تم اكتشاف الحالات غير المألوفة بواسطة محرك التعلم الآلي لـ Microsoft Sentinel
تسرد هذه المقالة الحالات غير المألوفة التي يكتشفها Microsoft Sentinel باستخدام نماذج مختلفة للتعلم الآلي.
يعمل اكتشاف الأخطاء من خلال تحليل سلوك المستخدمين في بيئة ما على مدار فترة زمنية وإنشاء خط أساس للنشاط المشروع. بمجرد إنشاء خط الأساس، يعتبر أي نشاط خارج المعلمات العادية أمراً غير مألوفاً وبالتالي مريباً.
يستخدم Microsoft Sentinel نموذجين مختلفين لإنشاء خطوط أساسية واكتشاف الحالات غير المألوفة.
إشعار
تم إيقاف عمليات الكشف عن الحالات الشاذة التالية اعتبارا من 26 مارس 2024، بسبب انخفاض جودة النتائج:
- حالة غير مألوفة في سلامة مجال Palo Alto
- عمليات تسجيل الدخول لعدة مناطق في يوم واحد عبر Palo Alto GlobalProtect
هام
يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
حالات UEBA غير المألوفة
يكتشف Sentinel UEBA الحالات غير المألوفة بناءً على خطوط الأساس الديناميكية التي تم إنشاؤها لكل كيان عبر مدخلات البيانات المختلفة. يتم تعيين السلوك الأساسي لكل كيان وفقاً لأنشطته التاريخية، وأنشطة أقرانه، وأنشطة المؤسسة ككل. يمكن تشغيل الحالات غير المألوفة من خلال ارتباط السمات المختلفة مثل نوع الإجراء، والموقع الجغرافي، والجهاز، والمورد، ومزود خدمة الإنترنت، والمزيد.
يجب عليك تمكين ميزة UEBA لاكتشاف حالات UEBA غير المألوفة.
- إزالة الوصول غير المألوف إلى الحساب
- إنشاء حساب غير مألوف
- حذف الحساب بشكل غير مألوف
- التلاعب الغير مألوف في الحساب
- تنفيذ التعليمة البرمجية غير المألوفة (UEBA)
- تدمير البيانات غير المألوفة
- تعديل آلية دفاعية غير مألوفة
- فشل غير مألوف في تسجيل الدخول
- إعادة تعيين كلمة المرور غير المألوفة
- منح امتياز غير مألوف
- تسجيل دخول غير مألوف
إزالة الوصول غير المألوف إلى الحساب
الوصف: قد يقاطع المهاجم توفر موارد النظام والشبكة عن طريق حظر الوصول إلى الحسابات التي يستخدمها المستخدمون الشرعيون. قد يقوم المهاجم بحذف حساب أو قفله أو معالجته (على سبيل المثال، عن طريق تغيير بيانات اعتماده) لإزالة الوصول إليه.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | تأثير |
| تقنيات MITRE ATT CK: | T1531 - إزالة الوصول إلى الحساب |
| النشاط: | Microsoft.Authorization/roleAssignments/delete تسجيل خروج |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
إنشاء حساب غير مألوف
الوصف: يجوز للخصوم إنشاء حساب للحفاظ على الوصول إلى الأنظمة المستهدفة. مع وجود مستوى وصول كافٍ، يمكن استخدام إنشاء مثل هذه الحسابات لإنشاء وصول ثانوي معتمد دون الحاجة إلى توزيع أدوات وصول عن بُعد دائمة على النظام.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | استمرار |
| تقنيات MITRE ATT CK: | T1136 - إنشاء حساب |
| تقنيات MITRE ATT CK الفرعية: | حساب السحابة |
| النشاط: | Core Directory/UserManagement/Add user |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
حذف الحساب بشكل غير مألوف
الوصف: قد يقطع الخصوم توفر موارد النظام والشبكة عن طريق منع الوصول إلى الحسابات التي يستخدمها المستخدمون الشرعيون. قد يتم حذف الحسابات أو قفلها أو التلاعب بها (على سبيل المثال: تغيير معلومات تسجيل الدخول) لإزالة الوصول إلى الحسابات.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | تأثير |
| تقنيات MITRE ATT CK: | T1531 - إزالة الوصول إلى الحساب |
| النشاط: | Core Directory/UserManagement/Delete user الدليل الأساسي/الجهاز/حذف المستخدم Core Directory/UserManagement/Delete user |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
التلاعب الغير مألوف في الحساب
الوصف: يجوز للخصوم التلاعب بالحسابات للحفاظ على الوصول إلى الأنظمة المستهدفة. تتضمن هذه الإجراءات إضافة حسابات جديدة إلى المجموعات ذات الامتيازات العالية. على سبيل المثال، أضاف Dragonfly 2.0 حسابات تم إنشاؤها حديثاً إلى مجموعة المسؤولين للحفاظ على وصول مرتفع. يقوم الاستعلام أدناه بإنشاء مخرجات لجميع مستخدمي Blast Radius الذين يقومون بتنفيذ "تحديث المستخدم" (تغيير الاسم) لدور ذي امتياز، أو أولئك الذين قاموا بتغيير المستخدمين لأول مرة.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | استمرار |
| تقنيات MITRE ATT CK: | T1098 - التلاعب بالحساب |
| النشاط: | Core Directory/UserManagement/Update user |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
تنفيذ التعليمة البرمجية غير المألوفة (UEBA)
الوصف: قد يسيء الخصوم مفسرات الأوامر والنصوص لتنفيذ الأوامر أو النصوص أو الثنائيات. توفر هذه الواجهات واللغات طرقاً للتفاعل مع أنظمة الكمبيوتر وهي سمة مشتركة عبر العديد من الأنظمة الأساسية المختلفة.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | التنفيذ |
| تقنيات MITRE ATT CK: | T1059 - مترجم الأوامر والبرمجة |
| تقنيات MITRE ATT CK الفرعية: | PowerShell |
| النشاط: | Microsoft.Compute/virtualMachines/runCommand/action |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
تدمير البيانات غير المألوفة
الوصف: قد يقوم الخصوم بتدمير البيانات والملفات الموجودة على أنظمة معينة أو بأعداد كبيرة على الشبكة لمقاطعة الإتاحة للأنظمة والخدمات وموارد الشبكة. من المحتمل أن يؤدي تدمير البيانات إلى جعل البيانات المخزنة غير قابلة للاسترداد بواسطة تقنيات الطب الشرعي من خلال الكتابة فوق الملفات أو البيانات الموجودة على محركات الأقراص المحلية والبعيدة.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | تأثير |
