你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文档列出了基于方案的多阶段攻击类型,这些攻击按威胁分类分组,Microsoft Sentinel使用 Fusion 关联引擎进行检测。
由于 Fusion 关联来自各种产品的多个信号来检测高级多阶段攻击,因此成功的 Fusion 检测在“Microsoft Sentinel事件”页上显示为 Fusion 事件,而不是警报,并且存储在日志中的“事件”表中,而不是存储在 SecurityAlerts 表中。
为了启用这些 Fusion 驱动的攻击检测方案,必须将列出的任何数据源引入到 Log Analytics 工作区。 对于具有计划分析规则的方案,请按照 为 Fusion 检测配置计划分析规则中的说明进行操作。
注意
其中一些方案以 预览版提供。 它们将得到如此指示。
计算资源滥用
可疑Microsoft Entra登录后的多个 VM 创建活动
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问,影响
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、资源劫持 (T1496)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示在可疑登录到 Microsoft Entra 帐户后,在单个会话中创建了异常数量的 VM。 这种类型的警报以高度的置信度指示 Fusion 事件说明中记下的帐户已遭到入侵,并用于创建新 VM 以进行未经授权的目的,例如运行加密挖掘操作。 具有多个 VM 创建活动警报的可疑Microsoft Entra登录警报的排列如下:
无法前往导致多个 VM 创建活动的非典型位置
来自不熟悉位置的登录事件导致多个 VM 创建活动
来自受感染设备的登录事件导致多个 VM 创建活动
来自匿名 IP 地址的登录事件导致多个 VM 创建活动
来自凭据泄露的用户的登录事件,导致多个 VM 创建活动
凭据访问
(新的威胁分类)
用户在可疑登录后重置多个密码
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、凭据访问
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、暴力破解 (T1110)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示用户在可疑登录到Microsoft Entra帐户后重置多个密码。 此证据表明,Fusion 事件描述中记下的帐户已遭到入侵,并用于执行多个密码重置,以便访问多个系统和资源。 帐户操作 (包括密码重置) 可帮助攻击者在环境中保持对凭据和某些权限级别的访问。 具有多个密码重置警报的可疑Microsoft Entra登录警报的排列方式如下:
无法前往导致多个密码重置的非典型位置
来自不熟悉位置的登录事件导致多个密码重置
来自受感染设备的登录事件导致多个密码重置
来自匿名 IP 的登录事件导致多个密码重置
来自凭据泄露的用户的登录事件,导致多个密码重置
通过 IP 成功登录到 Palo Alto VPN 时出现可疑登录,Microsoft Entra登录失败
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、凭据访问
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、暴力破解 (T1110)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,对 Microsoft Entra 帐户的可疑登录与通过 Palo Alto VPN 成功登录时相吻合,该地址在类似的时间范围内发生了多次登录失败Microsoft Entra。 虽然不是多阶段攻击的证据,但这两个低保真警报的关联会导致高保真事件,表明恶意初始访问组织的网络。 或者,这可能表明攻击者试图使用暴力破解技术来获取Microsoft Entra帐户的访问权限。 可疑Microsoft Entra登录警报的排列形式为:“多个失败的 IP Microsoft Entra登录成功登录到 Palo Alto VPN”警报:
无法前往与多个失败的 IP 相吻合的非典型位置,Microsoft Entra登录成功登录到 Palo Alto VPN
来自不熟悉位置的登录事件与多个失败的 IP 相吻合Microsoft Entra登录成功登录到 Palo Alto VPN
来自受感染设备的登录事件与 IP 同时出现多个失败Microsoft Entra登录成功登录到 Palo Alto VPN
来自匿名 IP 的登录事件与多个失败的 IP 同时登录,Microsoft Entra登录成功登录到 Palo Alto VPN
来自凭据泄露的用户的登录事件与多个失败的 IP 相吻合Microsoft Entra登录成功登录到 Palo Alto VPN
凭据收集
(新的威胁分类)
可疑登录后执行恶意凭据盗窃工具
MITRE ATT&CK 策略: 初始访问、凭据访问
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、OS 凭据转储 (T1003)
