이 문서에서는 Fusion 상관 관계 엔진을 사용하여 검색할 Microsoft Sentinel 있는 위협 분류별로 그룹화된 시나리오 기반 다단계 공격 유형을 나열합니다.
Fusion은 다양한 제품의 여러 신호를 연결하여 고급 다단계 공격을 감지하므로 성공적인 Fusion 검색은 경고가 아닌 Microsoft Sentinel 인시던트 페이지에서 Fusion 인시던트로 표시되며 SecurityAlerts 테이블이 아닌 로그의 인시던트 테이블에 저장됩니다.
이러한 Fusion 기반 공격 검색 시나리오를 사용하도록 설정하려면 나열된 모든 데이터 원본을 Log Analytics 작업 영역에 수집해야 합니다. 예약된 분석 규칙이 있는 시나리오의 경우 Fusion 검색에 대한 예약된 분석 규칙 구성의 지침을 따릅니다.
참고
이러한 시나리오 중 일부는 미리 보기로 제공됩니다. 그들은 그렇게 표시됩니다.
리소스 남용 컴퓨팅
의심스러운 Microsoft Entra 로그인 후 여러 VM 만들기 작업
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 리소스 하이재킹(T1496)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 VM이 생성되었음을 나타냅니다. 이러한 유형의 경고는 Fusion 인시던트 설명에 기록된 계정이 손상되어 암호화 마이닝 작업 실행과 같은 무단 목적을 위해 새 VM을 만드는 데 사용되었음을 높은 신뢰도로 나타냅니다. 여러 VM 만들기 작업 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 인해 여러 VM 만들기 작업이 발생합니다.
익숙하지 않은 위치에서 여러 VM 만들기 활동으로 이어지는 로그인 이벤트
감염된 디바이스의 로그인 이벤트로 인해 여러 VM 만들기 작업이 발생합니다.
여러 VM 만들기 작업으로 이어지는 익명 IP 주소의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 여러 VM 만들기 작업이 발생합니다.
자격 증명 액세스
(새 위협 분류)
의심스러운 로그인 후 사용자가 여러 암호 재설정
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 무차별 암호 대입(T1110)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 사용자가 의심스러운 로그인 후 여러 암호를 Microsoft Entra 계정으로 재설정했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 여러 시스템 및 리소스에 액세스하기 위해 여러 암호 재설정을 수행하는 데 사용되었음을 시사합니다. 계정 조작(암호 재설정 포함)은 악의적 사용자가 환경 내에서 자격 증명 및 특정 권한 수준에 대한 액세스를 유지하는 데 도움이 될 수 있습니다. 여러 암호 재설정 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 여러 암호 재설정
익숙하지 않은 위치에서 로그인 이벤트로 여러 암호 재설정
감염된 디바이스의 로그인 이벤트로 여러 암호 재설정
여러 암호 재설정으로 이어지는 익명 IP의 로그인 이벤트
여러 암호 재설정으로 이어지는 유출된 자격 증명을 가진 사용자의 로그인 이벤트
실패한 여러 Microsoft Entra 로그인이 있는 IP로 Palo Alto VPN에 성공적으로 로그인한 경우와 일치하는 의심스러운 로그인
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 무차별 암호 대입(T1110)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 대한 의심스러운 로그인이 여러 개의 실패한 Microsoft Entra 로그인이 비슷한 시간 프레임에서 발생한 IP 주소에서 Palo Alto VPN을 통한 성공적인 로그인과 일치함을 나타냅니다. 다단계 공격의 증거는 아니지만 이러한 두 낮은 충실도 경고의 상관 관계는 충실도가 높은 인시던트가 발생하여 organization 네트워크에 대한 악의적인 초기 액세스를 제안합니다. 또는 공격자가 무차별 암호 대입 기술을 사용하여 Microsoft Entra 계정에 액세스하려는 것을 나타낼 수 있습니다. "실패한 여러 Microsoft Entra 로그인이 있는 IP가 Palo Alto VPN에 성공적으로 로그인됨" 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
실패한 여러 Microsoft Entra 로그인이 Palo Alto VPN에 성공적으로 로그인된 IP와 일치하는 비정형 위치로 불가능한 이동
실패한 여러 Microsoft Entra 로그인이 Palo Alto VPN에 성공적으로 로그인된 IP와 일치하는 익숙하지 않은 위치에서 로그인 이벤트
실패한 여러 Microsoft Entra 로그인이 실패한 IP와 일치하는 감염된 디바이스의 로그인 이벤트가 Palo Alto VPN에 성공적으로 로그인됨
실패한 여러 Microsoft Entra 로그인이 있는 IP와 일치하는 익명 IP의 로그인 이벤트가 Palo Alto VPN에 성공적으로 로그인됨
여러 실패한 Microsoft Entra 로그인이 실패한 IP와 일치하는 유출된 자격 증명을 가진 사용자의 로그인 이벤트가 Palo Alto VPN에 성공적으로 로그인됩니다.
