إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يكتشف Microsoft Sentinel الحالات الشاذة من خلال تحليل سلوك المستخدمين في بيئة على مدى فترة زمنية وإنشاء أساس للنشاط المشروع. بمجرد إنشاء خط الأساس، يعتبر أي نشاط خارج المعلمات العادية أمراً غير مألوفاً وبالتالي مريباً.
يستخدم Microsoft Sentinel نموذجين لإنشاء خطوط أساسية واكتشاف الحالات الشاذة.
تسرد هذه المقالة الحالات الشاذة التي يكتشفها Microsoft Sentinel باستخدام نماذج التعلم الآلي المختلفة.
في جدول الحالات الشاذة :
-
rulenameيشير العمود إلى القاعدة Sentinel المستخدمة لتحديد كل حالة شاذة. -
scoreيحتوي العمود على قيمة رقمية بين 0 و1، والتي تحدد درجة الانحراف عن السلوك المتوقع. تشير الدرجات الأعلى إلى انحراف أكبر عن الخط الأساسي ومن المرجح أن تكون حالات شاذة حقيقية. قد تظل الدرجات الأقل شاذة، ولكنها أقل احتمالا أن تكون كبيرة أو قابلة للتنفيذ.
Note
تم إيقاف عمليات الكشف عن الحالات الشاذة هذه اعتبارا من 26 مارس 2024، بسبب انخفاض جودة النتائج:
- حالة غير مألوفة في سلامة مجال Palo Alto
- عمليات تسجيل الدخول لعدة مناطق في يوم واحد عبر Palo Alto GlobalProtect
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
الحالات الشاذة في UEBA
يكتشف Sentinel UEBA الحالات غير المألوفة بناءً على خطوط الأساس الديناميكية التي تم إنشاؤها لكل كيان عبر مدخلات البيانات المختلفة. يتم تعيين السلوك الأساسي لكل كيان وفقاً لأنشطته التاريخية، وأنشطة أقرانه، وأنشطة المؤسسة ككل. يمكن تشغيل الحالات غير المألوفة من خلال ارتباط السمات المختلفة مثل نوع الإجراء، والموقع الجغرافي، والجهاز، والمورد، ومزود خدمة الإنترنت، والمزيد.
يجب تمكين الكشف عن UEBA والشذوذ في مساحة عمل Sentinel للكشف عن حالات UEBA الشاذة.
يكتشف UEBA الحالات الشاذة استنادا إلى قواعد الشذوذ هذه:
- إزالة الوصول إلى حساب UEBA الشاذ
- إنشاء حساب UEBA الشاذ
- حذف حساب UEBA الشاذ
- معالجة حساب UEBA الشاذ
- نشاط UEBA الشاذ في سجلات تدقيق GCP (معاينة)
- نشاط UEBA الشاذ في Okta_CL (معاينة)
- مصادقة UEBA الشاذة (معاينة)
- تنفيذ التعليمات البرمجية الشاذة في UEBA
- تدمير البيانات الشاذة في UEBA
- تعديل الآلية الدفاعية الشاذة في UEBA
- فشل تسجيل الدخول غير المألوف في UEBA
- تسجيل الدخول غير المألوف ل UEBA في AwsCloudTrail (معاينة)
- فشل المصادقة متعددة العوامل الشاذة في UEBA في Okta_CL (معاينة)
- إعادة تعيين كلمة المرور الشاذة في UEBA
- منح امتياز UEBA الشاذ
- تسجيل الدخول الشاذ في UEBA
يستخدم Sentinel بيانات ثرية من جدول تحليلات السلوك لتحديد الحالات الشاذة في UEBA مع درجة ثقة خاصة بالمستأجر والمصدر.
