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示,在可疑登入 Microsoft Entra 帳戶之後,使用者收件匣規則已設定異常收件匣規則。 此辨識項提供高信賴度指示,指出 Fusion 事件描述中記下的帳戶已遭入侵,並用來針對惡意目的操作使用者的電子郵件收件匣規則,可能會從組織網路外泄數據。 或者,攻擊者可能嘗試從組織內產生網路釣魚電子郵件(略過以外部來源電子郵件為目標的網路釣魚偵測機制),以便透過取得其他使用者和/或特殊許可權帳戶的存取權來橫向移動。 具有可疑收件匣操作規則警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致可疑的收件匣操作規則
來自不熟悉位置的登入事件,導致可疑的收件匣操作規則
來自受感染裝置的登入事件,導致可疑的收件匣操作規則
來自匿名IP位址的登入事件,導致可疑的收件匣操作規則
來自認證外泄的使用者登入事件,導致可疑的收件匣操作規則
可疑的 Microsoft Entra 登入之後的可疑 Power BI 報表共用
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078),透過 Web 服務外洩 (T1567)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示可疑的Power BI報表共用活動是在 Microsoft Entra 帳戶的可疑登入之後發生的。 共用活動被識別為可疑,因為Power BI報表包含使用自然語言處理識別的敏感性資訊,而且因為該資訊是與外部電子郵件地址共用、發佈至Web,或以快照的形式傳遞至外部訂閱的電子郵件位址。 此警示指出,在 Fusion 事件描述中記下帳戶已遭入侵,並用來透過與未經授權的用戶共用 Power BI 報告,以惡意用途從貴組織外洩敏感數據。 具有可疑 Power BI 報表共用的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致可疑的Power BI報表共用
來自不熟悉位置的登入事件,導致可疑的Power BI報表共用
來自受感染裝置的登入事件,導致可疑的Power BI報表共用
來自匿名IP位址的登入事件,導致可疑的Power BI報表共用
來自認證外洩的使用者登入事件,導致可疑的 Power BI 報表共用
拒絕服務
在可疑的 Microsoft Entra 登入之後,多個 VM 刪除活動
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、影響
MITRE ATT&CK 技術: 有效帳戶(T1078)、端點阻斷服務 (T1499)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示在可疑登入 Microsoft Entra 帳戶之後,單一會話中刪除了異常數目的 VM。 此指示提供高度信賴度,指出 Fusion 事件描述中記下的帳戶已遭入侵,並用來嘗試中斷或終結組織的雲端環境。 具有多個 VM 刪除活動警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致多個 VM 刪除活動
來自不熟悉位置的登入事件,導致多個 VM 刪除活動
來自受感染裝置的登入事件導致多個 VM 刪除活動
來自匿名IP位址的登入事件,導致多個 VM 刪除活動
來自認證外洩的使用者登入事件,導致多個 VM 刪除活動
橫向移動
可疑的 Microsoft Entra 登入之後的 Office 365 模擬
MITRE ATT&CK 策略: 初始存取、橫向移動
MITRE ATT&CK 技術: 有效帳戶 (T1078), 內部魚叉網路釣魚 (T1534)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示在 Microsoft Entra 帳戶的可疑登入之後發生異常數目的模擬動作。 在某些軟體中,有一些選項可讓用戶模擬其他使用者。 例如,電子郵件服務可讓使用者授權其他使用者代表他們傳送電子郵件。 此警示指出,更有信心在 Fusion 事件描述中記下的帳戶已遭入侵,並用來進行惡意用途的模擬活動,例如傳送網路釣魚電子郵件以進行惡意代碼發佈或橫向移動。 具有 Office 365 模擬警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往導致 Office 365 仿真的非典型位置
