Partilhar via

Cenários detetados pelo mecanismo Microsoft Sentinel Fusion

  • Artigo

Este documento lista os tipos de ataques de vários estágios baseados em cenário, agrupados por classificação de ameaça, que o Microsoft Sentinel deteta usando o mecanismo de correlação do Fusion.

Como o Fusion correlaciona vários sinais de vários produtos para detetar ataques avançados de vários estágios, as deteções bem-sucedidas do Fusion são apresentadas como incidentes do Fusion na página Incidentes do Microsoft Sentinel e não como alertas, e são armazenadas na tabela Incidentes em Logs e não na tabela SecurityAlerts.

Para habilitar esses cenários de deteção de ataques com tecnologia Fusion, todas as fontes de dados listadas devem ser ingeridas no espaço de trabalho do Log Analytics. Para cenários com regras de análise agendadas, siga as instruções em Configurar regras de análise agendadas para deteções do Fusion.

Nota

Alguns desses cenários estão em PREVIEW. Serão assim indicados.

Abuso de recursos computacionais

Várias atividades de criação de VM após entrada suspeita do Microsoft Entra

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Impacto

Técnicas MITRE ATT&CK: Conta Válida (T1078), Sequestro de Recursos (T1496)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de VMs foi criado em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Esse tipo de alerta indica, com um alto grau de confiança, que a conta indicada na descrição do incidente do Fusion foi comprometida e usada para criar novas VMs para fins não autorizados, como executar operações de mineração de criptomoedas. As permutações de alertas de entrada suspeitos do Microsoft Entra com o alerta de várias atividades de criação de VM são:

  • Impossível viajar para um local atípico levando a várias atividades de criação de VM

  • Evento de entrada de um local desconhecido que leva a várias atividades de criação de VM

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a várias atividades de criação de VM

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a várias atividades de criação de VM

  • Evento de entrada do usuário com credenciais vazadas levando a várias atividades de criação de VM

Acesso a credenciais

(Nova classificação de ameaça)

Várias palavras-passe repostas pelo utilizador após início de sessão suspeito

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Acesso a Credenciais

Técnicas MITRE ATT&CK: Conta Válida (T1078), Força Bruta (T1110)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um usuário redefine várias senhas após uma entrada suspeita em uma conta do Microsoft Entra. Essas evidências sugerem que a conta mencionada na descrição do incidente do Fusion foi comprometida e foi usada para executar várias redefinições de senha a fim de obter acesso a vários sistemas e recursos. A manipulação de conta (incluindo a redefinição de senha) pode ajudar os adversários a manter o acesso a credenciais e certos níveis de permissão em um ambiente. As permutações de alertas suspeitos de entrada do Microsoft Entra com vários alertas de redefinição de senhas são:

  • Impossível viajar para um local atípico levando a várias senhas redefinidas

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à redefinição de várias palavras-passe

  • Evento de início de sessão a partir de um dispositivo infetado que leva à reposição de várias palavras-passe

  • Evento de início de sessão a partir de um IP anónimo que conduz à redefinição de várias palavras-passe

  • Evento de entrada do usuário com credenciais vazadas levando à redefinição de várias senhas

Início de sessão suspeito que coincide com o início de sessão bem-sucedido no Palo Alto VPN por IP com vários inícios de sessão falhados do Microsoft Entra

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Acesso a Credenciais

Técnicas MITRE ATT&CK: Conta Válida (T1078), Força Bruta (T1110)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection

Descrição: Incidentes de fusão deste tipo indicam que um início de sessão suspeito numa conta Microsoft Entra coincidiu com um início de sessão bem-sucedido através de uma VPN Palo Alto a partir de um endereço IP a partir do qual ocorreram várias entradas com falha no Microsoft Entra num período de tempo semelhante. Embora não seja evidência de um ataque de vários estágios, a correlação desses dois alertas de baixa fidelidade resulta em um incidente de alta fidelidade sugerindo acesso inicial mal-intencionado à rede da organização. Como alternativa, isso pode ser uma indicação de um invasor tentando usar técnicas de força bruta para obter acesso a uma conta do Microsoft Entra. As permutações de alertas suspeitos de entrada do Microsoft Entra com alertas "IP com vários logins do Microsoft Entra com falha com êxito no Palo Alto VPN" são:

  • Impossível viajar para um local atípico coincidindo com IP com vários logins falhados do Microsoft Entra com sucesso faz login no Palo Alto VPN

  • Evento de início de sessão a partir de uma localização desconhecida que coincida com IP com vários inícios de sessão falhados do Microsoft Entra inicia sessão com êxito no Palo Alto VPN

  • Evento de início de sessão a partir de um dispositivo infetado coincidindo com IP com vários inícios de sessão falhados do Microsoft Entra inicia sessão com êxito no Palo Alto VPN

  • Evento de início de sessão a partir de um IP anónimo que coincide com IP com vários inícios de sessão falhados do Microsoft Entra inicia sessão com êxito no Palo Alto VPN

  • Evento de entrada de usuário com credenciais vazadas coincidindo com IP com vários logins falhados do Microsoft Entra efetua login com êxito no Palo Alto VPN

Coleta de credenciais

(Nova classificação de ameaça)

Execução de ferramenta de roubo de credenciais maliciosas após início de sessão suspeito

Táticas MITRE ATT&CK: Acesso Inicial, Acesso a Credenciais

Técnicas MITRE ATT&CK: Conta Válida (T1078), Dumping de Credenciais do SO (T1003)

Fontes do conector de dados: Microsoft Entra ID Protection, Microsoft Defender for Endpoint