إزالة الوصول إلى حساب UEBA الشاذ
وصف: قد يقطع المهاجم توفر موارد النظام والشبكة عن طريق حظر الوصول إلى الحسابات التي يستخدمها المستخدمون الشرعيون. قد يقوم المهاجم بحذف حساب أو قفله أو معالجته (على سبيل المثال، عن طريق تغيير بيانات اعتماده) لإزالة الوصول إليه.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | Impact |
| تقنيات MITRE ATT CK: | T1531 - إزالة الوصول إلى الحساب |
| Activity: | Microsoft.Authorization/roleAssignments/delete تسجيل الخروج |
العودة إلى قائمة | الرجوع إلى الأعلى
إنشاء حساب UEBA الشاذ
وصف: يمكن للخصوم إنشاء حساب للحفاظ على الوصول إلى الأنظمة المستهدفة. مع وجود مستوى وصول كافٍ، يمكن استخدام إنشاء مثل هذه الحسابات لإنشاء وصول ثانوي معتمد دون الحاجة إلى توزيع أدوات وصول عن بُعد دائمة على النظام.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | Persistence |
| تقنيات MITRE ATT CK: | T1136 - إنشاء حساب |
| تقنيات MITRE ATT CK الفرعية: | حساب السحابة |
| Activity: | الدليل الأساسي/إدارة المستخدم/إضافة مستخدم |
العودة إلى قائمة | الرجوع إلى الأعلى
حذف حساب UEBA الشاذ
وصف: قد يقطع الخصوم توفر موارد النظام والشبكة عن طريق منع الوصول إلى الحسابات التي يستخدمها المستخدمون الشرعيون. قد يتم حذف الحسابات أو قفلها أو التلاعب بها (على سبيل المثال: تغيير معلومات تسجيل الدخول) لإزالة الوصول إلى الحسابات.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | Impact |
| تقنيات MITRE ATT CK: | T1531 - إزالة الوصول إلى الحساب |
| Activity: | الدليل الأساسي/إدارة المستخدم/حذف المستخدم الدليل الأساسي/الجهاز/حذف المستخدم الدليل الأساسي/إدارة المستخدم/حذف المستخدم |
العودة إلى قائمة | الرجوع إلى الأعلى
معالجة حساب UEBA الشاذ
وصف: قد يتلاعب الخصوم بالحسابات للحفاظ على الوصول إلى الأنظمة المستهدفة. تتضمن هذه الإجراءات إضافة حسابات جديدة إلى المجموعات ذات الامتيازات العالية. على سبيل المثال، أضاف Dragonfly 2.0 حسابات تم إنشاؤها حديثاً إلى مجموعة المسؤولين للحفاظ على وصول مرتفع. يقوم الاستعلام أدناه بإنشاء مخرجات لجميع مستخدمي Blast Radius الذين يقومون بتنفيذ "تحديث المستخدم" (تغيير الاسم) لدور ذي امتياز، أو أولئك الذين قاموا بتغيير المستخدمين لأول مرة.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | Persistence |
| تقنيات MITRE ATT CK: | T1098 - التلاعب بالحساب |
| Activity: | الدليل الأساسي/إدارة المستخدم/تحديث المستخدم |
العودة إلى قائمة | الرجوع إلى الأعلى
نشاط UEBA الشاذ في سجلات تدقيق GCP (معاينة)
وصف: فشل محاولات الوصول إلى موارد Google Cloud Platform (GCP) استنادا إلى الإدخالات المتعلقة ب IAM في سجلات تدقيق GCP. قد تعكس حالات الفشل هذه الأذونات التي تم تكوينها بشكل خاطئ أو محاولات الوصول إلى الخدمات غير المصرح بها أو سلوكيات المهاجم في المرحلة المبكرة مثل فحص الامتيازات أو الاستمرار من خلال حسابات الخدمة.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تدقيق GCP |
| تكتيكات MITRE ATT CK: | اكتشاف |
| تقنيات MITRE ATT CK: | T1087 – اكتشاف الحساب، T1069 – اكتشاف مجموعات الأذونات |
| Activity: | iam.googleapis.com |
العودة إلى قائمة | الرجوع إلى الأعلى
نشاط UEBA الشاذ في Okta_CL (معاينة)
وصف: نشاط المصادقة غير المتوقع أو تغييرات التكوين المتعلقة بالأمان في Okta، بما في ذلك التعديلات على قواعد تسجيل الدخول أو فرض المصادقة متعددة العوامل (MFA) أو الامتيازات الإدارية. قد يشير هذا النشاط إلى محاولات لتغيير عناصر التحكم في أمان الهوية أو الحفاظ على الوصول من خلال التغييرات المتميزة.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات Okta Cloud |
| تكتيكات MITRE ATT CK: | الثبات، تصعيد الامتياز |