來自不熟悉位置的登入事件,導致 Office 365 模擬
來自受感染裝置的登入事件,導致 Office 365 模擬
來自導致 Office 365 仿真的匿名 IP 位址的登入事件
來自認證外洩的使用者登入事件,導致 Office 365 模擬
可疑的收件匣操作規則會遵循可疑的 Microsoft Entra 登入設定
此案例屬於此清單中的兩個威脅分類: 橫向移動 和數據 外流。 為了清楚起見,這兩個區段都會顯示出來。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、橫向移動、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078)、內部 Spear 網路釣魚 (T1534)、自動外洩 (T1020)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示,在可疑登入 Microsoft Entra 帳戶之後,使用者收件匣規則已設定異常收件匣規則。 此辨識項提供高信賴度指示,指出 Fusion 事件描述中記下的帳戶已遭入侵,並用來針對惡意目的操作使用者的電子郵件收件匣規則,可能會從組織網路外泄數據。 或者,攻擊者可能嘗試從組織內產生網路釣魚電子郵件(略過以外部來源電子郵件為目標的網路釣魚偵測機制),以便透過取得其他使用者和/或特殊許可權帳戶的存取權來橫向移動。 具有可疑收件匣操作規則警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致可疑的收件匣操作規則
來自不熟悉位置的登入事件,導致可疑的收件匣操作規則
來自受感染裝置的登入事件,導致可疑的收件匣操作規則
來自匿名IP位址的登入事件,導致可疑的收件匣操作規則
來自認證外泄的使用者登入事件,導致可疑的收件匣操作規則
惡意系統管理活動
可疑的 Microsoft Entra 登入之後的可疑雲端應用程式系統管理活動
MITRE ATT&CK 策略: 初始存取、持續性、防禦逃避、橫向移動、集合、外泄和影響
MITRE ATT&CK 技術: N/A
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示,在相同帳戶的可疑 Microsoft Entra 登入之後,單一會話中執行了異常數量的系統管理活動。 此證據表明,Fusion 事件描述中記下的帳戶可能已遭到入侵,並用來對惡意意圖進行任意數目的未經授權的系統管理動作。 這也表示具有系統管理許可權的帳戶可能已遭入侵。 可疑雲端應用程式系統管理活動警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致可疑的雲端應用程式系統管理活動
來自不熟悉位置的登入事件,導致可疑的雲端應用程式系統管理活動
來自受感染裝置的登入事件,導致可疑的雲端應用程式系統管理活動
來自匿名IP位址的登入事件,導致可疑的雲端應用程式系統管理活動
來自認證外洩的使用者登入事件,導致可疑的雲端應用程式系統管理活動
在最近未看到新的系統管理員帳戶活動之後的郵件轉寄活動
此案例屬於此清單中的兩個威脅分類:惡意的系統管理活動和數據外洩。 為了清楚起見,這兩個區段都會顯示出來。
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、集合、外洩
MITRE ATT&CK 技術: 有效帳戶(T1078)、電子郵件收集(T1114)、透過 Web 服務外洩 (T1567)
數據源:Microsoft Sentinel (排程的分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示已建立新的 Exchange 系統管理員帳戶,或現有的 Exchange 系統管理員帳戶在過去兩周內第一次採取一些系統管理動作,然後該帳戶會執行一些郵件轉寄動作,這對系統管理員帳戶而言並不常見。 此辨識項表明,Fusion 事件描述中記下的用戶帳戶已遭到入侵或操作,並用來從組織網路外泄數據。
使用合法進程進行惡意執行
PowerShell 已建立可疑的網路連線,後面接著由Palo Alto Networks防火牆標示的異常流量。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 執行
MITRE ATT&CK 技術: 命令和腳本解釋器 (T1059)
數據源:適用於端點的 Microsoft Defender(先前稱為 Microsoft Defender 進階威脅防護或 MDATP)、Microsoft Sentinel (排程分析規則)