数据连接器源:Microsoft Entra ID保护、Microsoft Defender for Endpoint
描述:此类型的 Fusion 事件指示在登录可疑Microsoft Entra后执行了已知的凭据盗窃工具。 此证据表明,警报说明中记下的用户帐户已遭到入侵,并且可能已成功使用 Mimikatz 等工具从系统获取密钥、纯文本密码和/或密码哈希等凭据。 获取的凭据可能允许攻击者访问敏感数据、升级权限和/或横向跨网络移动。 可疑Microsoft Entra登录警报与恶意凭据盗窃工具警报的排列如下:
无法前往非典型位置,导致恶意凭据盗窃工具执行
来自不熟悉位置的登录事件,导致恶意凭据盗窃工具执行
来自受感染设备的登录事件,导致恶意凭据盗窃工具执行
来自匿名 IP 地址的登录事件,导致恶意凭据盗窃工具执行
来自凭据泄露的用户的登录事件,导致恶意凭据盗窃工具执行
可疑登录后可疑凭据盗窃活动
MITRE ATT&CK 策略: 初始访问、凭据访问
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、密码存储 (T1555) 凭据、OS 凭据转储 (T1003)
数据连接器源:Microsoft Entra ID保护、Microsoft Defender for Endpoint
描述:此类型的 Fusion 事件指示在可疑的Microsoft Entra登录后发生了与凭据被盗模式相关的活动。 此证据表明,警报说明中记下的用户帐户已被入侵并用于窃取密钥、纯文本密码、密码哈希等凭据。 被盗的凭据可能允许攻击者访问敏感数据、升级权限和/或横向跨网络移动。 具有凭据盗窃活动警报的可疑Microsoft Entra登录警报排列如下:
无法前往导致可疑凭据盗窃活动的非典型位置
来自不熟悉位置的登录事件,导致可疑的凭据盗窃活动
来自受感染设备的登录事件,导致可疑的凭据盗窃活动
来自匿名 IP 地址的登录事件,导致可疑的凭据盗窃活动
来自凭据泄露的用户的登录事件,导致可疑的凭据盗窃活动
Crypto-mining
(新的威胁分类)
可疑登录后的加密挖掘活动
MITRE ATT&CK 策略: 初始访问、凭据访问
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、资源劫持 (T1496)
数据连接器源:Microsoft Entra ID保护、Microsoft Defender for Cloud
描述:此类型的 Fusion 事件指示与可疑登录Microsoft Entra帐户关联的加密挖掘活动。 此证据高度自信地表明,警报说明中记下的用户帐户已遭到入侵,并已用于劫持环境中的资源以挖掘加密货币。 这可能会耗尽计算能力的资源和/或导致云使用量费用明显高于预期。 可疑Microsoft Entra登录警报与加密挖掘活动警报的排列如下:
不可能前往导致加密挖掘活动的非典型位置
来自不熟悉的位置导致加密挖掘活动的登录事件
来自受感染设备的登录事件导致加密挖掘活动
来自匿名 IP 地址的登录事件导致加密挖掘活动
来自凭据泄露导致加密挖掘活动的用户的登录事件
数据销毁
可疑登录后批量文件删除Microsoft Entra
MITRE ATT&CK 策略: 初始访问,影响
MITRE ATT&CK 技术: 有效的帐户 (T1078) ,数据销毁 (T1485)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示在可疑登录Microsoft Entra帐户后删除了异常数量的唯一文件。 此证据表明,Fusion 事件描述中记下的帐户可能已遭到入侵,并用于出于恶意目的销毁数据。 可疑Microsoft Entra登录警报与批量文件删除警报的排列如下:
无法前往导致批量文件删除的非典型位置
来自不熟悉位置的登录事件导致批量文件删除
来自受感染设备的登录事件导致批量文件删除
来自匿名 IP 地址的登录事件导致批量文件删除
来自凭据泄露的用户的登录事件,导致批量文件删除
从 Cisco 防火墙设备阻止的 IP 成功Microsoft Entra登录后批量删除文件
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问,影响
MITRE ATT&CK 技术: 有效的帐户 (T1078) ,数据销毁 (T1485)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述:此类型的 Fusion 事件表明,尽管用户 IP 地址被 Cisco 防火墙设备阻止,但成功Microsoft Entra登录后删除了异常数量的唯一文件。 此证据表明,Fusion 事件说明中记下的帐户已遭入侵,并用于出于恶意目的销毁数据。 由于 IP 被防火墙阻止,因此成功登录到Microsoft Entra ID的同一 IP 可能可疑,并可能表明用户帐户的凭据泄露。
成功通过 IP 登录到 Palo Alto VPN 后批量文件删除,Microsoft Entra登录失败
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、凭据访问、影响