| تقنيات MITRE ATT CK: | T1098 - معالجة الحساب، T1556 - تعديل عملية المصادقة |
| Activity: | 'user.session.impersonation.grant' 'user.session.impersonation.بدء' 'user.session.start' "app.oauth2.admin.consent.grant_success" "app.oauth2.authorize.code_success" 'device.desktop_mfa.recovery_pin.generate' "user.authentication.auth_via_mfa" "user.mfa.attempt_bypass" 'user.mfa.factor.deactivate' "user.mfa.factor.reset_all" 'user.mfa.factor.suspend' "user.mfa.okta_verify" |
العودة إلى قائمة | الرجوع إلى الأعلى
مصادقة UEBA الشاذة (معاينة)
وصف: نشاط مصادقة غير عادي عبر إشارات من Microsoft Defender لنقطة النهاية ومعرف Microsoft Entra، بما في ذلك تسجيلات دخول الجهاز وتسجيلات الدخول إلى الهوية المدارة والمصادقات الأساسية للخدمة من Microsoft Entra ID. قد تشير هذه الحالات الشاذة إلى إساءة استخدام بيانات الاعتماد أو إساءة استخدام الهوية غير البشرية أو محاولات الحركة الجانبية خارج أنماط الوصول النموذجية.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | Microsoft Defender لنقطة النهاية، معرف Microsoft Entra |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
| Activity: |
العودة إلى قائمة | الرجوع إلى الأعلى
تنفيذ التعليمات البرمجية الشاذة في UEBA
وصف: قد يسيء الخصوم استخدام مترجمي الأوامر والبرامج النصية لتنفيذ الأوامر أو البرامج النصية أو الثنائيات. توفر هذه الواجهات واللغات طرقاً للتفاعل مع أنظمة الكمبيوتر وهي سمة مشتركة عبر العديد من الأنظمة الأساسية المختلفة.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | Execution |
| تقنيات MITRE ATT CK: | T1059 - مترجم الأوامر والبرمجة |
| تقنيات MITRE ATT CK الفرعية: | PowerShell |
| Activity: | Microsoft.Compute/virtualMachines/runCommand/action |
العودة إلى قائمة | الرجوع إلى الأعلى
تدمير البيانات الشاذة في UEBA
وصف: قد يدمر الخصوم البيانات والملفات على أنظمة محددة أو بأعداد كبيرة على الشبكة لمقاطعة التوفر للأنظمة والخدمات وموارد الشبكة. من المحتمل أن يؤدي تدمير البيانات إلى جعل البيانات المخزنة غير قابلة للاسترداد بواسطة تقنيات الطب الشرعي من خلال الكتابة فوق الملفات أو البيانات الموجودة على محركات الأقراص المحلية والبعيدة.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | Impact |
| تقنيات MITRE ATT CK: | T1485 - تدمير البيانات |
| Activity: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
العودة إلى قائمة | الرجوع إلى الأعلى
تعديل الآلية الدفاعية الشاذة في UEBA
وصف: قد يعطل الخصوم أدوات الأمان لتجنب الكشف المحتمل عن أدواتهم وأنشطتهم.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | التهرب الدفاعي |
| تقنيات MITRE ATT CK: | T1562 - دفاعات ضعف |
| تقنيات MITRE ATT CK الفرعية: | تعطيل أو تعديل الأدوات تعطيل أو تعديل Cloud Firewall |
| Activity: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/delete Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
العودة إلى قائمة | الرجوع إلى الأعلى
فشل تسجيل الدخول غير المألوف في UEBA
وصف: قد يخمن الخصوم الذين ليس لديهم معرفة مسبقة ببيانات الاعتماد المشروعة داخل النظام أو البيئة كلمات المرور لمحاولة الوصول إلى الحسابات.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تسجيل الدخول إلى Microsoft Entra سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات الاعتماد |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
| Activity: |
معرف Microsoft Entra: نشاط تسجيل الدخول أمن Windows: فشل تسجيل الدخول (معرف الحدث 4625) |
العودة إلى قائمة | الرجوع إلى الأعلى
تسجيل الدخول غير المألوف ل UEBA في AwsCloudTrail (معاينة)