자격 증명 수확
(새 위협 분류)
의심스러운 로그인 후 악성 자격 증명 도난 도구 실행
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), OS 자격 증명 덤프(T1003)
데이터 커넥터 원본: Microsoft Entra ID Protection, 엔드포인트용 Microsoft Defender
설명: 이 유형의 Fusion 인시던트에서는 의심스러운 Microsoft Entra 로그인 후 알려진 자격 증명 도난 도구가 실행되었음을 나타냅니다. 이 증거는 경고 설명에 기록된 사용자 계정이 손상되었으며 Mimikatz 와 같은 도구를 사용하여 시스템에서 키, 일반 텍스트 암호 및/또는 암호 해시와 같은 자격 증명을 성공적으로 수집했을 수 있다는 확신을 가지고 있음을 시사합니다. 수집된 자격 증명을 사용하면 공격자가 중요한 데이터에 액세스하거나, 권한을 에스컬레이션하거나, 네트워크를 통해 횡적으로 이동할 수 있습니다. 악의적인 자격 증명 도난 도구 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
악의적인 자격 증명 도난 도구 실행으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트로 인해 악의적인 자격 증명 도난 도구 실행
감염된 디바이스의 로그인 이벤트로 악성 자격 증명 도난 도구 실행
악의적인 자격 증명 도난 도구 실행으로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 악의적인 자격 증명 도용 도구 실행
의심스러운 로그인 후 의심되는 자격 증명 도난 활동
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 암호 저장소의 자격 증명(T1555), OS 자격 증명 덤프(T1003)
데이터 커넥터 원본: Microsoft Entra ID Protection, 엔드포인트용 Microsoft Defender
설명: 이 유형의 Fusion 인시던트에서는 의심스러운 Microsoft Entra 로그인 후 자격 증명 도난 패턴과 관련된 활동이 발생했음을 나타냅니다. 이 증거는 경고 설명에 기록된 사용자 계정이 손상되어 키, 일반 텍스트 암호, 암호 해시 등과 같은 자격 증명을 도용하는 데 사용되었다는 확신을 가지고 있음을 시사합니다. 도난당한 자격 증명을 사용하면 공격자가 중요한 데이터에 액세스하거나 권한을 에스컬레이션하거나 네트워크를 통해 횡적으로 이동할 수 있습니다. 자격 증명 도난 활동 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 자격 증명 도난 활동으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트로 인해 의심스러운 자격 증명 도난 활동으로 이어질 수 있습니다.
감염된 디바이스의 로그인 이벤트로 인해 의심스러운 자격 증명 도난 활동이 발생합니다.
익명 IP 주소의 로그인 이벤트로 인해 의심스러운 자격 증명 도난 활동이 발생합니다.
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 자격 증명 도난이 의심됨
암호화 마이닝
(새 위협 분류)
의심스러운 로그인 후 암호화 마이닝 활동
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스
MITRE ATT&CK 기술: 유효한 계정(T1078), 리소스 하이재킹(T1496)
데이터 커넥터 원본: Microsoft Entra ID Protection, 클라우드용 Microsoft Defender
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 대한 의심스러운 로그인과 관련된 암호화 마이닝 활동을 나타냅니다. 이 증거는 경고 설명에 언급된 사용자 계정이 손상되었으며 암호화 통화를 채굴하기 위해 사용자 환경의 리소스를 하이재킹하는 데 사용되었다는 높은 확신을 가지고 있음을 시사합니다. 이렇게 하면 컴퓨팅 능력 및/또는 예상보다 훨씬 높은 클라우드 사용 요금이 발생할 수 있습니다. 암호화 마이닝 활동 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
암호화 마이닝 작업으로 이어지는 비정형 위치로 불가능한 이동
암호화 마이닝 활동으로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
감염된 디바이스의 로그인 이벤트로 암호화 마이닝 작업으로 이어집니다.
암호화 마이닝 작업으로 이어지는 익명 IP 주소에서 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 인해 암호화 마이닝 작업이 발생합니다.
데이터 폐기
의심스러운 Microsoft Entra 로그인 후 대량 파일 삭제
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 데이터 소멸(T1485)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 비정상적인 수의 고유 파일이 삭제되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되어 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다. 대량 파일 삭제 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 인해 대량 파일 삭제
익숙하지 않은 위치에서 로그인 이벤트로 대량 파일 삭제
감염된 디바이스의 로그인 이벤트로 대량 파일 삭제
대량 파일 삭제로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 인해 대량 파일 삭제가 발생합니다.
Cisco 방화벽 어플라이언스 의해 차단된 IP에서 성공적으로 Microsoft Entra 로그인한 후 대량 파일 삭제
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 데이터 소멸(T1485)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 유형의 Fusion 인시던트에서는 사용자의 IP 주소가 Cisco 방화벽 어플라이언스 의해 차단되었음에도 불구하고 성공적인 Microsoft Entra 로그인 후 비정상적인 수의 고유 파일이 삭제되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었으며 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다. IP가 방화벽에 의해 차단되었기 때문에 Microsoft Entra ID 데 성공한 동일한 IP 로그온이 잠재적으로 의심되며 사용자 계정에 대한 자격 증명 손상을 나타낼 수 있습니다.