| تقنيات MITRE ATT CK: | T1485 - تدمير البيانات |
| النشاط: | Microsoft.Compute/disks/delete Microsoft.Compute/galleries/images/delete Microsoft.Compute/hostGroups/delete Microsoft.Compute/hostGroups/hosts/delete Microsoft.Compute/images/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachineScaleSets/delete Microsoft.Compute/virtualMachineScaleSets/virtualMachines/delete Microsoft.Devices/digitalTwins/Delete Microsoft.Devices/iotHubs/Delete Microsoft.KeyVault/vaults/delete Microsoft.Logic/integrationAccounts/delete Microsoft.Logic/integrationAccounts/maps/delete Microsoft.Logic/integrationAccounts/schemas/delete Microsoft.Logic/integrationAccounts/partners/delete Microsoft.Logic/integrationServiceEnvironments/delete Microsoft.Logic/workflows/delete Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Sql/instancePools/delete Microsoft.Sql/managedInstances/delete Microsoft.Sql/managedInstances/administrators/delete Microsoft.Sql/managedInstances/databases/delete Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Microsoft.Storage/storageAccounts/blobServices/containers/delete Microsoft.AAD/domainServices/delete |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
تعديل آلية دفاعية غير مألوفة
الوصف: يجوز للخصوم تعطيل أدوات الأمان لتجنب الكشف المحتمل عن أدواتهم وأنشطتهم.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | التهرب الدفاعي |
| تقنيات MITRE ATT CK: | T1562 - دفاعات ضعف |
| تقنيات MITRE ATT CK الفرعية: | تعطيل أو تعديل الأدوات تعطيل أو تعديل Cloud Firewall |
| النشاط: | Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/rules/baselines/delete Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/delete Microsoft.Network/networkSecurityGroups/securityRules/delete Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/ddosProtectionPlans/delete Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/delete Microsoft.Network/applicationSecurityGroups/delete Microsoft.Authorization/policyAssignments/حذف Microsoft.Sql/servers/firewallRules/delete Microsoft.Network/firewallPolicies/delete Microsoft.Network/azurefirewalls/delete |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
فشل غير مألوف في تسجيل الدخول
الوصف: يجوز لخصوم ليست لديهم معرفة مسبقة بمعلومات تسجيل الدخول المشروعة داخل النظام أو البيئة تخمين كلمات المرور لمحاولة الوصول إلى الحسابات.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | سجلات تسجيل الدخول إلى Microsoft Entra سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات تسجيل الدخول |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
| النشاط: | معرف Microsoft Entra: نشاط تسجيل الدخول أمان Windows: فشل تسجيل الدخول (معرف الحدث 4625) |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
إعادة تعيين كلمة المرور غير المألوفة
الوصف: قد يقطع الخصوم توفر موارد النظام والشبكة عن طريق منع الوصول إلى الحسابات التي يستخدمها المستخدمون الشرعيون. قد يتم حذف الحسابات أو قفلها أو التلاعب بها (على سبيل المثال: تغيير معلومات تسجيل الدخول) لإزالة الوصول إلى الحسابات.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | تأثير |
| تقنيات MITRE ATT CK: | T1531 - إزالة الوصول إلى الحساب |
| النشاط: | Core Directory/UserManagement/User password reset |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
منح امتياز غير مألوف
الوصف: يجوز للخصوم إضافة بيانات اعتماد يتحكم فيها الخصم لمبادئ خدمة Azure بالإضافة إلى معلومات تسجيل الدخول الشرعية الحالية للحفاظ على الوصول الدائم إلى حسابات Azure للضحية.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | استمرار |
| تقنيات MITRE ATT CK: | T1098 - التلاعب بالحساب |
| تقنيات MITRE ATT CK الفرعية: | بيانات اعتماد كيانية إضافية لخدمة Azure |
| النشاط: | توفير الحساب/إدارة التطبيق/إضافة تعيين دور التطبيق إلى مدير الخدمة |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
تسجيل دخول غير مألوف
الوصف: قد يسرق الخصوم بيانات اعتماد مستخدم أو حساب خدمة معين باستخدام تقنيات الوصول إلى معلومات تسجيل الدخول أو الحصول على معلومات تسجيل الدخول في وقت سابق من عملية الاستطلاع من خلال الهندسة الاجتماعية من أجل اكتساب الثبات.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | UEBA |
| مصادر البيانات: | سجلات تسجيل الدخول إلى Microsoft Entra سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | استمرار |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
| النشاط: | معرف Microsoft Entra: نشاط تسجيل الدخول أمان Windows: تسجيل دخول ناجح (معرف الحدث 4624) |
الرجوع إلى قائمة | الحالات الشاذة في UEBA مرة أخرى إلى الأعلى
الحالات غير المألوفة المستندة إلى التعلم الآلي
يمكن أن تحدد الحالات غير المألوفة المستندة إلى التعلم الآلي والقابلة للتخصيص في Microsoft Sentinel السلوك الغير مألوف باستخدام قوالب قواعد التحليلات التي يمكن وضعها للعمل فوراً. في حين أن الحالات غير المألوفة لا تشير بالضرورة إلى سلوك خبيث أو حتى مريب في حد ذاتها، إلا إنه يمكن استخدامها لتحسين عمليات الاكتشاف والتحقيقات والبحث عن المخاطر.