وصف: نشاط تسجيل الدخول غير العادي في خدمات Amazon Web Services (AWS) استنادا إلى أحداث CloudTrail مثل ConsoleLogin والسمات الأخرى المتعلقة بالمصادقة. يتم تحديد الحالات الشاذة من خلال الانحرافات في سلوك المستخدم استنادا إلى سمات مثل الموقع الجغرافي وبصمات الأصابع للجهاز وموفر خدمة الإنترنت وطريقة الوصول، وقد تشير إلى محاولات وصول غير مصرح بها أو انتهاكات محتملة للنهج.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
| Activity: | signin.amazonaws.com |
العودة إلى قائمة | الرجوع إلى الأعلى
فشل المصادقة متعددة العوامل الشاذة في UEBA في Okta_CL (معاينة)
وصف: أنماط غير عادية من محاولات المصادقة متعددة العوامل الفاشلة في Okta. قد تنتج هذه الحالات الشاذة عن إساءة استخدام الحساب أو حشو بيانات الاعتماد أو الاستخدام غير السليم لآليات الجهاز الموثوق بها، وغالبا ما تعكس سلوكيات المتطفل في المرحلة المبكرة، مثل اختبار بيانات الاعتماد المسروقة أو التحقق من ضمانات الهوية.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات Okta Cloud |
| تكتيكات MITRE ATT CK: | الثبات، تصعيد الامتياز |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة، T1556 - تعديل عملية المصادقة |
| Activity: | app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify |
العودة إلى قائمة | الرجوع إلى الأعلى
إعادة تعيين كلمة المرور الشاذة في UEBA
وصف: قد يقطع الخصوم توفر موارد النظام والشبكة عن طريق منع الوصول إلى الحسابات التي يستخدمها المستخدمون الشرعيون. قد يتم حذف الحسابات أو قفلها أو التلاعب بها (على سبيل المثال: تغيير معلومات تسجيل الدخول) لإزالة الوصول إلى الحسابات.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | Impact |
| تقنيات MITRE ATT CK: | T1531 - إزالة الوصول إلى الحساب |
| Activity: | الدليل الأساسي/إدارة المستخدم/إعادة تعيين كلمة مرور المستخدم |
العودة إلى قائمة | الرجوع إلى الأعلى
منح امتياز UEBA الشاذ
وصف: قد يضيف الخصوم بيانات اعتماد يتحكم فيها المتطفل لأساسيات خدمة Azure بالإضافة إلى بيانات الاعتماد المشروعة الحالية للحفاظ على الوصول المستمر إلى حسابات Azure الضحية.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | Persistence |
| تقنيات MITRE ATT CK: | T1098 - التلاعب بالحساب |
| تقنيات MITRE ATT CK الفرعية: | بيانات اعتماد كيانية إضافية لخدمة Azure |
| Activity: | توفير الحساب/إدارة التطبيق/إضافة تعيين دور التطبيق إلى مدير الخدمة |
العودة إلى قائمة | الرجوع إلى الأعلى
تسجيل الدخول الشاذ في UEBA
وصف: قد يسرق الخصوم بيانات اعتماد مستخدم أو حساب خدمة معين باستخدام تقنيات الوصول إلى بيانات الاعتماد أو تسجيل بيانات الاعتماد في وقت سابق في عملية الاستطلاع الخاصة بهم من خلال الهندسة الاجتماعية للحصول على وسائل كسب الاستمرار.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | UEBA |
| مصادر البيانات: | سجلات تسجيل الدخول إلى Microsoft Entra سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | Persistence |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
| Activity: |
معرف Microsoft Entra: نشاط تسجيل الدخول أمن Windows: تسجيل الدخول الناجح (معرف الحدث 4624) |
العودة إلى قائمة | الرجوع إلى الأعلى
الحالات غير المألوفة المستندة إلى التعلم الآلي
يمكن أن تحدد الحالات غير المألوفة المستندة إلى التعلم الآلي والقابلة للتخصيص في Microsoft Sentinel السلوك الغير مألوف باستخدام قوالب قواعد التحليلات التي يمكن وضعها للعمل فوراً. في حين أن الحالات غير المألوفة لا تشير بالضرورة إلى سلوك خبيث أو حتى مريب في حد ذاتها، إلا إنه يمكن استخدامها لتحسين عمليات الاكتشاف والتحقيقات والبحث عن المخاطر.