Descrição: Incidentes de fusão desse tipo indicam que uma ferramenta conhecida de roubo de credenciais foi executada após uma entrada suspeita do Microsoft Entra. Esta evidência sugere com alta confiança que a conta de usuário anotada na descrição do alerta foi comprometida e pode ter usado com sucesso uma ferramenta como o Mimikatz para coletar credenciais como chaves, senhas de texto simples e/ou hashes de senha do sistema. As credenciais coletadas podem permitir que um invasor acesse dados confidenciais, escale privilégios e/ou se mova lateralmente pela rede. As permutações de alertas de entrada suspeitos do Microsoft Entra com o alerta da ferramenta de roubo de credenciais mal-intencionadas são:

  • Impossível viajar para locais atípicos levando à execução maliciosa da ferramenta de roubo de credenciais

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à execução da ferramenta de roubo de credenciais maliciosas

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à execução de uma ferramenta de roubo de credenciais maliciosas

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz à execução da ferramenta de roubo de credenciais maliciosas

  • Evento de entrada de usuário com credenciais vazadas levando à execução maliciosa da ferramenta de roubo de credenciais

Atividade suspeita de roubo de credenciais após início de sessão suspeito

Táticas MITRE ATT&CK: Acesso Inicial, Acesso a Credenciais

Técnicas MITRE ATT&CK: Conta válida (T1078), Credenciais de armazenamentos de senhas (T1555), Dumping de credenciais do sistema operacional (T1003)

Fontes do conector de dados: Microsoft Entra ID Protection, Microsoft Defender for Endpoint

Descrição: incidentes de fusão desse tipo indicam que a atividade associada a padrões de roubo de credenciais ocorreu após uma entrada suspeita do Microsoft Entra. Essa evidência sugere com alta confiança que a conta de usuário anotada na descrição do alerta foi comprometida e usada para roubar credenciais como chaves, senhas de texto simples, hashes de senha e assim por diante. As credenciais roubadas podem permitir que um invasor acesse dados confidenciais, aumente privilégios e/ou se mova lateralmente pela rede. As permutações dos alertas de entrada suspeitos do Microsoft Entra com o alerta de atividade de roubo de credenciais são:

  • Impossível viajar para locais atípicos levando a suspeita de atividade de roubo de credenciais

  • Evento de início de sessão a partir de uma localização desconhecida que conduza a suspeita de atividade de roubo de credenciais

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a suspeita de atividade de roubo de credenciais

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a suspeita de atividade de roubo de credenciais

  • Evento de entrada do usuário com credenciais vazadas que levam à atividade suspeita de roubo de credenciais

Cripto-mineração

(Nova classificação de ameaça)

Atividade de mineração de criptomoedas após início de sessão suspeito

Táticas MITRE ATT&CK: Acesso Inicial, Acesso a Credenciais

Técnicas MITRE ATT&CK: Conta Válida (T1078), Sequestro de Recursos (T1496)

Fontes do conector de dados: Microsoft Entra ID Protection, Microsoft Defender for Cloud

Descrição: Incidentes de fusão desse tipo indicam atividade de mineração de criptografia associada a uma entrada suspeita em uma conta do Microsoft Entra. Esta evidência sugere com alta confiança que a conta de usuário observada na descrição do alerta foi comprometida e foi usada para sequestrar recursos em seu ambiente para minerar criptomoedas. Isso pode privar seus recursos de poder de computação e/ou resultar em contas de uso da nuvem significativamente mais altas do que o esperado. As permutações de alertas suspeitos de entrada do Microsoft Entra com o alerta de atividade de mineração de criptografia são:

  • Impossível viajar para locais atípicos que levam à atividade de mineração de criptomoedas

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à atividade de mineração de criptomoedas

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à atividade de mineração de criptomoedas

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz à atividade de mineração de criptomoedas

  • Evento de entrada do usuário com credenciais vazadas que levam à atividade de mineração de criptografia

Destruição de dados

Eliminação de ficheiros em massa após início de sessão suspeito do Microsoft Entra

Táticas MITRE ATT&CK: Acesso Inicial, Impacto

Técnicas MITRE ATT&CK: Conta Válida (T1078), Destruição de Dados (T1485)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de arquivos exclusivos foi excluído após uma entrada suspeita em uma conta do Microsoft Entra. Esta evidência sugere que a conta indicada na descrição do incidente do Fusion pode ter sido comprometida e foi usada para destruir dados para fins maliciosos. As permutações de alertas suspeitos de entrada do Microsoft Entra com o alerta de exclusão de arquivo em massa são:

  • Impossível viajar para um local atípico levando à exclusão de arquivos em massa

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à eliminação de ficheiros em massa

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à eliminação de ficheiros em massa

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz à eliminação de ficheiros em massa

  • Evento de entrada do usuário com credenciais vazadas levando à exclusão em massa de arquivos

Exclusão de arquivos em massa após a entrada bem-sucedida do Microsoft Entra a partir de IP bloqueado por um dispositivo de firewall da Cisco

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Impacto

Técnicas MITRE ATT&CK: Conta Válida (T1078), Destruição de Dados (T1485)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de arquivos exclusivos foi excluído após uma entrada bem-sucedida do Microsoft Entra, apesar do endereço IP do usuário ter sido bloqueado por um dispositivo de firewall da Cisco. Esta evidência sugere que a conta indicada na descrição do incidente do Fusion foi comprometida e foi usada para destruir dados para fins maliciosos. Como o IP foi bloqueado pelo firewall, esse mesmo IP fazendo logon com êxito no Microsoft Entra ID é potencialmente suspeito e pode indicar comprometimento de credenciais para a conta de usuário.