- جلسات تسجيل الدخول إلى Microsoft Entra الشاذة
- عمليات Azure غير المألوفة
- تنفيذ تعليمات برمجية غير مألوفة
- إنشاء حساب محلي غير مألوف
- نشاط مسح غير مألوف
- أنشطة المستخدم غير مألوفة في Office Exchange
- أنشطة المستخدم/التطبيق غير المألوفة في سجلات تدقيق Azure
- نشاط سجلات W3CIIS غير مألوف
- نشاط طلب ويب غير مألوف
- محاولة القوة الغاشمة الحاسوبية
- محاولة القوة الغاشمة لحساب المستخدم
- محاولة القوة الغاشمة لحساب المستخدم حسب نوع تسجيل الدخول
- محاولة حساب المستخدم القوة الغاشمة لكل سبب فشل
- اكتشاف سلوك إشارات الشبكة المُنشأة آلياً
- خوارزمية إنشاء المجال (DGA) على مجالات DNS
- شذوذ سمعة المجال Palo Alto (تم إيقافه)
- حالة غير مألوفة تتمثل في نقل بيانات مفرط
- التنزيلات الزائدة عبر Palo Alto GlobalProtect
- التحميلات الزائدة عبر Palo Alto GlobalProtect
- تسجيل الدخول من منطقة غير معتادة عبر عمليات تسجيل الدخول إلى حساب Palo Alto GlobalProtect
- عمليات تسجيل الدخول متعددة المناطق في يوم واحد عبر Palo Alto GlobalProtect (تم إيقافه)
- التدريج المحتمل للبيانات
- خوارزمية إنشاء المجال المحتمل (DGA) على مجالات DNS من المستوى التالي
- تغيير جغرافي مريب في عمليات تسجيل الدخول إلى حساب Palo Alto GlobalProtect
- تم الوصول إلى عدد مريب من المستندات المحمية
- حجم مريب لاستدعاءات AWS API من عنوان IP مصدر غير تابع لـ AWS
- الحجم المريب لأحداث سجل AWS CloudTrail لحساب مستخدم المجموعة بواسطة EventTypeName
- حجم مريب لاستدعاءات AWS write API من حساب مستخدم
- الحجم المريب لمحاولات تسجيل الدخول الفاشلة إلى AWS Console من قبل كل حساب مستخدم جماعي
- حجم مريب لمحاولات تسجيل الدخول الفاشلة إلى AWS Console من خلال كل عنوان IP مصدر
- حجم مريب لعمليات تسجيل الدخول إلى الكمبيوتر
- حجم مريب لعمليات تسجيل الدخول إلى جهاز كمبيوتر ذي رمز مميز مرتفع
- حجم مريب لعمليات تسجيل الدخول إلى حساب المستخدم
- حجم مريب لعمليات تسجيل الدخول إلى حساب المستخدم حسب أنواع تسجيل الدخول
- حجم مريب لعمليات تسجيل الدخول إلى حساب مستخدم برمز مميز مرتفع
- تم اكتشاف إنذار غير عادي بجدار الحماية الخارجي
- تسمية AIP للرجوع إلى إصدار سابق بشكل غير عادي
- اتصالات شبكة غير عادية على المنافذ شائعة الاستخدام
- شذوذ غير عادي في حجم الشبكة
- تم اكتشاف حركة مرور غير عادية على الويب باستخدام عنوان IP في مسار عنوان URL
جلسات تسجيل الدخول إلى Microsoft Entra الشاذة
الوصف: يقوم نموذج التعلم الآلي بتجميع سجلات تسجيل الدخول إلى Microsoft Entra على أساس كل مستخدم. تم تدريب النموذج على سلوك تسجيل دخول المستخدم في الأيام الستة السابقة. يشير إلى جلسات تسجيل دخول غير عادية للمستخدم على مدار اليوم الماضي.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات تسجيل الدخول إلى Microsoft Entra |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة T1566 - التصيد T1133 - خدمات التحكم عن بعد الخارجية |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
عمليات Azure غير المألوفة
الوصف: تجمع خوارزمية الاكتشاف هذه بيانات لمدة 21 يوماً بشأن عمليات التعلم الآلي من Microsoft Azure من Microsoft Azure حسب المستخدم لتدريب نموذج ML هذا. تقوم الخوارزمية بعد ذلك بإنشاء حالات غير مألوفة في حالة المستخدمين الذين أجروا تسلسلات من العمليات غير الشائعة في مساحات عملهم. يسجل نموذج التعلم الآلي من Microsoft Azure ML المدرّب العمليات التي يقوم بها المستخدم ويعتبر غير المألوفة أولئك الذين تكون نتيجتهم أكبر من الحد المحدد.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1190 - استغلال التطبيق المواجه للجمهور |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
تنفيذ تعليمات برمجية غير مألوفة
الوصف: قد يسيء المهاجمون استخدام مفسرات الأوامر والنصوص لتنفيذ الأوامر أو البرامج النصية أو الثنائيات. توفر هذه الواجهات واللغات طرقاً للتفاعل مع أنظمة الكمبيوتر وهي سمة مشتركة عبر العديد من الأنظمة الأساسية المختلفة.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | السجلات النشطة في Azure |
| تكتيكات MITRE ATT CK: | التنفيذ |
| تقنيات MITRE ATT CK: | T1059 - مترجم الأوامر والبرمجة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
إنشاء حساب محلي غير مألوف
الوصف: تكتشف هذه الخوارزمية إنشاء حساب محلي غير مألوف على أنظمة Windows. قد ينشئ المهاجمون حسابات محلية للحفاظ على الوصول إلى الأنظمة المستهدفة. تحلل هذه الخوارزمية نشاط إنشاء الحساب المحلي على مدار الـ 14 يوماً السابقة بواسطة المستخدمين. يبحث عن نشاط مشابه في اليوم الحالي من مستخدمين لم يسبق لهم رؤيتهم في النشاط التاريخي. يمكنك تحديد قائمة السماح لتصفية المستخدمين المعروفين من تشغيل هذا شذوذ.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | استمرار |
| تقنيات MITRE ATT CK: | T1136 - إنشاء حساب |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
نشاط مسح غير مألوف
الوصف: تبحث هذه الخوارزمية عن نشاط فحص المنفذ، الذي يأتي من عنوان IP واحد لمصدر واحد أو أكثر من عناوين IP الوجهة، والتي لا تُرى عادةً في بيئة معينة.