- عمليات Azure الشاذة
- تنفيذ التعليمات البرمجية الشاذة
- إنشاء حساب محلي غير مألوف
- أنشطة المستخدم الشاذة في Office Exchange
- محاولة استخدام القوة الغاشمة للكمبيوتر
- محاولة استخدام القوة الغاشمة لحساب المستخدم
- القوة الغاشمة لحساب المستخدم المحاول لكل نوع تسجيل دخول
- محاولة استخدام القوة الغاشمة لحساب المستخدم لكل سبب فشل
- الكشف عن سلوك إشارات الشبكة التي تم إنشاؤها بواسطة الجهاز
- خوارزمية إنشاء المجال (DGA) على مجالات DNS
- التنزيلات الزائدة عبر Palo Alto GlobalProtect
- التحميلات المفرطة عبر Palo Alto GlobalProtect
- خوارزمية إنشاء المجال المحتملة (DGA) على مجالات DNS من المستوى التالي
- الحجم المشبوه لمكالمات AWS API من عنوان IP المصدر غير AWS
- حجم مريب من استدعاءات API للكتابة في AWS من حساب مستخدم
- حجم مريب من عمليات تسجيل الدخول إلى الكمبيوتر
- حجم مريب من عمليات تسجيل الدخول إلى الكمبيوتر مع رمز مميز مرتفع
- حجم مريب من عمليات تسجيل الدخول إلى حساب المستخدم
- الحجم المشبوه لتسجيلات الدخول إلى حساب المستخدم حسب أنواع تسجيل الدخول
- حجم مريب من عمليات تسجيل الدخول إلى حساب المستخدم مع رمز مميز مرتفع
عمليات Azure غير المألوفة
وصف: تجمع خوارزمية الكشف هذه بيانات قيمتها 21 يوما على عمليات Azure التي يجمعها المستخدم لتدريب نموذج التعلم الآلي هذا. تقوم الخوارزمية بعد ذلك بإنشاء حالات غير مألوفة في حالة المستخدمين الذين أجروا تسلسلات من العمليات غير الشائعة في مساحات عملهم. يسجل نموذج التعلم الآلي من Microsoft Azure ML المدرّب العمليات التي يقوم بها المستخدم ويعتبر غير المألوفة أولئك الذين تكون نتيجتهم أكبر من الحد المحدد.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1190 - استغلال التطبيق المواجه للجمهور |
العودة إلى قائمة | الرجوع إلى الأعلى
تنفيذ تعليمات برمجية غير مألوفة
وصف: قد يسيء المهاجمون استخدام مترجمي الأوامر والبرامج النصية لتنفيذ الأوامر أو البرامج النصية أو الثنائيات. توفر هذه الواجهات واللغات طرقاً للتفاعل مع أنظمة الكمبيوتر وهي سمة مشتركة عبر العديد من الأنظمة الأساسية المختلفة.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | Execution |
| تقنيات MITRE ATT CK: | T1059 - مترجم الأوامر والبرمجة |
العودة إلى قائمة | الرجوع إلى الأعلى
إنشاء حساب محلي غير مألوف
وصف: تكتشف هذه الخوارزمية إنشاء حساب محلي شاذ على أنظمة Windows. قد ينشئ المهاجمون حسابات محلية للحفاظ على الوصول إلى الأنظمة المستهدفة. تحلل هذه الخوارزمية نشاط إنشاء الحساب المحلي على مدار الـ 14 يوماً السابقة بواسطة المستخدمين. يبحث عن نشاط مشابه في اليوم الحالي من مستخدمين لم يسبق لهم رؤيتهم في النشاط التاريخي. يمكنك تحديد قائمة السماح لتصفية المستخدمين المعروفين من تشغيل هذا شذوذ.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | Persistence |
| تقنيات MITRE ATT CK: | T1136 - إنشاء حساب |
العودة إلى قائمة | الرجوع إلى الأعلى
أنشطة المستخدم غير مألوفة في Office Exchange
وصف: يجمع نموذج التعلم الآلي هذا سجلات Office Exchange على أساس كل مستخدم في مستودعات كل ساعة. نحدد ساعة واحدة كجلسة. تم تدريب النموذج على السلوك في الأيام السبعة السابقة عبر جميع المستخدمين العاديين (غير الإداريين). يشير إلى جلسات Office Exchange المستخدم غير المألوفة في اليوم الأخير.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجل Office Incentives Program (الصرف) |
| تكتيكات MITRE ATT CK: | Persistence Collection |
| تقنيات MITRE ATT CK: |
Collection: T1114 - جمع البريد الإلكتروني T1213 - بيانات من مستودعات المعلومات Persistence: T1098 - التلاعب بالحساب T1136 - إنشاء حساب T1137 - بدء تشغيل تطبيق Office T1505 - مكون برنامج الخادم |
العودة إلى قائمة | الرجوع إلى الأعلى
محاولة القوة الغاشمة الحاسوبية