여러 Microsoft Entra 로그인에 실패한 IP로 Palo Alto VPN에 성공적으로 로그인한 후 대량 파일 삭제
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 자격 증명 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 무차별 암호 대입(T1110), 데이터 소멸(T1485)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 유형의 Fusion 인시던트에서는 여러 개의 실패한 Microsoft Entra 로그인이 비슷한 시간 프레임에서 발생한 IP 주소에서 Palo Alto VPN을 통해 성공적으로 로그인한 사용자가 비정상적인 수의 고유 파일을 삭제했음을 나타냅니다. 이 증거는 Fusion 인시던트에 언급된 사용자 계정이 무차별 암호 대입 기술을 사용하여 손상되었을 수 있으며 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다.
의심스러운 Microsoft Entra 로그인 후 의심스러운 이메일 삭제 활동
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 데이터 소멸(T1485)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 전자 메일이 삭제되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 명시된 계정이 손상되었을 수 있으며 organization 손상시키거나 스팸 관련 전자 메일 활동을 숨기는 등의 악의적인 목적으로 데이터를 삭제하는 데 사용되었음을 시사합니다. 의심스러운 이메일 삭제 활동 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 이메일 삭제 활동으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트로 의심스러운 이메일 삭제 활동
감염된 디바이스의 로그인 이벤트로 의심스러운 이메일 삭제 활동
의심스러운 이메일 삭제 활동으로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 인해 의심스러운 이메일 삭제 작업이 발생합니다.
데이터 유출
새 관리자 계정 활동에 따른 메일 전달 활동이 최근에 표시되지 않음
이 시나리오는 이 목록의 두 가지 위협 분류인 데이터 반출 및 악의적인 관리 활동에 속합니다. 명확성을 위해 두 섹션 모두에 표시됩니다.
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 컬렉션, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), Email 컬렉션(T1114), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 유형의 Fusion 인시던트는 새 Exchange 관리자 계정이 생성되었거나 기존 Exchange 관리자 계정이 지난 2주 동안 처음으로 몇 가지 관리 작업을 수행했으며 해당 계정이 관리자 계정에 대해 비정상적인 일부 메일 전달 작업을 수행했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 기록된 사용자 계정이 손상되거나 조작되었으며 organization 네트워크에서 데이터를 유출하는 데 사용되었음을 시사합니다.
의심스러운 Microsoft Entra 로그인 후 대량 파일 다운로드
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 사용자가 비정상적인 수의 파일을 다운로드했음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 기록된 계정이 손상되었으며 organization 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 확신을 제공합니다. 대량 파일 다운로드 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 인해 대량 파일 다운로드가 발생합니다.
익숙하지 않은 위치에서 로그인 이벤트 발생 후 대량 파일 다운로드
감염된 디바이스의 로그인 이벤트로 대량 파일 다운로드
대량 파일 다운로드로 이어지는 익명 IP의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 대량 파일 다운로드
Cisco 방화벽 어플라이언스 의해 차단된 IP에서 성공적인 Microsoft Entra 로그인 후 대량 파일 다운로드
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 유형의 Fusion 인시던트에서는 사용자의 IP 주소가 Cisco 방화벽 어플라이언스 의해 차단되었음에도 불구하고 성공적인 Microsoft Entra 로그인 후 사용자가 비정상적인 수의 파일을 다운로드했음을 나타냅니다. 이는 공격자가 사용자 계정을 손상한 후 organization 네트워크에서 데이터를 유출하려는 시도일 수 있습니다. IP가 방화벽에 의해 차단되었기 때문에 Microsoft Entra ID 데 성공한 동일한 IP 로그온이 잠재적으로 의심되며 사용자 계정에 대한 자격 증명 손상을 나타낼 수 있습니다.
이전에 보이지 않는 IP에서 SharePoint 파일 작업과 일치하는 대량 파일 다운로드
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 반출
MITRE ATT&CK 기술: 웹 서비스를 통한 반출(T1567), 데이터 전송 크기 제한(T1030)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 형식의 Fusion 인시던트에서는 이전에 볼 수 없었던 IP 주소에서 연결된 사용자가 비정상적인 수의 파일을 다운로드했음을 나타냅니다. 다단계 공격의 증거는 아니지만, 이러한 두 낮은 충실도 경고의 상관 관계는 공격자가 손상된 사용자 계정에서 organization 네트워크에서 데이터를 반출하려는 시도를 암시하는 높은 충실도 인시던트를 초래합니다. 안정적인 환경에서는 특히 대규모 문서 반출과 관련될 수 있는 볼륨 급증과 관련된 경우 이전에 볼 수 없었던 IP에 의한 이러한 연결이 무단일 수 있습니다.
의심스러운 Microsoft Entra 로그인 후 대량 파일 공유
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 특정 임계값을 초과하는 여러 파일이 Microsoft Entra 계정에 의심스러운 로그인 후 다른 사용자에게 공유되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 기록된 계정이 손상되어 문서, 스프레드시트 등과 같은 파일을 악의적인 목적으로 권한이 없는 사용자와 공유하여 organization 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 확신을 제공합니다. 대량 파일 공유 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 인해 대량 파일 공유가 발생합니다.
익숙하지 않은 위치에서 로그인 이벤트로 대량 파일 공유
감염된 디바이스의 로그인 이벤트로 인해 대량 파일 공유가 발생합니다.
대량 파일 공유로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 인해 대량 파일 공유가 발생합니다.