تأخذ الخوارزمية في الاعتبار ما إذا كان عنوان IP عاماً/خارجياً أو خاصاً/داخلياً، ويتم تمييز الحدث وفقاً لذلك. لا يُنظر في الوقت الحالي إلا في الأنشطة الخاصة بين القطاعين العام والخاص. يمكن أن يشير نشاط المسح إلى مهاجم يحاول تحديد الخدمات المتاحة في بيئة يمكن استغلالها واستخدامها للدخول أو الحركة الجانبية. يمكن أن يكون العدد الكبير من منافذ المصدر والعدد الكبير من منافذ الوجهة من عنوان IP واحد للمصدر إلى عنوان IP أو عناوين IP فردية أو متعددة الوجهة أمراً مثيراً للاهتمام ويشير إلى فحص غير مألوف. بالإضافة إلى ذلك، إذا كانت هناك نسبة عالية من عناوين IP الوجهة إلى عنوان IP أحادي المصدر، فقد يشير ذلك إلى فحص غير مألوف.
تفاصيل التكوين:
- افتراضي تشغيل الوظيفة هو يومياً، مع صناديق كل ساعة.
تستخدم الخوارزمية الإعدادات الافتراضية القابلة للتكوين التالية للحد من النتائج بناءً على صناديق كل ساعة. - إجراءات الجهاز المضمنة - قبول، سماح، بدء
- المنافذ المستبعدة - 53، 67، 80، 8080، 123، 137، 138، 443، 445، 3389
- عدد منافذ الوجهة المميزة >= 600
- عدد منافذ المصدر المميزة >= 600
- عدد منافذ المصدر المميزة مقسوماً على منفذ الوجهة المميز، النسبة المحولة إلى النسبة المئوية >= 99.99
- عنوان IP المصدر (دائماً 1) مقسوماً على عنوان IP الوجهة، وتحويل النسبة إلى النسبة المئوية >= 99.99
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN وZscaler وCEF وCheckPoint وFortinet) |
| تكتيكات MITRE ATT CK: | اكتشاف |
| تقنيات MITRE ATT CK: | T1046 - فحص خدمة الشبكة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
أنشطة المستخدم غير مألوفة في Office Exchange
الوصف: يعمل نموذج التعلم الآلي هذا على تجميع سجلات Office Exchange على أساس كل مستخدم في مستودعات كل ساعة. نحدد ساعة واحدة كجلسة. تم تدريب النموذج على السلوك في الأيام السبعة السابقة عبر جميع المستخدمين العاديين (غير الإداريين). يشير إلى جلسات Office Exchange المستخدم غير المألوفة في اليوم الأخير.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجل Office Incentives Program (الصرف) |
| تكتيكات MITRE ATT CK: | استمرار المجموعة |
| تقنيات MITRE ATT CK: | المجموعة: T1114 - جمع البريد الإلكتروني T1213 - البيانات من مستودعات المعلومات المثابرة: T1098 - التلاعب بالحساب T1136 - إنشاء حساب T1137 - بدء تشغيل تطبيق Office T1505 - مكون برنامج الخادم |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
أنشطة المستخدم/التطبيق غير المألوفة في سجلات تدقيق Azure
الوصف: تحدد هذه الخوارزمية جلسات Azure غير العادية للمستخدم/التطبيق في سجلات التدقيق لليوم الأخير، استناداً إلى سلوك الأيام الـ 21 الماضية عبر جميع المستخدمين والتطبيقات. تتحقق الخوارزمية من وجود حجم كافٍ من البيانات قبل تدريب النموذج.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات تدقيق Microsoft Entra |
| تكتيكات MITRE ATT CK: | المجموعة اكتشاف الوصول الأولي استمرار زيادة الامتيازات |
| تقنيات MITRE ATT CK: | المجموعة: T1530 - البيانات من عنصر التخزين السحابي الاكتشاف: T1087 - اكتشاف الحساب T1538 - لوحة معلومات الخدمة السحابية T1526 - اكتشاف الخدمة السحابية T1069 - اكتشاف مجموعات الأذونات T1518 - اكتشاف البرامج الوصول المبدئي: T1190 - استغلال التطبيق المواجه للجمهور T1078 - حسابات صالحة المثابرة: T1098 - التلاعب بالحساب T1136 - إنشاء حساب T1078 - حسابات صالحة تصعيد الامتياز: T1484 - تعديل نهج المجال T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
نشاط سجلات W3CIIS غير مألوف
الوصف: تشير خوارزمية التعلم الآلي هذه إلى جلسات IIS غير المألوفة على مدار اليوم الماضي. ستلتقط، على سبيل المثال، عدداً كبيراً بشكل غير معتاد من استعلامات URI المميزة، أو وكلاء المستخدم، أو السجلات في جلسة، أو أفعال HTTP أو حالات HTTP محددة في الجلسة. تحدد الخوارزمية أحداث W3CIISLog غير العادية خلال جلسة كل ساعة، مجمعة حسب اسم الموقع وعنوان IP للعميل. تم تدريب النموذج في الأيام السبعة السابقة لنشاط IIS. تتحقق الخوارزمية من الحجم الكافي لنشاط IIS قبل تدريب النموذج.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات W3CIIS |
| تكتيكات MITRE ATT CK: | الوصول الأولي استمرار |
| تقنيات MITRE ATT CK: | الوصول المبدئي: T1190 - استغلال التطبيق المواجه للجمهور المثابرة: T1505 - مكون برنامج الخادم |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