Exclusão de arquivos em massa após a entrada bem-sucedida no Palo Alto VPN por IP com várias entradas do Microsoft Entra com falha

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Acesso a Credenciais, Impacto

Técnicas MITRE ATT&CK: Conta Válida (T1078), Força Bruta (T1110), Destruição de Dados (T1485)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de arquivos exclusivos foi excluído por um usuário que entrou com êxito através de uma VPN Palo Alto a partir de um endereço IP a partir do qual várias entradas com falha no Microsoft Entra ocorreram em um período de tempo semelhante. Essas evidências sugerem que a conta de usuário observada no incidente do Fusion pode ter sido comprometida usando técnicas de força bruta e foi usada para destruir dados para fins maliciosos.

Atividade suspeita de exclusão de e-mail após entrada suspeita do Microsoft Entra

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Impacto

Técnicas MITRE ATT&CK: Conta Válida (T1078), Destruição de Dados (T1485)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de e-mails foi excluído em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência sugere que a conta mencionada na descrição do incidente do Fusion pode ter sido comprometida e foi usada para destruir dados para fins maliciosos, como prejudicar a organização ou ocultar atividades de e-mail relacionadas a spam. As permutações de alertas de entrada suspeitos do Microsoft Entra com o alerta de atividade de exclusão de e-mail suspeito são:

  • Impossível viajar para um local atípico levando a atividades suspeitas de exclusão de e-mail

  • Evento de início de sessão a partir de uma localização desconhecida que conduz a atividades suspeitas de eliminação de e-mail

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a atividades suspeitas de eliminação de e-mail

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a atividades suspeitas de eliminação de e-mail

  • Evento de login de usuário com credenciais vazadas que levam a atividades suspeitas de exclusão de e-mail

Transferência de dados não autorizada

Atividades de encaminhamento de email após nova atividade de conta de administrador não vista recentemente

Este cenário pertence a duas classificações de ameaça nesta lista: exfiltração de dados e atividade administrativa maliciosa. Por razões de clareza, aparece em ambas as secções.

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Coleta, Exfiltração

Técnicas MITRE ATT&CK: Conta Válida (T1078), Recolha de Email (T1114), Exfiltração sobre Web Service (T1567)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: incidentes de fusão desse tipo indicam que uma nova conta de administrador do Exchange foi criada ou uma conta de administrador existente do Exchange tomou alguma ação administrativa pela primeira vez, nas últimas duas semanas, e que a conta fez algumas ações de encaminhamento de email, que são incomuns para uma conta de administrador. Essas evidências sugerem que a conta de usuário observada na descrição do incidente do Fusion foi comprometida ou manipulada e que foi usada para exfiltrar dados da rede da sua organização.

Download de arquivos em massa após entrada suspeita do Microsoft Entra

Táticas MITRE ATT&CK: Acesso Inicial, Exfiltração

Técnicas MITRE ATT&CK: Conta Válida (T1078)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de arquivos foi baixado por um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta anotada na descrição do incidente do Fusion foi comprometida e foi usada para exfiltrar dados da rede da sua organização. As permutações dos alertas suspeitos de entrada do Microsoft Entra com o alerta de download de arquivos em massa são:

  • Impossível viajar para um local atípico levando ao download de arquivos em massa

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à transferência de ficheiros em massa

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à transferência de ficheiros em massa

  • Evento de início de sessão a partir de um IP anónimo que conduz ao descarregamento de ficheiros em massa

  • Evento de entrada do usuário com credenciais vazadas levando ao download em massa de arquivos

Download de arquivos em massa após a entrada bem-sucedida do Microsoft Entra a partir de IP bloqueado por um dispositivo de firewall Cisco

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Exfiltração

Técnicas MITRE ATT&CK: Conta válida (T1078), Exfiltração sobre Web Service (T1567)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de arquivos foi baixado por um usuário após uma entrada bem-sucedida do Microsoft Entra, apesar do endereço IP do usuário estar bloqueado por um dispositivo de firewall da Cisco. Isso pode ser uma tentativa de um invasor de exfiltrar dados da rede da organização depois de comprometer uma conta de usuário. Como o IP foi bloqueado pelo firewall, esse mesmo IP fazendo logon com êxito no Microsoft Entra ID é potencialmente suspeito e pode indicar comprometimento de credenciais para a conta de usuário.

Download de arquivo em massa coincidindo com a operação de arquivo do SharePoint a partir de IP inédito

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Exfiltração

Técnicas MITRE ATT&CK: Exfiltração sobre Web Service (T1567), Limites de Tamanho de Transferência de Dados (T1030)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: Incidentes de fusão deste tipo indicam que um número anómalo de ficheiros foi descarregado por um utilizador ligado a partir de um endereço IP inédito. Embora não seja evidência de um ataque de vários estágios, a correlação desses dois alertas de baixa fidelidade resulta em um incidente de alta fidelidade sugerindo uma tentativa de um invasor de exfiltrar dados da rede da organização de uma conta de usuário possivelmente comprometida. Em ambientes estáveis, essas conexões por IPs inéditos podem não ser autorizadas, especialmente se associadas a picos de volume que podem estar associados à exfiltração de documentos em larga escala.