وصف: تكتشف هذه الخوارزمية حجما كبيرا بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف حدث الأمان 4625) لكل كمبيوتر على مدار اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات الاعتماد |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
العودة إلى قائمة | الرجوع إلى الأعلى
محاولة القوة الغاشمة لحساب المستخدم
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف حدث الأمان 4625) لكل حساب مستخدم على مدار اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات الاعتماد |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
العودة إلى قائمة | الرجوع إلى الأعلى
محاولة القوة الغاشمة لحساب المستخدم حسب نوع تسجيل الدخول
وصف: تكتشف هذه الخوارزمية حجما كبيرا بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف حدث الأمان 4625) لكل حساب مستخدم لكل نوع تسجيل دخول خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات الاعتماد |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
العودة إلى قائمة | الرجوع إلى الأعلى
محاولة حساب المستخدم القوة الغاشمة لكل سبب فشل
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف حدث الأمان 4625) لكل حساب مستخدم لكل سبب فشل خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات الاعتماد |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
العودة إلى قائمة | الرجوع إلى الأعلى
اكتشاف سلوك إشارات الشبكة المُنشأة آلياً
وصف: تحدد هذه الخوارزمية أنماط التتبع من سجلات اتصال حركة مرور الشبكة استنادا إلى أنماط دلتا الزمنية المتكررة. يعد أي اتصال بالشبكة تجاه الشبكات العامة غير الموثوق بها في دلتا الوقت المتكرر مؤشراً على عمليات إعادة الاتصال بالبرامج الضارة أو محاولات استخراج البيانات. ستحسب الخوارزمية دلتا الوقت بين اتصالات الشبكة المتتالية بين نفس IP المصدر وIP الوجهة، بالإضافة إلى عدد الاتصالات في تسلسل دلتا زمني بين نفس المصادر والوجهات. يتم حساب النسبة المئوية للتنبيه على أنها اتصالات في تسلسل دلتا الوقت مقابل إجمالي التوصيلات في اليوم.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN) |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم |
| تقنيات MITRE ATT CK: | T1071 - بروتوكول طبقة التطبيق T1132 - ترميز البيانات T1001 - تشويش البيانات T1568 - الدقة الديناميكية T1573 - قناة مشفرة T1008 - القنوات الاحتياطية T1104 - قنوات متعددة المراحل T1095 - بروتوكول طبقة غير التطبيق T1571 - منفذ غير قياسي T1572 - بروتوكول نفق T1090 - وكيل T1205 - إشارات المرور T1102 - خدمة الويب |
العودة إلى قائمة | الرجوع إلى الأعلى
خوارزمية إنشاء المجال (DGA) على مجالات DNS
وصف: يشير نموذج التعلم الآلي هذا إلى مجالات DGA المحتملة من اليوم الماضي في سجلات DNS. تنطبق الخوارزمية على سجلات DNS التي تحل عناوين IPv4 وIPv6.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | أحداث DNS |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم |
| تقنيات MITRE ATT CK: | T1568 - الدقة الديناميكية |
العودة إلى قائمة | الرجوع إلى الأعلى
التنزيلات الزائدة عبر Palo Alto GlobalProtect
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من التنزيل لكل حساب مستخدم من خلال حل Palo Alto VPN. تم تدريب النموذج على 14 يوماً السابقة من سجلات VPN. يشير إلى حجم كبير غير معتاد للتنزيلات في اليوم الماضي.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN VPN) |
| تكتيكات MITRE ATT CK: | Exfiltration |
| تقنيات MITRE ATT CK: | T1030 - حدود حجم نقل البيانات T1041 - تسلل عبر قناة C2 T1011 - التسرب عبر وسيط شبكة آخر T1567 - التسلل عبر خدمة الويب T1029 - التحويل المجدول T1537 - نقل البيانات إلى الحساب السحابي |
العودة إلى قائمة | الرجوع إلى الأعلى
التحميلات الزائدة عبر Palo Alto GlobalProtect
وصف: تكتشف هذه الخوارزمية حجم تحميل كبير بشكل غير عادي لكل حساب مستخدم من خلال حل Palo Alto VPN. تم تدريب النموذج على 14 يوماً السابقة من سجلات VPN. يشير إلى حجم كبير غير معتاد للتحميل في اليوم الماضي.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN VPN) |