의심스러운 Microsoft Entra 로그인 후 여러 Power BI 보고서 공유 활동
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 Power BI 보고서가 공유되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 기록된 계정이 손상되었으며 악의적인 목적으로 권한이 없는 사용자와 Power BI 보고서를 공유하여 organization 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 확신을 제공합니다. 여러 Power BI 보고서 공유 활동이 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
여러 Power BI 보고서 공유 활동으로 이어지는 비정형 위치로 불가능한 이동
익숙하지 않은 위치에서 여러 Power BI 보고서 공유 활동으로 이어지는 로그인 이벤트
감염된 디바이스의 로그인 이벤트로 여러 Power BI 보고서 공유 활동으로 이어집니다.
여러 Power BI 보고서 공유 활동으로 이어지는 익명 IP 주소의 로그인 이벤트
여러 Power BI 보고서 공유 활동으로 이어지는 유출된 자격 증명을 가진 사용자의 로그인 이벤트
의심스러운 Microsoft Entra 로그인 후 사서함 반출 Office 365
MITRE ATT&CK 전술: 초기 액세스, 반출, 컬렉션
MITRE ATT&CK 기술: 유효한 계정(T1078), 전자 메일 컬렉션(T1114), 자동 반출(T1020)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 사용자의 받은 편지함에 의심스러운 받은 편지함 전달 규칙이 설정되었음을 나타냅니다. 이 표시는 사용자의 계정(Fusion 인시던트 설명에 언급됨)이 손상되었으며 실제 사용자의 지식 없이 사서함 전달 규칙을 사용하도록 설정하여 organization 네트워크에서 데이터를 유출하는 데 사용되었다는 높은 확신을 제공합니다. Office 365 사서함 반출 경고와 함께 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
Office 365 사서함 반출로 이어지는 비정형 위치로 불가능한 이동
Office 365 사서함 반출로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
감염된 디바이스의 로그인 이벤트로 Office 365 사서함 반출
Office 365 사서함 반출로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 Office 365 사서함 반출
맬웨어 검색 후 이전에 보이지 않는 IP에서 SharePoint 파일 작업
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 반출, 방어 회피
MITRE ATT&CK 기술: 데이터 전송 크기 제한(T1030)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 유형의 Fusion 인시던트는 공격자가 맬웨어를 사용하여 SharePoint를 통해 다운로드하거나 공유하여 대량의 데이터를 유출하려고 했음을 나타냅니다. 안정적인 환경에서는 특히 대규모 문서 반출과 관련될 수 있는 볼륨 급증과 관련된 경우 이전에 볼 수 없었던 IP에 의한 이러한 연결이 무단일 수 있습니다.
의심스러운 Microsoft Entra 로그인 후 의심스러운 받은 편지함 조작 규칙 설정
이 시나리오는 이 목록의 두 가지 위협 분류인 데이터 반출 및 횡적 이동에 속합니다. 명확성을 위해 두 섹션 모두에 표시됩니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 횡적 이동, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 내부 스피어 피싱(T1534), 자동 반출(T1020)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 사용자의 받은 편지함에 비정상적인 받은 편지함 규칙이 설정되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 기록된 계정이 손상되었으며 악의적인 목적으로 사용자의 이메일 받은 편지함 규칙을 조작하는 데 사용되었다는 높은 신뢰도 표시를 제공하며, organization 네트워크에서 데이터를 반출할 수 있습니다. 또는 공격자가 추가 사용자 및/또는 권한 있는 계정에 대한 액세스를 확보하여 횡적으로 이동하기 위해 organization 내에서 피싱 이메일을 생성하려고 할 수 있습니다(외부 원본의 전자 메일을 대상으로 하는 피싱 검색 메커니즘 무시). 의심스러운 받은 편지함 조작 규칙 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 받은 편지함 조작 규칙으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생 시 의심스러운 받은 편지함 조작 규칙
감염된 디바이스의 로그인 이벤트로 의심스러운 받은 편지함 조작 규칙
의심스러운 받은 편지함 조작 규칙으로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 의심스러운 받은 편지함 조작 규칙
의심스러운 Microsoft Entra 로그인 후 의심스러운 Power BI 보고서 공유
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 의심스러운 Power BI 보고서 공유 활동이 발생했음을 나타냅니다. Power BI 보고서에 자연어 처리를 사용하여 식별된 중요한 정보가 포함되어 있고 외부 전자 메일 주소와 공유되거나, 웹에 게시되거나, 외부 구독 전자 메일 주소에 스냅샷 전달되었기 때문에 공유 활동이 의심스러운 것으로 확인되었습니다. 이 경고는 Fusion 인시던트 설명에 기록된 계정이 손상되었으며 악의적인 목적으로 권한이 없는 사용자와 Power BI 보고서를 공유하여 organization 중요한 데이터를 유출하는 데 사용되었다는 확신을 가지고 나타냅니다. 의심스러운 Power BI 보고서 공유를 사용하는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 Power BI 보고서 공유로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트로 인해 의심스러운 Power BI 보고서 공유가 발생합니다.