Compartilhamento de arquivos em massa após entrada suspeita do Microsoft Entra

Táticas MITRE ATT&CK: Acesso Inicial, Exfiltração

Técnicas MITRE ATT&CK: Conta válida (T1078), Exfiltração sobre Web Service (T1567)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que vários arquivos acima de um limite específico foram compartilhados com outras pessoas após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta anotada na descrição do incidente do Fusion foi comprometida e usada para exfiltrar dados da rede da sua organização, compartilhando arquivos como documentos, planilhas, etc., com usuários não autorizados para fins maliciosos. As permutações de alertas suspeitos de entrada do Microsoft Entra com o alerta de compartilhamento de arquivos em massa são:

  • Impossível viajar para um local atípico levando ao compartilhamento de arquivos em massa

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à partilha de ficheiros em massa

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à partilha de ficheiros em massa

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz à partilha de ficheiros em massa

  • Evento de entrada do usuário com credenciais vazadas levando ao compartilhamento de arquivos em massa

Várias atividades de compartilhamento de relatório do Power BI após entrada suspeita do Microsoft Entra

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Exfiltração

Técnicas MITRE ATT&CK: Conta válida (T1078), Exfiltração sobre Web Service (T1567)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de relatórios do Power BI foi compartilhado em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta anotada na descrição do incidente do Fusion foi comprometida e foi usada para exfiltrar dados da rede da sua organização compartilhando relatórios do Power BI com usuários não autorizados para fins mal-intencionados. As permutações de alertas de entrada suspeitos do Microsoft Entra com as várias atividades de compartilhamento de relatório do Power BI são:

  • Impossível viajar para um local atípico levando a várias atividades de compartilhamento de relatório do Power BI

  • Evento de entrada de um local desconhecido que leva a várias atividades de compartilhamento de relatório do Power BI

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a várias atividades de partilha de relatórios do Power BI

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a várias atividades de partilha de relatórios do Power BI

  • Evento de entrada do usuário com credenciais vazadas que levam a várias atividades de compartilhamento de relatório do Power BI

Exfiltração da caixa de correio do Office 365 após uma entrada suspeita do Microsoft Entra

Táticas MITRE ATT&CK: Acesso Inicial, Exfiltração, Coleção

Técnicas MITRE ATT&CK: Conta Válida (T1078), Recolha de E-mail (T1114), Exfiltração Automatizada (T1020)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que uma regra de encaminhamento de caixa de entrada suspeita foi definida na caixa de entrada de um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta do usuário (observada na descrição do incidente do Fusion) foi comprometida e que foi usada para exfiltrar dados da rede da sua organização, habilitando uma regra de encaminhamento de caixa de correio sem o conhecimento verdadeiro do usuário. As permutações de alertas de entrada suspeitos do Microsoft Entra com o alerta de exfiltração de caixa de correio do Office 365 são:

  • Impossível viajar para um local atípico que leva à exfiltração da caixa de correio do Office 365

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à exfiltração da caixa de correio do Office 365

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à exfiltração da caixa de correio do Office 365

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz à exfiltração da caixa de correio do Office 365

  • Evento de entrada de usuário com credenciais vazadas que levam à exfiltração da caixa de correio do Office 365

Operação de arquivo do SharePoint a partir de IP invisível anteriormente após a deteção de malware

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Exfiltração, Evasão de Defesa

Técnicas MITRE ATT&CK: Limites de tamanho de transferência de dados (T1030)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: Incidentes de fusão desse tipo indicam que um invasor tentou exfiltrar grandes quantidades de dados baixando ou compartilhando através do SharePoint por meio do uso de malware. Em ambientes estáveis, essas conexões por IPs inéditos podem não ser autorizadas, especialmente se associadas a picos de volume que podem estar associados à exfiltração de documentos em larga escala.

Regras suspeitas de manipulação da caixa de entrada definidas após entrada suspeita do Microsoft Entra

Este cenário pertence a duas classificações de ameaça nesta lista: exfiltração de dados e movimento lateral. Por razões de clareza, aparece em ambas as secções.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Movimento Lateral, Exfiltração

Técnicas MITRE ATT&CK: Conta Válida (T1078), Spear Phishing Interno (T1534), Exfiltração Automatizada (T1020)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que regras anômalas da caixa de entrada foram definidas na caixa de entrada de um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência fornece uma indicação de alta confiança de que a conta mencionada na descrição do incidente do Fusion foi comprometida e foi usada para manipular as regras da caixa de entrada de e-mail do usuário para fins maliciosos, possivelmente para exfiltrar dados da rede da organização. Como alternativa, o invasor pode estar tentando gerar e-mails de phishing de dentro da organização (ignorando mecanismos de deteção de phishing direcionados a e-mails de fontes externas) com a finalidade de se mover lateralmente, obtendo acesso a contas adicionais de usuário e/ou privilegiadas. As permutações de alertas de entrada suspeitos do Microsoft Entra com o alerta de regras suspeitas de manipulação da caixa de entrada são:

  • Impossível viajar para um local atípico levando a uma regra suspeita de manipulação da caixa de entrada

  • Evento de início de sessão a partir de uma localização desconhecida que conduz a uma regra suspeita de manipulação da caixa de entrada

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a uma regra suspeita de manipulação da caixa de entrada

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a uma regra suspeita de manipulação da caixa de entrada

  • Evento de entrada do usuário com credenciais vazadas levando a uma regra suspeita de manipulação da caixa de entrada

Partilha suspeita de relatórios do Power BI após início de sessão suspeito no Microsoft Entra