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、暴力破解 (T1110) 、数据销毁 (T1485)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述:此类型的 Fusion 事件表明,通过 Palo Alto VPN 成功登录的用户删除了异常数量的唯一文件,该地址在类似的时间范围内发生了多次登录失败Microsoft Entra。 此证据表明,Fusion 事件中记录的用户帐户可能已使用暴力破解技术遭到入侵,并用于出于恶意目的销毁数据。
可疑Microsoft Entra登录后的电子邮件删除活动
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问,影响
MITRE ATT&CK 技术: 有效的帐户 (T1078) ,数据销毁 (T1485)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,在可疑登录Microsoft Entra帐户后,单个会话中删除了异常数量的电子邮件。 此证据表明,Fusion 事件说明中记下的帐户可能已遭入侵,并用于出于恶意目的(例如伤害组织或隐藏与垃圾邮件相关的电子邮件活动)销毁数据。 可疑Microsoft Entra登录警报与可疑电子邮件删除活动警报的排列顺序如下:
无法前往导致可疑电子邮件删除活动的非典型位置
来自不熟悉位置的登录事件,导致可疑的电子邮件删除活动
来自受感染设备的登录事件导致可疑的电子邮件删除活动
来自匿名 IP 地址的登录事件导致可疑的电子邮件删除活动
来自凭据泄露的用户的登录事件,导致可疑的电子邮件删除活动
数据外泄
最近未看到的新管理员帐户活动后的邮件转发活动
此方案属于此列表中的两种威胁分类: 数据外泄 和 恶意管理活动。 为清楚起见,它出现在这两个部分中。
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、集合、外泄
MITRE ATT&CK 技术:有效的帐户 (T1078) 、Email集合 (T1114) 、通过 Web 服务 (T1567)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述: 此类型的 Fusion 事件指示已创建新的 Exchange 管理员帐户,或现有 Exchange 管理员帐户在过去两周内首次执行了一些管理操作,并且该帐户随后执行了一些邮件转发操作,这对管理员帐户来说是不寻常的。 此证据表明,Fusion 事件描述中记下的用户帐户已遭到入侵或操纵,并用于从组织网络外泄数据。
可疑Microsoft Entra登录后下载批量文件
MITRE ATT&CK 策略: 初始访问、外泄
MITRE ATT&CK 技术: 有效的帐户 (T1078)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表示用户在可疑登录Microsoft Entra帐户后下载了异常数量的文件。 此指示提供高置信度:Fusion 事件描述中记下的帐户已泄露,并已用于从组织网络外泄数据。 可疑Microsoft Entra登录警报与批量文件下载警报的排列如下:
无法前往导致批量文件下载的非典型位置
从不熟悉的位置登录事件导致批量文件下载
来自受感染设备的登录事件导致批量文件下载
来自匿名 IP 的登录事件导致批量文件下载
来自凭据泄露的用户的登录事件导致批量文件下载
从 Cisco 防火墙设备阻止的 IP 成功Microsoft Entra登录后批量下载文件
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、外泄
MITRE ATT&CK 技术: 有效的帐户 (T1078) ,通过 Web 服务 (T1567)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述:此类型的 Fusion 事件表明,尽管 Cisco 防火墙设备阻止了用户的 IP 地址,但在成功Microsoft Entra登录后,用户下载了异常数量的文件。 这可能是攻击者在入侵用户帐户后试图从组织网络外泄数据。 由于 IP 被防火墙阻止,因此成功登录到Microsoft Entra ID的同一 IP 可能可疑,并可能表明用户帐户的凭据泄露。
批量文件下载与以前看不到的 IP 中的 SharePoint 文件操作一致
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 外泄
MITRE ATT&CK 技术: 通过 Web 服务 (T1567) 进行外泄,数据传输大小限制 (T1030)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述: 此类型的 Fusion 事件指示用户从以前看不到的 IP 地址下载了异常数量的文件。 虽然没有多阶段攻击的证据,但这两个低保真警报的关联会导致高保真事件,表明攻击者试图从可能泄露的用户帐户中从组织网络外泄数据。 在稳定环境中,以前看不到的 IP 的此类连接可能未授权,尤其是与可能与大规模文档外泄相关的卷峰值相关时。
可疑Microsoft Entra登录后进行批量文件共享
MITRE ATT&CK 策略: 初始访问、外泄