| تكتيكات MITRE ATT CK: | Exfiltration |
| تقنيات MITRE ATT CK: | T1030 - حدود حجم نقل البيانات T1041 - تسلل عبر قناة C2 T1011 - التسرب عبر وسيط شبكة آخر T1567 - التسلل عبر خدمة الويب T1029 - التحويل المجدول T1537 - نقل البيانات إلى الحساب السحابي |
العودة إلى قائمة | الرجوع إلى الأعلى
خوارزمية إنشاء المجال المحتمل (DGA) على مجالات DNS من المستوى التالي
وصف: يشير نموذج التعلم الآلي هذا إلى مجالات المستوى التالي (المستوى الثالث والأعلى) لأسماء المجالات من اليوم الأخير من سجلات DNS غير العادية. يمكن أن تكون ناتجة عن خوارزمية إنشاء المجال (DGA). تنطبق الحالة غير المألوفة على سجلات DNS التي تحل عناوين IPv4 وIPv6.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | أحداث DNS |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم |
| تقنيات MITRE ATT CK: | T1568 - الدقة الديناميكية |
العودة إلى قائمة | الرجوع إلى الأعلى
حجم مريب لاستدعاءات AWS API من عنوان IP مصدر غير تابع لـ AWS
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من استدعاءات AWS API لكل حساب مستخدم لكل مساحة عمل، من عناوين IP المصدر خارج نطاقات IP المصدر ل AWS، خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من أحداث سجل AWS CloudTrail حسب عنوان IP المصدر. قد يشير هذا النشاط إلى اختراق حساب المستخدم.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
العودة إلى قائمة | الرجوع إلى الأعلى
حجم مريب لاستدعاءات AWS write API من حساب مستخدم
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من استدعاءات API للكتابة AWS لكل حساب مستخدم خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من أحداث سجل AWS CloudTrail من خلال حساب المستخدم. قد يشير هذا النشاط إلى تعرض الحساب للاختراق.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
العودة إلى قائمة | الرجوع إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى الكمبيوتر
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) لكل كمبيوتر على مدار اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
العودة إلى قائمة | الرجوع إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى جهاز كمبيوتر ذي رمز مميز مرتفع
وصف: تكتشف هذه الخوارزمية حجما كبيرا بشكل غير عادي من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) مع امتيازات إدارية، لكل كمبيوتر، خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
العودة إلى قائمة | الرجوع إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى حساب المستخدم
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) لكل حساب مستخدم على مدار اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
العودة إلى قائمة | الرجوع إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى حساب المستخدم حسب أنواع تسجيل الدخول
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) لكل حساب مستخدم، حسب أنواع تسجيل الدخول المختلفة، على مدار اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
العودة إلى قائمة | الرجوع إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى حساب مستخدم برمز مميز مرتفع
وصف: تكتشف هذه الخوارزمية حجم كبير بشكل غير عادي من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) مع امتيازات إدارية، لكل حساب مستخدم، خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| Attribute | Value |
|---|---|
| نوع الشذوذ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
العودة إلى قائمة | الرجوع إلى الأعلى
الخطوات التالية
تعرف على الحالات الشاذة التي تم إنشاؤها بواسطة التعلم الآلي في Microsoft Sentinel.
تعرف على كيفية العمل مع قواعد الشذوذ.
التحقيق في الحوادث باستخدام Microsoft Sentinel.