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Exfiltração

Técnicas MITRE ATT&CK: Conta válida (T1078), Exfiltração sobre Web Service (T1567)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: incidentes de fusão desse tipo indicam que ocorreu uma atividade suspeita de compartilhamento de relatório do Power BI após uma entrada suspeita em uma conta do Microsoft Entra. A atividade de compartilhamento foi identificada como suspeita porque o relatório do Power BI continha informações confidenciais identificadas usando o processamento de linguagem natural e porque foi compartilhada com um endereço de email externo, publicada na Web ou entregue como um instantâneo para um endereço de email inscrito externamente. Esse alerta indica com alta confiança que a conta anotada na descrição do incidente do Fusion foi comprometida e foi usada para exfiltrar dados confidenciais da sua organização compartilhando relatórios do Power BI com usuários não autorizados para fins mal-intencionados. As permutações de alertas de entrada suspeitos do Microsoft Entra com o compartilhamento suspeito de relatórios do Power BI são:

  • Impossível viajar para um local atípico levando ao compartilhamento suspeito de relatórios do Power BI

  • Evento de entrada de um local desconhecido que leva ao compartilhamento suspeito de relatórios do Power BI

  • Evento de entrada de um dispositivo infetado que leva ao compartilhamento suspeito de relatórios do Power BI

  • Evento de entrada de um endereço IP anônimo que leva ao compartilhamento suspeito de relatórios do Power BI

  • Evento de entrada de usuário com credenciais vazadas que levam ao compartilhamento suspeito de relatórios do Power BI

Denial-of-service

Várias atividades de exclusão de VM após entrada suspeita do Microsoft Entra

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Impacto

Técnicas MITRE ATT&CK: Conta Válida (T1078), Negação de Serviço de Ponto Final (T1499)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de VMs foi excluído em uma única sessão após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta mencionada na descrição do incidente do Fusion foi comprometida e foi usada para tentar interromper ou destruir o ambiente de nuvem da organização. As permutações de alertas suspeitos de entrada do Microsoft Entra com o alerta de várias atividades de exclusão de VM são:

  • Impossível viajar para um local atípico levando a várias atividades de exclusão de VM

  • Evento de entrada de um local desconhecido que leva a várias atividades de exclusão de VM

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a várias atividades de eliminação de VM

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a várias atividades de eliminação de VM

  • Evento de entrada do usuário com credenciais vazadas que levam a várias atividades de exclusão de VM

Movimento lateral

Representação do Office 365 após início de sessão suspeito do Microsoft Entra

Táticas MITRE ATT&CK: Acesso Inicial, Movimento Lateral

Técnicas MITRE ATT&CK: Conta Válida (T1078), Spear Phishing Interno (T1534)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de ações de representação ocorreu após uma entrada suspeita de uma conta do Microsoft Entra. Em alguns softwares, existem opções para permitir que os usuários se passem por outros usuários. Por exemplo, os serviços de e-mail permitem que os usuários autorizem outros usuários a enviar e-mails em seu nome. Esse alerta indica com maior confiança que a conta indicada na descrição do incidente do Fusion foi comprometida e foi usada para realizar atividades de falsificação de identidade para fins maliciosos, como o envio de e-mails de phishing para distribuição de malware ou movimento lateral. As permutações de alertas suspeitos de entrada do Microsoft Entra com o alerta de representação do Office 365 são:

  • Impossível viajar para um local atípico que leva à representação do Office 365

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à representação do Office 365

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à representação do Office 365

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz à representação do Office 365

  • Evento de entrada de usuário com credenciais vazadas que levam à representação do Office 365

Regras suspeitas de manipulação da caixa de entrada definidas após entrada suspeita do Microsoft Entra

Este cenário pertence a duas classificações de ameaça nesta lista: movimento lateral e exfiltração de dados. Por razões de clareza, aparece em ambas as secções.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Movimento Lateral, Exfiltração

Técnicas MITRE ATT&CK: Conta Válida (T1078), Spear Phishing Interno (T1534), Exfiltração Automatizada (T1020)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que regras anômalas da caixa de entrada foram definidas na caixa de entrada de um usuário após uma entrada suspeita em uma conta do Microsoft Entra. Essa evidência fornece uma indicação de alta confiança de que a conta mencionada na descrição do incidente do Fusion foi comprometida e foi usada para manipular as regras da caixa de entrada de e-mail do usuário para fins maliciosos, possivelmente para exfiltrar dados da rede da organização. Como alternativa, o invasor pode estar tentando gerar e-mails de phishing de dentro da organização (ignorando mecanismos de deteção de phishing direcionados a e-mails de fontes externas) com a finalidade de se mover lateralmente, obtendo acesso a contas adicionais de usuário e/ou privilegiadas. As permutações de alertas de entrada suspeitos do Microsoft Entra com o alerta de regras suspeitas de manipulação da caixa de entrada são:

  • Impossível viajar para um local atípico levando a uma regra suspeita de manipulação da caixa de entrada

  • Evento de início de sessão a partir de uma localização desconhecida que conduz a uma regra suspeita de manipulação da caixa de entrada

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a uma regra suspeita de manipulação da caixa de entrada

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a uma regra suspeita de manipulação da caixa de entrada

  • Evento de entrada do usuário com credenciais vazadas levando a uma regra suspeita de manipulação da caixa de entrada

Atividade administrativa maliciosa

Atividade administrativa suspeita da aplicação na nuvem após início de sessão suspeito no Microsoft Entra

Táticas MITRE ATT&CK: Acesso Inicial, Persistência, Evasão de Defesa, Movimento Lateral, Coleta, Exfiltração e Impacto