MITRE ATT&CK 技术: 有效的帐户 (T1078) ,通过 Web 服务 (T1567)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,在可疑登录到 Microsoft Entra 帐户后,超过特定阈值的文件共享给其他人。 此指示提供高度的置信度,即 Fusion 事件说明中记录的帐户已泄露,并用于通过共享文件(如文档、电子表格等)来泄露组织网络中的数据,并出于恶意目的与未经授权的用户共享。 可疑Microsoft Entra登录警报与批量文件共享警报的排列如下:
无法前往导致批量文件共享的非典型位置
来自不熟悉位置的登录事件导致批量文件共享
来自受感染设备的登录事件导致批量文件共享
来自匿名 IP 地址的登录事件导致批量文件共享
来自凭据泄露的用户的登录事件,导致批量文件共享
可疑Microsoft Entra登录后的多个 Power BI 报表共享活动
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、外泄
MITRE ATT&CK 技术: 有效的帐户 (T1078) ,通过 Web 服务 (T1567)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,在可疑登录到 Microsoft Entra 帐户后,在单个会话中共享了异常数量的 Power BI 报表。 此指示提供高度的置信度,即 Fusion 事件说明中记下的帐户已遭入侵,并用于通过与未经授权的用户共享 Power BI 报告来泄露组织网络中的数据,用于恶意目的。 可疑Microsoft Entra登录警报与多个 Power BI 报表共享活动排列如下:
无法前往导致多个 Power BI 报表共享活动的非典型位置
来自不熟悉位置的登录事件导致多个 Power BI 报表共享活动
来自受感染设备的登录事件导致多个 Power BI 报表共享活动
来自匿名 IP 地址的登录事件导致多个 Power BI 报表共享活动
来自凭据泄露的用户的登录事件,导致多个 Power BI 报表共享活动
Office 365可疑Microsoft Entra登录后邮箱外泄
MITRE ATT&CK 策略: 初始访问、外泄、集合
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、电子邮件收集 (T1114) 、自动外泄 (T1020)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,在对 Microsoft Entra 帐户进行可疑登录后,在用户的收件箱上设置了可疑的收件箱转发规则。 此指示提供高置信度: (Fusion 事件说明中记下) 已泄露的用户帐户,并且它用于在真实用户不知情的情况下启用邮箱转发规则来从组织网络外泄数据。 可疑Microsoft Entra登录警报与Office 365邮箱外泄警报的排列如下:
无法前往导致Office 365邮箱外泄的非典型位置
来自不熟悉位置的登录事件,导致Office 365邮箱外泄
来自受感染设备的登录事件导致Office 365邮箱外泄
来自匿名 IP 地址的登录事件导致Office 365邮箱外泄
来自凭据泄露的用户的登录事件,导致邮箱外泄Office 365
恶意软件检测后从以前看不到的 IP 执行 SharePoint 文件操作
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 外泄、防御规避
MITRE ATT&CK 技术: 数据传输大小限制 (T1030)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述: 此类型的 Fusion 事件表明攻击者试图通过使用恶意软件通过 SharePoint 下载或共享来泄露大量数据。 在稳定环境中,以前看不到的 IP 的此类连接可能未授权,尤其是与可能与大规模文档外泄相关的卷峰值相关时。
在可疑Microsoft Entra登录后设置的可疑收件箱操作规则
此方案属于此列表中的两个威胁分类: 数据外泄 和 横向移动。 为清楚起见,它出现在这两个部分中。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、横向移动、外泄
MITRE ATT&CK 技术: 有效帐户 (T1078) 、内部鱼叉钓鱼 (T1534) 、自动外泄 (T1020)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示在可疑登录Microsoft Entra帐户后,在用户的收件箱上设置了异常收件箱规则。 此证据提供高置信度指示,Fusion 事件描述中记下的帐户已遭入侵,并用于操纵用户的电子邮件收件箱规则,以实现恶意目的,可能泄露组织网络中的数据。 或者,攻击者可能尝试从组织内部生成钓鱼电子邮件, (绕过针对来自外部源) 的电子邮件的网络钓鱼检测机制,以便通过获取对其他用户和/或特权帐户的访问权限来横向移动。 可疑Microsoft Entra登录警报与可疑收件箱操作规则警报的排列方式如下:
无法前往导致可疑收件箱操作规则的非典型位置
来自不熟悉位置的登录事件导致可疑收件箱操作规则
来自受感染设备的登录事件导致可疑收件箱操作规则
来自匿名 IP 地址的登录事件导致可疑收件箱操作规则
来自凭据泄露的用户的登录事件,导致可疑的收件箱操作规则
可疑Microsoft Entra登录后共享可疑 Power BI 报表