نشاط طلب ويب غير مألوف
الوصف: تعمل هذه الخوارزمية على تجميع أحداث W3CIISLog في جلسات كل ساعة مجمعة حسب اسم الموقع وجذر URI. يحدد نموذج التعلم الآلي الجلسات التي تحتوي على عدد كبير بشكل غير عادي من الطلبات التي أدت إلى تشغيل رموز استجابة من فئة 5xx في اليوم الأخير. تشير أكواد فئة 5xx إلى أن الطلب قد تسبب في بعض حالات عدم استقرار التطبيق أو حدوث خطأ فيه. يمكن أن تكون إشارة إلى أن المهاجم يبحث في جذع URI بحثاً عن الثغرات الأمنية ومشكلات التكوين، أو يؤدي بعض أنشطة الاستغلال مثل إدخال SQL، أو الاستفادة من ثغرة أمنية لم يتم إصلاحها. تستخدم هذه الخوارزمية 6 أيام من البيانات للتدريب.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات W3CIIS |
| تكتيكات MITRE ATT CK: | الوصول الأولي استمرار |
| تقنيات MITRE ATT CK: | الوصول المبدئي: T1190 - استغلال التطبيق المواجه للجمهور المثابرة: T1505 - مكون برنامج الخادم |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
محاولة القوة الغاشمة الحاسوبية
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف حدث الأمان 4625) لكل جهاز كمبيوتر خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات تسجيل الدخول |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
محاولة القوة الغاشمة لحساب المستخدم
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف الحدث الأمني 4625) لكل حساب مستخدم خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات تسجيل الدخول |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
محاولة القوة الغاشمة لحساب المستخدم حسب نوع تسجيل الدخول
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف حدث الأمان 4625) لكل حساب مستخدم لكل نوع تسجيل دخول خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات تسجيل الدخول |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
محاولة حساب المستخدم القوة الغاشمة لكل سبب فشل
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من محاولات تسجيل الدخول الفاشلة (معرف حدث الأمان 4625) لكل حساب مستخدم لكل سبب إخفاق خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات تسجيل الدخول |
| تقنيات MITRE ATT CK: | T1110 - القوة الغاشمة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
اكتشاف سلوك إشارات الشبكة المُنشأة آلياً
الوصف: تحدد هذه الخوارزمية أنماط الإشارات من سجلات اتصال حركة مرور الشبكة بناءً على أنماط دلتا الوقت المتكررة. يعد أي اتصال بالشبكة تجاه الشبكات العامة غير الموثوق بها في دلتا الوقت المتكرر مؤشراً على عمليات إعادة الاتصال بالبرامج الضارة أو محاولات استخراج البيانات. ستحسب الخوارزمية دلتا الوقت بين اتصالات الشبكة المتتالية بين نفس IP المصدر وIP الوجهة، بالإضافة إلى عدد الاتصالات في تسلسل دلتا زمني بين نفس المصادر والوجهات. يتم حساب النسبة المئوية للتنبيه على أنها اتصالات في تسلسل دلتا الوقت مقابل إجمالي التوصيلات في اليوم.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN) |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم |
| تقنيات MITRE ATT CK: | T1071 - بروتوكول طبقة التطبيق T1132 - ترميز البيانات T1001 - تشويش البيانات T1568 - الدقة الديناميكية T1573 - قناة مشفرة T1008 - القنوات الاحتياطية T1104 - قنوات متعددة المراحل T1095 - بروتوكول طبقة غير التطبيق T1571 - منفذ غير قياسي T1572 - بروتوكول نفق T1090 - وكيل T1205 - إشارات المرور T1102 - خدمة الويب |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
خوارزمية إنشاء المجال (DGA) على مجالات DNS
الوصف: يشير نموذج التعلم الآلي هذا إلى نطاقات DGA المحتملة من اليوم الماضي في سجلات DNS. تنطبق الخوارزمية على سجلات DNS التي تحل عناوين IPv4 وIPv6.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | أحداث DNS |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم |
| تقنيات MITRE ATT CK: | T1568 - الدقة الديناميكية |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
شذوذ سمعة المجال Palo Alto (تم إيقافه)
الوصف: تقيِّم هذه الخوارزمية سمعة جميع المجالات التي تظهر تحديداً في سجلات Palo Alto firewall (منتج PAN-OS). تشير درجة الاختلاف غير المألوف المرتفعة إلى سمعة منخفضة، ما يشير إلى أن المجال قد تمت ملاحظته لاستضافة محتوى ضار أو من المحتمل أن يفعل ذلك.