감염된 디바이스의 로그인 이벤트로 의심스러운 Power BI 보고서 공유
의심스러운 Power BI 보고서 공유로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 의심스러운 Power BI 보고서 공유
서비스 거부
의심스러운 Microsoft Entra 로그인 후 여러 VM 삭제 작업
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 엔드포인트 서비스 거부(T1499)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 단일 세션에서 비정상적인 수의 VM이 삭제되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 설명된 계정이 손상되었으며 organization 클라우드 환경을 중단하거나 파괴하는 데 사용되었다는 높은 확신을 제공합니다. 여러 VM 삭제 작업 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 인해 여러 VM 삭제 작업이 발생합니다.
익숙하지 않은 위치에서 여러 VM 삭제 작업으로 이어지는 로그인 이벤트
감염된 디바이스의 로그인 이벤트로 인해 여러 VM 삭제 작업이 발생합니다.
여러 VM 삭제 작업으로 이어지는 익명 IP 주소에서 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 인해 여러 VM 삭제 작업이 발생합니다.
측면 이동
의심스러운 Microsoft Entra 로그인 후 Office 365 가장
MITRE ATT&CK 전술: 초기 액세스, 횡적 이동
MITRE ATT&CK 기술: 유효한 계정(T1078), 내부 스피어 피싱(T1534)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에서 의심스러운 로그인 후 비정상적인 수의 가장 작업이 발생했음을 나타냅니다. 일부 소프트웨어에는 사용자가 다른 사용자를 가장할 수 있는 옵션이 있습니다. 예를 들어 전자 메일 서비스를 사용하면 사용자가 다른 사용자가 대신 전자 메일을 보낼 수 있도록 권한을 부여할 수 있습니다. 이 경고는 Fusion 인시던트 설명에 기록된 계정이 손상되었으며 맬웨어 배포 또는 횡적 이동을 위해 피싱 이메일을 보내는 등 악의적인 목적으로 가장 활동을 수행하는 데 사용되었다는 확신을 가지고 있음을 나타냅니다. Office 365 가장 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
비정형 위치로 불가능한 이동으로 인해 Office 365 가장
알 수 없는 위치에서 로그인 이벤트로 Office 365 가장
감염된 디바이스의 로그인 이벤트로 Office 365 가장
익명 IP 주소에서 로그인 이벤트로 Office 365 가장
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 Office 365 가장
의심스러운 Microsoft Entra 로그인 후 의심스러운 받은 편지함 조작 규칙 설정
이 시나리오는 이 목록의 두 가지 위협 분류인 횡적 이동 및 데이터 반출에 속합니다. 명확성을 위해 두 섹션 모두에 표시됩니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 횡적 이동, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), 내부 스피어 피싱(T1534), 자동 반출(T1020)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 사용자의 받은 편지함에 비정상적인 받은 편지함 규칙이 설정되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 기록된 계정이 손상되었으며 악의적인 목적으로 사용자의 이메일 받은 편지함 규칙을 조작하는 데 사용되었다는 높은 신뢰도 표시를 제공하며, organization 네트워크에서 데이터를 반출할 수 있습니다. 또는 공격자가 추가 사용자 및/또는 권한 있는 계정에 대한 액세스를 확보하여 횡적으로 이동하기 위해 organization 내에서 피싱 이메일을 생성하려고 할 수 있습니다(외부 원본의 전자 메일을 대상으로 하는 피싱 검색 메커니즘 무시). 의심스러운 받은 편지함 조작 규칙 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 받은 편지함 조작 규칙으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생 시 의심스러운 받은 편지함 조작 규칙
감염된 디바이스의 로그인 이벤트로 의심스러운 받은 편지함 조작 규칙
의심스러운 받은 편지함 조작 규칙으로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 의심스러운 받은 편지함 조작 규칙
악의적인 관리 활동
의심스러운 Microsoft Entra 로그인 후 의심스러운 클라우드 앱 관리 활동
MITRE ATT&CK 전술: 초기 액세스, 지속성, 방어 회피, 횡적 이동, 수집, 반출 및 영향
MITRE ATT&CK 기술: 해당(N/A)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 동일한 계정에서 의심스러운 Microsoft Entra 로그인한 후 단일 세션에서 비정상적인 수의 관리 활동이 수행되었음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 언급된 계정이 손상되었을 수 있으며 악의적인 의도로 무단 관리 작업을 하는 데 사용되었음을 시사합니다. 이는 관리 권한이 있는 계정이 손상되었을 수도 있음을 나타냅니다. 의심스러운 클라우드 앱 관리 활동 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 클라우드 앱 관리 활동으로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생으로 의심스러운 클라우드 앱 관리 활동
감염된 디바이스의 로그인 이벤트로 의심스러운 클라우드 앱 관리 활동
의심스러운 클라우드 앱 관리 활동으로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 의심스러운 클라우드 앱 관리 활동
새 관리자 계정 활동에 따른 메일 전달 활동이 최근에 표시되지 않음
이 시나리오는 이 목록의 두 가지 위협 분류인 악의적인 관리 활동 및 데이터 반출에 속합니다. 명확성을 위해 두 섹션 모두에 표시됩니다.