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、外泄
MITRE ATT&CK 技术: 有效的帐户 (T1078) ,通过 Web 服务 (T1567)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,在对 Microsoft Entra 帐户进行可疑登录后发生了可疑的 Power BI 报表共享活动。 共享活动被标识为可疑,因为 Power BI 报表包含使用自然语言处理标识的敏感信息,并且它与外部电子邮件地址共享、发布到 Web 或作为快照传递到外部订阅的电子邮件地址。 此警报高度自信地指示 Fusion 事件描述中记下的帐户已遭入侵,并且通过与未经授权的用户共享 Power BI 报告来泄露组织的敏感数据,用于恶意目的。 可疑Microsoft Entra登录警报与可疑 Power BI 报表共享的排列如下:
无法前往导致可疑 Power BI 报表共享的非典型位置
来自不熟悉位置的登录事件导致可疑的 Power BI 报表共享
来自受感染设备的登录事件导致可疑的 Power BI 报表共享
来自匿名 IP 地址的登录事件导致可疑的 Power BI 报表共享
来自凭据泄露的用户的登录事件,导致可疑的 Power BI 报表共享
拒绝服务
可疑Microsoft Entra登录后的多个 VM 删除活动
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问,影响
MITRE ATT&CK 技术: 有效帐户 (T1078) 、终结点拒绝服务 (T1499)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示在可疑登录到 Microsoft Entra 帐户后,单个会话中删除了异常数量的 VM。 此指示提供高置信度,表明 Fusion 事件描述中记下的帐户已泄露,并用于试图破坏或破坏组织的云环境。 可疑Microsoft Entra登录警报与多个 VM 删除活动警报的排列顺序如下:
无法前往导致多个 VM 删除活动的非典型位置
来自不熟悉位置的登录事件导致多个 VM 删除活动
来自受感染设备的登录事件导致多个 VM 删除活动
来自匿名 IP 地址的登录事件导致多个 VM 删除活动
来自凭据泄露的用户的登录事件,导致多个 VM 删除活动
横向移动
可疑登录后Office 365模拟Microsoft Entra
MITRE ATT&CK 策略: 初始访问、横向移动
MITRE ATT&CK 技术: 有效帐户 (T1078) 、内部鱼叉钓鱼 (T1534)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示在从 Microsoft Entra 帐户进行可疑登录后发生了异常数量的模拟操作。 在某些软件中,有一些选项允许用户模拟其他用户。 例如,电子邮件服务允许用户授权其他用户代表他们发送电子邮件。 此警报以更高的置信度指示 Fusion 事件说明中记下的帐户已遭入侵,并用于出于恶意目的(例如发送网络钓鱼电子邮件以进行恶意软件分发或横向移动)进行模拟活动。 可疑Microsoft Entra登录警报与Office 365模拟警报的排列如下:
不可能前往导致Office 365模拟的非典型位置
来自不熟悉位置的登录事件导致Office 365模拟
来自受感染设备的登录事件导致Office 365模拟
来自匿名 IP 地址的登录事件导致Office 365模拟
来自凭据泄露的用户的登录事件,导致Office 365模拟
在可疑Microsoft Entra登录后设置的可疑收件箱操作规则
此方案属于此列表中的两种威胁分类:横向移动和数据外泄。 为清楚起见,它出现在这两个部分中。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、横向移动、外泄
MITRE ATT&CK 技术: 有效帐户 (T1078) 、内部鱼叉钓鱼 (T1534) 、自动外泄 (T1020)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示在可疑登录Microsoft Entra帐户后,在用户的收件箱上设置了异常收件箱规则。 此证据提供高置信度指示,Fusion 事件描述中记下的帐户已遭入侵,并用于操纵用户的电子邮件收件箱规则,以实现恶意目的,可能泄露组织网络中的数据。 或者,攻击者可能尝试从组织内部生成钓鱼电子邮件, (绕过针对来自外部源) 的电子邮件的网络钓鱼检测机制,以便通过获取对其他用户和/或特权帐户的访问权限来横向移动。 可疑Microsoft Entra登录警报与可疑收件箱操作规则警报的排列方式如下:
无法前往导致可疑收件箱操作规则的非典型位置
来自不熟悉位置的登录事件导致可疑收件箱操作规则
来自受感染设备的登录事件导致可疑收件箱操作规则
来自匿名 IP 地址的登录事件导致可疑收件箱操作规则
来自凭据泄露的用户的登录事件,导致可疑的收件箱操作规则
恶意管理活动
可疑Microsoft Entra登录后的可疑云应用管理活动
MITRE ATT&CK 策略: 初始访问、持久性、防御规避、横向移动、收集、外泄和影响
MITRE ATT&CK 技术: 不适用