Técnicas MITRE ATT&CK: N/A

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um número anômalo de atividades administrativas foi executado em uma única sessão após uma entrada suspeita do Microsoft Entra da mesma conta. Essas evidências sugerem que a conta mencionada na descrição do incidente do Fusion pode ter sido comprometida e foi usada para fazer qualquer número de ações administrativas não autorizadas com intenção maliciosa. Isso também indica que uma conta com privilégios administrativos pode ter sido comprometida. As permutações dos alertas de início de sessão suspeitos do Microsoft Entra com o alerta de atividade administrativa suspeita da aplicação na nuvem são:

  • Impossível viajar para um local atípico levando a atividades administrativas suspeitas de aplicativos na nuvem

  • Evento de início de sessão a partir de uma localização desconhecida que conduz a atividade administrativa suspeita da aplicação na nuvem

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a atividade administrativa suspeita da aplicação na nuvem

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a atividade administrativa suspeita da aplicação na nuvem

  • Evento de início de sessão de um utilizador com credenciais fugas que conduzem a atividades administrativas suspeitas na aplicação na nuvem

Atividades de encaminhamento de email após nova atividade de conta de administrador não vista recentemente

Este cenário pertence a duas classificações de ameaça nesta lista: atividade administrativa maliciosa e exfiltração de dados. Por razões de clareza, aparece em ambas as secções.

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Coleta, Exfiltração

Técnicas MITRE ATT&CK: Conta Válida (T1078), Recolha de Email (T1114), Exfiltração sobre Web Service (T1567)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: incidentes de fusão desse tipo indicam que uma nova conta de administrador do Exchange foi criada ou uma conta de administrador existente do Exchange tomou alguma ação administrativa pela primeira vez, nas últimas duas semanas, e que a conta fez algumas ações de encaminhamento de email, que são incomuns para uma conta de administrador. Essas evidências sugerem que a conta de usuário observada na descrição do incidente do Fusion foi comprometida ou manipulada e que foi usada para exfiltrar dados da rede da sua organização.

Execução maliciosa com processo legítimo

O PowerShell fez uma conexão de rede suspeita, seguida por tráfego anômalo sinalizado pelo firewall da Palo Alto Networks.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Execução

Técnicas MITRE ATT&CK: Interpretador de Comandos e Scripts (T1059)

Fontes do conector de dados: Microsoft Defender for Endpoint (anteriormente Microsoft Defender Advanced Threat Protection ou MDATP), Microsoft Sentinel (regra de análise agendada)

Descrição: Incidentes de fusão desse tipo indicam que uma solicitação de conexão de saída foi feita por meio de um comando do PowerShell e, após isso, uma atividade de entrada anômala foi detetada pelo Firewall da Palo Alto Networks. Essas evidências sugerem que um invasor provavelmente obteve acesso à sua rede e está tentando executar ações maliciosas. As tentativas de conexão pelo PowerShell que seguem esse padrão podem ser uma indicação de atividade de comando e controle de malware, solicitações para o download de malware adicional ou um invasor estabelecendo acesso interativo remoto. Como acontece com todos os ataques "vivendo da terra", essa atividade pode ser um uso legítimo do PowerShell. No entanto, a execução do comando PowerShell seguida por atividade suspeita do Firewall de entrada aumenta a confiança de que o PowerShell está sendo usado de maneira mal-intencionada e deve ser investigado ainda mais. Nos logs de Palo Alto, o Microsoft Sentinel se concentra em logs de ameaças, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, verificações, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registro de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente do Fusion para obter detalhes adicionais do alerta.

Execução remota suspeita de WMI seguida de tráfego anômalo sinalizado pelo firewall da Palo Alto Networks

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Execução, Descoberta

Técnicas MITRE ATT&CK: Instrumentação de Gerenciamento do Windows (T1047)

Fontes do conector de dados: Microsoft Defender for Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)

Descrição: Incidentes de fusão desse tipo indicam que os comandos WMI (Interface de Gerenciamento do Windows) foram executados remotamente em um sistema e, após isso, atividades de entrada suspeitas foram detetadas pelo Firewall de Redes de Palo Alto. Essas evidências sugerem que um invasor pode ter obtido acesso à sua rede e está tentando se mover lateralmente, aumentar privilégios e/ou executar cargas maliciosas. Tal como acontece com todos os ataques "vivendo da terra", esta atividade pode ser um uso legítimo do WMI. No entanto, a execução remota do comando WMI seguida por atividades suspeitas de entrada do Firewall aumenta a confiança de que o WMI está sendo usado de maneira maliciosa e deve ser investigado ainda mais. Nos logs de Palo Alto, o Microsoft Sentinel se concentra em logs de ameaças, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, verificações, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registro de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente do Fusion para obter detalhes adicionais do alerta.

Linha de comando suspeita do PowerShell após entrada suspeita

Táticas MITRE ATT&CK: Acesso Inicial, Execução

Técnicas MITRE ATT&CK: Conta Válida (T1078), Interpretador de Comandos e Scripts (T1059)

Fontes do conector de dados: Microsoft Entra ID Protection, Microsoft Defender for Endpoint (anteriormente MDATP)

Descrição: Incidentes de fusão desse tipo indicam que um usuário executou comandos PowerShell potencialmente mal-intencionados após uma entrada suspeita em uma conta do Microsoft Entra. Esta evidência sugere com alta confiança que a conta anotada na descrição do alerta foi comprometida e outras ações maliciosas foram tomadas. Os invasores geralmente usam o PowerShell para executar cargas maliciosas na memória sem deixar artefatos no disco, a fim de evitar a deteção por mecanismos de segurança baseados em disco, como scanners de vírus. As permutações de alertas de entrada suspeitos do Microsoft Entra com o alerta de comando suspeito do PowerShell são:

  • Impossível viajar para locais atípicos que levam a uma linha de comando suspeita do PowerShell

  • Evento de entrada de um local desconhecido que leva a uma linha de comando suspeita do PowerShell

  • Evento de entrada de um dispositivo infetado que leva a uma linha de comando suspeita do PowerShell

  • Evento de entrada de um endereço IP anônimo que leva a uma linha de comando suspeita do PowerShell

  • Evento de entrada de usuário com credenciais vazadas levando a linha de comando suspeita do PowerShell

Malware C2 ou baixar

Padrão de beacon detetado pela Fortinet após várias falhas de login de usuário em um serviço

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Comando e Controle

Técnicas MITRE ATT&CK: Conta válida (T1078), Porta não padrão (T1571), T1065 (aposentada)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Defender for Cloud Apps

Descrição: Os incidentes de fusão deste tipo indicam padrões de comunicação, de um endereço IP interno para um endereço externo, que são consistentes com beaconing, após vários logins de usuário com falha em um serviço de uma entidade interna relacionada. A combinação desses dois eventos pode ser uma indicação de infeção por malware ou de um host comprometido fazendo exfiltração de dados.

Padrão de beacon detetado pela Fortinet após entrada suspeita do Microsoft Entra

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Comando e Controle

Técnicas MITRE ATT&CK: Conta válida (T1078), Porta não padrão (T1571), T1065 (aposentada)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam padrões de comunicação, de um endereço IP interno para um externo, que são consistentes com beaconing, após uma entrada de usuário de natureza suspeita no Microsoft Entra ID. A combinação desses dois eventos pode ser uma indicação de infeção por malware ou de um host comprometido fazendo exfiltração de dados. As permutações do padrão de beacon detetadas por alertas Fortinet com alertas suspeitos de entrada do Microsoft Entra são:

  • Impossível viajar para um local atípico levando ao padrão de beacon detetado pela Fortinet

  • Evento de entrada de um local desconhecido que leva ao padrão de beacon detetado pela Fortinet

  • Evento de início de sessão a partir de um dispositivo infetado que conduz ao padrão de beacon detetado pela Fortinet

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz ao padrão beacon detetado pela Fortinet

  • Evento de entrada do usuário com credenciais vazadas levando ao padrão de beacon detetado pela Fortinet

Solicitação de rede para o serviço de anonimização TOR seguido de tráfego anômalo sinalizado pelo firewall da Palo Alto Networks.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Comando e Controle

Técnicas MITRE ATT&CK: Canal criptografado (T1573), Proxy (T1090)

Fontes do conector de dados: Microsoft Defender for Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)

Descrição: Incidentes de fusão deste tipo indicam que foi feita uma solicitação de conexão de saída para o serviço de anonimização TOR e, após isso, atividade de entrada anômala foi detetada pelo Firewall da Palo Alto Networks. Essas evidências sugerem que um invasor provavelmente obteve acesso à sua rede e está tentando ocultar suas ações e intenção. As conexões com a rede TOR seguindo esse padrão podem ser uma indicação de atividade de comando e controle de malware, solicitações para o download de malware adicional ou um invasor estabelecendo acesso remoto interativo. Nos logs de Palo Alto, o Microsoft Sentinel se concentra em logs de ameaças, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, verificações, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registro de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente do Fusion para obter detalhes adicionais do alerta.

Conexão de saída para IP com um histórico de tentativas de acesso não autorizado seguido por tráfego anômalo sinalizado pelo firewall da Palo Alto Networks

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Comando e Controle

Técnicas MITRE ATT&CK: Não aplicável

Fontes do conector de dados: Microsoft Defender for Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)

Descrição: Incidentes de fusão deste tipo indicam que foi estabelecida uma ligação de saída a um endereço IP com um histórico de tentativas de acesso não autorizado e, na sequência disso, foi detetada atividade anómala pela Firewall da Palo Alto Networks. Essas evidências sugerem que um invasor provavelmente obteve acesso à sua rede. As tentativas de conexão seguindo esse padrão podem ser uma indicação de atividade de comando e controle de malware, solicitações para o download de malware adicional ou um invasor estabelecendo acesso interativo remoto. Nos logs de Palo Alto, o Microsoft Sentinel se concentra em logs de ameaças, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, verificações, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registro de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente do Fusion para obter detalhes adicionais do alerta.

Persistência

(Nova classificação de ameaça)

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Persistência, Acesso Inicial

Técnicas MITRE ATT&CK: Criar Conta (T1136), Conta Válida (T1078)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um aplicativo recebeu consentimento de um usuário que nunca ou raramente o fez, após uma entrada suspeita relacionada a uma conta do Microsoft Entra. Essa evidência sugere que a conta mencionada na descrição do incidente do Fusion pode ter sido comprometida e usada para acessar ou manipular o aplicativo para fins maliciosos. Consentimento para aplicativo, Adicionar entidade de serviço e Adicionar OAuth2PermissionGrant normalmente devem ser eventos raros. Os atacantes podem usar esse tipo de alteração de configuração para estabelecer ou manter sua posição nos sistemas. As permutações de alertas suspeitos de entrada do Microsoft Entra com o raro alerta de consentimento de aplicativo são:

  • Impossível viajar para um local atípico levando a um consentimento raro de aplicação

  • Evento de início de sessão a partir de um local desconhecido que conduz a um consentimento raro da aplicação