描述: 此類型的融合事件表示已透過PowerShell命令發出輸出連線要求,並遵循該命令,Palo Alto網路防火牆偵測到異常輸入活動。 此辨識項表明攻擊者可能已取得您網路的存取權,並嘗試執行惡意動作。 遵循此模式的 PowerShell 連線 嘗試可能是惡意代碼命令和控制活動的指示、下載其他惡意代碼的要求,或建立遠端互動式存取的攻擊者。 如同所有「生活在土地外」的攻擊,此活動可能是 PowerShell 的合法使用。 不過,PowerShell 命令執行後面接著可疑的輸入防火牆活動,會增加 PowerShell 正以惡意方式使用且應進一步調查的信心。 在 Palo Alto 記錄中,Microsoft Sentinel 著重於 威脅記錄,當允許威脅時,流量會被視為可疑(可疑的數據、檔案、洪水、封包、掃描、間諜軟體、URL、病毒、弱點、野火病毒、野火)。 也參考 Palo Alto 威脅記錄檔,以對應至 融合事件描述中列出的威脅/內容類型 ,以取得其他警示詳細數據。
可疑的遠端 WMI 執行,後面接著由 Palo Alto Networks 防火牆標示的異常流量
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 執行、探索
MITRE ATT&CK 技術: Windows Management Instrumentation (T1047)
數據源:適用於端點的 Microsoft Defender(先前稱為 MDATP)、Microsoft Sentinel(排程的分析規則)
描述: 此類型的融合事件表示 Windows 管理介面 (WMI) 命令已在系統上遠端執行,並遵循該事件,Palo Alto 網路防火牆偵測到可疑的輸入活動。 此證據表明攻擊者可能已取得您網路的存取權,並嘗試橫向移動、提升許可權及/或執行惡意承載。 與所有「生活在土地外」的攻擊一樣,這項活動可能是對WMI的合法使用。 不過,遠端 WMI 命令執行後面接著可疑的輸入防火牆活動,會增加 WMI 正以惡意方式使用且應進一步調查的信心。 在 Palo Alto 記錄中,Microsoft Sentinel 著重於 威脅記錄,當允許威脅時,流量會被視為可疑(可疑的數據、檔案、洪水、封包、掃描、間諜軟體、URL、病毒、弱點、野火病毒、野火)。 也參考 Palo Alto 威脅記錄檔,以對應至 融合事件描述中列出的威脅/內容類型 ,以取得其他警示詳細數據。
可疑登入之後的可疑 PowerShell 命令行
MITRE ATT&CK 策略: 初始存取、執行
MITRE ATT&CK 技術: 有效帳戶(T1078)、命令和腳本解釋器 (T1059)
數據源:Microsoft Entra ID Protection,適用於端點的 Microsoft Defender (先前稱為 MDATP)
描述: 此類型的融合事件表示使用者在可疑登入 Microsoft Entra 帳戶之後,執行了潛在的惡意 PowerShell 命令。 此證據表明,高度信任警示描述中記下的帳戶已遭到入侵,並採取進一步的惡意動作。 攻擊者通常會使用PowerShell在記憶體中執行惡意承載,而不需要將成品留在磁碟上,以避免偵測磁碟式安全性機制,例如病毒掃描器。 具有可疑 PowerShell 命令警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致可疑的PowerShell命令行
來自不熟悉位置的登入事件,導致可疑的 PowerShell 命令行
來自受感染裝置的登入事件,導致可疑的PowerShell命令行
來自匿名IP位址的登入事件,導致可疑的PowerShell命令行
來自認證外洩的使用者登入事件,導致可疑的 PowerShell 命令行
惡意代碼 C2 或下載
在多個失敗的使用者登入服務之後,Fortinet 偵測到的指標模式
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、命令和控制
MITRE ATT&CK 技術: 有效帳戶(T1078)、非標準埠(T1571)、T1065(已淘汰)
數據源:Microsoft Sentinel (已排程的分析規則),適用於雲端的 Microsoft Defender Apps
描述: 此類型的融合事件表示通訊模式,從內部IP位址到外部IP位址,與指標一致,遵循多個失敗的使用者登入相關內部實體的服務。 這兩個事件的組合可能是惡意代碼感染或遭到入侵的主機進行數據外流的跡象。
在可疑的 Microsoft Entra 登入之後,Fortinet 偵測到的指標模式