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,在从同一帐户登录可疑Microsoft Entra后,单个会话中执行了异常数量的管理活动。 此证据表明,Fusion 事件说明中记下的帐户可能已遭入侵,并用于以恶意意图执行任意数量的未经授权的管理操作。 这还表示具有管理权限的帐户可能已遭入侵。 可疑Microsoft Entra登录警报与可疑云应用管理活动警报的排列顺序如下:
无法前往导致可疑云应用管理活动的非典型位置
来自不熟悉位置的登录事件,导致可疑的云应用管理活动
来自受感染设备的登录事件,导致可疑的云应用管理活动
来自匿名 IP 地址的登录事件导致可疑的云应用管理活动
来自凭据泄露的用户的登录事件,导致可疑的云应用管理活动
最近未看到的新管理员帐户活动后的邮件转发活动
此方案属于此列表中的两种威胁分类:恶意管理活动和数据外泄。 为清楚起见,它出现在这两个部分中。
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、集合、外泄
MITRE ATT&CK 技术:有效的帐户 (T1078) 、Email集合 (T1114) 、通过 Web 服务 (T1567)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述: 此类型的 Fusion 事件指示已创建新的 Exchange 管理员帐户,或现有 Exchange 管理员帐户在过去两周内首次执行了一些管理操作,并且该帐户随后执行了一些邮件转发操作,这对管理员帐户来说是不寻常的。 此证据表明,Fusion 事件描述中记下的用户帐户已遭到入侵或操纵,并用于从组织网络外泄数据。
使用合法进程进行恶意执行
PowerShell 进行了可疑的网络连接,随后是 Palo Alto Networks 防火墙标记的异常流量。
此方案目前为 预览版。
MITRE ATT&CK 策略: 执行
MITRE ATT&CK 技术: 命令和脚本解释器 (T1059)
数据连接器源:Microsoft Defender for Endpoint (以前Microsoft Defender高级威胁防护或 MDATP) ,Microsoft Sentinel (计划分析规则)
描述: 此类型的 Fusion 事件指示通过 PowerShell 命令发出出站连接请求,然后,Palo Alto Networks 防火墙检测到异常的入站活动。 此证据表明,攻击者可能已访问你的网络,并试图执行恶意操作。 遵循此模式的 PowerShell 连接尝试可能指示恶意软件命令和控制活动、请求下载其他恶意软件或建立远程交互式访问的攻击者。 与所有“生活在土地外”的攻击一样,此活动可能是 PowerShell 的合法使用。 但是,PowerShell 命令执行后,可疑的入站防火墙活动会增加对以恶意方式使用 PowerShell 的置信度,因此应进一步调查。 在 Palo Alto 日志中,Microsoft Sentinel侧重于威胁日志,当允许威胁 (可疑数据、文件、洪水、数据包、扫描、间谍软件、URL、病毒、漏洞、野火病毒、野火) 时,流量被视为可疑。 另请参阅与 Fusion 事件说明中列出的 威胁/内容类型 对应的 Palo Alto 威胁日志,了解其他警报详细信息。
可疑的远程 WMI 执行,然后是 Palo Alto Networks 防火墙标记的异常流量
此方案目前为 预览版。
MITRE ATT&CK 策略: 执行、发现
MITRE ATT&CK 技术: Windows Management Instrumentation (T1047)
数据连接器源:Microsoft Defender for Endpoint (以前为 MDATP) ,Microsoft Sentinel (计划分析规则)
描述: 此类型的 Fusion 事件指示 Windows 管理接口 (WMI) 命令已在系统上远程执行,然后,Palo Alto Networks 防火墙检测到可疑的入站活动。 此证据表明,攻击者可能已获得对网络的访问权限,并试图横向移动、升级权限和/或执行恶意有效负载。 与所有“生活在土地上”的攻击一样,这项活动可能是 WMI 的合法用途。 但是,远程 WMI 命令执行后,可疑的入站防火墙活动会增加对 WMI 正以恶意方式使用的信心,应进一步调查。 在 Palo Alto 日志中,Microsoft Sentinel侧重于威胁日志,当允许威胁 (可疑数据、文件、洪水、数据包、扫描、间谍软件、URL、病毒、漏洞、野火病毒、野火) 时,流量被视为可疑。 另请参阅与 Fusion 事件说明中列出的 威胁/内容类型 对应的 Palo Alto 威胁日志,了解其他警报详细信息。
可疑登录后可疑的 PowerShell 命令行
MITRE ATT&CK 策略: 初始访问、执行
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、命令和脚本解释器 (T1059)
数据连接器源:Microsoft Entra ID保护,Microsoft Defender for Endpoint (以前为 MDATP)