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حالة غير مألوفة تتمثل في نقل بيانات مفرط
الوصف: تكتشف هذه الخوارزمية نقل البيانات العالي غير المألوف الذي تمت ملاحظته في سجلات الشبكة. يستخدم التسلسل الزمني لتحليل البيانات إلى مكونات موسمية واتجاهية ومتبقية لحساب خط الأساس. يعتبر أي شذوذ كبير مفاجئ عن خط الأساس التاريخي نشاطاً غير مألوفاً.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN وZscaler وCEF وCheckPoint وFortinet) |
| تكتيكات MITRE ATT CK: | النقل غير المصرَّح به |
| تقنيات MITRE ATT CK: | T1030 - حدود حجم نقل البيانات T1041 - تسلل عبر قناة C2 T1011 - التسرب عبر وسيط شبكة آخر T1567 - التسلل عبر خدمة الويب T1029 - التحويل المجدول T1537 - نقل البيانات إلى الحساب السحابي |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
التنزيلات الزائدة عبر Palo Alto GlobalProtect
الوصف: تكتشف هذه الخوارزمية الحجم الكبير غير المألوف للتنزيل لكل حساب مستخدم من خلال حل Palo Alto VPN. تم تدريب النموذج على 14 يوماً السابقة من سجلات VPN. يشير إلى حجم كبير غير معتاد للتنزيلات في اليوم الماضي.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN VPN) |
| تكتيكات MITRE ATT CK: | النقل غير المصرَّح به |
| تقنيات MITRE ATT CK: | T1030 - حدود حجم نقل البيانات T1041 - تسلل عبر قناة C2 T1011 - التسرب عبر وسيط شبكة آخر T1567 - التسلل عبر خدمة الويب T1029 - التحويل المجدول T1537 - نقل البيانات إلى الحساب السحابي |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
التحميلات الزائدة عبر Palo Alto GlobalProtect
الوصف: تكتشف هذه الخوارزمية الحجم الكبير غير المألوف للتحميل لكل حساب مستخدم من خلال حل Palo Alto VPN. تم تدريب النموذج على 14 يوماً السابقة من سجلات VPN. يشير إلى حجم كبير غير معتاد للتحميل في اليوم الماضي.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN VPN) |
| تكتيكات MITRE ATT CK: | النقل غير المصرَّح به |
| تقنيات MITRE ATT CK: | T1030 - حدود حجم نقل البيانات T1041 - تسلل عبر قناة C2 T1011 - التسرب عبر وسيط شبكة آخر T1567 - التسلل عبر خدمة الويب T1029 - التحويل المجدول T1537 - نقل البيانات إلى الحساب السحابي |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
تسجيل الدخول من منطقة غير معتادة عبر عمليات تسجيل الدخول إلى حساب Palo Alto GlobalProtect
الوصف: عندما يقوم حساب Palo Alto GlobalProtect بتسجيل الدخول من منطقة مصدر نادراً ما تم تسجيل الدخول منها خلال آخر 14 يوماً، يتم تشغيل حدث غير مألوف. قد يشير هذا الوضع الغير مألوف إلى اختراق الحساب.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN VPN) |
| تكتيكات MITRE ATT CK: | الوصول إلى بيانات تسجيل الدخول الوصول الأولي الحركة الجانبيَة |
| تقنيات MITRE ATT CK: | T1133 - خدمات التحكم عن بعد الخارجية |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
عمليات تسجيل الدخول متعددة المناطق في يوم واحد عبر Palo Alto GlobalProtect (تم إيقافه)
الوصف: تكتشف هذه الخوارزمية حساب مستخدم قام بتسجيل الدخول من عدة مناطق غير متجاورة في يوم واحد عبر Palo Alto VPN.
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
التدريج المحتمل للبيانات
الوصف: تقارن هذه الخوارزمية تنزيلات الملفات المميزة على أساس كل مستخدم من الأسبوع السابق مع التنزيلات لليوم الحالي لكل مستخدم، ويتم تشغيل حالة غير مألوفة عند عدد مرات تنزيل الملفات المميزة يتجاوز العدد المكون للشذوذات المعيارية فوق المتوسط. تحلل الخوارزمية حالياً فقط الملفات التي تتم مشاهدتها بشكل شائع خلال استخراج المستندات والصور ومقاطع الفيديو والمحفوظات ذات الملحقات doc، وdocx، وxls، وxlsx، وxlsm، وppt، وpptx، وone وpdf وzip وrar وbmp وjpg وmp3 وmp4 وmov.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجل Office Incentives Program (الصرف) |
| تكتيكات MITRE ATT CK: | المجموعة |
| تقنيات MITRE ATT CK: | T1074 - تنظيم البيانات |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
خوارزمية إنشاء المجال المحتمل (DGA) على مجالات DNS من المستوى التالي
الوصف: يشير نموذج التعلم الآلي هذا إلى نطاقات المستوى التالي (المستوى الثالث وما فوق) لأسماء المجالات من اليوم الأخير لسجلات DNS غير المألوفة. يمكن أن تكون ناتجة عن خوارزمية إنشاء المجال (DGA). تنطبق الحالة غير المألوفة على سجلات DNS التي تحل عناوين IPv4 وIPv6.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | أحداث DNS |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم |
| تقنيات MITRE ATT CK: | T1568 - الدقة الديناميكية |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
تغيير جغرافي مريب في عمليات تسجيل الدخول إلى حساب Palo Alto GlobalProtect
الوصف: تشير المطابقة إلى أن المستخدم قام بتسجيل الدخول عن بعد من بلد/منطقة مختلفة عن البلد/المنطقة لآخر تسجيل دخول عن بعد للمستخدم. قد تشير هذه القاعدة أيضاً إلى اختراق الحساب، خاصةً إذا حدثت تطابقات القاعدة في الوقت المناسب. وهذا يشمل سيناريو السفر المستحيل.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN VPN) |