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 컬렉션, 반출
MITRE ATT&CK 기술: 유효한 계정(T1078), Email 컬렉션(T1114), 웹 서비스를 통한 반출(T1567)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 유형의 Fusion 인시던트는 새 Exchange 관리자 계정이 생성되었거나 기존 Exchange 관리자 계정이 지난 2주 동안 처음으로 몇 가지 관리 작업을 수행했으며 해당 계정이 관리자 계정에 대해 비정상적인 일부 메일 전달 작업을 수행했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 기록된 사용자 계정이 손상되거나 조작되었으며 organization 네트워크에서 데이터를 유출하는 데 사용되었음을 시사합니다.
합법적인 프로세스를 사용하여 악의적인 실행
PowerShell은 의심스러운 네트워크 연결을 만든 다음 Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽을 수행했습니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 실행
MITRE ATT&CK 기술: 명령 및 스크립팅 인터프리터(T1059)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 Microsoft Defender Advanced Threat Protection 또는 MDATP), Microsoft Sentinel(예약된 분석 규칙)
설명: 이 유형의 Fusion 인시던트가 PowerShell 명령을 통해 아웃바운드 연결 요청이 수행되었음을 나타내며, 그 후 Palo Alto Networks 방화벽에서 비정상적인 인바운드 활동이 감지되었습니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었으며 악의적인 작업을 수행하려고 시도했음을 시사합니다. 이 패턴을 따르는 PowerShell의 연결 시도는 맬웨어 명령 및 제어 활동, 추가 맬웨어 다운로드 요청 또는 원격 대화형 액세스를 설정하는 공격자의 표시일 수 있습니다. 모든 "땅에서 생활"공격과 마찬가지로,이 활동은 PowerShell의 합법적 인 사용이 될 수 있습니다. 그러나 의심스러운 인바운드 방화벽 활동이 뒤따르는 PowerShell 명령 실행은 PowerShell이 악의적인 방식으로 사용되고 있다는 확신을 높이고 더 자세히 조사해야 합니다. Palo Alto 로그에서 Microsoft Sentinel 위협 로그에 중점을 두고 있으며, 위협이 허용되는 경우 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, 산불 바이러스, 산불). 또한 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식 에 해당하는 Palo Alto 위협 로그를 참조하세요.
의심스러운 원격 WMI 실행 후 Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 실행, 검색
MITRE ATT&CK 기술: Windows Management Instrumentation(T1047)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약된 분석 규칙)
설명: 이 유형의 Fusion 인시던트에 따르면 WMI(Windows Management Interface) 명령이 시스템에서 원격으로 실행되었으며, 그 후 Palo Alto Networks 방화벽에서 의심스러운 인바운드 활동이 검색되었습니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었을 수 있으며, 횡적으로 이동하고, 권한을 에스컬레이션하고, 악의적인 페이로드를 실행하려고 시도했음을 시사합니다. 모든 "땅에서 생활"공격과 마찬가지로,이 활동은 WMI의 합법적 인 사용이 될 수 있습니다. 그러나 의심스러운 인바운드 방화벽 활동이 뒤따르는 원격 WMI 명령 실행은 WMI가 악의적인 방식으로 사용되고 있다는 확신을 높이고 더 자세히 조사해야 합니다. Palo Alto 로그에서 Microsoft Sentinel 위협 로그에 중점을 두고 있으며, 위협이 허용되는 경우 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, 산불 바이러스, 산불). 또한 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식 에 해당하는 Palo Alto 위협 로그를 참조하세요.
의심스러운 로그인 후 의심스러운 PowerShell 명령줄
MITRE ATT&CK 전술: 초기 액세스, 실행
MITRE ATT&CK 기술: 유효한 계정(T1078), 명령 및 스크립팅 인터프리터(T1059)
데이터 커넥터 원본: Microsoft Entra ID Protection, 엔드포인트용 Microsoft Defender(이전의 MDATP)
설명: 이 유형의 Fusion 인시던트에서는 사용자가 Microsoft Entra 계정에 의심스러운 로그인 후 잠재적으로 악의적인 PowerShell 명령을 실행했음을 나타냅니다. 이 증거는 경고 설명에 기록된 계정이 손상되었으며 추가 악의적인 작업이 수행되었다는 확신을 가지고 있음을 시사합니다. 공격자는 종종 PowerShell을 사용하여 바이러스 스캐너와 같은 디스크 기반 보안 메커니즘에 의한 검색을 방지하기 위해 디스크에 아티팩트가 남지 않고 메모리에서 악성 페이로드를 실행합니다. 의심스러운 PowerShell 명령 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
의심스러운 PowerShell 명령줄로 이어지는 비정형 위치로 불가능한 이동
알 수 없는 위치에서 로그인 이벤트 발생으로 의심스러운 PowerShell 명령줄
감염된 디바이스의 로그인 이벤트로 의심스러운 PowerShell 명령줄
의심스러운 PowerShell 명령줄로 이어지는 익명 IP 주소에서 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 의심스러운 PowerShell 명령줄
맬웨어 C2 또는 다운로드
서비스에 대한 여러 실패한 사용자 로그인 후 Fortinet에서 감지한 비콘 패턴
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 명령 및 제어
MITRE ATT&CK 기술: 유효한 계정(T1078), 비 Standard 포트(T1571), T1065(사용 중지됨)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Defender for Cloud Apps
설명: 이 유형의 Fusion 인시던트에는 내부 IP 주소에서 외부 IP 주소로의 통신 패턴이 비콘과 일치하며, 관련 내부 엔터티의 서비스에 대한 여러 실패한 사용자 로그인에 따른 통신 패턴을 나타냅니다. 이러한 두 이벤트의 조합은 맬웨어 감염 또는 데이터 반출을 수행하는 손상된 호스트의 표시일 수 있습니다.