描述:此类型的 Fusion 事件指示用户在可疑登录到 Microsoft Entra 帐户后执行了潜在的恶意 PowerShell 命令。 此证据高度自信地表明,警报说明中记下的帐户已遭入侵,并采取了进一步的恶意操作。 攻击者通常使用 PowerShell 在内存中执行恶意有效负载而不将项目留在磁盘上,以避免基于磁盘的安全机制(如病毒扫描程序)进行检测。 可疑Microsoft Entra登录警报与可疑 PowerShell 命令警报的排列如下:
无法前往导致可疑 PowerShell 命令行的非典型位置
来自不熟悉位置的登录事件导致可疑的 PowerShell 命令行
来自受感染设备的登录事件,导致可疑的 PowerShell 命令行
来自匿名 IP 地址的登录事件导致可疑的 PowerShell 命令行
来自凭据泄露的用户的登录事件,导致可疑的 PowerShell 命令行
恶意软件 C2 或下载
Fortinet 在多次用户登录到服务失败后检测到的信标模式
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、命令和控制
MITRE ATT&CK 技术:有效帐户 (T1078) 、非Standard端口 (T1571) 、T1065 (已停用)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Defender for Cloud Apps
描述: 这种类型的 Fusion 事件指示在用户从相关内部实体多次登录服务失败后,从内部 IP 地址到外部 IP 地址的通信模式与信标一致。 这两个事件的组合可能是恶意软件感染或主机发生数据外泄的指示。
在可疑Microsoft Entra登录后 Fortinet 检测到的信标模式
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、命令和控制
MITRE ATT&CK 技术:有效帐户 (T1078) 、非Standard端口 (T1571) 、T1065 (已停用)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Entra ID保护
描述:这种类型的 Fusion 事件指示从内部 IP 地址到外部 IP 地址的通信模式,这些模式与信标一致,在用户登录具有可疑性质后Microsoft Entra ID。 这两个事件的组合可能是恶意软件感染或主机发生数据外泄的指示。 Fortinet 警报检测到具有可疑Microsoft Entra登录警报的信标模式排列方式如下:
无法到达非典型位置,导致 Fortinet 检测到信标模式
来自不熟悉位置的登录事件,导致 Fortinet 检测到的信标模式
来自受感染设备的登录事件,导致 Fortinet 检测到的信标模式
来自匿名 IP 地址的登录事件,导致 Fortinet 检测到的信标模式
来自凭据泄露的用户的登录事件,导致 Fortinet 检测到信标模式
对 TOR 匿名化服务的网络请求,然后是 Palo Alto Networks 防火墙标记的异常流量。
此方案目前为 预览版。
MITRE ATT&CK 策略: 命令和控制
MITRE ATT&CK 技术: 加密通道 (T1573) 、代理 (T1090)
数据连接器源:Microsoft Defender for Endpoint (以前为 MDATP) ,Microsoft Sentinel (计划分析规则)
描述: 此类型的 Fusion 事件指示已向 TOR 匿名服务发出出站连接请求,此后,Palo Alto Networks 防火墙检测到异常入站活动。 此证据表明,攻击者可能已访问你的网络,并试图隐瞒其操作和意图。 按照此模式连接到 TOR 网络可能指示恶意软件命令和控制活动、请求下载其他恶意软件或攻击者建立远程交互式访问。 在 Palo Alto 日志中,Microsoft Sentinel侧重于威胁日志,当允许威胁 (可疑数据、文件、洪水、数据包、扫描、间谍软件、URL、病毒、漏洞、野火病毒、野火) 时,流量被视为可疑。 另请参阅与 Fusion 事件说明中列出的 威胁/内容类型 对应的 Palo Alto 威胁日志,了解其他警报详细信息。
到 IP 的出站连接,历史记录包括未经授权的访问尝试,随后是 Palo Alto Networks 防火墙标记的异常流量
此方案目前为 预览版。
MITRE ATT&CK 策略: 命令和控制
MITRE ATT&CK 技术: 不适用
数据连接器源:Microsoft Defender for Endpoint (以前为 MDATP) ,Microsoft Sentinel (计划分析规则)
描述: 此类型的 Fusion 事件指示已建立与 IP 地址的出站连接,并记录了未经授权的访问尝试,此后,Palo Alto Networks 防火墙检测到异常活动。 此证据表明攻击者可能已获得对网络的访问权限。 遵循此模式的连接尝试可能是恶意软件命令和控制活动、请求下载其他恶意软件或攻击者建立远程交互式访问的指示。 在 Palo Alto 日志中,Microsoft Sentinel侧重于威胁日志,当允许威胁 (可疑数据、文件、洪水、数据包、扫描、间谍软件、URL、病毒、漏洞、野火病毒、野火) 时,流量被视为可疑。 另请参阅与 Fusion 事件说明中列出的 威胁/内容类型 对应的 Palo Alto 威胁日志,了解其他警报详细信息。
持久性
(新的威胁分类)
可疑登录后极少数应用程序同意
