Vectra: las 10 amenazas más comunes para clientes de Azure AD, Office 365

Mejore la tecnología y la estrategia de datos de su empresa en Transformar 2021.


Investigación sobre el comportamiento malicioso más frecuente en Azure Active Directory y Oficina 365 descubrió que la actividad maliciosa a menudo se parece mucho a la actividad del usuario legítimo, dijo Vectra AI, una empresa de detección y respuesta a amenazas. Independientemente del tamaño de la empresa, O365 Risky Exchange Operation, o los intentos de manipular Exchange fue el comportamiento más frecuente, dijo Vectra en el Informe destacado del segundo trimestre de 2021, visión y visibilidad: las 10 principales detecciones de amenazas para Microsoft Azure AD y Office 365.

Las 10 detecciones de amenazas más comunes en las grandes empresas

Arriba: Vectra.ai identificó las 10 actividades más comunes que sugieren amenazas a la seguridad en las grandes empresas.

Crédito de la imagen: Vectra.ai

La investigación centrada en las 10 principales detecciones de amenazas en los entornos de Azure AD y Office 365 identificó las actividades más comunes que pueden indicar un trato de Seguridad:

  1. Operación de intercambio de riesgo de O365: Intenta manipular Exchange para obtener acceso a los datos.
  2. Operación sospechosa de Azure AD: Operaciones que indican que los atacantes están aumentando los privilegios y realizando tareas que requieren acceso de administrador después de las adquisiciones regulares de cuentas.
  3. Actividad de descarga sospechosa de O365: La cuenta está descargando una cantidad inusual de objetos, lo que sugiere que un atacante está usando SharePoint o OneDrive para exfiltrar datos.
  4. Actividad de uso compartido sospechoso de O365: La cuenta comparte archivos y carpetas en un volumen más alto de lo habitual, lo que sugiere que un atacante está usando SharePoint para exfiltrar datos o mantener el acceso a la red.
  5. Creación de acceso redundante de Azure AD: Se están asignando privilegios administrativos a otras entidades, lo que sugiere que los atacantes están estableciendo múltiples métodos para mantener el acceso.
  6. Acceso a equipos externos de O365: Una cuenta externa agregada a un equipo en O365, lo que sugiere que un atacante ha agregado otra cuenta que controlan.
  7. O365 Suspicious Power Automatice la creación de flujo: Flujos de trabajo automatizados creados con Microsoft Power Automate, lo que sugiere que el atacante está estableciendo persistencia en el entorno.
  8. Reenvío de correo sospechoso de O365: Correo reenviado a otra cuenta, lo que sugiere que los atacantes están recopilando o filtrando datos sin necesidad de mantener la persistencia.
  9. Búsqueda inusual de eDiscovery de O365: Usuario que crea o actualiza una búsqueda de exhibición de documentos electrónicos, lo que sugiere que un atacante está realizando un reconocimiento para saber qué más es accesible en el entorno.
  10. Operación sospechosa de SharePoint en O365: Operaciones administrativas de SharePoint que sugieren acciones maliciosas.

Vectra calculó la frecuencia relativa de detecciones de amenazas que se activaron en su plataforma durante un período de tres meses en función del tamaño del cliente (pequeño, mediano y grande). Las empresas más grandes desencadenaron menos detecciones en comparación con las empresas más pequeñas, lo que puede deberse a que las empresas más grandes los usuarios y administradores realizan la actividad de Office 365 y Azure AD de manera más consistente en comparación con organizaciones más pequeñas.

Top 10 de detección de amenazas para pequeñas y medianas empresas

Arriba: las pequeñas y medianas empresas tenían listas similares de las 10 principales actividades potencialmente maliciosas.

Crédito de la imagen: Vectra.ai

Las empresas medianas y pequeñas tienen las mismas 10 detecciones de amenazas principales y difieren ligeramente del desglose de los tipos de detección que se encuentran en las grandes empresas. Por ejemplo, Office 365 DLL Hijacking, Office 365 Unusual Scripting Engine y Office 365 Suspicious eDiscovery Exfil estaban entre los 10 primeros para las grandes empresas, pero no entre los 10 primeros para las empresas medianas y pequeñas. Las empresas medianas y pequeñas incluyen Office 365 Operación sospechosa de SharePoint, Office 365 Búsqueda sospechosa de eDiscovery y Operación sospechosa de Azure AD en

Con 250 millones de usuarios activos, Office 365 tiene un gran objetivo en la espalda, ya que los ciberdelincuentes dedican tiempo y recursos a la creación de ataques dirigidos a la gran base de usuarios de las plataformas. Los adversarios descubren cada vez más que las acciones abiertamente maliciosas son innecesarias cuando los servicios existentes y el acceso utilizado en toda una organización pueden simplemente ser cooptados, mal utilizados y abusados.

En una reciente Encuesta Vectra de 1.000 profesionales de la seguridad, el 71% dijo haber sufrido un promedio de 7 adquisiciones de cuentas de usuarios autorizados durante los últimos 12 meses.

Leer el completo Informe destacado del segundo trimestre de 2021, visión y visibilidad: las 10 principales detecciones de amenazas para Microsoft Azure AD y Office 365.

VentureBeat

La misión de VentureBeat es ser una plaza urbana digital para que los responsables de la toma de decisiones técnicas obtengan conocimientos sobre tecnología transformadora y realicen transacciones. Nuestro sitio ofrece información esencial sobre tecnologías y estrategias de datos para guiarlo a medida que dirige sus organizaciones. Te invitamos a convertirte en miembro de nuestra comunidad, para acceder a:
  • información actualizada sobre los temas de su interés
  • nuestros boletines
  • contenido exclusivo de líderes de opinión y acceso con descuento a nuestros preciados eventos, como Transformar 2021: Aprende más
  • funciones de red y más
Hágase miembro

Source: VentureBeat by feedproxy.google.com.

*The article has been translated based on the content of VentureBeat by feedproxy.google.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!