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、命令和控制
MITRE ATT&CK 技術: 有效帳戶(T1078)、非標準埠(T1571)、T1065(已淘汰)
數據源: Microsoft Sentinel (排程分析規則),Microsoft Entra ID Protection
描述: 此類型的融合事件表示通訊模式,從內部IP位址到外部IP位址,與指標一致,遵循使用者登入 Microsoft Entra ID 的可疑性質。 這兩個事件的組合可能是惡意代碼感染或遭到入侵的主機進行數據外流的跡象。 Fortinet 警示偵測到具有可疑 Microsoft Entra 登入警示的指標模式排列如下:
無法前往非典型位置,導致 Fortinet 偵測到指標模式
來自不熟悉位置的登入事件,導致 Fortinet 偵測到指標模式
來自受感染裝置的登入事件,導致 Fortinet 偵測到指標模式
來自匿名IP位址的登入事件,導致 Fortinet 偵測到指標模式
來自使用者登入事件且認證外泄,導致 Fortinet 偵測到指標模式
對 TOR 匿名服務的網路要求,後面接著由 Palo Alto Networks 防火牆標示的異常流量。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 命令和控制
MITRE ATT&CK 技術: 加密通道 (T1573), Proxy (T1090)
數據源:適用於端點的 Microsoft Defender(先前稱為 MDATP)、Microsoft Sentinel(排程的分析規則)
描述: 此類型的融合事件表示已對 TOR 匿名服務提出輸出連線要求,並遵循該要求,Palo Alto 網路防火牆偵測到異常輸入活動。 此證據表明攻擊者可能已取得您網路的存取權,並嘗試隱瞞其動作和意圖。 遵循此模式的 TOR 網路 連線 可能是惡意代碼命令和控制活動的指示、下載其他惡意代碼的要求,或攻擊者建立遠端互動式存取。 在 Palo Alto 記錄中,Microsoft Sentinel 著重於 威脅記錄,當允許威脅時,流量會被視為可疑(可疑的數據、檔案、洪水、封包、掃描、間諜軟體、URL、病毒、弱點、野火病毒、野火)。 也參考 Palo Alto 威脅記錄檔,以對應至 融合事件描述中列出的威脅/內容類型 ,以取得其他警示詳細數據。
具有未經授權存取嘗試歷程記錄的IP輸出連線,後面接著Palo Alto Networks防火牆標示的異常流量
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 命令和控制
MITRE ATT&CK 技術: 不適用
數據源:適用於端點的 Microsoft Defender(先前稱為 MDATP)、Microsoft Sentinel(排程的分析規則)
描述: 此類型的融合事件表示已建立具有未經授權存取嘗試歷程記錄之IP位址的輸出連線,並遵循該事件,Palo Alto網路防火牆偵測到異常活動。 此證據表明攻擊者可能已取得您網路的存取權。 遵循此模式的 連線 嘗試可能是惡意代碼命令和控制活動、下載其他惡意代碼的要求,或攻擊者建立遠端互動式存取。 在 Palo Alto 記錄中,Microsoft Sentinel 著重於 威脅記錄,當允許威脅時,流量會被視為可疑(可疑的數據、檔案、洪水、封包、掃描、間諜軟體、URL、病毒、弱點、野火病毒、野火)。 也參考 Palo Alto 威脅記錄檔,以對應至 融合事件描述中列出的威脅/內容類型 ,以取得其他警示詳細數據。
持續性
(新威脅分類)
可疑登入之後的罕見應用程式同意
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 持續性、初始存取
MITRE ATT&CK 技術: 建立帳戶 (T1136), 有效帳戶 (T1078)
數據源: Microsoft Sentinel (排程分析規則),Microsoft Entra ID Protection
描述: 此類型的融合事件表示應用程式已由從未或很少這樣做的使用者授與同意,並遵循 Microsoft Entra 帳戶的相關可疑登入。 此辨識項表明,Fusion 事件描述中記下的帳戶可能已遭到入侵,並用來存取或操作應用程式進行惡意用途。 同意應用程式、新增服務主體和新增 OAuth2PermissionGrant 通常應該是罕見的事件。 攻擊者可能會使用此類型的設定變更來建立或維護其在系統上的立足點。 具有罕見應用程式同意警示的可疑 Microsoft Entra 登入警示排列如下:
無法前往非典型位置,導致罕見的應用程式同意
來自不熟悉位置的登入事件,導致罕見的應用程式同意
來自受感染裝置的登入事件,導致罕見的應用程式同意
來自匿名IP的登入事件,導致罕見的應用程式同意
來自認證外洩的使用者登入事件,導致罕見的應用程式同意
勒索軟體
在可疑的 Microsoft Entra 登入之後執行勒索軟體
MITRE ATT&CK 策略: 初始存取、影響
MITRE ATT&CK 技術: 有效帳戶 (T1078), 影響加密的數據 (T1486)
數據源:適用於雲端的 Microsoft Defender Apps、Microsoft Entra ID Protection
描述: 此類型的融合事件表示在 Microsoft Entra 帳戶的可疑登入之後偵測到指出勒索軟體攻擊的異常用戶行為。 此指示提供高度信賴度,指出 Fusion 事件描述中的帳戶已遭入侵,並用來加密數據,以勒索數據擁有者或拒絕數據擁有者存取其數據的目的。 具有勒索軟體執行警示的可疑 Microsoft Entra 登入警示排列如下:
不可能前往導致雲端應用程式中勒索軟體的非典型位置
來自不熟悉位置的登入事件,導致雲端應用程式中的勒索軟體
來自受感染裝置的登入事件,導致雲端應用程式中的勒索軟體
來自匿名IP位址的登入事件,導致雲端應用程式中的勒索軟體
來自認證外洩的使用者登入事件,導致雲端應用程式中的勒索軟體
遠端惡意探索
可疑使用攻擊架構,後面接著Palo Alto Networks防火牆標幟的異常流量
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、執行、橫向移動、許可權提升
MITRE ATT&CK 技術: 惡意探索公開應用程式 (T1190)、用戶端執行惡意探索 (T1203)、遠端服務惡意探索(T1210)、特權提升惡意探索 (T1068)
數據源:適用於端點的 Microsoft Defender(先前稱為 MDATP)、Microsoft Sentinel(排程的分析規則)
描述: 此類型的融合事件表示通訊協定的非標準使用、類似使用Metasploit等攻擊架構、偵測到,並遵循該事件之後,Palo Alto網路防火牆偵測到可疑的輸入活動。 這可能是攻擊者利用服務來取得網路資源的存取權,或攻擊者已取得存取權,並嘗試進一步利用可用的系統/服務來橫向移動和/或提升許可權的初始指示。 在 Palo Alto 記錄中,Microsoft Sentinel 著重於 威脅記錄,當允許威脅時,流量會被視為可疑(可疑的數據、檔案、洪水、封包、掃描、間諜軟體、URL、病毒、弱點、野火病毒、野火)。 也參考 Palo Alto 威脅記錄檔,以對應至 融合事件描述中列出的威脅/內容類型 ,以取得其他警示詳細數據。
資源劫持
(新威脅分類)
可疑的 Microsoft Entra 登入之後,由先前看不見的呼叫端部署可疑的資源/資源群組
此案例會使用排程分析規則所產生的警示。
此案例目前處於預覽狀態。
MITRE ATT&CK 策略: 初始存取、影響
MITRE ATT&CK 技術: 有效帳戶 (T1078), 資源劫持 (T1496)
數據源: Microsoft Sentinel (排程分析規則),Microsoft Entra ID Protection
描述: 此類型的融合事件表示使用者已將 Azure 資源或資源群組 - 罕見的活動 - 在最近未看到的屬性可疑登入之後,部署到 Microsoft Entra 帳戶。 這可能是攻擊者在入侵 Fusion 事件描述中所記下用戶帳戶之後,針對惡意目的部署資源或資源群組的嘗試。
可疑的 Microsoft Entra 登入警示與先前未見呼叫端警示部署的可疑資源/資源群組部署排列如下:
無法前往非典型位置,導致先前看不見的呼叫者進行可疑的資源/資源群組部署
來自不熟悉位置的登入事件,導致先前看不見的呼叫者進行可疑的資源/資源群組部署
來自受感染裝置的登入事件,導致先前看不見的呼叫端進行可疑的資源/資源群組部署
來自匿名 IP 的登入事件,導致先前看不見的呼叫端部署可疑的資源/資源群組部署
來自認證外洩的使用者登入事件,導致先前看不見的呼叫者進行可疑的資源/資源群組部署
下一步
現在您已深入瞭解進階多階段攻擊偵測,您可能會對下列快速入門感興趣,以瞭解如何瞭解您的數據和潛在威脅: 開始使用 Microsoft Sentinel。
如果您已準備好調查為您建立的事件,請參閱下列教學課程: 使用 Microsoft Sentinel 調查事件。