| تكتيكات MITRE ATT CK: | الوصول الأولي الوصول إلى بيانات تسجيل الدخول |
| تقنيات MITRE ATT CK: | T1133 - خدمات التحكم عن بعد الخارجية T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
تم الوصول إلى عدد مريب من المستندات المحمية
الوصف: تكتشف هذه الخوارزمية حجماً كبيراً من الوصول إلى المستندات المحمية في سجلات حماية البيانات في Microsoft Azure (AIP). فهو يأخذ في الاعتبار سجلات حمل عمل AIP لعدد معين من الأيام ويحدد ما إذا كان المستخدم قد أجرى وصولاً غير عادي إلى المستندات المحمية في يوم معين بالنظر إلى السلوك التاريخي.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات حماية البيانات في Microsoft Azure |
| تكتيكات MITRE ATT CK: | المجموعة |
| تقنيات MITRE ATT CK: | T1530 - البيانات من عنصر التخزين السحابي T1213 - البيانات من مستودعات المعلومات T1005 - البيانات من النظام المحلي T1039 - البيانات من محرك أقراص الشبكة المشترك T1114 - جمع البريد الإلكتروني |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لاستدعاءات AWS API من عنوان IP مصدر غير تابع لـ AWS
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من مكالمات AWS API لكل حساب مستخدم لكل مساحة عمل، من عناوين IP المصدر خارج نطاقات IP المصدر الخاصة بـ AWS، خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من أحداث سجل AWS CloudTrail حسب عنوان IP المصدر. قد يشير هذا النشاط إلى اختراق حساب المستخدم.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
الحجم المريب لأحداث سجل AWS CloudTrail لحساب مستخدم المجموعة بواسطة EventTypeName
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً غير عادي من الأحداث لكل حساب مستخدم مجموعة، حسب أنواع الأحداث المختلفة (AwsApiCall، AwsServiceEvent، AwsConsoleSignIn، AwsConsoleAction)، في سجل AWS CloudTrail الخاص بك خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من أحداث سجل AWS CloudTrail من خلال حساب مستخدم المجموعة. قد يشير هذا النشاط إلى تعرض الحساب للاختراق.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لاستدعاءات AWS write API من حساب مستخدم
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير معتاد من استدعاءات واجهة برمجة تطبيقات AWS للكتابة لكل حساب مستخدم خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من أحداث سجل AWS CloudTrail من خلال حساب المستخدم. قد يشير هذا النشاط إلى تعرض الحساب للاختراق.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
الحجم المريب لمحاولات تسجيل الدخول الفاشلة إلى AWS Console من قبل كل حساب مستخدم جماعي
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من محاولات تسجيل الدخول الفاشلة إلى AWS Console لكل حساب مستخدم مجموعة في سجل AWS CloudTrail الخاص بك خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من أحداث سجل AWS CloudTrail من خلال حساب مستخدم المجموعة. قد يشير هذا النشاط إلى تعرض الحساب للاختراق.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لمحاولات تسجيل الدخول الفاشلة إلى AWS Console من خلال كل عنوان IP مصدر
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من أحداث تسجيل الدخول الفاشلة إلى AWS Console لكل عنوان IP مصدر في سجل AWS CloudTrail الخاص بك خلال اليوم الأخير. تم تدريب النموذج على 21 يوماً الماضية من أحداث سجل AWS CloudTrail حسب عنوان IP المصدر. قد يشير هذا النشاط إلى اختراق عنوان IP.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات AWS CloudTrail |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى الكمبيوتر
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً غير معتاد من عمليات تسجيل الدخول الناجحة (معرّف حدث الأمان 4624) لكل جهاز كمبيوتر خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى جهاز كمبيوتر ذي رمز مميز مرتفع
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) بامتيازات إدارية، لكل كمبيوتر، خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى حساب المستخدم
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً غير معتاد من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) لكل حساب مستخدم خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى حساب المستخدم حسب أنواع تسجيل الدخول
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً غير معتاد من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) لكل حساب مستخدم، من خلال أنواع تسجيل دخول مختلفة، خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
حجم مريب لعمليات تسجيل الدخول إلى حساب مستخدم برمز مميز مرتفع
الوصف: تكتشف هذه الخوارزمية عدداً كبيراً بشكل غير عادي من عمليات تسجيل الدخول الناجحة (معرف حدث الأمان 4624) بامتيازات إدارية، لكل حساب مستخدم، خلال اليوم الماضي. تم تدريب النموذج على 21 يوماً الماضية من سجلات أحداث أمان Windows.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات أمان Windows |
| تكتيكات MITRE ATT CK: | الوصول الأولي |