의심스러운 Microsoft Entra 로그인 후 Fortinet에서 감지한 비콘 패턴
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 명령 및 제어
MITRE ATT&CK 기술: 유효한 계정(T1078), 비 Standard 포트(T1571), T1065(사용 중지됨)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에는 내부 IP 주소에서 외부 IP 주소까지 의심스러운 특성의 사용자 로그인에 따라 비콘과 일치하는 통신 패턴이 Microsoft Entra ID. 이러한 두 이벤트의 조합은 맬웨어 감염 또는 데이터 반출을 수행하는 손상된 호스트의 표시일 수 있습니다. 의심스러운 Microsoft Entra 로그인 경고가 있는 Fortinet 경고에 의해 검색된 비콘 패턴의 순열은 다음과 같습니다.
Fortinet에서 감지한 비콘 패턴으로 이어지는 비정형 위치로 불가능한 이동
Fortinet에서 감지된 비콘 패턴으로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
감염된 디바이스에서 로그인 이벤트 발생 후 Fortinet에서 탐지된 비콘 패턴
Fortinet에서 검색된 비콘 패턴으로 이어지는 익명 IP 주소의 로그인 이벤트
유출된 자격 증명을 가진 사용자의 로그인 이벤트로 인해 Fortinet에서 탐지된 비콘 패턴
TOR 익명화 서비스에 대한 네트워크 요청 다음에 Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽이 발생합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 명령 및 제어
MITRE ATT&CK 기술: 암호화된 채널(T1573), 프록시(T1090)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약된 분석 규칙)
설명: 이 유형의 Fusion 인시던트가 TOR 익명화 서비스에 대한 아웃바운드 연결 요청이 수행되었음을 나타내며, 그 후 Palo Alto Networks 방화벽에서 비정상적인 인바운드 활동이 감지되었습니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었을 가능성이 높으며 자신의 행동과 의도를 은폐하려고 시도하고 있음을 시사합니다. 이 패턴을 따르는 TOR 네트워크에 대한 연결은 맬웨어 명령 및 제어 활동, 추가 맬웨어 다운로드 요청 또는 원격 대화형 액세스를 설정하는 공격자의 표시일 수 있습니다. Palo Alto 로그에서 Microsoft Sentinel 위협 로그에 중점을 두고 있으며, 위협이 허용되는 경우 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, 산불 바이러스, 산불). 또한 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식 에 해당하는 Palo Alto 위협 로그를 참조하세요.
무단 액세스 시도 기록과 Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽이 있는 IP에 대한 아웃바운드 연결
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 명령 및 제어
MITRE ATT&CK 기술: 해당 없음
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약된 분석 규칙)
설명: 이 유형의 Fusion 인시던트에는 무단 액세스 시도 기록이 있는 IP 주소에 대한 아웃바운드 연결이 설정되었으며, 그 후 Palo Alto Networks 방화벽에서 비정상적인 활동이 감지되었음을 나타냅니다. 이 증거는 공격자가 네트워크에 대한 액세스 권한을 얻었을 가능성이 있음을 시사합니다. 이 패턴을 따르는 연결 시도는 맬웨어 명령 및 제어 활동, 추가 맬웨어 다운로드 요청 또는 원격 대화형 액세스를 설정하는 공격자의 표시일 수 있습니다. Palo Alto 로그에서 Microsoft Sentinel 위협 로그에 중점을 두고 있으며, 위협이 허용되는 경우 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, 산불 바이러스, 산불). 또한 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식 에 해당하는 Palo Alto 위협 로그를 참조하세요.
지속성
(새 위협 분류)
의심스러운 로그인 후 드문 애플리케이션 동의
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 지속성, 초기 액세스
MITRE ATT&CK 기술: 계정 만들기(T1136), 유효한 계정(T1078)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트는 Microsoft Entra 계정에 대한 관련 의심스러운 로그인에 따라 애플리케이션에 동의한 적이 없거나 거의 수행되지 않은 사용자가 동의했음을 나타냅니다. 이 증거는 Fusion 인시던트 설명에 명시된 계정이 손상되어 악의적인 목적으로 애플리케이션에 액세스하거나 조작하는 데 사용되었을 수 있음을 시사합니다. 애플리케이션에 대한 동의, 서비스 주체 추가 및 OAuth2PermissionGrant 추가는 일반적으로 드문 이벤트여야 합니다. 공격자는 이러한 유형의 구성 변경을 사용하여 시스템에서 발판을 설정하거나 유지 관리할 수 있습니다. 드문 애플리케이션 동의 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
드문 애플리케이션 동의로 이어지는 비정형 위치로 불가능한 이동
익숙하지 않은 위치에서 로그인 이벤트로 인해 드문 애플리케이션 동의가 발생합니다.
감염된 디바이스의 로그인 이벤트로 인해 드문 애플리케이션 동의가 발생합니다.
드문 애플리케이션 동의로 이어지는 익명 IP의 로그인 이벤트
자격 증명이 유출된 사용자의 로그인 이벤트로 인해 드문 애플리케이션 동의가 발생합니다.