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 持久性、初始访问
MITRE ATT&CK 技术: 创建帐户 (T1136) 、有效帐户 (T1078)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Entra ID保护
描述:这种类型的 Fusion 事件表明,在对 Microsoft Entra 帐户进行相关可疑登录后,从未或很少这样做的用户向应用程序授予了同意。 此证据表明,Fusion 事件说明中记下的帐户可能已遭到入侵,并用于出于恶意目的访问或操纵应用程序。 同意应用程序、添加服务主体和添加 OAuth2PermissionGrant 通常是罕见的事件。 攻击者可以使用这种类型的配置更改来建立或维持其在系统上的立足点。 可疑Microsoft Entra登录警报与罕见的应用程序同意警报的排列如下:
无法前往非典型位置,导致罕见的应用程序同意
来自不熟悉位置的登录事件导致极少数应用程序同意
来自受感染设备的登录事件导致极少数应用程序同意
来自匿名 IP 的登录事件导致极少数应用程序同意
来自凭据泄露的用户的登录事件,导致极少数应用程序同意
勒索软件
可疑登录后执行勒索软件Microsoft Entra
MITRE ATT&CK 策略: 初始访问,影响
MITRE ATT&CK 技术: 有效帐户 (T1078) 、针对影响加密的数据 (T1486)
数据连接器源:Microsoft Defender for Cloud Apps、Microsoft Entra ID保护
描述:此类型的 Fusion 事件表明,在对 Microsoft Entra 帐户进行可疑登录后,检测到指示勒索软件攻击的异常用户行为。 此指示提供高度置信,表明 Fusion 事件描述中记下的帐户已泄露,并用于加密数据,以敲诈数据所有者或拒绝数据所有者访问其数据。 可疑Microsoft Entra登录警报与勒索软件执行警报的排列顺序如下:
无法前往导致云应用中勒索软件的非典型位置
来自不熟悉位置的登录事件导致云应用中的勒索软件
来自受感染设备的登录事件导致云应用中的勒索软件
来自匿名 IP 地址的登录事件导致云应用中的勒索软件
来自凭据泄露的用户的登录事件,导致云应用中的勒索软件
远程利用
疑似使用攻击框架,然后是 Palo Alto Networks 防火墙标记的异常流量
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问、执行、横向移动、权限提升
MITRE ATT&CK 技术: 利用 Public-Facing 应用程序 (T1190) 、利用客户端执行 (T1203) 、利用远程服务 (T1210) 、利用特权提升 (T1068)
数据连接器源:Microsoft Defender for Endpoint (以前为 MDATP) ,Microsoft Sentinel (计划分析规则)
描述: 这种类型的 Fusion 事件表明检测到了协议的非标准使用(例如使用 Metasploit 等攻击框架),然后,Palo Alto Networks 防火墙检测到了可疑的入站活动。 这可能初步表明攻击者利用服务获取对网络资源的访问权限,或者攻击者已获得访问权限,并试图进一步利用可用系统/服务进行横向移动和/或提升权限。 在 Palo Alto 日志中,Microsoft Sentinel侧重于威胁日志,当允许威胁 (可疑数据、文件、洪水、数据包、扫描、间谍软件、URL、病毒、漏洞、野火病毒、野火) 时,流量被视为可疑。 另请参阅与 Fusion 事件说明中列出的 威胁/内容类型 对应的 Palo Alto 威胁日志,了解其他警报详细信息。
资源劫持
(新的威胁分类)
在可疑Microsoft Entra登录后,以前看不见的调用方进行的可疑资源/资源组部署
此方案利用 计划分析规则生成的警报。
此方案目前为 预览版。
MITRE ATT&CK 策略: 初始访问,影响
MITRE ATT&CK 技术: 有效的帐户 (T1078) 、资源劫持 (T1496)
数据连接器源:Microsoft Sentinel (计划分析规则) 、Microsoft Entra ID保护
描述:此类型的 Fusion 事件指示用户在可疑登录(最近未看到的属性)后,已将Azure资源或资源组(这是一种罕见的活动)部署到了Microsoft Entra帐户。 这可能是攻击者在破坏 Fusion 事件说明中所述的用户帐户后出于恶意目的部署资源或资源组的企图。
可疑Microsoft Entra登录警报与以前未看到的调用方警报部署的可疑资源/资源组部署的排列方式如下:
无法前往非典型位置,导致以前看不见的调用方进行可疑的资源/资源组部署
来自不熟悉位置的登录事件,导致以前看不见的调用方进行可疑的资源/资源组部署
来自受感染设备的登录事件,导致以前看不见的调用方进行可疑的资源/资源组部署
来自匿名 IP 的登录事件,导致以前看不到的调用方进行可疑的资源/资源组部署
来自凭据泄露的用户的登录事件,导致以前看不见的调用方进行可疑的资源/资源组部署
后续步骤
现在,你已了解有关高级多阶段攻击检测的详细信息,你可能对以下快速入门感兴趣,了解如何了解数据和潜在威胁:Microsoft Sentinel入门。
如果已准备好调查为你创建的事件,请参阅以下教程:使用Microsoft Sentinel调查事件。