| تقنيات MITRE ATT CK: | T1078 - حسابات صالحة |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
تم اكتشاف إنذار غير عادي بجدار الحماية الخارجي
الوصف: تحدد هذه الخوارزمية إنذارات جدار الحماية الخارجية غير العادية والتي تعد توقيعات تهديد صادرة عن مورد جدار الحماية. يستخدم أنشطة الأيام السبعة الأخيرة لحساب أكثر 10 توقيعات تشغيلاً والمضيفين العشرة الذين أطلقوا أكبر عدد من التوقيعات. بعد استبعاد كلا النوعين من الأحداث المزعجة، فإنه لا يؤدي إلى حدوث حالة غير مألوفة إلا بعد تجاوز الحد الأدنى لعدد التوقيعات التي يتم تشغيلها في يوم واحد.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN) |
| تكتيكات MITRE ATT CK: | اكتشاف الأوامر والتحكم |
| تقنيات MITRE ATT CK: | الاكتشاف: T1046 - فحص خدمة الشبكة T1135 - اكتشاف مشاركة الشبكة الأمر والتحكم: T1071 - بروتوكول طبقة التطبيق T1095 - بروتوكول طبقة غير التطبيق T1571 - منفذ غير قياسي |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
تسمية AIP للرجوع إلى إصدار سابق بشكل غير عادي
الوصف: تكتشف هذه الخوارزمية حجماً كبيراً غير معتاد من نشاط تسمية الرجوع إلى إصدار أقدم في سجلات حماية البيانات في Microsoft Azure (AIP). فهو يأخذ في الاعتبار سجلات حمل العمل "AIP" لعدد معين من الأيام ويحدد تسلسل النشاط الذي يتم إجراؤه على المستندات جنباً إلى جنب مع الملصق المطبق لتصنيف الحجم غير المألوف لنشاط الرجوع إلى إصدار أقدم.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | سجلات حماية البيانات في Microsoft Azure |
| تكتيكات MITRE ATT CK: | المجموعة |
| تقنيات MITRE ATT CK: | T1530 - البيانات من عنصر التخزين السحابي T1213 - البيانات من مستودعات المعلومات T1005 - البيانات من النظام المحلي T1039 - البيانات من محرك أقراص الشبكة المشترك T1114 - جمع البريد الإلكتروني |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
اتصالات شبكة غير عادية على المنافذ شائعة الاستخدام
الوصف: تحدد هذه الخوارزمية اتصالات الشبكة غير العادية في المنافذ شائعة الاستخدام، وتقارن نسبة استخدام الشبكة اليومية بخط الأساس من الأيام السبعة السابقة. يتضمن ذلك نسبة استخدام الشبكة على المنافذ شائعة الاستخدام (22، 53، 80، 443، 8080، 8888)، ويقارن نسبة استخدام الشبكة اليومية بالمتوسط وشذوذ المعياري للعديد من سمات حركة مرور الشبكة المحسوبة خلال فترة الأساس. سمات نسبة استخدام الشبكة التي يتم النظر فيها هي إجمالي الأحداث اليومية ونقل البيانات اليومي وعدد عناوين IP الخاصة بالمصدر لكل منفذ. يتم تشغيل شذوذ المعياري عندما تكون القيم اليومية أكبر من العدد المكون للشذوذات المعيارية فوق المتوسط.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN وZscaler وCheckPoint وFortinet) |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم النقل غير المصرَّح به |
| تقنيات MITRE ATT CK: | الأمر والتحكم: T1071 - بروتوكول طبقة التطبيق الاستخراج: T1030 - حدود حجم نقل البيانات |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
شذوذ غير عادي في حجم الشبكة
الوصف: تكتشف هذه الخوارزمية حجماً كبيراً بشكل غير معتاد من الاتصالات في سجلات الشبكة. يستخدم التسلسل الزمني لتحليل البيانات إلى مكونات موسمية واتجاهية ومتبقية لحساب خط الأساس. يعتبر أي شذوذ كبير مفاجئ عن خط الأساس التاريخي نشاطاً غير مألوفاً.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN وZscaler وCEF وCheckPoint وFortinet) |
| تكتيكات MITRE ATT CK: | النقل غير المصرَّح به |
| تقنيات MITRE ATT CK: | T1030 - حدود حجم نقل البيانات |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
تم اكتشاف حركة مرور غير عادية على الويب باستخدام عنوان IP في مسار عنوان URL
الوصف: تحدد هذه الخوارزمية طلبات الويب غير المألوفة التي تسرد عنوان IP على أنه المضيف. تعثر الخوارزمية على جميع طلبات الويب بعناوين IP في مسار URL وتقارنها مع بيانات الأسبوع السابق لاستبعاد نسبة استخدام الشبكة المعروفة غير الضارة. بعد استبعاد نسبة استخدام الشبكة المعروفة غير الضارة، لا يؤدي ذلك إلى حدوث حالة غير مألوفة إلا بعد تجاوز حدود معينة بقيم تم تكوينها مثل إجمالي طلبات الويب، وعدد عناوين URL التي تتم مشاهدتها بنفس عنوان IP المقصود للمضيف، وعدد عناوين IP الخاصة بالمصدر داخل مجموعة عناوين URL ذات الوجهة نفسها عنوان IP. يمكن أن يشير هذا النوع من الطلبات إلى محاولة تجاوز خدمات سمعة عناوين URL لأغراض ضارة.
| السمة | القيمة |
|---|---|
| نوع الخطأ: | التعلم الآلي القابل للتخصيص |
| مصادر البيانات: | CommonSecurityLog (PAN وZscaler وCheckPoint وFortinet) |
| تكتيكات MITRE ATT CK: | الأوامر والتحكم الوصول الأولي |
| تقنيات MITRE ATT CK: | الأمر والتحكم: T1071 - بروتوكول طبقة التطبيق الوصول المبدئي: T1189 - حل وسط |
الرجوع إلى قائمة | الحالات الشاذة المستندة إلى التعلم الآلي من جديد إلى الأعلى
الخطوات التالية
تعرف على معلومات بشأن الحالات غير المألوفة الناتجة عن التعلم الآلي في Microsoft Sentinel.
تعرف على كيفية التعامل مع قواعد شذوذ.
التحقيق في الحوادث باستخدام Microsoft Sentinel.