랜섬웨어
의심스러운 Microsoft Entra 로그인 후 랜섬웨어 실행
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 영향을 위해 암호화된 데이터(T1486)
데이터 커넥터 원본: Microsoft Defender for Cloud Apps, Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트에서는 Microsoft Entra 계정에 의심스러운 로그인 후 랜섬웨어 공격을 나타내는 비정상적인 사용자 동작이 검색되었음을 나타냅니다. 이 표시는 Fusion 인시던트 설명에 기록된 계정이 손상되었으며 데이터 소유자를 강탈하거나 데이터 소유자의 데이터 액세스를 거부하기 위해 데이터를 암호화하는 데 사용되었다는 높은 확신을 제공합니다. 랜섬웨어 실행 경고가 있는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
클라우드 앱에서 랜섬웨어로 이어지는 비정형 위치로 불가능한 이동
클라우드 앱에서 랜섬웨어로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
클라우드 앱에서 랜섬웨어로 이어지는 감염된 디바이스의 로그인 이벤트
클라우드 앱에서 랜섬웨어로 이어지는 익명 IP 주소에서 로그인 이벤트
유출된 자격 증명이 있는 사용자의 로그인 이벤트로 인해 클라우드 앱에서 랜섬웨어가 발생합니다.
원격 악용
Palo Alto Networks 방화벽에 의해 플래그가 지정된 비정상적인 트래픽이 공격 프레임워크를 사용한 것으로 의심됨
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 실행, 횡적 이동, 권한 에스컬레이션
MITRE ATT&CK 기술: Exploit Public-Facing 애플리케이션(T1190), 클라이언트 실행 악용(T1203), 원격 서비스 악용(T1210), 권한 상승 악용(T1068)
데이터 커넥터 원본: 엔드포인트용 Microsoft Defender(이전의 MDATP), Microsoft Sentinel(예약된 분석 규칙)
설명: 이 유형의 Fusion 인시던트는 메타스플로이트와 같은 공격 프레임워크의 사용과 유사한 프로토콜의 비표준 사용이 감지되었음을 나타내며, 그 후 Palo Alto Networks 방화벽에서 의심스러운 인바운드 활동이 감지되었습니다. 이는 공격자가 네트워크 리소스에 액세스하기 위해 서비스를 악용했거나 공격자가 이미 액세스 권한을 얻었으며 사용 가능한 시스템/서비스를 추가로 악용하여 횡적 이동 및/또는 권한을 확대하려고 했다는 초기 표시일 수 있습니다. Palo Alto 로그에서 Microsoft Sentinel 위협 로그에 중점을 두고 있으며, 위협이 허용되는 경우 트래픽이 의심스러운 것으로 간주됩니다(의심스러운 데이터, 파일, 홍수, 패킷, 검사, 스파이웨어, URL, 바이러스, 취약성, 산불 바이러스, 산불). 또한 추가 경고 세부 정보는 Fusion 인시던트 설명에 나열된 위협/콘텐츠 형식 에 해당하는 Palo Alto 위협 로그를 참조하세요.
리소스 하이재킹
(새 위협 분류)
의심스러운 Microsoft Entra 로그인 후 이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포
이 시나리오에서는 예약된 분석 규칙에 의해 생성된 경고를 사용합니다.
이 시나리오는 현재 미리 보기로 제공됩니다.
MITRE ATT&CK 전술: 초기 액세스, 영향
MITRE ATT&CK 기술: 유효한 계정(T1078), 리소스 하이재킹(T1496)
데이터 커넥터 원본: Microsoft Sentinel(예약된 분석 규칙), Microsoft Entra ID 보호
설명: 이 유형의 Fusion 인시던트는 사용자가 Azure 리소스 또는 리소스 그룹(드문 활동)을 최근 볼 수 없는 의심스러운 로그인 후 Microsoft Entra 계정에 배포했음을 나타냅니다. 이는 공격자가 Fusion 인시던트 설명에 명시된 사용자 계정을 손상한 후 악의적인 목적으로 리소스 또는 리소스 그룹을 배포하려는 시도일 수 있습니다.
이전에 보이지 않는 호출자 경고에 의한 의심스러운 리소스/리소스 그룹 배포를 사용하는 의심스러운 Microsoft Entra 로그인 경고의 순열은 다음과 같습니다.
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 비정형 위치로 불가능한 이동
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 익숙하지 않은 위치에서 로그인 이벤트
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 감염된 디바이스에서 로그인 이벤트
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 익명 IP의 로그인 이벤트
이전에 보이지 않는 호출자가 의심스러운 리소스/리소스 그룹 배포로 이어지는 유출된 자격 증명을 가진 사용자의 로그인 이벤트
다음 단계
이제 고급 다단계 공격 탐지에 대해 자세히 알아보았습니다. 데이터 및 잠재적 위협에 대한 가시성을 얻는 방법을 알아보려면 다음 빠른 시작에 관심이 있을 수 있습니다. Microsoft Sentinel 시작합니다.
생성된 인시던트에 대해 조사할 준비가 되었으면 다음 자습서인 Microsoft Sentinel 사용하여 인시던트 조사를 참조하세요.