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a um consentimento raro da aplicação

  • Evento de início de sessão a partir de um IP anónimo que conduz a um consentimento raro da aplicação

  • Evento de entrada do usuário com credenciais vazadas que levam a um consentimento raro do aplicativo

Ransomware

Execução de ransomware após início de sessão suspeito do Microsoft Entra

Táticas MITRE ATT&CK: Acesso Inicial, Impacto

Técnicas MITRE ATT&CK: Conta válida (T1078), Dados criptografados para impacto (T1486)

Fontes do conector de dados: Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection

Descrição: Incidentes de fusão desse tipo indicam que um comportamento anômalo do usuário indicando que um ataque de ransomware foi detetado após uma entrada suspeita em uma conta do Microsoft Entra. Essa indicação fornece alta confiança de que a conta indicada na descrição do incidente do Fusion foi comprometida e foi usada para criptografar dados com a finalidade de extorquir o proprietário dos dados ou negar o acesso do proprietário dos dados aos seus dados. As permutações dos alertas de início de sessão suspeitos do Microsoft Entra com o alerta de execução de ransomware são:

  • Impossível viajar para um local atípico levando a ransomware no aplicativo na nuvem

  • Evento de início de sessão a partir de uma localização desconhecida que conduz a ransomware na aplicação na nuvem

  • Evento de início de sessão a partir de um dispositivo infetado que conduz a ransomware na aplicação na nuvem

  • Evento de início de sessão a partir de um endereço IP anónimo que conduz a ransomware na aplicação na nuvem

  • Evento de login do usuário com credenciais vazadas levando a ransomware no aplicativo na nuvem

Exploração remota

Suspeita de uso da estrutura de ataque seguida de tráfego anômalo sinalizado pelo firewall da Palo Alto Networks

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Execução, Movimento Lateral, Escalonamento de Privilégios

Técnicas MITRE ATT&CK: Explorar Aplicação Voltada para o Público (T1190), Exploração para Execução de Cliente (T1203), Exploração de Serviços Remotos (T1210), Exploração para Escalonamento de Privilégios (T1068)

Fontes do conector de dados: Microsoft Defender for Endpoint (anteriormente MDATP), Microsoft Sentinel (regra de análise agendada)

Descrição: Incidentes de fusão deste tipo indicam que foram detetados usos não padronizados de protocolos, assemelhando-se ao uso de estruturas de ataque como o Metasploit, e depois disso, foi detetada atividade de entrada suspeita pelo Firewall da Palo Alto Networks. Isso pode ser uma indicação inicial de que um invasor explorou um serviço para obter acesso aos recursos da rede ou que um invasor já obteve acesso e está tentando explorar ainda mais os sistemas/serviços disponíveis para mover lateralmente e/ou aumentar os privilégios. Nos logs de Palo Alto, o Microsoft Sentinel se concentra em logs de ameaças, e o tráfego é considerado suspeito quando as ameaças são permitidas (dados suspeitos, arquivos, inundações, pacotes, verificações, spyware, URLs, vírus, vulnerabilidades, vírus de incêndios florestais, incêndios florestais). Consulte também o Registro de Ameaças de Palo Alto correspondente ao Tipo de Ameaça/Conteúdo listado na descrição do incidente do Fusion para obter detalhes adicionais do alerta.

Sequestro de recursos

(Nova classificação de ameaça)

Implantação suspeita de recurso/grupo de recursos por um chamador não visto anteriormente após entrada suspeita do Microsoft Entra

Esse cenário usa alertas produzidos por regras de análise agendadas.

Este cenário está atualmente em pré-visualização.

Táticas MITRE ATT&CK: Acesso Inicial, Impacto

Técnicas MITRE ATT&CK: Conta Válida (T1078), Sequestro de Recursos (T1496)

Fontes do conector de dados: Microsoft Sentinel (regra de análise agendada), Microsoft Entra ID Protection

Descrição: incidentes de fusão desse tipo indicam que um usuário implantou um recurso ou grupo de recursos do Azure - uma atividade rara - após uma entrada suspeita, com propriedades não vistas recentemente, em uma conta do Microsoft Entra. Isso pode ser uma tentativa de um invasor de implantar recursos ou grupos de recursos para fins mal-intencionados depois de comprometer a conta de usuário anotada na descrição do incidente do Fusion.

As permutações de alertas suspeitos de entrada do Microsoft Entra com a implantação suspeita de recurso/grupo de recursos por um alerta de chamador não visto anteriormente são:

  • Impossível viajar para um local atípico levando à implantação suspeita de recursos / grupo de recursos por um chamador invisível anteriormente

  • Evento de início de sessão a partir de uma localização desconhecida que conduz à implementação suspeita de recursos/grupos de recursos por um chamador invisível anteriormente

  • Evento de início de sessão a partir de um dispositivo infetado que conduz à implementação suspeita de recursos/grupos de recursos por um chamador invisível anteriormente

  • Evento de início de sessão a partir de um IP anónimo que conduz à implementação suspeita de recursos/grupos de recursos por um chamador inédito

  • Evento de entrada de usuário com credenciais vazadas levando à implantação suspeita de recurso/grupo de recursos por um chamador invisível anteriormente

Próximos passos

Agora que já aprendeu mais sobre a deteção avançada de ataques em várias fases, poderá estar interessado no seguinte guia de início rápido para saber como obter visibilidade dos seus dados e potenciais ameaças: Introdução ao Microsoft Sentinel.

Se você estiver pronto para investigar os incidentes criados para você, consulte o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.